==================================================== === ==
拒绝服务攻击的发展
自拒绝服务攻击诞生以来,已经有了很大的发展,从最初的简单 DoS 到现在的 DDoS。那么什么是 Dos 和 DdoS?DoS 是一种利用单台计算机的攻击方法。DDoS(分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击。政府部门用地。DdoS攻击是利用一组受控机器对一台机器发起攻击,如此快速的攻击难以防范,因此具有更大的破坏性。如果在过去,网络管理员可以采取针对DoS过滤IP地址的方法,那么就没有办法面对当前DDoS的众多伪造地址。因此,防止 DdoS 攻击变得更加困难。如何采取措施有效应对?让我们从两个方面来介绍它们。
二、预防为主,确保安全
DdoS 攻击是黑客最常用的攻击手段,下面列出了一些常用的应对方法。
(1) 定期扫描
要定期对现有网络主节点进行扫描,排查可能存在的安全漏洞,及时清理新的漏洞。由于骨干节点的计算机具有较高的带宽,因此它们是黑客利用的最佳位置。因此,加强这些主机的安全性非常重要。此外,网络的主要节点都连接到服务器级计算机,因此定期扫描漏洞变得更加重要。
(2)在骨干节点上配置防火墙
防火墙本身可以抵抗 DDoS 攻击和其他一些攻击。当发现攻击时,可以将攻击定向到一些受害主机,这样可以保护真实主机不被攻击。当然,这些牺牲的主机可以选择不重要,也可以选择像linux、unix这样漏洞很少、天生就可以抵抗攻击的系统。
(3) 有足够的机器来抵御黑客攻击
这是一种理想的应对策略。如果用户有足够的能力和足够的资源让黑客攻击,当它继续访问用户并抢占用户资源时,自身的能量正在逐渐被耗尽,或许在用户被攻击致死之前,黑客已经无能为力了。. 但是这种方式需要大量投资,而且大部分设备通常处于闲置状态,与目前中小企业网络的实际运行情况不符。
(4) 充分利用网络设备保护网络资源
所谓网络设备,是指路由器、防火墙等负载均衡设备,可以有效保护网络。当网络受到攻击时,路由器是第一个死掉的,但其他机器不是。死掉的路由器重启后会恢复正常,而且会快速启动,不会丢失。如果其他服务器死掉,里面的数据就会丢失,重启服务器是一个漫长的过程。特别是,一家公司使用负载平衡设备,这样当一个路由器受到攻击并出现故障时,另一个路由器将立即工作。从而最大程度地减少 DdoS 攻击。
(5)过滤不必要的服务和端口
, 等工具可用于过滤不必要的服务和端口,即过滤路由器上的假IP。例如,思科的 CEF(思科)可以比较数据包的 IP 和表,并对其进行过滤。只开放服务端口已经成为很多服务器的流行做法。例如,WWW服务器只打开80而关闭所有其他端口或者在防火墙上做一个阻塞策略。
(6)查看访客来源
通过反向路由器查询Path等方法检查访问者的IP地址是否为真,如果为假则阻塞。许多黑客攻击经常使用虚假 IP 地址来迷惑用户,从而很难找出它的来源。因此,使用 Path 可以减少虚假 IP 地址的出现,并有助于提高网络安全性。
(7)过滤所有IP地址
IP地址是内网的IP地址,如10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定IP地址,而是内部预留的区域IP地址高防高宽带服务器,应该过滤掉。这种方法不是过滤内部员工的访问,而是过滤攻击过程中伪造的大量伪造的内部IP,也可以缓解DDoS攻击。
(8) 限制SYN/ICMP流量
用户需要在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP报文可以占用的最大带宽。这样,当大量的SYN/ICMP流量超过限制时,就说明不是正常的网络访问,而是有黑客攻击。在早期,限制 SYN/ICMP 流量是防止 DOS 的最佳方法。这种方法虽然目前对DdoS不是很有效,但还是可以起到一定的作用。
3.寻找应对攻击的机会
如果用户受到攻击,他可以做的防御将非常有限。因为一场大流量的灾难性攻击在没有做好准备的情况下冲向用户,很有可能在用户还没恢复之前,网络就已经瘫痪了。但是,用户仍然可以抓住机会寻求一线希望。
(1)检查攻击源。通常,黑客会通过许多假IP地址发起攻击。这时,如果用户能分辨出哪些是真IP,哪些是假IP,进而了解这些IP来自哪些网段,然后找网管人员关闭这些机器,从而杜绝网络攻击。第一名。如果您发现这些IP地址来自外部而不是公司内部IP,您可以采取临时过滤的方法在服务器或路由器上过滤这些IP地址。
(2)找出攻击者经过的路线,屏蔽攻击。如果黑客从某些端口发起攻击,用户可以封锁这些端口以防止入侵。但是这种方式对于公司网络只有一个出口,在受到外部DDoS攻击的时候效果不是很好。毕竟,关闭出口端口后,所有计算机都无法访问。
(3) 最后,还有一种更折衷的方法来过滤掉路由器上的ICMP。虽然他不能完全消除攻击过程中的入侵,但是过滤掉ICMP可以有效防止攻击规模的升级,也可以在一定程度上降低攻击级别。
总结:
目前网络安全行业还没有很好的DDoS防范方法,主要靠日常维护和扫描来应对。通过软件进行简单防御的效果非常不起眼。即使使用硬件安全设施也只能降低攻击级别。Ddos攻击只能被削弱,不能完全消除。但是,如果我们按照本文的方法和思路来防范DdoS,效果还是很显着的,可以将攻击造成的损失降到最低。
如转载原创文章,请注明出处“宜人博客”
