伊拉克戰爭、俄烏戰爭都是從網絡戰開始的,互聯網作為隱形的戰場,DDoS也就是分布式拒絕服務攻擊。它使用與普通的拒絕服務攻擊同樣的方法,但是發起攻擊的源是多個。通常攻擊者使用下載的工具滲透無保護的主機,當獲得該主機的適當的訪問權限后,攻擊者在主機中安裝軟件的服務或進程(以下簡侈怔理)。這些代理保持睡眠狀態,直到從它們的主控端得到指令,對指定的目標發起拒絕服務攻擊。
到目前為止,進行DDoS攻擊的防御還是比較困難的。首先,這種攻擊的特點是它利用了TCP/IP協議的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻擊。不過這不等于我們就沒有辦法阻擋DDoS攻擊,我們可以盡力來減少DDoS的攻擊。下面就是一些防御方法:
防御ddos攻擊的幾大有效方法:http://www.bxgb88.com/security/ddos.html
1)確保服務器的系統文件是最新的版本,并及時更新系統補丁。
要定期掃描現有的網絡主節點,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。骨干節點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機,所以定期掃描漏洞就變得更加重要了。
2)關閉不必要的服務。
過濾不必要的服務和端口.可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務和端口,即在路由器上過濾假IP。比如Cisco公司的
CEF(Cisco Express Forwarding)可以針對封包Source IP和Routing
Table做比較,并加以過濾。只開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略。
3)限制同時打開的SYN半連接數目,縮短SYN半連接的time out 時間,限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣,當出現大量的超過所限定的SYN/ICMP流量時,說明不是正常的網絡訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法,雖然目前該方法對于Ddos效果不太明顯了,
不過仍然能夠起到一定的作用。
4)正確設置防火墻
禁止對主機的非開放服務的訪問
限制特定IP地址的訪問
過濾所有RFC1918 IP地址RFC1918
IP地址是內部網的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它們不是某個網段的固定的IP地址,而是Internet內部保留的區域性IP地址,應該把它們過濾掉。此方法并不是過濾內部員工的訪問,而是將攻擊時偽造的大量虛假內部IP過濾,這樣也可以減輕Ddos的攻擊。
啟用防火墻的防DDoS的屬性
嚴格限制對外開放的服務器的向外訪問
運行端口映射程序禍端口掃描程序,要認真檢查特權端口和非特權端口。
在骨干節點配置防火墻
防火墻本身能抵御Ddos攻擊和其他一些攻擊。在發現受到攻擊的時候,可以將攻擊導向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊優秀的系統。
5)認真檢查網絡設備和主機/服務器系統的日志。只要日志出現漏洞或是時間變更,那這臺機器就可能遭到了攻擊。
6)限制在防火墻外與網絡文件共享。這樣會給黑客截取系統文件的機會,主機的信息暴露給黑客,無疑是給了對方入侵的機會。
7)充分利用網絡設備保護網絡資源
所謂網絡設備是指路由器、防火墻等負載均衡設備,它們可將網絡有效地保護起來。當網絡被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經重
啟后會恢復正常,而且啟動起來還很快,沒有什么損失。若其他服務器死掉,其中的數據會丟失,而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載
均衡設備,這樣當一臺路由器被攻擊死機時,另一臺將馬上工作。從而最大程度的削減了Ddos的攻擊。
路由器
以Cisco路由器為例
Cisco Express Forwarding(CEF)
使用 unicast reverse-path
訪問控制列表(ACL)過濾
設置SYN數據包流量速率
升級版本過低的ISO
為路由器建立log server
8) 用足夠的機器承受黑客攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數設備處于空閑狀態,和目前中小企業網絡實際運行情況不相符。
