《如何防流量攻击》由会员分享,可在线阅读,更多相关《如何防流量攻击(3页珍藏版)》请在金锄头文库上搜索。
1、如何防流量攻击DDoS 的防范到目前为止,进行 DDoS 攻击的防御还是比较困难的。首先,这种攻击的特点是它利 用了 TCP/IP 协议的漏洞,除非你不用 TCP/IP,才有可能完全抵御住 DDoS 攻击。一位资 深的安全专家给了个形象的比喻:DDoS 就好象有 1,000 个人同时给你家里打电话,这时 候你的朋友还打得进来吗?不过即使它难于防范,也不是说我们就应该逆来顺受,实际上防止 DDoS 并不是绝对 不可行的事情。互联网的使用者是各种各样的,与 DDoS 做斗争,不同的角色有不同的任 务。我们以下面几种角色为例:* 企业网管理员* ISP、ICP 管理员* 骨干网络运营商企业网管理员网
2、管员做为一个企业内部网的管理者,往往也是安全员、守护神。在他维护的网络中 有一些服务器需要向外提供 WWW 服务,因而不可避免地成为 DDoS 的攻击目标,他该如 何做呢?可以从主机与网络设备两个角度去考虑。主机上的设置几乎所有的主机平台都有抵御 DoS 的设置,总结一下,基本的有几种:* 关闭不必要的服务* 限制同时打开的 Syn 半连接数目* 缩短 Syn 半连接的 time out 时间* 及时更新系统补丁网络设备上的设置企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备, 在进行防 DDoS 设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否 值得。
3、1.防火墙* 禁止对主机的非开放服务的访问* 限制同时打开的 SYN 最大连接数* 限制特定 IP 地址的访问* 启用防火墙的防 DDoS 的属性* 严格限制对外开放的服务器的向外访问第五项主要是防止自己的服务器被当做工具去害人。2.路由器以 Cisco 路由器为例* Cisco Express Forwarding(CEF)* 使用 unicast reverse-path* 访问控制列表(ACL)过滤* 设置 SYN 数据包流量速率* 升级版本过低的 ISO* 为路由器建立 log server其中使用 CEF 和 Unicast 设置时要特别注意,使用不当会造成路由器工作效率严重下 降,
4、升级 IOS 也应谨慎。路由器是网络的核心设备,与大家分享一下进行设置修改时的小 经验,就是先不保存。Cisco 路由器有两份配置 startup config 和 running config,修改的 时候改变的是 running config,可以让这个配置先跑一段时间(三五天的就随意啦) ,觉得 可行后再保存配置到 startup config;而如果不满意想恢复原来的配置,用 copy start run 就行了。ISP / ICP 管理员ISP / ICP 为很多中小型企业提供了各种规模的主机托管业务,所以在防 DDoS 时,除 了与企业网管理员一样的手段外,还要特别注意自己管理范围
5、内的客户托管主机不要成为 傀儡机。客观上说,这些托管主机的安全性普遍是很差的,有的连基本的补丁都没有打就 赤膊上阵了,成为黑客最喜欢的“肉鸡“,因为不管这台机器黑客怎么用都不会有被发现的 危险,它的安全管理太差了;还不必说托管的主机都是高性能、高带宽的-简直就是为 DDoS 定制的。而做为 ISP 的管理员,对托管主机是没有直接管理的权力的,只能通知让 客户来处理。在实际情况时,有很多客户与自己的托管主机服务商配合得不是很好,造成 ISP 管理员明知自己负责的一台托管主机成为了傀儡机,却没有什么办法的局面。而托管 业务又是买方市场,ISP 还不敢得罪客户,怎么办?咱们管理员和客户搞好关系吧,没
6、办 法,谁让人家是上帝呢?呵呵,客户多配合一些,ISP 的主机更安全一些,被别人告状的 可能性也小一些。骨干网络运营商他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话,DDoS 攻击可以很好地被预防。在 2000 年 yahoo 等知名网站被攻击后,美国的网络安全研究机构提出了骨干运营商联手来解决 DDoS 攻击的方案。其实方法很简单,就是每家运营商在 自己的出口路由器上进行源 IP 地址的验证,如果在自己的路由表中没有到这个数据包源 IP 的路由,就丢掉这个包。这种方法可以阻止黑客利用伪造的源 IP 来进行 DDoS 攻击。 不过同样,这样做会降低路由器的效率,这也是骨干运营商非常关注的问题,所以这种做 法真正采用起来还很困难。对 DDoS 的原理与应付方法的研究一直在进行中,找到一个既有效又切实可行的方案 不是一朝一夕的事情。但目前我们至少可以做到把自己的网络与主机维护好,首先让自己 的主机不成为别人利用的对象去攻击别人;其次,在受到攻击的时候,要尽量地保存证据, 以便事后追查,一个良好的网络和日志系统是必要的。无论 DDoS 的防御向何处发展,这 都将是一个社会工程,需要 IT 界的同行们来一起关注,通力合作。
