DDoS攻擊����,是黑客最常用的攻擊手段,服務(wù)器如何防御DDoS攻擊是一個(gè)系統(tǒng)的工程�����,單單依靠某種系統(tǒng)或產(chǎn)品去防御DDoS攻擊是不現(xiàn)實(shí)的���?梢钥隙ǖ氖牵耆沤^DDoS攻擊�,目前而言是不可能的,但通過(guò)適當(dāng)?shù)姆烙胧�����,抵?0%的DDoS攻擊是可以做得到的����。通過(guò)適當(dāng)?shù)霓k法增強(qiáng)了服務(wù)器防御DDoS攻擊的能力�����,也就意味著加大了攻擊者的攻擊成本�,那么絕大多數(shù)攻擊者將因?yàn)闊o(wú)法繼續(xù)維持攻擊進(jìn)而放棄���,這也就相當(dāng)于成功地防御了DDoS攻擊�����。今天給大家介紹幾種防御DDoS攻擊的常規(guī)處理方法����。
1����、 定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)���,清查可能存在的安全漏洞���,對(duì)新出現(xiàn)的漏洞要及時(shí)打上補(bǔ)丁。骨干節(jié)點(diǎn)的服務(wù)器通常因?yàn)榫哂休^高的帶寬����,是黑客利用的最佳位置����,因此對(duì)這些服務(wù)器本身加強(qiáng)主機(jī)安全是非常有必要的�。
2、 在骨干節(jié)點(diǎn)配置防火墻
防火墻本身能防御DDoS攻擊和其他的一些攻擊��。在發(fā)現(xiàn)受到攻擊的時(shí)候��,可以將攻擊導(dǎo)向一些用于承受的主機(jī)����,這樣可以保護(hù)真正重要的主機(jī)不被攻擊。這些導(dǎo)向用于承受攻擊的主機(jī)��,可以選擇不重要的主機(jī)��,或者是Linux或Unix等漏洞少和本身防范能力優(yōu)秀的主機(jī)����。
3、 用足夠的機(jī)器和設(shè)備承受黑客攻擊
用足夠的機(jī)器和設(shè)備承受黑客攻擊���,這是一種較為理想的應(yīng)對(duì)策略����。如果用戶擁有足夠的容量和足夠的資源,能夠承受住黑客的攻擊���,那么在黑客的攻擊不斷訪問(wèn)目標(biāo)主機(jī)����,占用目標(biāo)主機(jī)系統(tǒng)資源時(shí)�,自己的攻擊資源也在逐漸消耗��;蛟S還沒(méi)等到目標(biāo)主機(jī)被攻擊癱瘓���,黑客本身就已經(jīng)無(wú)力支招了��。不過(guò)這種應(yīng)對(duì)策略,需要投入的資金也比較多��,平時(shí)大多數(shù)機(jī)器設(shè)備也處于閑置狀態(tài)�����,并不利于中小企業(yè)節(jié)省成本和開(kāi)支。
4�、 充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源
所謂的網(wǎng)絡(luò)設(shè)備,是指“路由器���、防火墻”等負(fù)載均衡設(shè)備�����,它們可將網(wǎng)絡(luò)有效地保護(hù)起來(lái)�����。當(dāng)網(wǎng)絡(luò)被攻擊時(shí)�����,最先掛掉的是路由器�,但其他機(jī)器還沒(méi)有掛掉����。掛掉的路由器,經(jīng)重啟后會(huì)恢復(fù)正常使用���,并沒(méi)有什么損失�。若其他服務(wù)器遭受攻擊導(dǎo)致死機(jī),其中的數(shù)據(jù)可能會(huì)發(fā)生丟失���,而且重啟服務(wù)器又將會(huì)是一個(gè)時(shí)間相對(duì)較長(zhǎng)的過(guò)程��。如果使用了負(fù)載均衡設(shè)備�,當(dāng)一臺(tái)路由器被攻擊癱瘓時(shí)��,另一臺(tái)可接替其繼續(xù)進(jìn)行工作��,從而最大程度地削減了DDoS攻擊帶來(lái)的消耗和損失�����。
5��、 過(guò)濾掉一些不必要的服務(wù)和端口
過(guò)濾掉一些不必要的服務(wù)和端口�����,即“在路由器上過(guò)濾假的IP���,只開(kāi)放服務(wù)端口”,這成為目前很多服務(wù)器的流行做法����,例如:很多Web服務(wù)器,只開(kāi)放80端口��,而將其他所有端口關(guān)閉或在防火墻上做阻攔策略���。
6、 檢查訪問(wèn)者的來(lái)源
使用“URPF(單播反向路徑發(fā)送)”等通過(guò)反向路由器查詢的方法���,檢查訪問(wèn)者的IP地址的真?zhèn)�。如果IP地址是假的����,它將被予以屏蔽。很多黑客攻擊����,常采用“假IP地址”的方式進(jìn)行迷惑,很難查找出它來(lái)自于何處���。因此�����,利用“URPF(單播反向路徑發(fā)送)”可減少假IP地址的出現(xiàn)�����,有助于提高網(wǎng)絡(luò)的安全性��。
7���、 過(guò)濾所有RFC1918 IP地址
“RFC1918 IP地址”是內(nèi)部網(wǎng)的IP地址���,像“10.0.0.0、192.168.0.0 和172.16.0.0”����,它們不是某個(gè)網(wǎng)段的固定IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址��,應(yīng)該把它們過(guò)濾掉�。此種方法并不是過(guò)濾內(nèi)部員工的訪問(wèn),而是將攻擊時(shí)偽造的大量虛假內(nèi)部IP過(guò)濾�����,這樣也可以減輕DDoS攻擊���。
8�����、 限制SYN/ICMP流量
用戶可以在路由器上配置“SYN/ICMP”的最大流量�,來(lái)限制SYN/ICMP封包所能占有的最高頻寬��,這樣����,當(dāng)出現(xiàn)大量的超過(guò)所限定的“SYN /ICMP流量”時(shí),則說(shuō)明不是正常的網(wǎng)絡(luò)訪問(wèn)���,而是有黑客入侵�。早期通過(guò)限制“SYN/ICMP流量”是最好的防范DDoS攻擊的方法�����。然而����,目前該方法對(duì)于防御DDoS攻擊的效果不太明顯了,不過(guò)仍然能夠起到一定的作用�。
