天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

应对DDOS攻击需要“多管齐下”

2012-8-16茫然茫然
65510">

  许多黑客专门破坏或窃取数据,还有不少黑客总是愿意破坏对数据的合法访问。后者这种对信息可用性的攻击被称为DoS攻击,这种攻击与窃取信息一样都会给企业带来不可估量的损失。

  高级DoS攻击利用受控计算机组成的大型网络(称为僵尸网络),同时从多个不同的地理位置来攻击一个网站。这种攻击称为分布式拒绝服务攻击(DDoS攻击)。这种攻击更阴险,因为我们很难将其通信与正常的网络通信区分开来。

DDoS基础

  在一个网络接收的数据超过了它的处理能力时,可能就发生了DDoS攻击。执行一次成功的攻击所要求的通信速率依赖于网络的带宽,以及保护设备的能力。其结果总是相同的,机器的互联网连接陷于完全停顿。用户们无法做任何操作,这就像下班高峰时的交通拥塞一样。

  并非所有的DDoS攻击都针对网站。“有进取心”的黑客还会针对其它的基础组件,如企业的DNS控制器等。笔者的一位客户就曾遭受过DNS扩大攻击,攻击者将带有受害者IP地址的DNS请求作为一个虚假的源发动攻击。由于DNS响应可以比请求更强大,被欺骗的IP会收到大量的响应。该客户在高峰时段每隔一段时间就会收到大量的攻击,这严重地影响了该客户继续进行业务的能力。

  虽然你企业的网络没有充足的资源来防御DDoS攻击,但你可以寻求ISP的帮助。你可以设置网络过滤器,为攻击网络的通信改变路线。在使用这种方法时要小心,因为ISP的首要责任是向所有的客户提供服务,而不仅仅是某个用户。

基本防御

  首先,建议企业实施基础架构的风险分析,这是一个很好的开始。例如,匿名攻击在对许多企业的攻击中获得很大成功,这并不是因为攻击者的工具如何高级,而是因为他们所攻击的基础架构本身就漏洞百出。

  其次,禁止任何未用的服务,目的是将开放端口的数量最小化,从而减少攻击者进入和利用已知漏洞的机会。

  第三,为所有的软件打上补丁,保持所有软件的最新有助于漏洞数量的最少化。

  第四,不要太依赖防火墙。防火墙只能阻止来自某些端口的洪水攻击,但它却无法防止基于Web的通信进入。

  此外,如果禁用了IP广播,就可以阻止基于ICMP的攻击,如死亡之ping攻击。

  这些仅是从大体上保护网络,抵御一般DDoS攻击的方法,对于一些高级DDoS攻击,这些措施远远不够。说到专门的DDoS防御,企业不妨使用IP包过滤技术。


本文来源:茫然 作者:茫然

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行