草丁图书馆

  1. 首页 > 生活杂烩 >

如何防御ddos,防范DDOS( 三 )

小知识



对于此类隐蔽性极好的DDoS攻击的防范 , 更重要的是用户要加强安全防范意识 , 提高网络系统的安全性 。 专家建议可以采取的安全防御措施有以下几种 。

1.及早发现系统存在的攻击漏洞 , 及时安装系统补丁程序 。 对一些重要的信息(例如系统配置信息)建立和完善备份机制 。 对一些特权账号(例如管理员账号)的密码设置要谨慎 。 通过这样一系列的举措可以把攻击者的可乘之机降低到最小 。

2.在网络管理方面 , 要经常检查系统的物理环境 , 禁止那些不必要的网络服务 。 建立边界安全界限 , 确保输出的包受到正确限制 。 经常检测系统配置信息 , 并注意查看每天的安全日志 。

3.利用网络安全设备(例如:防火墙)来加固网络的安全性 , 配置好这些设备的安全规则 , 过滤掉所有可能的伪造数据包 。

4.与网络服务提供商协调工作 , 让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制 。

5.当用户发现自己正在遭受DDoS攻击时 , 应当启动自己的应付策略 , 尽可能快地追踪攻击包 , 并且及时联系ISP和有关应急组织 , 分析受影响的系统 , 确定涉及的其他节点 , 从而阻挡从已知攻击节点的流量 。

6.如果用户是潜在的DDoS攻击受害者 , 并且用户发现自己的计算机被攻击者用作主控端和代理端时 , 用户不能因为自己的系统暂时没有受到损害而掉以轻心 。 攻击者一旦发现用户系统的漏洞 , 这对用户的系统是一个很大的威胁 。 所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除 , 以免留下后患 。
什么是DDOs , 怎么防御? 有效的防止DDOS攻击的方法:
1、采用高性能的网络设备    
首先要保证网络设备不能成为瓶颈 , 因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品 。
【如何防御ddos,防范DDOS】2、尽量避免NAT的使用    
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用 , 因为采用此技术会较大降低网络通信能力 , 其实原因很简单 , 因为NAT需要对地址来回转换 , 转换过程中需要对网络包的校验和进行计算 , 因此浪费了很多CPU的时间 。
3、充足的网络带宽保证    
网络带宽直接决定了能抗受攻击的能力 , 假若仅仅有10M带宽的话 , 无论采取什么措施都很难对抗现在的ddos攻击 , 当前至少要选择100M的共享带宽 。
扩展资料
DDOS攻击方式
1、SYN Flood攻击
SYN Flood攻击是当前网络上最为常见的DDoS攻击 , 它利用了TCP协议实现上的一个缺陷 。 通过向网络服务所在端口发送大量的伪造源地址的攻击报文 , 就可能造成目标服务器中的半开连接队列被占满 , 从而阻止其他合法用户进行访问 。
2、UDP Flood攻击
UDP Flood是日渐猖厥的流量型DDoS攻击 , 原理也很简单 。 常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器 。 由于UDP协议是一种无连接的服务 , 在UDP Flood攻击中 , 攻击者可发送大量伪造源IP地址的小UDP包 。
3、ICMP Flood攻击
ICMP Flood攻击属于流量型的攻击方式 , 是利用大的流量给服务器带来较大的负载 , 影响服务器的正常服务 。 由于目前很多防火墙直接过滤ICMP报文 。 因此ICMP Flood出现的频度较低 。
4、Connection Flood攻击
Connection Flood是典型的利用小流量冲击大带宽网络服务的攻击方式 , 这种攻击的原理是利用真实的IP地址向服务器发起大量的连接 。 并且建立连接之后很长时间不释放 , 占用服务器的资源 , 造成服务器上残余连接(WAIT状态)过多 , 效率降低 , 甚至资源耗尽 , 无法响应其他客户所发起的链接 。

推荐阅读


上一篇:老年斑如何消除,老年人的老年斑怎么去掉

下一篇:如何打开vpn