注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

God is U 做自己的上帝

富原孤島--只发优质级的文章

 
 
 

日志

 
 

专家答疑:如何应对DDoS攻击  

2009-08-28 10:15:03|  分类: [IT技术] |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
问:如何有效减轻DDoS攻击?

      答:大部分网络都很容易受到各种类型的黑客攻击,但是我们可以透过一套安全规范来最大限度的防止黑客攻击的发生。但分布式拒绝服务攻击(DDoS)是一个完全不同的攻击方式,你无法阻止黑客对你的网站发动DDoS攻击,除非你主动断开互联网连接。

  有效的减轻DDoS攻击,首先你应该清楚的了解DDoS攻击的三个阶段。

  第一阶段:黑客会在对攻击目标进行锁定。这个被锁定的IP地址可能是企业的Web服务器,DNS服务器,网关等。

  第二个阶段:黑客会入侵网络中存在隐患的计算机,黑客会在这些计算机中植入后门使其成为攻击者的肉鸡,为以后的攻击做准备。

  第三个阶段:黑客会将攻击命令发送到所有被入侵的计算机(也就是俗称的僵尸计算机或肉鸡),并命令这些计算机向攻击目标发送数据包,进而侵占整个网络的资源。

  一些聪明的黑客还会在僵尸计算机中伪造发送攻击数据包的IP地址,并且将攻击目标的IP地址插在数据包的原始地址中,这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应,加重了目标主机的负载。

  搞清楚攻击原理,我们可以来看看如何减少DDoS攻击造成的损害。

  入侵过滤(Ingress filtering)是一种被广泛使用的安全策略。在网络边缘(比如每一个与外网直接相连的路由器)建立一个路由声明,将所有数据来源IP标记为本网地址的数据包丢弃,可以有效预防DDoS反射攻击行为。

   然而实际过程中,很多ISP因为各种原因没有进行入侵过滤,因此我们需要其它方式来降低DDoS带来的影响。目前最有效的一个方法就是散布反追踪模式 (backscatter traceback method)。要采用这种方式,首先应该确定目前所遭受的是来自外部的DDoS攻击,而不是来自内网或者路由问题。然后就要尽快在全部边缘路由器的外部 接口上进行配置,拒绝所有流向DDoS攻击目标的数据流。

  另外,还要在这些边缘路由器端口上进行配置,将全部无效或无法定位的数据来源IP的数据包丢弃。比如以下地址:

      · 10.0.0.0 - 10.255.255.255
  · 172.16.0.0 - 172.31.255.255
  · 192.168.0.0 - 192.168.255.255

  将路由器设置为拒绝这些资料包后,路由器会在每次拒绝数据包时发送一个Internet控制讯息协议(ICMP)包,并将“destination unreachable”目标不能到达信息和被拒绝的数据包打包发送给来源IP地址。

  打开路由器日志,查看哪个路由器收到的攻击资料包最多,然后根据所记录的数据包来源IP确定哪个网段的资料量最大。在这个路由器上调整路由器针对这个网段状态,并对该网段做隔离措施。

   寻找这个网段的详细信息,联系ISP以及数据发送网段的ISP,将攻击情况汇报给他们,并请求协助。为让服务和合法流量通过,你可以将其它一些攻击情况 较轻的路由器恢复正常,只保留承受攻击最重的那个路由器,并拒绝攻击来源最大的网段。如果你的ISP和对方ISP很负责的协助阻挡攻击数据包,你的网络将 很快恢复正常。
  评论这张
 
阅读(244)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017