以前我家里用的是卡巴的防火墙,经常受到DDOS的攻击,每一次受到攻击之后,机子就不能上网,只有重启之后才可以上,十分郁闷。如果关掉卡巴的提示,就不会出现上不了网的情况。所以现在我的机子都不敢再用卡巴的防火墙了。

现在对于学网络专业的我来说,DDOS也不是太可怕了。

由于DDoS攻击的主要手段是通过大于管道处理能力的流量淹没管道或通过超过处理能力的任务使系统瘫痪,所以理论上只要攻击者能够获得比目标更强大的“动力”,目标是注定会被攻陷的。这意味着对于DDoS攻击来说并没有100%有效的防御手段。但是由于攻击者必须付出比防御者大的多的资源和努力才能拥有这样的“动力”,所以只要我们更好的了解DDoS攻击,积极部署防御措施,还是能够在很大程度上缓解和抵御这类安全威胁的。下面通过分门别类的介绍,希望可以帮助大家累积更多关于DDoS的知识,掌握更多应对DDoS的方法。这些介绍中的很多部分也适用于DoS攻击。
增强防御力
对抗DDoS攻击一个很重要的要素就是增强自身的防御能力。使用更大的带宽及提升相关设备的性能是面对DDoS攻击最直接的处理方法。虽然这必定需要耗用一定的资源,但是对于那些将生存寄托于这些在线系统的企业来说,进行这种投入是具备足够理由的。只是在执行这类“硬性增幅”的时候,我们需要把握适度的原则。因为我们的资源是有限的,如果增加100%的投入仅能在相关性能及DDoS防御力上获得10%的提升,明显是一种得不偿失的处理方式,毕竟这并不是我们仅有的选择。而且攻击者的资源同样是有限的,在我们增加防御强度的同时,就意味着攻击者必须集合比原来多的多的攻击傀儡机来实施攻击,并且会提高攻击者暴露的风险。不过应该记住的是,真正有效的DDoS防御并不是陷入与攻击者“角力”的恶性循环当中,而是应该综合各种方法,为攻击者设置足够的障碍。
目标系统处理
攻击者的最终目标可能是一台主机,也可能是一台网络设备。除了对其目标的硬件能力进行增强之外,我们同样应该充分发挥系统自身的潜能,通过对目标系统的针对性处理,我们可以有效地放大现有资源的能量。最基本的任务是做好更新补丁的工作。特别是一些操作系统的通讯协议堆栈存在着问题,很容易成为拒绝服务攻击的利用对象。因为利用漏洞实施拒绝服务攻击相对于纯粹的设施能力比拼要容易的多。如果不能保证消除明显可被拒绝服务攻击利用的漏洞,其它的防御工作将只能成为摆设。好在现在各类系统的补丁更新速度还是比较令人满意的,只要根据自身环境的情况注意对相关系统的补丁发布情况进行跟踪就可以了。一些经常被使用的方法还包括限制连接队列的长度以及减少处理延时等。前者可以缓解系统资源的耗尽,虽然不能完全避免“拒绝服务”的发生,但是至少在一定程度上降低了系统崩溃的可能性。而后者能够加快强系统的处理能力,通过减少延时,我们可以以更快的速度抛弃队列里的等待的连接,而不是任其堆满队列;不过这种方法也不是在所有的情况下都有效,因为很多DDoS的攻击机制并不是建立在类似SYN Flood这样以畸形连接淹没队列的方式之上。
纵深防御
攻击者和目标通常并非直接相连,两者之间要经过很多网络节点才能进行通信。所以我们可以在受保护系统之前尽可能部署有效的屏障,以缓解系统的压力。设置屏障最主要的工具就是防火墙,先进的防火墙产品能够有效识别和处理数据包的深层内容,这样有助于我们设置更加细致的过滤。现在有很多防火墙产品集成了反DDoS功能,进一步提高了对常见DDoS攻击包的识别能力。这样的产品可以在很大程度上增强DDoS防御能力,并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。这是非常有帮助的能力,因为如果判断DDoS攻击所耗费的处理越少,就越不容易被耗尽处理能力,从而极大的增加攻击者的成本。包括很多路由器产品在内的网络设备都具备一些防火墙功能,我们应该尽可能充分的利用。特别是路由器本身负责对数据流进行导向,应尽可能将其置于“前哨”位置。这样既可以起到御敌于千里之外的作用,又可以灵活的将攻击包导向到其它无害的位置甚至化攻击于虚无。当然,攻击者对这些防御层也会有或浅或深的体认,不会一味的以目标系统做为唯一的打击点,他们很可能会在受到这些设施的阻挠之后转而组织针对这些设施的攻击,这就需要我们动态的对防御设施进行调整,随机应变。除了以上这些基础的方法和工具之外,还有一些更高级的技巧可以利用,例如我们可以进行冗余设计,以在系统瘫痪于攻击发生时有可以随时启用的应急机制;也可以部署一些陷阱部件,既可以用于吸引攻击流量,也可以对攻击者起到一定的迷惑作用。
知己者胜
其实在对我们进行安全防御时,最重要的因素之一是对系统的透彻了解。例如我们必须清楚的知道系统对外开放了哪些服务,哪些访问是被禁止的。同时,当有DDoS攻击迹象发生的时候,我们也应该很好的判断攻击利用了系统的哪些处理机制。虽然我们已经听过无数人无数次的重复“关闭不必要服务”,但显然其重要性仍未被充分认知。有时一个端口没有开放我们就认为其处于安全状态,其实事实并非如此。很多时候,一些关闭的端口由于设计上的原因仍会响应某些查询,这一点经常被DDoS攻击所利用。攻击者通过向这些看似沉睡的端口发送海量的查询耗尽目标系统的资源从而达到自己的目的。我们经常利用一个称为Shields UP!!的基于Web接口的工具检查端口的真实状态,我们可以从http://www.grc.com/找到该工具的登入接口。我们在一台联网的工作站上登录其页面并执行All Service Ports检测,返回的结果页会列出从0到1055端口状态的方格图,绿色的小块儿表示该端口处于安全的隐密(Stealth)状态,将不会对外界做出任何响应。如果小块儿是代表危险的红色,说明该端口处于开放状态。而如果小块儿是蓝色的话,说明该端口处于关闭状态,虽然大部分程序无法使用这些端口,但不代表其绝对安全。通过类似的工具我们可以更透彻的了解我们暴露在网络上的都是什么,也才能进行真正有效的处理,同时不会忽视存在的隐患。
话外之言 - 攻击是最好的防御
这样讲可不是说为了避免受到攻击,最好我们也去攻击别人。面对DDoS攻击,不能束手待毙,更不能一味防御。我们在前面提到过,攻击行为会根据我们的情况进行调整,总是处于被动挨打的地位只是延缓失败的到来。应该积极的组织反击,在防御的同时和服务商良好协同,向攻击者施加压力,并争取给攻击者以应得的惩罚。只有联合尽可能多的力量集体行动,才能更有效的打击DDoS攻击。希望能有更多的人培养起阻断DDoS攻击的意识,有更多的组织肩负起对抗DDoS攻击的责任。

转载于:https://www.cnblogs.com/hung_hing/archive/2008/09/26/1299570.html

如何防御DDoS攻击相关推荐

  1. 分析流量对防御DDOS攻击有何价值?

    由于很多企业对安全事件知之甚少,在这种情况下,安全分析师通常会在威胁造成损害后做出反应,因此他们必须过滤大量难以理解的日志数据才能做到这一点.但是,有一些解决方案可以为企业.MSSP.托管提供商和服务 ...

  2. 常见的防御DDoS攻击的方式有哪些?

    DDoS 是一种耗尽攻击目标的系统资源导致其无法响应正常的服务请求的攻击方式,DDoS 的防护系统,本质上是一个基于资源较量和规则过滤的智能化系统.面对DDoS攻击,常见的防御方式有哪些: 1.采用高 ...

  3. Linux下防御ddos攻击

    1.Linux下防御ddos攻击 导读 Linux服务器在运营过程中可能会受到黑客攻击,常见的攻击方式有SYN,DDOS等.通过更换IP,查找被攻击的站点可能避开攻击,但是中断服务的时间比较长.比较彻 ...

  4. 什么是ddos攻击,怎么防御ddos攻击?

    因为最近要测试antiddos的功能,所以简单了解了一下antiddos是什么,纯小白. 什么是ddos攻击 ddos全称是Distributed Denial of Service,翻译过来就是分布 ...

  5. 如何防御DDoS攻击与CC攻击?

    随着互联网的兴起,各种网络攻击也随之日益频繁,各种恶意网络攻击给许多企业带来口碑.以及财务的巨大损失.近几年,最常见的网络攻击手段主要是DDoS攻击与CC攻击. 因此,企业一定要做好网络安全攻略,防御 ...

  6. 防御DDoS攻击的十一种方法

    对于遭受DDoS攻击的情况是让人很尴尬的,如果我们有良好的DDoS防御方法,那么很多问题就将迎刃而解,我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢. 对于DDoS防御的理解: 对付DDoS ...

  7. 互联网创业公司如何防御DDoS攻击?

    DDoS(Distributed Denial of Service,分布式拒绝服务)主要通过大量合法的请求占用大量网络资源,从而使合法用户无法得到服务的响应,是目前最强大.最难防御的攻击之一. 什么 ...

  8. ddos攻击怎么防御,一文了解如何防御DDoS攻击

    DDoS攻击是目前最普遍的网络攻击手段,DDoS攻击非常受黑客欢迎,因为DDoS攻击非常有效,易于启动,并且几乎不会留下痕迹.那么如何防御DDoS攻击呢?你能否确保对你的web服务器和应用程序提供高级 ...

  9. 高防IP是如何来防御DDoS攻击的呢?

    DDoS攻击是目前互联网中最常见的网络攻击方式之一,通过大量虚假流量对目标服务器进行攻击,堵塞网络耗尽服务器性能,导致服务器崩溃,真正的用户也无法正常访问了.以前大型企业常用的防御手段就是高防服务器, ...

  10. 如何使用Nginx防御DDoS攻击?

    现在这个互联网环境,互联网企业时不时的就会被DDoS很多时候攻击很简单也容易封堵,但是攻击的目标是应用的时候就更难防御.在这里介绍一下使用Nginx作为代理过滤器来封堵一些这种攻击. Apache D ...

最新文章

  1. java线程状态有哪几种,顺利拿到offer
  2. python爬虫正则表达式实例-使用正则表达式进行页面提取
  3. 孔兵 库卡机器人_库卡机器人中华区CEO孔兵:机器人是制造业升级的关键
  4. CNN应用之基于R-CNN的物体检测-CVPR 2014-未完待续
  5. 对话 Dubbo 唤醒者北纬:3.0 将至,阿里核心电商业务也在用 Dubbo
  6. 物联网推动时代进步 中小玩家如何傍上运营商这棵大树
  7. WebRTC系列之音频的那些事
  8. js时间-价格-排序案例____冒泡排序实例
  9. Java中的PrintWriter的write方法和print方法的区别是什么?
  10. 检测ID卡的输入或者是其它卡的输入。
  11. python如何避免转义字符_如何解决因转义字符而报错的问题(在使用python导入文件时)...
  12. oracle 12.2.0.1 搭建 active dataguard
  13. 十大经典排序算法详细总结 图形展示 代码示例
  14. Struts 2读书笔记-----使用Action的动态方法调用
  15. android勾选控件_【Android 开发】:UI控件之复选框控件 CheckBox 的使用方法
  16. ubuntu挂载windows分区
  17. HDU 5855-最大权闭合图(-最小割应用)
  18. 2500个常用汉字(用来练普通话的)
  19. win10+Ubuntu16.04+Quadro P600双系统安装以及独显驱动安装
  20. PRISM 下载安装

热门文章

  1. 【大数据】朴素的数据价值观
  2. 笔记-信息化与系统集成技术-区块链的特征
  3. Jenkins中安装Credentials Binding插件实现凭证管理与安装Git插件和拉取代码构建项目
  4. MobileIMSDK怎样修改Server端和安卓端TCP连接方式时报文的的限制大小
  5. ElementUI项目请求SpringBoot后台项目时提示:Access to XMLHttpRequest at **from origin ** has been blocked by CORS
  6. Winform中实现读取xml配置文件并动态配置DevExpress的RadioGroup的选项
  7. Input为number类型maxlength不好使,用js轻松解决
  8. 系统故事 --- 让系统讲故事
  9. Git之常见的标签操作
  10. 用户请求队列化_爬虫架构消息队列应用场景及ActiveMQ、RabbitMQ、RocketMQKafka