干熟妇在线视频午夜剧场一级A级|99成人香视频日本两性激情视频|久久 午夜福利无码精品人妻一区|热久久超碰精品精品少妇一区二区|五月天综合在线国产一区免费视频|亚洲成人中心热re久久99|亚洲国产怡红院丁香五月综合h|玖玖九久久久午夜射精视频

十年專注于品牌網(wǎng)站建設(shè) 十年專注于品牌網(wǎng)站建設(shè),低調(diào)、高逼格、有情懷的網(wǎng)絡(luò)應(yīng)用服務(wù)商!
南昌百恒網(wǎng)絡(luò)微信公眾號 掃一掃關(guān)注
小程序
tel-icon全國服務(wù)熱線:400-680-9298,0791-88117053
掃一掃關(guān)注百恒網(wǎng)絡(luò)微信公眾號
掃一掃打開百恒網(wǎng)絡(luò)微信小程序

百恒網(wǎng)絡(luò)

受DDOS攻擊威脅,百恒網(wǎng)絡(luò)工程師詳解DDOS攻擊!

百恒網(wǎng)絡(luò) 2012/2/10 3064

    今天上午同事接到號碼為:2631805456 的QQ聊天信息,大概意思是準(zhǔn)備利用DDOS攻擊我們“百恒南昌做網(wǎng)站”的主頁,讓我們小心提防。這么好心提醒、讓你做好準(zhǔn)備迎接攻擊?難道是傳說中的中國“紅客”,俠盜之流?我就開始納悶了,我們百恒在網(wǎng)絡(luò)上一直都很低調(diào),也不曾得罪過哪路神仙,憑什么攻擊我們呢?目的何在?然而,細看他與同事的聊天記錄,不難發(fā)現(xiàn)他原來是真有目的的。是否真正蓄意攻擊目前還不得而知,但是恐嚇與嫁禍他人的真實意途已經(jīng)很明顯,只是這種小屁孩的手段讓他的慌言不攻自破。下面把同事與他的聊天記錄貼上:

    不可否認,中國的網(wǎng)絡(luò)高手?jǐn)?shù)不勝數(shù),如果真的有意攻擊某個站點服務(wù)器,也并非難事。當(dāng)然高手一般都深藏不露,黑你的站于無形當(dāng)中,很少留下任何蛛絲馬跡。高手一般是不會輕易出招的。也很少因你的網(wǎng)站在百度排名較好而眼紅去攻擊你的站。像這樣先拍你一下然后跟你說:我要打你了,你做好準(zhǔn)備的把戲,只有在劇情中才會出現(xiàn)吧。誰不怕做壞事后被抓接受法律的制裁呢?


    既然提到DDOS攻擊,那百恒工程師就為大家整理一下傳說中的DDOS攻擊:(部分資料摘抄于百度百科,由SYN和青島迅博信息技術(shù)提供)

    DDOS全名是Distributed Denial of service (分布式拒絕服務(wù)攻擊),很多DOS攻擊源一起攻擊某臺服務(wù)器就組成了DDOS攻擊。

    說到DDOS攻擊,還得先從DOS攻擊開始,因為他是由傳統(tǒng)的DoS攻擊基礎(chǔ)之上產(chǎn)生的另一類更加強大攻擊方式。最早單一的DoS攻擊一般是采用一對一的方式,它的攻擊方法說白了就是單挑,是比誰的機器性能好、速度快。當(dāng)被攻擊目標(biāo)CPU速度低、內(nèi)存小或者網(wǎng)絡(luò)帶寬小等等各項性能指標(biāo)不高,它的攻擊效果也是很明顯的。隨著計算機與網(wǎng)絡(luò)技術(shù)的發(fā)展,計算機的處理能力迅速增長,內(nèi)存大大增加,同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò),這使得DoS攻擊的困難程度加大了 - 被攻擊目標(biāo)對惡意攻擊包的"消化能力"加強了很多,例如你的攻擊軟件每秒鐘可以發(fā)送3,000個攻擊包,但被攻擊的主機與網(wǎng)絡(luò)帶寬每秒鐘可以處理10,000個攻擊包,這樣我們的一對一單挑式攻擊就沒有什么作用了,搞不好自己的機子就會死掉。這時候分布式的拒絕服務(wù)攻擊手段(DDoS)就應(yīng)運而生了。它的原理就很簡單,如果說計算機與網(wǎng)絡(luò)的處理能力加大了10倍,用一臺攻擊機來攻擊不再能起作用的話,攻擊者使用10臺攻擊機同時攻擊呢?用100臺呢?DDoS就是利用更多的傀儡機來發(fā)起進攻,以比從前更大的規(guī)模來進攻受害者。 

DDOS攻擊原理
  通過使網(wǎng)絡(luò)過載來干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。通過向服務(wù)器提交大量請求,使服務(wù)器超負荷。阻斷某一用戶訪問服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個人的通訊。DoS攻擊、DDoS攻擊和DRDoS攻擊相信大家已經(jīng)早有耳聞了吧!DoS是Denial of Service的簡寫就是拒絕服務(wù),DDoS就是Distributed Denial of Service的簡寫就是分布式拒絕服務(wù),而DRDoS就是Distributed Reflection Denial of Service的簡寫,這是分布反射式拒絕服務(wù)的意思。不過這3中攻擊方法最厲害的還是DDoS,那個DRDoS攻擊雖然是新近出的一種攻擊方法,但它只是DDoS攻擊的變形,它的唯一不同就是不用占領(lǐng)大量的“肉雞”。這三種方法都是利用TCP三次握手的漏洞進行攻擊的,所以對它們的防御辦法都是差不多的。
  一個比較完善的DDoS攻擊體系分成4大部分,先來看一下最重要的第2和第3部分:它們分別用做控制和實際發(fā)起攻擊。請注意控制機與攻擊機的區(qū)別,對第4部分的受害者來說,DDoS的實際攻擊包是從第3部分攻擊傀儡機上發(fā)出的,第2部分的控制機只發(fā)布命令而不參與實際的攻擊。對第2和第3部分計算機,黑客有控制權(quán)或者是部分的控制權(quán),并把相應(yīng)的DDoS程序上傳到這些平臺上,這些程序與正常的程序一樣運行并等待來自黑客的指令,通常它還會利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時,這些傀儡機器并沒有什么異常,只是一旦黑客連接到它們進行控制,并發(fā)出指令的時候,攻擊傀儡機就成為害人者去發(fā)起攻擊了。
    有的朋友也許會問道:"為什么黑客不直接去控制攻擊傀儡機,而要從控制傀儡機上轉(zhuǎn)一下呢?"。這就是導(dǎo)致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說,肯定不愿意被捉到,而攻擊者使用的傀儡機越多,他實際上提供給受害者的分析依據(jù)就越多。在占領(lǐng)一臺機器后,高水平的攻擊者會首先做兩件事:1. 考慮如何留好后門!2. 如何清理日志。這就是擦掉腳印,不讓自己做的事被別人查覺到。比較不敬業(yè)的黑客會不管三七二十一把日志全都刪掉,但這樣的話網(wǎng)管員發(fā)現(xiàn)日志都沒了就會知道有人干了壞事了,頂多無法再從日志發(fā)現(xiàn)是誰干的而已。相反,真正的好手會挑有關(guān)自己的日志項目刪掉,讓人看不到異常的情況。這樣可以長時間地利用傀儡機。
  但是在第3部分攻擊傀儡機上清理日志實在是一項龐大的工程,即使在有很好的日志清理工具的幫助下,黑客也是對這個任務(wù)很頭痛的。這就導(dǎo)致了有些攻擊機弄得不是很干凈,通過它上面的線索找到了控制它的上一級計算機,這上級的計算機如果是黑客自己的機器,那么他就會被揪出來了。但如果這是控制用的傀儡機的話,黑客自身還是安全的。控制傀儡機的數(shù)目相對很少,一般一臺就可以控制幾十臺攻擊機,清理一臺計算機的日志對黑客來講就輕松多了,這樣從控制機再找到黑客的可能性也大大降低。


被DDoS攻擊時的現(xiàn)象
  能瞬間造成對方電腦死機或者假死,有人曾經(jīng)測試過,攻擊不到1秒鐘,電腦就已經(jīng)死機和假死,鼠標(biāo)圖標(biāo)不動了,系統(tǒng)發(fā)出滴滴滴滴的聲音。從而使被攻擊服務(wù)器停止正常運行,造成網(wǎng)絡(luò)訪問不穩(wěn)定!


DDOS的防護方法
1 手工防護
  一般而言手工方式防護DDOS主要通過兩種形式:
   系統(tǒng)優(yōu)化――主要通過優(yōu)化被攻擊系統(tǒng)的核心參數(shù),提高系統(tǒng)本身對DDoS攻擊的響應(yīng)能力。但是這種做法只能針對小規(guī)模的DDOS進行防護。
  網(wǎng)絡(luò)追查――遭受DDoS攻擊的系統(tǒng)的管理人員一般第一反應(yīng)是詢問上一級網(wǎng)絡(luò)運營商,這有可能是ISP、IDC等,目的就是為了弄清楚攻擊源頭。
2 退讓策略
  為了抵抗DDOS攻擊,客戶可能會通過購買硬件的方式來提高系統(tǒng)抗DDOS的能力。但是這種退讓策略的效果并不好,一方面由于這種方式的性價比過低,另一方面,黑客提高供給流量之后,這種方法往往失效,所以不能從根本意義上防護DDoS攻擊。
3 路由器
  通過路由器,我們可以實施某些安全措施,比如ACL等,這些措施從某種程度上確實可以過濾掉非法流量。一般來說,ACL可以基于協(xié)議或源地址進行設(shè)置,但是目前眾多的DDOS攻擊采用的是常用的一些合法協(xié)議,比如http協(xié)議,這種情況下,路由器就無法對這樣的流量進行過濾。同時,如果DDOS攻擊采用地址欺騙的技術(shù)偽造數(shù)據(jù)包,那么路由器也無法對這種攻擊進行有效防范。   另一種基于路由器的防護策略是采用Unicast Reverse Path Forwarding (uRPF)在網(wǎng)絡(luò)邊界來阻斷偽造源地址IP的攻擊,但是對于今天的DDOS攻擊而言,這種方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通過判斷出口流量的源地址,如果不屬于內(nèi)部子網(wǎng)的則給予阻斷。而攻擊者完全可以偽造其所在子網(wǎng)的IP地址進行DDoS攻擊,這樣就完全可以繞過uRPF防護策略。除此之外,如果希望uRPF策略能夠真正的發(fā)揮作用,還需要在每個潛在攻擊源的前端路由器上配置uRPF,但是要實現(xiàn)這種情況,現(xiàn)實中幾乎不可能做到。
4 防火墻
  防火墻幾乎是最常用的安全產(chǎn)品,但是防火墻設(shè)計原理中并沒有考慮針對DDOS攻擊的防護,在某些情況下,防火墻甚至成為DDOS攻擊的目標(biāo)而導(dǎo)致整個網(wǎng)絡(luò)的拒絕服務(wù)。   首先是防火墻缺乏DDOS攻擊檢測的能力。通常,防火墻作為三層包轉(zhuǎn)發(fā)設(shè)備部署在網(wǎng)絡(luò)中,一方面在保護內(nèi)部網(wǎng)絡(luò)的同時,它也為內(nèi)部需要提供外部Internet服務(wù)的設(shè)備提供了通路,如果DDOS攻擊采用了這些服務(wù)器允許的合法協(xié)議對內(nèi)部系統(tǒng)進行攻擊,防火墻對此就無能為力,無法精確的從背景流量中區(qū)分出攻擊流量。雖然有些防火墻內(nèi)置了某些模塊能夠?qū)暨M行檢測,但是這些檢測機制一般都是基于特征規(guī)則,DDOS攻擊者只要對攻擊數(shù)據(jù)包稍加變化,防火墻就無法應(yīng)對,對DDOS攻擊的檢測必須依賴于行為模式的算法。
   第二個原因就是傳統(tǒng)防火墻計算能力的限制,傳統(tǒng)的防火墻是以高強度的檢查為代價,檢查的強度越高,計算的代價越大。而DDOS攻擊中的海量流量會造成防火墻性能急劇下降,不能有效地完成包轉(zhuǎn)發(fā)的任務(wù)。   最好防火墻的部署位置也影響了其防護DDOS攻擊的能力。傳統(tǒng)防火墻一般都是部署在網(wǎng)絡(luò)入口位置,雖然某種意義上保護了網(wǎng)絡(luò)內(nèi)部的所有資源,但是其往往也成為DDOS攻擊的目標(biāo),攻擊者一旦發(fā)起DDOS攻擊,往往造成網(wǎng)絡(luò)性能的整體下降,導(dǎo)致用戶正常請求被拒絕。
5 入侵檢測
  目前IDS系統(tǒng)是最廣泛的攻擊檢測工具,但是在面臨DDOS攻擊時,IDS系統(tǒng)往往不能滿足要求。
   原因其一在于入侵檢測系統(tǒng)雖然能夠檢測應(yīng)用層的攻擊,但是基本機制都是基于規(guī)則,需要對協(xié)議會話進行還原,但是目前DDoS攻擊大部分都是采用基于合法數(shù)據(jù)包的攻擊流量,所以IDS系統(tǒng)很難對這些攻擊有效檢測。雖然某些IDS系統(tǒng)本身也具備某些協(xié)議異常檢測的能力,但這都需要安全專家手工配置才能真正生效,其實施成本和易用性極低。
  原因之二就在于IDS系統(tǒng)一般對攻擊只進行檢測,但是無法提供阻斷的功能。IDS系統(tǒng)需要的是特定攻擊流檢測之后實時的阻斷能力,這樣才能真正意義上減緩DDOS對于網(wǎng)絡(luò)服務(wù)的影響。
  IDS系統(tǒng)設(shè)計之初就是作為一種基于特征的應(yīng)用層攻擊檢測設(shè)備。而DDOS攻擊主要以三層或是四層的協(xié)議異常為其特點,這就注定了IDS技術(shù)不太可能作為DDOS的檢測或是防護手段。目前的防御算法對所有已知的拒絕服務(wù)攻擊是免疫的,也就是說,是完全可以抵抗已知DoS/DDoS攻擊的。
對于DDOS防御的理解
  對付DDOS是一個系統(tǒng)工程,想僅僅依靠某種系統(tǒng)或產(chǎn)品防住DDOS是不現(xiàn)實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當(dāng)?shù)拇胧┑钟?0%的DDOS攻擊是可以做到的,基于攻擊和防御都有成本開銷的緣故,若通過適當(dāng)?shù)霓k法增強了抵御DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那么絕大多數(shù)攻擊者將無法繼續(xù)下去而放棄,也就相當(dāng)于成功的抵御了DDOS攻擊。

  DDoS防御的方法總結(jié):
  1.采用高性能的網(wǎng)絡(luò)設(shè)備
  首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。再就是假如和網(wǎng)絡(luò)提供商有特殊關(guān)系或協(xié)議的話就更好了,當(dāng)大量攻擊發(fā)生的時候請他們在網(wǎng)絡(luò)接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
  2.盡量避免NAT的使用  
   無論是路由器還是硬件防護墻設(shè)備要盡量避免采用網(wǎng)絡(luò)地址轉(zhuǎn)換NAT的使用,因為采用此技術(shù)會較大降低網(wǎng)絡(luò)通信能力,其實原因很簡單,因為NAT需要對地址來回轉(zhuǎn)換,轉(zhuǎn)換過程中需要對網(wǎng)絡(luò)包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
   3.充足的網(wǎng)絡(luò)帶寬保證
  網(wǎng)絡(luò)帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論采取什么措施都很難對抗現(xiàn)在的SYNFlood攻擊,當(dāng)前至少要選擇100M的共享帶寬,最好的當(dāng)然是掛在1000M的主干上了。但需要注意的是,主機上的網(wǎng)卡是1000M的并不意味著它的網(wǎng)絡(luò)帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等于就有了百兆的帶寬,因為網(wǎng)絡(luò)服務(wù)商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
   4.升級主機服務(wù)器硬件
   在有網(wǎng)絡(luò)帶寬保證的前提下,請盡量提升硬件配置,要有效對抗每秒10萬個SYN攻擊包,服務(wù)器的配置至少應(yīng)該為:P4 2.4G/DDR512M/SCSI-HD,起關(guān)鍵作用的主要是CPU和內(nèi)存,若有志強雙CPU的話就用它吧,內(nèi)存一定要選擇DDR的高速內(nèi)存,硬盤要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網(wǎng)卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
   5.把網(wǎng)站做成靜態(tài)頁面
   大量事實證明,把網(wǎng)站盡可能做成靜態(tài)頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn),看看吧!新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面,若你非需要動態(tài)腳本調(diào)用,那就把它弄到另外一臺單獨主機去,免的遭受攻擊時連累主服務(wù)器,當(dāng)然,適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的,此外,最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問,因為經(jīng)驗表明使用代理訪問你網(wǎng)站的80%屬于惡意行為。
   6.增強操作系統(tǒng)的TCP/IP棧
   Win2000和Win2003作為服務(wù)器操作系統(tǒng),本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態(tài)下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵御數(shù)百個,具體怎么開啟,自己去看微軟的文章吧!《強化 TC
P/IP 堆棧安全》。   也許有的人會問,那我用的是Linux和FreeBSD怎么辦?很簡單,按照這篇文章去做吧!《SYN Cookies》。
   7.安裝專業(yè)抗DDOS防火墻
   綠盟黑洞: X86架構(gòu),Linux內(nèi)核與自主專利的抗syn-flood算法。對抗單一類型的syn,udp,icmp dos效果很好,但是當(dāng)多種混合時效果就略差。優(yōu)點是更新快,技術(shù)支持比較好,在100M環(huán)境下對syn-flood有絕對優(yōu)勢。缺點是文檔和信息缺乏,同時工作(軟硬件兩方面)不是很穩(wěn)定。
   金盾抗拒絕服務(wù)系統(tǒng):金盾抗拒絕服務(wù)系列產(chǎn)品,應(yīng)用了自主研發(fā)的抗拒絕服務(wù)攻擊算法,對SYN Flood,UDP Flood,ICMP Flood,IGMP Flood,F(xiàn)ragment Flood,HTTP Proxy Flood,CC Proxy Flood,Connection Exhausted等各種常見的攻擊行為均可有效識別,并通過集成的機制實時對這些攻擊流量進行處理及阻斷,保護服務(wù)主機免于攻擊所造成的損失。內(nèi)建的WEB保護模式及游戲保護模式,徹底解決針對此兩種應(yīng)用的DOS攻擊方式。金盾抗拒絕服務(wù)系列產(chǎn)品,除了提供專業(yè)的DOS/DDOS攻擊檢測及防護外,還提供了面向報文的通用規(guī)則匹配功能,可設(shè)置的域包括地址、端口、標(biāo)志位,關(guān)鍵字等,極大的提高了通用性及防護力度。同時,內(nèi)置了若干預(yù)定義規(guī)則,涉及局域網(wǎng)防護、漏洞檢測等多項功能,易于使用。
  天網(wǎng)防火墻: 最早基于OpenBSD內(nèi)核,X86架構(gòu),現(xiàn)在應(yīng)該也是Linux內(nèi)核了。很早就加入了抗syn-flood功能,實際應(yīng)該是syn-cache/syn-cookie的改進或加強版。實際測試syn流量64B包抵抗極限大概是25M左右。當(dāng)小于20M是還是可以看到效果的。同時結(jié)合良好的防火墻策略應(yīng)該也可以做到針對udp/icmp等類型的限制。   一己拙見: 防火墻一般來說還是讓它作為自己的專業(yè)用途(訪問控制)比較好,當(dāng)然在網(wǎng)絡(luò)業(yè)務(wù)不是很重要的生產(chǎn)類企業(yè)來說,買個防火墻同時兼有簡單的抗syn功能倒也不錯。
  8.其他防御措施
   以上幾條對抗DDOS建議,適合絕大多數(shù)擁有自己主機的用戶,但假如采取以上措施后仍然不能解決DDOS問題,就有些麻煩了,可能需要更多投資,增加服務(wù)器數(shù)量并采用DNS輪巡或負載均衡技術(shù),甚至需要購買七層交換機設(shè)備,從而使得抗DDOS攻擊能力成倍提高,只要投資足夠深入。

DDOS應(yīng)付方法
  DdoS攻擊是黑客最常用的攻擊手段,下面列出了對付它的一些常規(guī)方法。
  1.定期掃描
  要定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點,清查可能存在的安全漏洞,對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬,是黑客利用的最佳位置,因此對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點的都是服務(wù)器級別的計算機,所以定期掃描漏洞就變得更加重要了。
   2.在骨干節(jié)點配置防火墻
   防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候,可以將攻擊導(dǎo)向一些犧牲主機,這樣可以保護真正的主機不被攻擊。當(dāng)然導(dǎo)向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。
   3.用足夠的機器承受黑客攻擊
   這是一種較為理想的應(yīng)對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用戶被攻死,黑客已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數(shù)設(shè)備處于空閑狀態(tài),和目前中小企業(yè)網(wǎng)絡(luò)實際運行情況不相符。
   4.充分利用網(wǎng)絡(luò)設(shè)備保護網(wǎng)絡(luò)資源
   所謂網(wǎng)絡(luò)設(shè)備是指路由器、防火墻等負載均衡設(shè)備,它們可將網(wǎng)絡(luò)有效地保護起來。當(dāng)網(wǎng)絡(luò)被攻擊時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復(fù)正常,而且啟動起來還很快,沒有什么損失。若其他服務(wù)器死掉,其中的數(shù)據(jù)會丟失,而且重啟服務(wù)器又是一個漫長的過程。特別是一個公司使用了負載均衡設(shè)備,這樣當(dāng)一臺路由器被攻擊死機時,另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。
   5.過濾不必要的服務(wù)和端口
  過濾不必要的服務(wù)和端口,即在路由器上過濾假IP……只開放服務(wù)端口成為目前很多服務(wù)器的流行做法,例如WWW服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
   6.檢查訪問者的來源
   使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多黑客攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡(luò)安全性。
   7.過濾所有RFC1918 IP地址
  RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個網(wǎng)段的固定的IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址,應(yīng)該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問,而是將攻擊時偽造的大量虛假內(nèi)部IP過濾,這樣也可以減輕DdoS的攻擊。
   8.限制SYN/ICMP流量
  用戶應(yīng)在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能占有的最高頻寬,這樣,當(dāng)出現(xiàn)大量的超過所限定的SYN/ICMP流量時,說明不是正常的網(wǎng)絡(luò)訪問,而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防范DOS的方法,雖然目前該方法對于DdoS效果不太明顯了,不過仍然能夠起到一定的作用。


   最后為今天的事做個總結(jié):小蟲還是那句話,在網(wǎng)絡(luò)路上想走得長久,走得穩(wěn)。還是得務(wù)實本分,憑真功夫真刀實槍地干。你妒忌別人在百度上排名好,那你就把自己也排上去,;ㄕ胁凰愦蟊臼拢渤刹涣藲夂虻。因為魔高一尺,道高一丈!沒準(zhǔn)哪到被收監(jiān)就更不劃算了。

400-680-9298,0791-88117053
掃一掃關(guān)注百恒網(wǎng)絡(luò)微信公眾號
掃一掃打開百恒網(wǎng)絡(luò)小程序

歡迎您的光顧,我們將竭誠為您服務(wù)×