ddos攻击能防住吗?ddos攻击预防方法分析

安防及入侵检测

9人已加入

描述

ddos攻击能防住吗?在讨论这个问题之前我们先要知道什么是ddos攻击;ddos攻击就是能够利用受控的机器向一台机器进行发起攻击,这样攻击由于来势迅猛就让攻击难以令人进行防备,也正是如此这种攻击就具有很大的破坏性。

       ddos攻击特性是分布式;在攻击的模式改变了传统的点对点的攻击模式,使攻击方式出现了没有规律的情况,而且在进行攻击的时候,通常使用的也是常见的协议和服务,这样只是从协议和服务的类型上是很难对攻击进行区分的。在进行攻击的时候,攻击数据包都是经过伪装的,在源IP 地址上也是进行伪造的,这样就很难对攻击进行地址的确定,在查找方面也是很难的。这样就导致了分布式拒绝服务攻击在检验方法上是很难做到的。

 什么是ddos攻击?

最常见的DDoS攻击是利用TCP协议三次握手的缺陷进行的。基于TCP协议的通信在通信之前,首先要协商,这个协商过程就是以三次握手实现的。正常情况下,客户端发送一个SYN数据包,说明要进行通信了。服务器收到该SYN包后,回应一个ACK确认包。客户端再回应一个确认包。这样三次握手就协商完成,下面就会正式进行通信。当黑客要进行DDoS攻击时,他会操纵很多僵尸主机向被攻击的服务器发送SYN数据包,当服务器回复ACK确认包后,僵尸主机不再回应,这样服务器就会保持这个半连接的存在进行等待。每一个这样的半连接都会耗费服务器的资源,如果有数量极大的半连接,服务器就会停止正常工作了。

DDoS

还有一些DDoS攻击是基于UDP的攻击。UDP是无连接的协议,倘若服务器上开放了漏洞端口,发送大量的无用UDP数据包,可以很快淹没该服务器。另外的基于ICMP的DDoS攻击,也是类似的原理。

DDoS



 

ddos攻击预防方法分析

方法一:

需要能够进行定期的扫描。预防ddos攻击需要能够定期扫描现有的网络主节点,以能好的清查可能存在的安全漏洞,尤其对新出现的漏洞要能进行及时清理;很多时候骨干节点的计算由于具有较高的带宽就成黑客利用的最佳位置,而对这些主机本身加强主机安全就非常重要,且连接到网络主节点的往往都是服务器级别的电脑,这样定期进行漏洞的扫描也变得比较重要。

方法二:

需要能够在骨干节点配置相关防火墙。大家知道防火墙本身就能抵御ddos攻击和其他很多的攻击,在实际中发现受到攻击的时候完全能够将攻击直接去导向一些牺牲性的主机,这样就能有效保证真正的主机不被直接攻击;不过在进行导向的时候,一定要选择一些不重要的主机或者可以直接导向一些具有优秀防范的系统主机上。

方法三:

使用多的计算机以能承受ddos攻击。很多时候使用这种方法效果是最好的,当用户拥有更多容量和足够资源的时候,就非常适合使用这种方法,毕竟在攻击中黑客的能量也在逐渐耗损,面对足够资源和容量攻击方也往往没有其他方法可用;不过需要提醒大家的是,使用这种方法可能会浪费多的资金甚至在平时中让太多的设备一直都处于空闲状态下。

方法四:

好的利用网络设备来进行保护网络资源。在预防ddos攻击中指的网络设备就是路由器和防火墙等负载均衡的设备,这些设备完全可以将网络给有效的进行保护起来;当网络被黑客攻击的时候最先受到影响的是路由器,其其他设备并没有能够收到影响;对于受到影响的路由器仅仅只用重启后还能恢复正常使用,且路由器的启动也是非常快的几乎造成不了什么损失;如果是服务器设备受到影响的话往往会造成数据的丢失,再加上服务器重启需要漫长的过程因此造成的损失就相对过大,还是使用负载设备更好一点。

方法五:

需要过滤不必要的服务和端口。大家完全也可以使用一些工具过滤掉一些不必要的服务和端口以达到预防攻击的目的。

当知道了DDoS攻击的类型和危害之后,就要有效预防它。不做好预防,等危害已经造成才发现,则未免已经太晚。接下来,以基于TCP的DDoS攻击的预防为例,简要阐明。

DDoS

DDoS攻击的一大特征,是突然产生巨大的攻击流量。借助流量监控设备,可以及时发现异常流量的突现。

DDoS

基于TCP的DDoS攻击,会产生异常会话。异常会话的特征是有大量的虚假IP地址随机开启多个端口发送SYN数据包攻击服务器。因此攻击的过程中,一是会有大量的虚假地址,二是会产生大量的SYN数据包。借助wireshark抓包分析,可以迅速发现这些攻击特征。

DDoS

DDoS
 

  DDoS攻击预防思路分享

  如果只有几台计算机是攻击的来源,并且你已经确定了这些来源的 IP 地址, 你就在防火墙服务器上放置一份ACL(访问控制列表) 来阻断这些来自这些 IP 的访问。如果可能的话 将 web 服务器的 IP 地址变更一段时间,但是如果攻击者通过查询你的 DNS 服务器解析到你新设定的IP,那这一措施及不再有效了。

  如果你确定攻击来自一个特定的国家,可以考虑将来自那个国家的 IP 阻断,至少要阻断一段时间。

  监控进入的网络流量。通过这种方式可以知道谁在访问你的网络,可以监控到异常的访问者,可以在事后分析日志和来源IP。在进行大规模的攻击之前,攻击者可能会使用少量的攻击来测试你网络的健壮性。

  对付带宽消耗型的攻击来说,最有效(也很昂贵)的解决方案是购买更多的带宽。

  也可以使用高性能的负载均衡软件,使用多台服务器,并部署在不同的数据中心。

  对Web和其他资源使用负载均衡的同时,也使用相同的策略来保护DNS。

  优化资源使用提高web server的负载能力。例如,使用apache可以安装apachebooster插件,该插件与varnish和nginx集成,可以应对突增的流量和内存占用。

  使用高可扩展性的DNS设备来保护针对DNS的DDoS攻击。可以考虑购买Cloudflare的商业解决方案,它可以提供针对DNS或TCP/IP3到7层的DDoS攻击保护。如果想获得更多的服务支持(国外的安全服务一般是没有售后的,如果遇到问题只能提交工单进行解决,效率很低。),可以考虑选择国内的安全服务商。推荐知道创宇、腾讯云和阿里云。

  启用路由器或防火墙的反IP欺骗功能。在CISCO的ASA防火墙中配置该功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中启用该功能只要点击“配置”中的“防火墙”,找到“anti-spoofing”然后点击启用即可。也可以在路由器中使用 ACL(access control list)来防止 IP 欺骗,先针对内网创建 ACL,然后应用到互联网的接口上。

  使用第三方的服务来保护你的网站。有不少公司有这样的服务,提供高性能的基础网络设施帮你抵御拒绝服务攻击。你只需要按月支付几百美元费用就行。

  注意服务器的安全配置,避免资源耗尽型的 DDoS 攻击。

  听从专家的意见,针对攻击事先做好应对的应急方案。

  监控网络和 web 的流量。如果有可能可以配置多个分析工具,例如:Statcounter 和 Google analytics,这样可以更直观了解到流量变化的模式,从中获取更多的信息。

  保护好 DNS 避免 DNS 放大攻击。

  在路由器上禁用 ICMP。仅在需要测试时开放 ICMP。在配置路由器时也考虑下面的策略:流控,包过滤,半连接超时,垃圾包丢弃,来源伪造的数据包丢弃,SYN 阀值,禁用 ICMP 和 UDP 广播。

DDoS攻击预防注意事项

DDoS攻击危害巨大,要及时预防,预防为主,否则后果不堪设想。(综合自锐速云 southx博客等

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分