Skip to main content

moregeek program

如何防止DDos攻击?-多极客编程

一、拒绝服务攻击的发展

  从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DDOS。那么什么是Dos和DDOS呢?DoS是一种利用单台计算机的攻击方式。而DDOS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DDOS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DDOS众多伪造出来的地址则显得没有办法。所以说防范DDOS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。

  二、预防为主保证安全

  DDOS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。

 (1)定期扫描

  要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。

 (2)在骨干节点配置防火墙

防火墙本身能抵御DDOS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。

 (3)用足够的机器承受黑客攻击

  这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。

 (4)充分利用网络设备保护网络资源

  所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DDOS的攻击。

 (5)过滤不必要的服务和端口

  可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。

 (6)检查访问者的来源

  使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。

  (7)过滤所有RFC1918 IP地址

  RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DDOS的攻击。

  (8)限制SYN/ICMP流量

  用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DDOS效果不太明显了,不过仍然能够起到一定的作用。

  三、寻找机会应对攻击

  如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。

  (1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。

  (2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DDOS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。

  (3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。

 总结:

  目前网络安全界对于DDOS的防范还是没有什么好办法的,主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显,即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果,DDOS攻击只能被减弱,无法被彻底消除。不过如果我们按照本文的方法和思路去防范DDOS的话,收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。


Corosync/Openais+Pacemaker+ISCSI+OCFS构建高可用Web群集-多极客编程

Corosync/Openais+Pacemaker+ISCSI+OCFS构建高可用Web群集corosync/openais安装安装前准备一.Node1安装前准备 1)更改本地主机名称 [root@localhost ~]# hostname node1.a.com[root@node1 ~]# vim /etc/sysconfig/network2)调整系统时间于硬件时间一致[root@no

欢聚时代运维工程师笔试以及初面-多极客编程

之前的笔试挺简单的,一共十道题,8道都是选择题,还有两条问答题。选择题的内容是一些基础的linux知识,包括什么快捷键可以退出前台进程(【ctrl】+c),磁盘挂载的信息记录在哪里(/etc/fstab),还有一些都挺基础的,只要你看过鸟哥的书基本上都没问题。当然也有我不知道的,比如哪种欺骗可以通过设置来屏蔽。0.0这真心不会,由于LZ小菜现在只会一些LINUX的皮毛,所以这些有关网络安全的都

交换机知识--VLAN-多极客编程

以太网是一种基于CSMA/CD(Carrier Sense Multiple Access/Collision Detect,载波侦听多路访问/冲突检测)的共享通讯介质的数据网络通讯技术,当主机数目较多时会导致冲突严重、广播泛滥、性能显著下降甚至使网络不可用等问题。通过交换机实现LAN互联虽然可以解决冲突(Collision)严重的问题,但仍然不能隔离广播报文。在这种情况下出现了VLAN(Virt

认识信息安全设备 做好设备选型工作-多极客编程

互联网为企业带来了诸多便利,也为企业的信息安全带来了巨大的挑战。现在,许多企业的运行将更多依赖信息系统的支持,信息系统成为确保企业经济效益、运行效率的重要手段,甚至成为企业盈利的直接手段,信息系统的安全成为确保企业正常运转的一个重要因素。山东省软件测试中心结合中国网络信息安全产品的现状,为大家介绍一些在选择安全产品时的基本原则。本文试图从产品的角度,提供有关国内信息安全产品现状的介绍,为从事信息安

合理信息安全设备的选择 选型依据分析-多极客编程

目前,信息安全产品不仅解决了信息安全难以控制的局面,而且可以实现对违规操作进行控制和记录,得到了广泛的应用。但是信息安全产品因其部署位置与应用场景不同,也非常复杂。安全产品被部署在内网中的服务器和网络设备等核心资源的前面,产品的性能直接决定了运维安全审计的效果。那么如何选择一款好的信息安全产品呢?山东省软件评测中心根据信息安全面临的诸多挑战,给出了以下几点建议。一个好的信息安全产品,应实现对服务器

反垃极测试报告-多极客编程

反垃极邮件网关测试报告汇总目录一、序 言................................................................................第2页二、部署方式.............................................................................第2页三、对比情况.....

在windows 操作系统层面启用SYN攻击预防措施-多极客编程

SYN(synchronous)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息,服务器使用SYN+ACK应答表示接收到了这个消息,最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。SYN 攻击利用TCP协议缺陷,发送了大量伪造的TCP连接请求,使得被攻击方资源耗

冷饭热炒-谈DOS和DDOS攻击-多极客编程

如果抛开善恶之分,单就纯粹的技术而言,“攻击”和“入侵”的含义是有很大区别的。现在很多涉及到网络安全技术的相关事物里面,都没有将两者严格划分,基本都混为一谈。“入侵”是指在非授权的情况下,试图存取信息、处理信息以使系统不可靠、不可用的故意行为。网络上的入侵通常是利用目标系统的漏洞、bug、缺陷而发起的一种行动,它的目的是获得、修改某些信息、资料或者数据。“攻击”在网络安全技术中是指对目标网络发起的

最简单的DDOS解决方案!-多极客编程

  一般C/s架构的网络程序都是以实时数据为主,目前能支持(或有效的)实时数据的CDN价格很贵。另外CDN解决DDOS有一定效果,但CDN接入用户过多攻击量是单一用户的多倍。     从DDOS防御角度来看,核心是流量如果采用增加服务器增加带宽的方案会大大增加运营成本,但在你加大带宽后攻击者也会加大攻击流量,这是一个恶性循环。  而换个角度如果我们让攻击者找不到服务器呢?没有目标还怎么攻击最强

DDoS入门-多极客编程

DDoS简介“拒绝服务(Denial-Of-Service)攻击就是消耗目标主机或者网络的资源,从而干扰或者瘫痪其为合法用户提供的服务。”国际权威机构“SecurityFAQ”给出的定义。DDOS则是利用多台计算机机,采用了分布式对单个或者多个目标同时发起DoS攻击。其特点是:目标是“瘫痪敌人”,而不是传统的破坏和窃密;利用国际互联网遍布全球的计算机发起攻击,难于追踪。一、DDos攻击原理DDOS

云计算漏洞风险的识别与应对措施-多极客编程

文章来源:http://cloud.idcquan.com/yaq/54115.shtml关键词:云计算、DDOS、应用安全、访问管理、访问控制、加密在十年不到的时间里,云计算已从一个有趣的新概念发展成为业界的一大主流市场。业界对云计算未来的期望普遍较高,摩根士丹利预测Amazon网络服务(AWS)将在2022年突破二百四十亿美元年收入的大关。当然,任何单一一家供应商云计算业务的成功都完全取决于它

ddos防御技术总结-多极客编程

ddos攻击简单防御总结: NUM.1   利用ios的经典特性:ip tcp intercept 这个特性可以在网络边界路由器上开启,它的原理是代替server完成三次握手。如果攻击者没有完成三次握手,router将不会使其与服务器通信,正常用户与router完成三次握手后,router也会伪装成用户和server进行三次握手,而后将正常回话交给服务器。 ip tcp intercept 有