三招教企業(yè)抵御小流量DDoS攻擊
—— 閱讀:1608次
用戶要去嘗試了解攻擊來自于何處����,原因是黑客在攻擊時(shí)所調(diào)用的IP地址并不一定是真實(shí)的,一旦掌握了真實(shí)的地址段,可以找到相應(yīng)的碼段進(jìn)行隔離�,或者臨時(shí)過濾。同時(shí)�����,如果連接核心網(wǎng)的端口數(shù)量有限��,也可以將端口進(jìn)行屏蔽����。
相較被攻擊之后的疲于應(yīng)對(duì),有完善的安全機(jī)制無疑要更好�。有些人可能會(huì)選擇大規(guī)模部署網(wǎng)絡(luò)基礎(chǔ)設(shè)施,但這種辦法只能拖延黑客的攻擊進(jìn)度�,并不能解決問題。與之相比的話���,還不如去“屏蔽”那些區(qū)域性或者說臨時(shí)性的地址段�,減少受攻擊的風(fēng)險(xiǎn)面�。
此外,還可以在骨干網(wǎng)�����、核心網(wǎng)的節(jié)點(diǎn)設(shè)置防護(hù)墻,這樣在遇到大規(guī)模攻擊時(shí)可以讓主機(jī)減少被直接攻擊的可能�������?紤]到核心節(jié)點(diǎn)的帶寬通常較高�,容易成為黑客重點(diǎn)“關(guān)照”的位置����,所以定期掃描現(xiàn)有的主節(jié)點(diǎn),發(fā)現(xiàn)可能導(dǎo)致風(fēng)險(xiǎn)的漏洞����,就變得非常重要。
多層防護(hù)DDoS攻擊的方法仍然適用���。例如����,駐地端防護(hù)設(shè)備必須24小時(shí)全天候主動(dòng)偵測(cè)各類型DDoS攻擊����,包括流量攻擊�����、狀態(tài)耗盡攻擊與應(yīng)用層攻擊;為了避免出現(xiàn)上述防火墻等設(shè)備存在的弊端�,用戶應(yīng)該選擇無狀態(tài)表架構(gòu)的防護(hù)設(shè)備利用云平臺(tái)��、大數(shù)據(jù)分析����,積累并迅速察覺攻擊特征碼,建立指紋知識(shí)庫�,以協(xié)助企業(yè)及時(shí)偵測(cè)并阻擋惡意流量攻擊。
像以上的抵御方法還有一些���, 如 限制SYN/ICMP流量�、過濾所有RFC1918 IP地址等等���,但歸根結(jié)底�����,還是要從根源上進(jìn)行有效遏制�,不要等出了問題再去想辦法����,這也是DDoS攻擊“不絕于耳”的原因����。
