ddos攻击凭借其低成本高危害的“特点”,已经成为黑客惯用的攻击手段了。为了防御ddos攻击,很多网站都使出了九牛二虎之力,但是收效甚微,对此,很多人认为,对ddos攻击来说,没有绝对有效的防御手段。这种说法是不是正确不得而知,网站应该做的,不是等待确定有效的方式,而是更清楚的了解ddos攻击,积极部署防御措施,努力提高自身网站安全性。如果并比清楚如何部署,可以按照以下方式来。
一:监控骨干网络设备,减少骨干网主机的漏洞
加强对骨干网络设备的监控,常用的方法包括限制连接队列的长度以及减少处理延时等。前者可以缓解系统资源的耗尽,虽然不能完全避免拒绝服务的发生,但是至少在一定程度上降低了系统崩溃的可能性,而后者能够加强系统的处理能力。通过减少延时,我们能以更快的速度抛弃队列里等待的连接,而不是任其堆满队列。
主机平台四种抵御DDoS的设置。一是关闭不必要的服务;二是限制同时打开的Syn半连接数目;三是缩短Syn半连接的time out 时间;四是及时更新系统补丁。确保所有服务器采用最新系统,并打上安全补丁。
二:合理配置路由器及防火墙,实现IDS和防火墙的联动
企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是与外界的接口设备。需要注意的是防DDoS的设置是以牺牲效率为代价的。现在有很多防火墙产品集成了反DDoS功能,进一步提高了对常见DDoS攻击包的识别能力。这样的产品可以在很大程度上增强DDoS防御能力,并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。这是非常有用的功能,因为如果判断DDoS攻击所耗费的处理越少,就越不容易被耗尽处理能力,从而极大地增加攻击者的成本。包括很多路由器产品在内的网络设备都具备一些防火墙功能,我们应该尽可能充分利用。
另外,实现IDS和防火墙的联动也是有效抵御DDoS攻击的有效手段。
三:加强网络管理,建立合理的应对策略
1.确保自己了解TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
2.经常检查系统的物理环境,禁止不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志,检查所有网络设备和主机/服务器系统的日志。
3.与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。
4.一旦发现被攻击,立即启动应急措施,并立刻追踪攻击包,及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点。
5.不仅针对关键主机,要对所有主机进行检查。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。
6.建立和完善备份机制。对一些特权账号的密码设置要谨慎。
,
