天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

四招教你打败僵尸网络的拒绝服务攻击

2009-6-19IT168.com佚名
        也许很多人还没有注意到,据Arbor Networks的统计,2008年僵尸网络的拒绝服务攻击超过了每秒40GB的限度。这也就是说,当前的僵尸网络的攻击规模已经达到一个僵尸网络有190万台僵尸电脑的程度,而僵尸网络的拒绝服务攻击是最难防御的攻击之一。因此,这也是拒绝服务攻击成为勒索者试图把在线商家作为人质获取赎金的常用手段的原因。这对于犯罪分子来说是一笔大买卖,而且这个生意很兴隆。

  下面这种情况就很常见:犯罪分子利用一个僵尸网络大军渗透和消除对于你有价值的服务。攻击目标的范围包括仅用一个拒绝服务攻击使你的一台重要服务器达到饱和或者使你的互联网连接达到饱和,有效地中断你的全部互联网服务。在某些情况下,这些坏蛋首先发起攻击,中断网络服务,然后要求支付赎金。有时候,这些坏蛋仅仅发出赎金的要求,并且威胁说如果不在某日之前满足他们的要求,他们将中断攻击目标的网站。

  当然,这些可能对我们来说已经不是什么新鲜事了。但是,如果你遭到过僵尸网络的拒绝服务攻击或者遭到过多次这种攻击,你是否想过你和你的公司应该采取什么措施吗?你如何准备应对这种类型的攻击?许多公司(包括大企业和小企业)都这样对待这个问题,他们解释说“我们没有黑客要的东西”或者“我们是小目标,不值得这样麻烦”。在某些情况下,这种事情是非常真实的,就是拒绝服务攻击的风险不值得安全投资。但是,在许多情况下,这种想法是一种危险的错误。这种风险实际上比想象的要大。如果我从一个坏蛋的角度考虑这个问题,我在追求一二样东西,金钱或者名誉。如果你能够提供其中任何一样东西,你就有机会成为攻击目标。

  因此,现在我们就来解决这个问题。你如何能够打败一个僵尸网络的拒绝服务攻击?这个答案取决于你遇到的拒绝服务攻击的类型、你的网络基础设施、你拥有的安全工具和其它变量。尽管在你的独特的环境中你如何防御拒绝服务攻击有许多变量,但是,强调一些最流行的策略是有价值的。

  下面是打败拒绝服务攻击的一些技巧。其中有些方法过去在防御拒绝服务攻击中取得了成功。有些方法是全新的,但是,提供了一种非常令人心动的解决方案

  由ISP提供的拒绝服务攻击防御产品或者拒绝服务攻击服务

  这种防御策略是通常是最有效的,当然也是最昂贵的。许多ISP(互联网服务提供商)为你的互联网链路提供某种方式的云计算拒绝服务攻击保护。这个想法是ISP在允许通讯进入你的互联网线路之前先清理你的通讯。由于这种防御是在云计算中完成的,你的互联网链路不会被拒绝服务攻击阻塞。不被阻塞至少是这个防御的目标。再说一次,没有一劳永逸的高明办法。这种服务也可以由第三方在云计算拒绝服务攻击防御服务中提供。在发生拒绝服务攻击时,他们把你的通讯转移到他们那里。他们清理你的通讯然后再把这些通讯发回给你。这一切都是在云计算中发生的,因此,你的互联网线路不会被阻塞。ISP提供的拒绝服务攻击服务的例子包括AT&T的互联网保护服务和Verizon Business提供的拒绝服务攻击防御减轻服务。

  RFC3704过滤

  基本的访问控制列表(ACL)过滤器。RFC3704的主要前提是数据包应该来自于合法的、分配的地址段、与结构和空间分配一致。要达到这个目的,有一个全部没有使用的或者保留的IP地址的列表。这些地址是你从互联网中永远看不到的。如果你确实看到了这些地址,那么,它肯定是一个欺骗的源IP地址,应该丢弃。这个列表的名称是Bogon列表,你应该咨询一下你的ISP,看他们是否能在这个欺骗的通讯进入你的互联网链路之前在云计算中为你管理这种过滤。Bogon列表大约每个月修改一次。因此,如果ISP没有为你做这个事情,那么,你必须自己管理你的Bogon访问控9 7 3 1 2 3 4 8 :

本文来源:IT168.com 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行