一级一区免费黄色,人人弄人人摸人人擦,亚洲黄色网站第二,欧美一区黄色网站

當(dāng)前位置:首頁 -> 焦點(diǎn)新聞

網(wǎng)絡(luò)怎樣才能做到防范DDoS的攻擊

2005/5/11 16:49:54       
   到目前為止,進(jìn)行DDoS攻擊的防御還是比較困難的。首先,這種攻擊的特點(diǎn)是它利用了TCP/IP協(xié)議的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個(gè)形象的比喻:DDoS就好象有1,000個(gè)人同時(shí)給你家里打電話,這時(shí)候你的朋友還打得進(jìn)來嗎?

    不過即使它難于防范,也不是說我們就應(yīng)該逆來順受,實(shí)際上防止DDoS并不是絕對(duì)不可行的事情;ヂ(lián)網(wǎng)的使用者是各種各樣的,與DDoS做斗爭(zhēng),不同的角色有不同的任務(wù)。我們以下面幾種角色為例:
  • 企業(yè)網(wǎng)管理員
  • ISP、ICP管理員
  • 骨干網(wǎng)絡(luò)運(yùn)營(yíng)商
企業(yè)網(wǎng)管理員

    網(wǎng)管員做為一個(gè)企業(yè)內(nèi)部網(wǎng)的管理者,往往也是安全員、守護(hù)神。在他維護(hù)的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供WWW服務(wù),因而不可避免地成為DDoS的攻擊目標(biāo),他該如何做呢?可以從主機(jī)與網(wǎng)絡(luò)設(shè)備兩個(gè)角度去考慮。

主機(jī)上的設(shè)置

    幾乎所有的主機(jī)平臺(tái)都有抵御DoS的設(shè)置,總結(jié)一下,基本的有幾種:
  • 關(guān)閉不必要的服務(wù)
  • 限制同時(shí)打開的Syn半連接數(shù)目
  • 縮短Syn半連接的time out 時(shí)間
  • 及時(shí)更新系統(tǒng)補(bǔ)丁
網(wǎng)絡(luò)設(shè)備上的設(shè)置

    企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮。這兩個(gè)設(shè)備是到外界的接口設(shè)備,在進(jìn)行防DDoS設(shè)置的同時(shí),要注意一下這是以多大的效率犧牲為代價(jià)的,對(duì)你來說是否值得。

1.防火墻
  • 禁止對(duì)主機(jī)的非開放服務(wù)的訪問
  • 限制同時(shí)打開的SYN最大連接數(shù)
  • 限制特定IP地址的訪問
  • 啟用防火墻的防DDoS的屬性
  • 嚴(yán)格限制對(duì)外開放的服務(wù)器的向外訪問
    第五項(xiàng)主要是防止自己的服務(wù)器被當(dāng)做工具去害人。

2.路由器

    以Cisco路由器為例
  • Cisco Express Forwarding(CEF)
  • 使用 unicast reverse-path
  • 訪問控制列表(ACL)過濾
  • 設(shè)置SYN數(shù)據(jù)包流量速率
  • 升級(jí)版本過低的ISO
  • 為路由器建立log server
    其中使用CEF和Unicast設(shè)置時(shí)要特別注意,使用不當(dāng)會(huì)造成路由器工作效率嚴(yán)重下降,升級(jí)IOS也應(yīng)謹(jǐn)慎。路由器是網(wǎng)絡(luò)的核心設(shè)備,與大家分享一下進(jìn)行設(shè)置修改時(shí)的小經(jīng)驗(yàn),就是先不保存。Cisco路由器有兩份配置startup config和running config,修改的時(shí)候改變的是running config,可以讓這個(gè)配置先跑一段時(shí)間(三五天的就隨意啦),覺得可行后再保存配置到startup config;而如果不滿意想恢復(fù)原來的配置,用copy start run就行了。

ISP / ICP管理員

    ISP / ICP為很多中小型企業(yè)提供了各種規(guī)模的主機(jī)托管業(yè)務(wù),所以在防DDoS時(shí),除了與企業(yè)網(wǎng)管理員一樣的手段外,還要特別注意自己管理范圍內(nèi)的客戶托管主機(jī)不要成為傀儡機(jī)?陀^上說,這些托管主機(jī)的安全性普遍是很差的,有的連基本的補(bǔ)丁都沒有打就赤膊上陣了,成為黑客最喜歡的"肉雞",因?yàn)椴还苓@臺(tái)機(jī)器黑客怎么用都不會(huì)有被發(fā)現(xiàn)的危險(xiǎn),它的安全管理太差了;還不必說托管的主機(jī)都是高性能、高帶寬的-簡(jiǎn)直就是為DDoS定制的。而做為ISP的管理員,對(duì)托管主機(jī)是沒有直接管理的權(quán)力的,只能通知讓客戶來處理。在實(shí)際情況時(shí),有很多客戶與自己的托管主機(jī)服務(wù)商配合得不是很好,造成ISP管理員明知自己負(fù)責(zé)的一臺(tái)托管主機(jī)成為了傀儡機(jī),卻沒有什么辦法的局面。而托管業(yè)務(wù)又是買方市場(chǎng),ISP還不敢得罪客戶,怎么辦?咱們管理員和客戶搞好關(guān)系吧,沒辦法,誰讓人家是上帝呢?呵呵,客戶多配合一些,ISP的主機(jī)更安全一些,被別人告狀的可能性也小一些。

骨干網(wǎng)絡(luò)運(yùn)營(yíng)商

    他們提供了互聯(lián)網(wǎng)存在的物理基礎(chǔ)。如果骨干網(wǎng)絡(luò)運(yùn)營(yíng)商可以很好地合作的話,DDoS攻擊可以很好地被預(yù)防。在2000年yahoo等知名網(wǎng)站被攻擊后,美國(guó)的網(wǎng)絡(luò)安全研究機(jī)構(gòu)提出了骨干運(yùn)營(yíng)商聯(lián)手來解決DDoS攻擊的方案。其實(shí)方法很簡(jiǎn)單,就是每家運(yùn)營(yíng)商在自己的出口路由器上進(jìn)行源IP地址的驗(yàn)證,如果在自己的路由表中沒有到這個(gè)數(shù)據(jù)包源IP的路由,就丟掉這個(gè)包。這種方法可以阻止黑客利用偽造的源IP來進(jìn)行DDoS攻擊。不過同樣,這樣做會(huì)降低路由器的效率,這也是骨干運(yùn)營(yíng)商非常關(guān)注的問題,所以這種做法真正采用起來還很困難。

    對(duì)DDoS的原理與應(yīng)付方法的研究一直在進(jìn)行中,找到一個(gè)既有效又切實(shí)可行的方案不是一朝一夕的事情。但目前我們至少可以做到把自己的網(wǎng)絡(luò)與主機(jī)維護(hù)好,首先讓自己的主機(jī)不成為別人利用的對(duì)象去攻擊別人;其次,在受到攻擊的時(shí)候,要盡量地保存證據(jù),以便事后追查,一個(gè)良好的網(wǎng)絡(luò)和日志系統(tǒng)是必要的。無論DDoS的防御向何處發(fā)展,這都將是一個(gè)社會(huì)工程,需要IT界的同行們來一起關(guān)注,通力合作。 (T101)

煤炭網(wǎng)版權(quán)與免責(zé)聲明:

凡本網(wǎng)注明"來源:煤炭網(wǎng)m.shanesbookmarks.com "的所有文字、圖片和音視頻稿件,版權(quán)均為"煤炭網(wǎng)m.shanesbookmarks.com "獨(dú)家所有,任何媒體、網(wǎng)站或個(gè)人在轉(zhuǎn)載使用時(shí)必須注明"來源:煤炭網(wǎng)m.shanesbookmarks.com ",違反者本網(wǎng)將依法追究責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件,是本著為讀者傳遞更多信息的目的,并不意味著本網(wǎng)贊同其觀點(diǎn)或證實(shí)其內(nèi)容的真實(shí)性。其他媒體、網(wǎng)站或個(gè)人從本網(wǎng)轉(zhuǎn)載使用時(shí),必須保留本網(wǎng)注明的稿件來源,禁止擅自篡改稿件來源,并自負(fù)版權(quán)等法律責(zé)任。違反者本網(wǎng)也將依法追究責(zé)任。 如本網(wǎng)轉(zhuǎn)載稿件涉及版權(quán)等問題,請(qǐng)作者在兩周內(nèi)盡快來電或來函聯(lián)系。

  • 用手機(jī)也能做煤炭生意啦!
  • 中煤遠(yuǎn)大:煤炭貿(mào)易也有了“支付寶”
  • 中煤開啟煤炭出口貿(mào)易人民幣結(jié)算新時(shí)代
  • 下半年煤炭市場(chǎng)依然嚴(yán)峻
市場(chǎng)動(dòng)態(tài)

網(wǎng)站技術(shù)運(yùn)營(yíng):北京真石數(shù)字科技股份有限公司、喀什中煤遠(yuǎn)大供應(yīng)鏈管理有限公司、喀什煤網(wǎng)數(shù)字科技有限公司

總部地址:北京市豐臺(tái)區(qū)總部基地航豐路中航榮豐1層

京ICP備18023690號(hào)-1      京公網(wǎng)安備 11010602010109號(hào)


關(guān)注中煤遠(yuǎn)大微信
跟蹤最新行業(yè)資訊