4000-110-253
有(yǒu)效預防黑(hēi)客DDoS攻擊的技(jì)巧. 2019-06-19
分布式拒絕服務攻擊(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務器(qì)技(jì)術(shù),将多(duō)個(gè)計(jì)算(suàn)機聯合起來(lái)作(zuò)為(wèi)攻擊平台,對一個(gè)或多(duō)個(gè)目标發動DDoS攻擊,從而成倍地提高(gāo)拒絕服務攻擊的威力。通(tōng)常,攻擊者使用一個(gè)偷竊帳号将DDoS主控程序安裝在一個(gè)計(jì)算(suàn)機上(shàng),在一個(gè)設定的時(shí)間(jiān)主控程序将與大(dà)量代理(lǐ)程序通(tōng)訊,代理(lǐ)程序已經被安裝在網絡上(shàng)的許多(duō)計(jì)算(suàn)機上(shàng)。代理(lǐ)程序收到指令時(shí)就發動攻擊。利用客戶/服務器(qì)技(jì)術(shù),主控程序能在幾秒(miǎo)鍾內(nèi)激活成百上(shàng)千次代理(lǐ)程序的運行(xíng)。
DDoS攻擊是利用一批受控制(zhì)的機器(qì)向一台機器(qì)發起攻擊,這樣來(lái)勢迅猛的攻擊令人(rén)難以防備,因此具有(yǒu)較大(dà)的破壞性。如果說以前網絡管理(lǐ)員對抗Dos可(kě)以采取過濾IP地址方法的話(huà),那(nà)麽面對當前DDoS衆多(duō)僞造出來(lái)的地址則顯得(de)沒有(yǒu)辦法。所以說防範DDoS攻擊變得(de)更加困難,如何采取措施有(yǒu)效的應對呢?下面我們從兩個(gè)方面進行(xíng)介紹。
一、尋找機會(huì)應對攻擊
如果用戶正在遭受攻擊,他所能做(zuò)的抵禦工作(zuò)将是非常有(yǒu)限的。因為(wèi)在原本沒有(yǒu)準備好的情況下有(yǒu)大(dà)流量的災難性攻擊沖向用戶,很(hěn)可(kě)能在用戶還(hái)沒回過神之際,網絡已經癱瘓。但(dàn)是,用戶還(hái)是可(kě)以抓住機會(huì)尋求一線希望的。
檢查攻擊來(lái)源,通(tōng)常黑(hēi)客會(huì)通(tōng)過很(hěn)多(duō)假IP地址發起攻擊,此時(shí),用戶若能夠分辨出哪些(xiē)是真IP哪些(xiē)是假IP地址,然後了解這些(xiē)IP來(lái)自哪些(xiē)網段,再找網網管理(lǐ)員将這些(xiē)機器(qì)關閉,從而在第一時(shí)間(jiān)消除攻擊。如果發現這些(xiē)IP地址是來(lái)自外面的而不是公司內(nèi)部的IP的話(huà),可(kě)以采取臨時(shí)過濾的方法,将這些(xiē)IP地址在服務器(qì)或路由器(qì)上(shàng)過濾掉。
找出攻擊者所經過的路由,把攻擊屏蔽掉。若黑(hēi)客從某些(xiē)端口發動攻擊,用戶可(kě)把這些(xiē)端口屏蔽掉,以阻止入侵。不過此方法對于公司網絡出口隻有(yǒu)一個(gè),而又遭受到來(lái)自外部的DDoS攻擊時(shí)不太奏效,畢竟将出口端口封閉後所有(yǒu)計(jì)算(suàn)機都無法訪問internet了。
最後還(hái)有(yǒu)一種比較折中的方法是在路由器(qì)上(shàng)濾掉ICMP。雖然在攻擊時(shí)他無法完全消除入侵,但(dàn)是過濾掉ICMP後可(kě)以有(yǒu)效的防止攻擊規模的升級,也可(kě)以在一定程度上(shàng)降低(dī)攻擊的級别。
二、預防為(wèi)主保證安全
DDoS攻擊是黑(hēi)客最常用的攻擊手段,下面列出了對付它的一些(xiē)常規方法。
1. 過濾所有(yǒu)RFC1918 IP地址
RFC1918 IP地址是內(nèi)部網的IP地址,像10.0.0.0、192.168.0.0 和(hé)172.16.0.0,它們不是某個(gè)網段的固定的IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址,應該把它們過濾掉。此方法并不是過濾內(nèi)部員工的訪問,而是将攻擊時(shí)僞造的大(dà)量虛假內(nèi)部IP過濾,這樣也可(kě)以減輕DDoS的攻擊。
2. 用足夠的機器(qì)承受黑(hēi)客攻擊
這是一種較為(wèi)理(lǐ)想的應對策略。如果用戶擁有(yǒu)足夠的容量和(hé)足夠的資源給黑(hēi)客攻擊,在它不斷訪問用戶、奪取用戶資源之時(shí),自己的能量也在逐漸耗失,或許未等用戶被攻死,黑(hēi)客已無力支招兒了。不過此方法需要投入的資金比較多(duō),平時(shí)大(dà)多(duō)數(shù)設備處于空(kōng)閑狀态,和(hé)目前中小(xiǎo)企業網絡實際運行(xíng)情況不相符。
3. 充分利用網絡設備保護網絡資源
所謂網絡設備是指路由器(qì)、防火(huǒ)牆等負載均衡設備,它們可(kě)将網絡有(yǒu)效地保護起來(lái)。當網絡被攻擊時(shí)最先死掉的是路由器(qì),但(dàn)其他機器(qì)沒有(yǒu)死。死掉的路由器(qì)經重啓後會(huì)恢複正常,而且啓動起來(lái)還(hái)很(hěn)快,沒有(yǒu)什麽損失。若其他服務器(qì)死掉,其中的數(shù)據會(huì)丢失,而且重啓服務器(qì)又是一個(gè)漫長的過程。特别是一個(gè)公司使用了負載均衡設備,這樣當一台路由器(qì)被攻擊死機時(shí),另一台将馬上(shàng)工作(zuò)。從而最大(dà)程度的削減了DDoS的攻擊。
4. 在骨幹節點配置防火(huǒ)牆
防火(huǒ)牆本身能抵禦DDoS攻擊和(hé)其他一些(xiē)攻擊。在發現受到攻擊的時(shí)候,可(kě)以将攻擊導向一些(xiē)犧牲主機,這樣可(kě)以保護真正的主機不被攻擊。當然導向的這些(xiē)犧牲主機可(kě)以選擇不重要的,或者是linux漏洞少(shǎo)和(hé)天生(shēng)防範攻擊優秀的系統。
5. 過濾不必要的服務和(hé)端口
可(kě)以使用Inexpress、Express、Forwarding等工具來(lái)過濾不必要的服務和(hé)端口,即在路由器(qì)上(shàng)過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可(kě)以針對封包Source IP和(hé)Routing Table做(zuò)比較,并加以過濾。隻開(kāi)放服務端口成為(wèi)目前很(hěn)多(duō)服務器(qì)的流行(xíng)做(zuò)法,例如WWW服務器(qì)那(nà)麽隻開(kāi)放80而将其他所有(yǒu)端口關閉或在防火(huǒ)牆上(shàng)做(zuò)阻止策略。
6. 限制(zhì)SYN/ICMP流量
用戶應在路由器(qì)上(shàng)配置SYN/ICMP的最大(dà)流量來(lái)限制(zhì)SYN/ICMP封包所能占有(yǒu)的最高(gāo)頻寬,這樣,當出現大(dà)量的超過所限定的SYN/ICMP流量時(shí),說明(míng)不是正常的網絡訪問,而是有(yǒu)黑(hēi)客入侵。早期通(tōng)過限制(zhì)SYN/ICMP流量是最好的防範DOS的方法,雖然目前該方法對于DDoS效果不太明(míng)顯了,不過仍然能夠起到一定的作(zuò)用。
7. 定期掃描
要定期掃描現有(yǒu)的網絡主節點,清查可(kě)能存在的安全漏洞,對新出現的漏洞及時(shí)進行(xíng)清理(lǐ)。骨幹節點的計(jì)算(suàn)機因為(wèi)具有(yǒu)較高(gāo)的帶寬,是黑(hēi)客利用的最佳位置,因此對這些(xiē)主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器(qì)級别的計(jì)算(suàn)機,所以定期掃描漏洞就變得(de)更加重要了。
8. 檢查訪問者的來(lái)源
使用Unicast Reverse Path Forwarding等通(tōng)過反向路由器(qì)查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它将予以屏蔽。許多(duō)黑(hēi)客攻擊常采用假IP地址方式迷惑用戶,很(hěn)難查出它來(lái)自何處。因此,利用Unicast Reverse Path Forwarding可(kě)減少(shǎo)假IP地址的出現,有(yǒu)助于提高(gāo)網絡安全性。
