下一页 1 2
虽然没有100%有效的手段来防御DDoS攻击,但只要积极部署防范措施,将有望在很大程度上缓解和抵御这类安全威胁。 分布式拒绝服务攻击(DDoS,Distributed Denial of Service)是一种特殊形式的拒绝服务攻击。它是利用多台已经被攻击者所控制的傀儡机器对某一台单机发起攻击,在带宽相对的情况下,被攻击的主机很容易失去反应能力。作为一种分布、协作的大规模攻击方式,DDoS主要瞄准比较大的站点,如商业企业、搜索引擎和政府部门的站点。由于它通过利用一批受控制的机器向一台机器发起攻击,来势迅猛,而且往往令人难以防备,具有极大的破坏性。 对于DDoS攻击来说,并没有100%有效的防御手段。但是由于攻击者必须付出比防御者大得多的资源和努力才能实现有效的攻击,所以只要我们更好地了解DDoS攻击,积极部署防御措施,还是能够在很大程度上缓解和抵御这类安全威胁的。对于此类隐蔽性极好的DDoS攻击的防范,更重要的是用户要加强安全防范意识,提高网络系统的安全性。 加强骨干网设备监控 加强对骨干网络设备的监控,常用的方法包括限制连接队列的长度以及减少处理延时等。前者可以缓解系统资源的耗尽,虽然不能完全避免“拒绝服务”的发生,但是至少在一定程度上降低了系统崩溃的可能性。而后者能够加强系统的处理能力,通过减少延时,我们可以以更快的速度抛弃队列里等待的连接,而不是任其堆满队列。不过这种方法也不是在所有的情况下都有效,因为很多DDoS的攻击机制并不是建立在类似SYN Flood这样以畸形连接淹没队列的方式之上的。 几乎所有的主机平台都有抵御DDoS的设置,总结一下,基本的有几种: ● 关闭不必要的服务 确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统——甚至是受防火墙保护的系统。确保运行在Unix主机上的所有服务都有TCP封装程序,限制对主机的访问权限。 ● 限制同时打开的Syn半连接数目 ● 缩短Syn半连接的time out 时间 ● 及时更新系统补丁 确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。因此应当及早发现系统存在的攻击漏洞,及时安装系统补丁程序。 合理配置路由器及防火墙 企业网网络设备的配置可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否值得。 ● 路由器 以Cisco路由器为例,可以进行的设置主要包括Cisco Express Forwarding(CEF)、使用unicast reverse-path、访问控制列表(ACL)过滤、设置SYN数据包流量速率、升级版本过低的ISO、为路由器建立log server。 其中,使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降,升级IOS也应谨慎。 在Cisco路由器上使用“ip verfy unicast reverse-path”网络接口命令,这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表中,该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。 单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其他基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其他地方的侵扰。使用Unicast RPF需要打开路由器的“\CEF swithing\”或“\CEF distributed switching\”选项。不需要将输入接口配置为CEF交换(Switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其他交换(Switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。