• 武汉加油,中国加油,免费投稿邮箱 creust@creust.com,vps,服务器,vps 推荐

对付DDoS攻击的一些绝招

VPS推荐 创启云客 5个月前 (06-16) 9721次浏览 已收录 0个评论 扫描二维码

DDoS攻击全名叫做分布式拒绝服务(DDoS:Distributed Denial of Service),攻击者往往将多个计算机平台联合起来对同一个目标或者多个目标进行攻击攻击所造成的后果也因此而严重程度不同。

DDoS攻击出现至今已将近三十年,可是至今依然未能出现有效的应对手段。上次里约奥运会期间,DDoS攻击再次大行其道。全球攻击峰值达到了今年的最高值,可见只是一种人来疯而且还不怕见光的攻击手段。

那么 DDoS 攻击为何如此无解呢?因为 DDoS 攻击常常会采用通过大量合法的请求的手段占用服务器网络资源,由此而达到瘫痪网络的目的。服务器在面对 DDoS 攻击时很难合理的判定和区分请求,因此遭受攻击时往往束手无策,只能等待攻击者停止攻击。

对付DDoS攻击的一些绝招

拒绝服务攻击的发展益吾库

拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单 Dos 到现在的 DdoS。那么什么是 Dos 和 DdoS 呢?DoS 是一种利用单台计算机的攻击 方式。而 DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于 DoS 的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公 司、搜索引擎和政府部门的站点。

DdoS 攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说 以前网络管理员对抗 Dos 可以采取过滤 IP 地址方法的话,那么面对当前 DdoS 众多伪造出来的地址则显得没有办法。所以说防范 DdoS 攻击变得更加困难, 如何采取措施有效的应对呢?下面我们从两个方面进行介绍。
益吾库

预防为主,保证安全

DdoS 攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。
  (1)定期扫描
  要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点计算机因为具有较高的带宽,是黑客利用的最佳位置,因此 对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
  (2)在骨干节点配置防火墙
  防火墙本身能抵御 DdoS 攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统。
  (3)用足够的机器承受黑客攻击
  这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
  (4)充分利用网络设备保护网络资源
  所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重 启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载 均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了 DdoS 的攻击。
  (5)过滤不必要的服务和端口
  可以使用 Inexpress、Express、Forwarding 等工具来过滤不必要的服务和端口,即在路由器上过滤假 IP。比如 Cisco 公司的 CEF(Cisco Express Forwarding)可以针对封包 Source IP 和 Routing Table 做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如 WWW服务器那么只开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。
        (6)检查访问者的来源
  使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP 地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假 IP 地址方式迷惑用户, 很难查出它来自何处。因此,利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现,有助于提高网络安全性。
  (7)过滤所有 RFC1918 IP 地址
  RFC1918 IP 地址是内部网的 IP 地址,像 10.0.0.0、192.168.0.0 和 172.16.0.0,它们不是某个网段的固定的 IP 地址,而是 Internet 内部保留的区域性 IP 地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部 IP 过滤,这样也可以减轻 DdoS 的攻击。
  (8)限制 SYN/ICMP 流量
  用户应在路由器上配置 SYN/ICMP 的最大流量来限制 SYN/ICMP 封包所能占有的最高频宽,这样,当出现大量的超过所限定的 SYN/ICMP 流量 时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制 SYN/ICMP 流量是最好的防范 DOS 的方法,虽然目前该方法对于 DdoS 效果不太明显了, 不过仍然能够起到一定的作用。益吾库

寻找机会应对攻击

如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。
益吾库

(1)检查攻击来源,通常黑客会通过很多假 IP 地址发起攻击,此时,用户若能够分辨出哪些是真 IP 哪些是假 IP 地址,然后了解这些 IP 来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些 IP 地址是来自外面的而不是公司内部的 IP 的话,可以采取临时过滤的方法,将这些 IP 地址在服务器或路由器上过滤掉。
  (2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的 DdoS 攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问 internet 了。
  (3)最后还有一种比较折中的方法是在路由器上滤掉 ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉 ICMP 后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
  总之,目前网络安全界对于 DdoS 的防范还是没有什么好办法的,主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显,即便是使用了硬件安防设施 也仅仅能起到降低攻击级别的效果,Ddos攻击只能被减弱,无法被彻底消除。 不过如果我们按照本文思路去防范 DdoS 的话,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。


创启云客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:对付DDoS攻击的一些绝招
喜欢 (0)
[13738388032@qq.com]
分享 (0)
创启云客
关于作者:
vps,服务器,云服务器,第三方支付,免费CDN,免费pos,Hexo,pos机,支付圈,免费vps,Discuz,emlog,主题,日本vps,国外服务器,美国vps,香港vps,便宜vps,便宜服务器,vps服务器
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址