有 DDOS攻击是通过使网络过载来干扰甚至阻断正常的网络通讯。
通过向服务器提交大量请求, 使服务器超负荷。
阻断某一用户访问服务器阻断某服务与特定系统或个人的通讯。
一旦网站被 DDOS攻击后主机上有大量等待的 TCP连接,网络中充斥着大量的无用的数据包,源地址为假,制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯, 利用受害主机提供的服务或传输协议上的缺陷, 反复高速的发出特定的服务请求, 使受害主机无法及时处理所有正常请求; 严重时会造成系统死机。
DdoS 攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。
如果 说以前网络管理员对抗 Dos可以采取过滤 IP 地址方法的话, 那么面对当前 DdoS众多伪造出来的地址则显得没有办法。
所以说防范网站被 DdoS攻击就变得更加困难了。
如何采取措施有效的应对呢?下面我们从预防着个方面进行介绍。
(1)定期扫描要预防网站被 DDOS攻击就要定期扫描现有的网络主节点,清查可能存在的安全漏洞, 对新出现的漏洞及时进行清理。
而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙防火墙本身能抵御网站被 DDOS攻击和其他一些攻击。
在发现受到攻击的时候,可以将攻击导向一些牺牲主机, 这样可以保护真正的主机不被攻击。
当然导向的这些牺牲主机 可以选择不重要的, 或者是 linux 以及 unix 等漏洞少和天生防范攻击优秀的系统(3)用足够的机器承受黑客攻击这是一种较为理想的应对策略。
如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,网站被 DDOS攻击已无力支招儿了。
(4)充分利用网络设备保护网络资源死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。
若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。
特别是一个公司使用了负载均衡设 备,这样当一台路由器被攻击死机时,另一台将马上工作。
从而最大程度的削减了网站被 DDOS攻击。
(5)过滤不必要的服务和端口过滤不必要的服务和端口,即在路由器上过滤假 IP ,只开放服务端口成为目前很多服务器的流行做法,服务器最好就开放 80 而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源使用 Unicast Reverse Path Forwarding 等通过反向路由器查询的方法检查访问者的 IP地址是否是真,如果是假的,它将予以屏蔽。
许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。
因此,利用 Unicast Reverse Path Forwarding 可减少假 IP 地址的出现,有助于提高网络安全性。
(7)限制 SYN/ICMP流量用户应在路由器上配置 SYN/ICMP的最大流量来限制 SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的 SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。
早期通过限制 SYN/ICMP流量是最好的防范网站被DDOS攻击,虽然目前该方法对于网站被 DDOS攻击效果不太明显了, 不过仍然能够起到一定的作用。
对于网站被 DDOS攻击后是一个非常麻烦的问题,所以必须在网站被 DDOS攻击之前就做好相关的防护措施, 不要造成不必要的损失, 所有的黑客的入侵都不是一件容易解决的事情,特别是对于网站被 DDOS攻击这种相当麻烦的事情,我们只有在它来临之前做好充分的防护措施。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)