65510">
包过滤
描述过滤这种技术还是很容易的:判断进入的数据包,看其是来自合法用户,还是来自攻击机器,若来自后者,则丢弃。但实际上实施这种方案并非易事。
企业往往建立能够阻止非法通信的过滤器。但这种做法的困难在于,如何将攻击包与合法请求区分开来,而且因为攻击的目的是摧毁正在扫描通信的设备,数据包的数目如此多,从而造成保护网络的设备无法应对。建议采用阻止假冒IP包的技术,如基于路由器的过滤,它可以跟踪进入通信的源地址,一旦发现异常,就认为是欺诈而丢弃。事实上,很容易阻止欺诈,如今的高级攻击不再使用这种伎俩。现在阻止假冒通信仅是一种简单技术。
抵制僵尸网络的攻击
但新威胁却更为危险:在受感染的计算机作为僵尸网络的一部分而协同动作时,数据包的源地址就不再是假冒的了,而是真实的IP地址。
针对僵尸攻击,有一种更科学的IP过滤方法。这种技术试图先记住曾经访问过网站的善意数据包,然后找出恶意数据包,仅准许来自已知源的数据包进入。此时,边缘路由器参照常用访问者的IP地址数据库,如果在通信源中找不到匹配的IP,就丢弃包。
基于历史记录的过滤有一个关键问题,就是地址数据库是如何工作的。如果边缘路由器花费太多的时间才能得到善意地址的列表,而攻击又正在进行,网络响应速度就会减少,其造成的效果与攻击自身又有什么区别呢?
这种过滤还有一个问题:如果攻击者知道了基于历史的过滤,为了使僵尸计算机的IP地址合法化,僵尸控制系统很容易在真实攻击发生之前将僵尸计算机指引到目标网站。这会欺骗过滤系统,使其信任更多的DDoS包,因为攻击来自“熟悉的”地址。
虚拟路由器和安全设备
除过滤之外,新的DDoS防御技术还可以使用虚拟路由器和基于设备的系统,以此作为接收通信的基本方式,并应用清洁技术来过滤通信。这种自动化的系统将来势必成为对付DDoS攻击的重要防御工具,因为可以对基于云和基于虚拟化的系统进行调整,以满足海量的通信要求。
根除DDoS之路漫漫而修远,因为互联网上有太多不安全的机器正在被“僵尸化”。虽然目前对付DDoS攻击的防御已经很强大,但其针对性往往太强,而DDoS攻击采取的是“群起而攻之”的战术。因而,防御必须依靠综合治理、协同努力。DDoS是IT管理者时刻需要关注的严重威胁。
其它方法
还有其它两种技术可用来保护公司网络。首先,可以增加网络带宽,使其可以简单地“接收”小型DDoS攻击的通信。其次,准备第二个网络连接,你可以将它作为灾难恢复计划的一部分,在遭受攻击期间,仍可以维持互联网访问。