什麽是Dos和DdoS?DoS是一种使用单一计算机进行攻击的方法。分布式拒绝服务DdoS(DistributedDenialofService,分布式拒绝服务)是一种以DoS为基础的特殊形式的拒绝服务攻击,它是一种分布式、协作的大规模攻击方式,主要针对较大的网站,例如一些商业公司、搜索引擎和政府部门的网站。DdoS攻击是指使用一组受控计算机对一台机器进行攻击,使快速攻击变得难以防御,因而具有很大的破坏性。假如之前网管对Dos能采取过滤的方式来处理IP地址的话,那么面对目前众多伪造DdoS地址就显得没有办法了。因此,要想防止DdoS攻击变得更难,怎样才能采取有效对策?本文从两个方面加以介绍。预防性为主保证安全性DdoS攻击是黑客最常使用的攻击方式,下面列举几种对付它的常用方法。
(1)定期检查。
要定期扫描已有的网络主节点,将可能存在的安全漏洞清理干净,以便及时发现。主干结点由于其有很高的带宽,是黑客最好的利用地点,所以加强这些主机自身的安全性就显得尤为重要。并且,由于所有连接到网络主节点的计算机都是服务器级计算机,因此定期扫描漏洞就显得尤为重要。
(2)主干节点设置防火墙。
它本身可以抵抗DdoS攻击等多种攻击。当遇到攻击时,可以将攻击引导到某些牺牲主机上,从而保护真实主机免受攻击。这些以牺牲主机为导向的当然可以选择无关紧要的,或者像linux和unix这样的较少漏洞的系统。
(3)有足够的机器来对付黑客。
它是一个比较理想的应对策略。假如用户有足够的容量和足够的资源来攻击黑客,在其不停地访问用户、抢夺用户资源时,自身的能量也在逐渐耗尽,也许没有等用户被攻死,黑客已经无力支招。但是这种方法所需要的资金投入比较多,大部分设备平时都是闲置的,与中小企业网络实际运行情况不符。
(4)充分利用网络设备保护网络资源。
我们所说的网络设备就是路由器、防火墙等负载均衡设备,它们能有效地保护网络。在网络受到攻击时,第一个死亡的是路由器,但是其它机器都没有死亡。死机的路由器在重启之后会回到正常状态,并且启动很快,没有任何损失。如果另一台服务器死了,其中的数据将丢失,重新启动服务器将是一个漫长的过程。一家公司尤其使用负载平衡装置,所以当一台路由器受到攻击而死亡的时候,另一台就会立即工作。因此,DdoS的攻击将被最大化。
(5)筛选不必要的服务和端口。
筛选不需要的服务和端口,比如对路由器中的虚假IP进行过滤…只开放服务端口成为许多服务器的普遍做法,比如WWW只有80个,就关闭其它所有端口,或者对防火墙执行一个阻止策略。
(6)检查来访者来源。
利用UnicastReversePathForwarding和其他方法,通过反向路由器查询来检查访问者的IP地址是否为真,如果为假,则进行屏蔽。很多黑客攻击经常使用虚假的IP地址来迷惑用户,难以找出其来源。所以,使用UnicastReversePathForwarding可以减少虚假IP地址,从而帮助改善网络安全。
(7)过滤所有RFC1918IP地址。
RFC1918IP地址是内部网的IP地址,比如10.0.0.0,192.168.0.0和172.16.0.0,这些IP地址并非某一网段的固定IP地址,而是在Internet上保留,应该对其进行过滤。这种方法并非对内部雇员进行过滤,而是对在攻击时伪造的大量假内部IP进行过滤,因此也能减轻DdoS的攻击。
(8)限制SYN/ICMP通信。
使用者应该配置SYN/ICMP的最大通信量,以限制SYN/ICMP封包可以占用的最大带宽,因此,当SYN/ICMP超限通信量较多时,即并非正常的网络访问,而是黑客入侵。尽早地限制SYN/ICMP通信量是预防DOS的最佳方式,尽管这种方法对DdoS的影响并不那么明显,但是仍然可以发挥一定的作用。当用户受到攻击时,寻找机会应对攻击,他能够做的防御能力就会很有限。由于在本来就没有准备好的情况下就出现了一次灾难性的攻击,用户很可能在用户还没反应过来时,网络就已经瘫痪了。不过,用户仍然能够抓住机会,寻找一线希望。
(1)查看攻击源,通常黑客会通过许多虚假的IP地址发动攻击,这时,用户若能区分哪些是真IP,哪些是假IP地址,然后了解这些IP来自哪个网段,再找网网管理员将这些机器关闭,以在第一时间消除攻击。当这些IP地址是从公司内部而非外部的IP时,可以采用一种临时过滤的方式,从服务器或路由器中过滤掉这些IP地址。
(2)确定攻击者通过了什么路径,以屏蔽攻击。如果黑客从特定的端口发起攻击,用户可以将其屏蔽,从而阻止入侵。然而,这种方法仅适用于企业网络出口,同时也受到来自外部DdoS攻击的影响,毕竟,在关闭出口端口之后,所有计算机都无法访问internet。
(3)最后一种更具折中性的方法是过滤ICMP路由器。尽管在攻击时不能完全消除ICMP攻击,但滤掉ICMP后能有效地阻止攻击规模的升级,还能在一定程度上降低攻击等级。
不知您是否曾经遇到过由于拒绝服务攻击(DDOS攻击)而瘫痪的情况?在网络安全方面,目前最令人担忧和恐惧的入侵攻击,要算DDOS攻击了。与传统的攻击方式不同,他采用模拟多个客户端来连接服务器,这导致了服务器不能完成客户机连接而不能服务。
针对DdoS,网络安全界当前最有效的防御方法是:
蛛丝马迹系统:由世界各国和地区构成一个庞大的网络系统,就像一个虚幻的网络,任何人侦测到的节点服务器ip并非你实际数据所在的真实ip地址,每个节点都采用百M独享服务器单机抗2G流量攻击。
不管是G口令还是鸡群攻击,使用蜘蛛系统在确保你的个人服务器或数据安全的情况下,仅影响一条线路、一个区域、一个省或一条线路的用户.而且会在一分钟内替换已瘫痪的节点服务器,以确保网站正常状态.同时也可以将G口发包的服务器或肉鸡发出的所有数据包都返回给发送点,使G口所需的服务器或肉鸡所发出的数据包都返回给发送点,使G口所能提供的服务器或肉鸡所能提供的服务。
假如按照本文的方法和思想来防范DDos的话,收到的影响还是很大的,可以把攻击带来的损失减少到最小。