ddos攻擊能防住嗎?ddos攻擊預防方法分析
ddos攻擊能防住嗎?在討論這個問題之前我們先要知道什么是ddos攻擊;ddos攻擊就是能夠利用受控的機器向一臺機器進行發(fā)起攻擊,這樣攻擊由于來勢迅猛就讓攻擊難以令人進行防備,也正是如此這種攻擊就具有很大的破壞性。
? ? ? ?ddos攻擊特性是分布式;在攻擊的模式改變了傳統(tǒng)的點對點的攻擊模式,使攻擊方式出現(xiàn)了沒有規(guī)律的情況,而且在進行攻擊的時候,通常使用的也是常見的協(xié)議和服務(wù),這樣只是從協(xié)議和服務(wù)的類型上是很難對攻擊進行區(qū)分的。在進行攻擊的時候,攻擊數(shù)據(jù)包都是經(jīng)過偽裝的,在源IP 地址上也是進行偽造的,這樣就很難對攻擊進行地址的確定,在查找方面也是很難的。這樣就導致了分布式拒絕服務(wù)攻擊在檢驗方法上是很難做到的。
?什么是ddos攻擊?
最常見的DDoS攻擊是利用TCP協(xié)議三次握手的缺陷進行的?;赥CP協(xié)議的通信在通信之前,首先要協(xié)商,這個協(xié)商過程就是以三次握手實現(xiàn)的。正常情況下,客戶端發(fā)送一個SYN數(shù)據(jù)包,說明要進行通信了。服務(wù)器收到該SYN包后,回應(yīng)一個ACK確認包。客戶端再回應(yīng)一個確認包。這樣三次握手就協(xié)商完成,下面就會正式進行通信。當黑客要進行DDoS攻擊時,他會操縱很多僵尸主機向被攻擊的服務(wù)器發(fā)送SYN數(shù)據(jù)包,當服務(wù)器回復ACK確認包后,僵尸主機不再回應(yīng),這樣服務(wù)器就會保持這個半連接的存在進行等待。每一個這樣的半連接都會耗費服務(wù)器的資源,如果有數(shù)量極大的半連接,服務(wù)器就會停止正常工作了。
還有一些DDoS攻擊是基于UDP的攻擊。UDP是無連接的協(xié)議,倘若服務(wù)器上開放了漏洞端口,發(fā)送大量的無用UDP數(shù)據(jù)包,可以很快淹沒該服務(wù)器。另外的基于ICMP的DDoS攻擊,也是類似的原理。
?
ddos攻擊預防方法分析
方法一:
需要能夠進行定期的掃描。預防ddos攻擊需要能夠定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點,以能好的清查可能存在的安全漏洞,尤其對新出現(xiàn)的漏洞要能進行及時清理;很多時候骨干節(jié)點的計算由于具有較高的帶寬就成黑客利用的最佳位置,而對這些主機本身加強主機安全就非常重要,且連接到網(wǎng)絡(luò)主節(jié)點的往往都是服務(wù)器級別的電腦,這樣定期進行漏洞的掃描也變得比較重要。
方法二:
需要能夠在骨干節(jié)點配置相關(guān)防火墻。大家知道防火墻本身就能抵御ddos攻擊和其他很多的攻擊,在實際中發(fā)現(xiàn)受到攻擊的時候完全能夠?qū)⒐糁苯尤蛞恍奚缘闹鳈C,這樣就能有效保證真正的主機不被直接攻擊;不過在進行導向的時候,一定要選擇一些不重要的主機或者可以直接導向一些具有優(yōu)秀防范的系統(tǒng)主機上。
方法三:
使用多的計算機以能承受ddos攻擊。很多時候使用這種方法效果是最好的,當用戶擁有更多容量和足夠資源的時候,就非常適合使用這種方法,畢竟在攻擊中黑客的能量也在逐漸耗損,面對足夠資源和容量攻擊方也往往沒有其他方法可用;不過需要提醒大家的是,使用這種方法可能會浪費多的資金甚至在平時中讓太多的設(shè)備一直都處于空閑狀態(tài)下。
方法四:
好的利用網(wǎng)絡(luò)設(shè)備來進行保護網(wǎng)絡(luò)資源。在預防ddos攻擊中指的網(wǎng)絡(luò)設(shè)備就是路由器和防火墻等負載均衡的設(shè)備,這些設(shè)備完全可以將網(wǎng)絡(luò)給有效的進行保護起來;當網(wǎng)絡(luò)被黑客攻擊的時候最先受到影響的是路由器,其其他設(shè)備并沒有能夠收到影響;對于受到影響的路由器僅僅只用重啟后還能恢復正常使用,且路由器的啟動也是非常快的幾乎造成不了什么損失;如果是服務(wù)器設(shè)備受到影響的話往往會造成數(shù)據(jù)的丟失,再加上服務(wù)器重啟需要漫長的過程因此造成的損失就相對過大,還是使用負載設(shè)備更好一點。
方法五:
需要過濾不必要的服務(wù)和端口。大家完全也可以使用一些工具過濾掉一些不必要的服務(wù)和端口以達到預防攻擊的目的。
當知道了DDoS攻擊的類型和危害之后,就要有效預防它。不做好預防,等危害已經(jīng)造成才發(fā)現(xiàn),則未免已經(jīng)太晚。接下來,以基于TCP的DDoS攻擊的預防為例,簡要闡明。
DDoS攻擊的一大特征,是突然產(chǎn)生巨大的攻擊流量。借助流量監(jiān)控設(shè)備,可以及時發(fā)現(xiàn)異常流量的突現(xiàn)。
基于TCP的DDoS攻擊,會產(chǎn)生異常會話。異常會話的特征是有大量的虛假IP地址隨機開啟多個端口發(fā)送SYN數(shù)據(jù)包攻擊服務(wù)器。因此攻擊的過程中,一是會有大量的虛假地址,二是會產(chǎn)生大量的SYN數(shù)據(jù)包。借助wireshark抓包分析,可以迅速發(fā)現(xiàn)這些攻擊特征。
?
DDoS攻擊預防思路分享
如果只有幾臺計算機是攻擊的來源,并且你已經(jīng)確定了這些來源的 IP 地址, 你就在防火墻服務(wù)器上放置一份ACL(訪問控制列表) 來阻斷這些來自這些 IP 的訪問。如果可能的話 將 web 服務(wù)器的 IP 地址變更一段時間,但是如果攻擊者通過查詢你的 DNS 服務(wù)器解析到你新設(shè)定的IP,那這一措施及不再有效了。
如果你確定攻擊來自一個特定的國家,可以考慮將來自那個國家的 IP 阻斷,至少要阻斷一段時間。
監(jiān)控進入的網(wǎng)絡(luò)流量。通過這種方式可以知道誰在訪問你的網(wǎng)絡(luò),可以監(jiān)控到異常的訪問者,可以在事后分析日志和來源IP。在進行大規(guī)模的攻擊之前,攻擊者可能會使用少量的攻擊來測試你網(wǎng)絡(luò)的健壯性。
對付帶寬消耗型的攻擊來說,最有效(也很昂貴)的解決方案是購買更多的帶寬。
也可以使用高性能的負載均衡軟件,使用多臺服務(wù)器,并部署在不同的數(shù)據(jù)中心。
對Web和其他資源使用負載均衡的同時,也使用相同的策略來保護DNS。
優(yōu)化資源使用提高web server的負載能力。例如,使用apache可以安裝apachebooster插件,該插件與varnish和nginx集成,可以應(yīng)對突增的流量和內(nèi)存占用。
使用高可擴展性的DNS設(shè)備來保護針對DNS的DDoS攻擊??梢钥紤]購買Cloudflare的商業(yè)解決方案,它可以提供針對DNS或TCP/IP3到7層的DDoS攻擊保護。如果想獲得更多的服務(wù)支持(國外的安全服務(wù)一般是沒有售后的,如果遇到問題只能提交工單進行解決,效率很低。),可以考慮選擇國內(nèi)的安全服務(wù)商。推薦知道創(chuàng)宇、騰訊云和阿里云。
啟用路由器或防火墻的反IP欺騙功能。在CISCO的ASA防火墻中配置該功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中啟用該功能只要點擊“配置”中的“防火墻”,找到“anti-spoofing”然后點擊啟用即可。也可以在路由器中使用 ACL(access control list)來防止 IP 欺騙,先針對內(nèi)網(wǎng)創(chuàng)建 ACL,然后應(yīng)用到互聯(lián)網(wǎng)的接口上。
使用第三方的服務(wù)來保護你的網(wǎng)站。有不少公司有這樣的服務(wù),提供高性能的基礎(chǔ)網(wǎng)絡(luò)設(shè)施幫你抵御拒絕服務(wù)攻擊。你只需要按月支付幾百美元費用就行。
注意服務(wù)器的安全配置,避免資源耗盡型的 DDoS 攻擊。
聽從專家的意見,針對攻擊事先做好應(yīng)對的應(yīng)急方案。
監(jiān)控網(wǎng)絡(luò)和 web 的流量。如果有可能可以配置多個分析工具,例如:Statcounter 和 Google analytics,這樣可以更直觀了解到流量變化的模式,從中獲取更多的信息。
保護好 DNS 避免 DNS 放大攻擊。
在路由器上禁用 ICMP。僅在需要測試時開放 ICMP。在配置路由器時也考慮下面的策略:流控,包過濾,半連接超時,垃圾包丟棄,來源偽造的數(shù)據(jù)包丟棄,SYN 閥值,禁用 ICMP 和 UDP 廣播。
DDoS攻擊預防注意事項
DDoS攻擊危害巨大,要及時預防,預防為主,否則后果不堪設(shè)想。(綜合自銳速云 southx博客等)
非常好我支持^.^
(11392) 97.9%
不好我反對
(239) 2.1%
相關(guān)閱讀:
- [處理器/DSP] “協(xié)同發(fā)展,生態(tài)聚合” 開放原子1024程序員節(jié)圓滿落幕 2023-10-24
- [電子說] 監(jiān)控云服務(wù)器怎么架設(shè)? 2023-10-24
- [電子說] 服務(wù)器數(shù)據(jù)恢復-服務(wù)器藍屏重啟仍然藍屏的數(shù)據(jù)恢復案例 2023-10-24
- [電子說] 服務(wù)器硬盤通用基礎(chǔ)知識 2023-10-24
- [存儲技術(shù)] 三星電子和SK海力士計劃四季度全面提高DDR5產(chǎn)量 2023-10-24
- [電子說] 致遠電子新一代8路串口服務(wù)器 2023-10-24
- [電子說] 服務(wù)器數(shù)據(jù)恢復-2盤raid0磁盤陣列數(shù)據(jù)恢復案例 2023-10-23
- [物聯(lián)網(wǎng)] 物聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)計實用的步驟和見解 2023-10-23
( 發(fā)表人:steve )