對(duì)付ddos攻擊 資深網(wǎng)管教你幾大妙招

1、對(duì)付DDoS攻擊資深網(wǎng)管教你幾大妙招.txt人永遠(yuǎn)不知道誰(shuí)哪次不經(jīng)意的跟你說(shuō)了再見(jiàn)之后就真的再也不見(jiàn)了。一分鐘有多長(zhǎng)？這要看你是蹲在廁所里面，還是等在廁所外面……對(duì)付DDoS攻擊資深網(wǎng)管教你幾大妙招不知道身為網(wǎng)絡(luò)管理員的你是否遇到過(guò)服務(wù)器因?yàn)榫芙^服務(wù)攻擊都癱瘓的情況呢就網(wǎng)絡(luò)安全而言目前最讓人擔(dān)心和害怕的入侵攻擊就要算是拒絕服務(wù)攻擊了。他和傳統(tǒng)的攻擊不同，采取的是仿真多個(gè)客戶(hù)端來(lái)連接服務(wù)器，造成服務(wù)器無(wú)法完成如此多的客戶(hù)端連接，從而無(wú)法提

2、供服務(wù)。一，拒絕服務(wù)攻擊的發(fā)展:從拒絕服務(wù)攻擊誕生到現(xiàn)在已經(jīng)有了很多的發(fā)展，從最初的簡(jiǎn)單Dos到現(xiàn)在的DdoS。那么什么是Dos和DdoS呢DoS是一種利用單臺(tái)計(jì)算機(jī)的攻擊方式。而DdoS(DistributedDenialofService，分布式拒絕服務(wù))是一種基于DoS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準(zhǔn)比較大的站點(diǎn)，比如一些商業(yè)公司、搜索引擎和政府部門(mén)的站點(diǎn)。DdoS攻擊是利用一批受控制的機(jī)器向一

3、臺(tái)機(jī)器發(fā)起攻擊，這樣來(lái)勢(shì)迅猛的攻擊令人難以防備，因此具有較大的破壞性。如果說(shuō)以前網(wǎng)絡(luò)管理員對(duì)抗Dos可以采取過(guò)濾IP地址方法的話，那么面對(duì)當(dāng)前DdoS眾多偽造出來(lái)的地址則顯得沒(méi)有辦法。所以說(shuō)防范DdoS攻擊變得更加困難，如何采取措施有效的應(yīng)對(duì)呢下面我們從兩個(gè)方面進(jìn)行介紹。二，預(yù)防為主保證安全DdoS攻擊是黑客最常用的攻擊手段，下面列出了對(duì)付它的一些常規(guī)方法。(1)定期掃描要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點(diǎn)，清查可能存在的安全漏洞，對(duì)新出現(xiàn)的漏洞

4、及時(shí)進(jìn)行清理。骨干節(jié)點(diǎn)的計(jì)算機(jī)因?yàn)榫哂休^高的帶寬，是黑客利用的最佳位置，因此對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級(jí)別的計(jì)算機(jī)，所以定期掃描漏洞就變得更加重要了。(2)在骨干節(jié)點(diǎn)配置防火墻防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時(shí)候，可以將攻擊導(dǎo)向一些犧牲主機(jī)，這樣可以保護(hù)真正的主機(jī)不被攻擊。當(dāng)然導(dǎo)向的這些犧牲主機(jī)可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)

5、秀的系統(tǒng)。(3)用足夠的機(jī)器承受黑客攻擊這是一種較為理想的應(yīng)對(duì)策略。如果用戶(hù)擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問(wèn)用戶(hù)、奪取用戶(hù)資源之時(shí)，自己的能量也在逐漸耗失，或許未等用戶(hù)被攻死，黑客已無(wú)力支招兒了。不過(guò)此方法需要投入的資金比較多，平時(shí)大多數(shù)設(shè)備處于空閑狀態(tài)，和目前(1)檢查攻擊來(lái)源，通常黑客會(huì)通過(guò)很多假I(mǎi)P地址發(fā)起攻擊，此時(shí)，用戶(hù)若能夠分辨出哪些是真IP哪些是假I(mǎi)P地址，然后了解這些IP來(lái)自哪些網(wǎng)段，再找網(wǎng)網(wǎng)管理員將這些

6、機(jī)器關(guān)閉，從而在第一時(shí)間消除攻擊。如果發(fā)現(xiàn)這些IP地址是來(lái)自外面的而不是公司內(nèi)部的IP的話，可以采取臨時(shí)過(guò)濾的方法，將這些IP地址在服務(wù)器或路由器上過(guò)濾掉。(2)找出攻擊者所經(jīng)過(guò)的路由，把攻擊屏蔽掉。若黑客從某些端口發(fā)動(dòng)攻擊，用戶(hù)可把這些端口屏蔽掉，以阻止入侵。不過(guò)此方法對(duì)于公司網(wǎng)絡(luò)出口只有一個(gè)，而又遭受到來(lái)自外部的DdoS攻擊時(shí)不太奏效，畢竟將出口端口封閉后所有計(jì)算機(jī)都無(wú)法訪問(wèn)inter了。(3)最后還有一種比較折中的方法是在路由器上

7、濾掉ICMP。雖然在攻擊時(shí)他無(wú)法完全消除入侵，但是過(guò)濾掉ICMP后可以有效的防止攻擊規(guī)模的升級(jí)，也可以在一定程度上降低攻擊的級(jí)別?？偨Y(jié):目前網(wǎng)絡(luò)安全界對(duì)于DdoS的防范還是沒(méi)有什么好辦法的，主要靠平時(shí)維護(hù)和掃描來(lái)對(duì)抗。簡(jiǎn)單的通過(guò)軟件防范的效果非常不明顯，即便是使用了硬件安防設(shè)施也僅僅能起到降低攻擊級(jí)別的效果，Ddos攻擊只能被減弱，無(wú)法被徹底消除。不過(guò)如果我們按照本文的方法和思路去防范DdoS的話，收到的效果還是非常顯著的，可以將攻擊帶