如何防御DDOS?网站平时应该怎么做?
DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前 *** 管理员对抗Dos可以采取过滤IP地址 *** 的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。那么如何才能采取措施有效的应对DdoS攻击呢?下面我们从两个方面进行介绍。
(1)定期扫描
要定期扫描现有的 *** 主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的更佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到 *** 主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
(3)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此 *** 需要投入的资金比较多,平时大多数设备处于空闲状态,和中小企业 *** 实际运行情况不相符。
(4)充分利用 *** 设备保护 *** 资源
所谓 *** 设备是指路由器、防火墙等负载均衡设备,它们可将 *** 有效地保护起来。当 *** 被攻击时更先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而更大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源
使用UnicastReversePathForwarding等通过反向路由器查询的 *** 检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用UnicastReversePathForwarding可减少假IP地址的出现,有助于提高 *** 安全性。
(7)过滤所有RFC1918IP地址
RFC1918IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此 *** 并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的更大流量来限制SYN/ICMP封包所能占有的更高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的 *** 访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是更好的防范DOS的 *** ,虽然该 *** 对于DdoS效果不太明显了,不过仍然能够起到一定的作用。寻找机会应对攻击如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际, *** 已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。
(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在之一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的 *** ,将这些IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此 *** 对于公司 *** 出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
(3)最后还有一种比较折中的 *** 是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
不知道身为 *** 管理员的你是否遇到过服务器因为拒绝服务攻击(DDOS攻击)都瘫痪的情况呢?就 *** 安全而言目前最让人担心和害怕的入侵攻击就要算
怎样对网站进行DDOS攻击
如果只是用来做测试,可以下载个DDOS压力测试工具,非法攻击别人的网站是不道德的,请谨慎操作。
DDoS攻击是什么,网站该如何应对呢?有没有什么比较简单有效的办法?
分布式拒绝服 务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击 ,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。对于一般的企业来说,机房的总带宽有限。当你的服务器IP段受到攻击时,他会直接找上级接入商将发给你的包在主干网上都丢掉。此时虽然知道自己正在被DDoS攻击,但攻击包根本就没到机房,更别说服务器,于是只能是守着服务器,毫无流量,等待。
其实你可以选用一些含有DDoS防护CADS服务的云计算厂商,如华云,将自己企业的数据和业务放到云端,然后购买防护服 务就好了。
云计算厂商可以为已备案的网站或源IP遭受DDoS攻击时提供的安全防护服 务,利用高效流量清洗中心,对攻击流量进行精确清洗,能够全面抵抗来自 *** 层和应用层的各种DDoS攻击,确保源站业务稳定运行。
一般来说,云计算服务厂商都可以提供DDoS清洗、抗CC攻击、弹性伸缩、防护监控等 服务。
DDoS攻击应急体系知多少
如何针对DDOS攻击达到满意的防护效果,是摆在客户公司和防护厂商的一道难题,对我们提成很高的要求,我们根据和客户在实战攻防经验总结出以下防护体系要点。
1、应用系统开发过程中持续消除性能瓶颈,提升性能
通过各类优化技术,提升应用系统的并发、新建以及数据库查询等能力,减少应用型DDOS攻击类型的潜在危害;
2、定期扫描和加固自身业务设备
定期扫描现有的 *** 主节点及主机,清查可能存在的安全漏洞和不规范的安全配置,对新出现的漏洞及时进行修补清理,对于需要加强安全配置的参数进行加固;
3、确保资源冗余,提升耐打能力
建立多节点负载均衡,准备好电信,联通,移动,三个方向的强大防护资源,配备多线路高带宽,配备强大的运算能力,借此“吸收”DDoS攻击;准备一套备用方案,随时可以启用备用方案。
4、服务最小化,关停不必要的服务和端口
关停不必要的服务和端口,实现服务最小化,例如WWW服务器只开放80而将其它所有端口关闭或在防火墙上做阻止策略。可大大减少被与服务不相关的攻击所影响的概率;
5、选择专业的产品和服务
三分产品技术,七分设计服务,除了防护产品本身的功能、性能、稳定性,易用性等方面,还需要考虑防护产品厂家的技术实力,服务和支持能力,应急经验等;
7、完备的防御组织
囊括到足够全面的人员,至少包含运维部门、 *** 部门、安全部门、 *** 部门、业务部门等,所有人员都需要2-3个备份。
8、明确并执行应急流程
提前演练,应急流程启动后,除了人工处理,还应该包含一定的自动处理、半自动处理能力。例如自动化的攻击分析,确定攻击类型,自动化、半自动化的防御策略,在安全人员到位之前,更先发现攻击的部门可以做一些缓解措施。
总结
针对DDoS防御,主要的工作是幕后积累,在没有充分的资源准备,没有足够的应急演练,没有丰富的处理经验,DDoS攻击将会造成灾难性的后果。
网站如何防御ddos攻击?
步骤一:布局 *** 足够性能的设备:
硬件设备建设运用最基础的 *** 架构、设施设备:扩充带宽硬抗、使用硬件防火墙、选用高性能设备,有了它们整个系统可以顺畅运作,充分利用 *** 设备足够的容量去承受攻击,是一种较为理想的保护 *** 资源的应对策略,在对方攻击的时候他们同时也是在消耗,这时候谁的资源强大,谁就能得到最后的胜利。当然大家需要根据自身情况作出平衡的选择。
步骤二:有效的抗DDOS攻击方案:
只有高性能的服务器是远远是不够的,而且高性能的服务器和防火墙投入的资金也不小,一旦遭受攻击后会出现不同的问题,这样成本就更高了。这时就需要重新调整架构布局,整合资源来提高 *** 的负载能力、分摊局部过载的流量,同时要借助高防来清洗流量,过滤识别并拦截恶意行为,实施分布式集群防御,这样就可以降低成本而且对抗效果也会明显提高。
步骤三:提前做好预防,保安全:
之前说DdoS攻击的发生是无法预知的,在你没有反应的时候突然来临,就会造成服务器瘫痪打不开,无法正常访问,数据被窃取丢失,泄露,勒索等等。因此网站的预防措施和应急预案就显得特别重要。形成良好的运维操作习惯,定期筛查系统漏洞,做到资源优化,过滤不必要的服务和端口,限制特定的流量,让系统稳固没有漏洞可钻,降低服务器被攻陷的可能,将攻击带来的损失降低到最小。
清洗流量,过滤恶意访问
DDOS攻击可以利用的漏洞、攻击方式有很多,我们需要一个有效的机制。在企业还没有遇到攻击时大家应该具备足够强的安全意识,完善各自企业的安全防护体系。针对 *** 安全和信息安全是一项长期持续性坚持的工作,凡是从事在这份工作岗位上的站长及 *** 管理员们,一定要保持警惕,不可以放松忽视掉这份安全,以免给企业和自己带来不必要的损失。
0条大神的评论