神马文学网防备技巧:指导你减轻DDoS攻击危害 - 刁民日志
来源:百度文库 编辑:神马文学网 时间:2024/06/03 10:47:52
防备技巧:指导你减轻DDoS攻击危害
大部分网络都很简单受到各种类型的黑客攻击,但是咱们能够议决一套安全规范来最大限度的防止 黑客攻击的发生。但是,分布式拒绝服务攻击(DDoS)是一个完全不一样的攻击形式,你不能阻止黑客对你的站点发动DDoS攻击,除非你主动断开互联网连接。
假如咱们不能防止 这种攻击,那么怎么 做才能最大限度地保卫企业网络呢?最先你应该清楚的明白 DDoS攻击的三个阶段,然后再学习怎么将这种攻击的危害降到最低。
理会 DDoS攻击
一个DDoS攻击通常分为三个阶段。第一阶段是目标确认:黑客会在互联网上锁定一个企业网络的IP地址。这个被锁定的IP地址可能代表了企业的Web服务器,DNS服务器,互联网网关等。而挑选这些目标执行 攻击的目标同样多种多样,比如为了盈利 (有人会付费给黑客攻击某些站点),或者只是以破坏为乐。
第二个阶段是准备阶段:在这个阶段,黑客会入侵互联网上大量的没有良好防护系统的计算机(基本上就是网络上的家庭计算机,DSL宽带或有线电缆上网形式为主)。黑客会在这些计算机中植入日后攻击目标所需的工具。
第三个阶段是实际攻击阶段:黑客会将攻击命令发送到所有被入侵的计算机(也就是僵尸计算机)上,并命令这些计算机运用 预先植入的攻击工具不断向攻击目标发送数据包,使得目标不能处理大量的数据或者频宽被占满。
聪明的黑客还会让这些僵尸计算机伪造发送攻击数据包的IP地址,并且将攻击目标的IP地址插在数据包的原始地址处,这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应,更加重了目标主机所承受的数据流。
因此,咱们不能阻止这种DDoS攻击,但是知晓了这种攻击的原理,咱们就能够尽量减小这种攻击所带来的影响。
降低攻击影响
入侵过滤(Ingressfiltering)是一种基本并且所有网络(ISP)都应该实施的安全策略。在你的网络边缘(比如每一个与外网直接相连的路由器),应该建立一个路由声明,将所有数据来来源IP标记为本网地址的数据包丢弃。虽然这种形式并不能 防止 DDoS攻击,但是却能够预防DDoS反射攻击。
减轻DDoS攻击危害
但是许多大型ISP好像都因为各种原由拒绝实现入侵过滤,因此咱们须要其它形式来降低DDoS带来的影响。当前最有效的一个要领就是反追踪(backscattertracebackmethod)。
要采用这种形式,最先应该确定当前所遭受的是外部DDoS攻击,而不是来自内网或者路由疑问。接下来就要尽快在所有边缘路由器的外部接口上执行 配置,拒绝所有流向DDoS攻击目标的数据流。
另外,还要在这些边缘路由器端口上执行 配置,将所有无效或不能定位的数据来源IP的数据包丢弃。比如以下地址:
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
将路由器配置为拒绝这些资料包后,路由器会在每次拒绝数据包时发送一个因特网控制讯息协议(ICMP)包,并将”destinationunreachable”信息和被拒绝的数据包打包发送给来源IP地址。接下来,打开路由器日志,查看那个路由器收到的攻击资料包最多。然后根据所记载的数据包来源IP确定哪个网段的资料量最大。在这个路由器上调整路由器针对这个网段为“黑洞”状态,并藉由修改子网掩码的要领将这个网段隔离开。
然后再寻找这个网段的所有者的信息,联系你的ISP以及数据发送网段的ISP,将攻击情况汇报给他们,并请求协助。不论他们能不能愿意帮忙,无非是一个电话的疑问。
接下来为了让服务和正当流量议决,你能够将其它一些攻击情况较轻的路由器还原正常,只保存承受攻击最重的那个路由器,并拒绝攻击来源最大的网段。假如你的ISP和对方ISP很负责的协助阻挡攻击数据包,你的网络将很快还原正常。
大部分网络都很简单受到各种类型的黑客攻击,但是咱们能够议决一套安全规范来最大限度的防止 黑客攻击的发生。但是,分布式拒绝服务攻击(DDoS)是一个完全不一样的攻击形式,你不能阻止黑客对你的站点发动DDoS攻击,除非你主动断开互联网连接。
假如咱们不能防止 这种攻击,那么怎么 做才能最大限度地保卫企业网络呢?最先你应该清楚的明白 DDoS攻击的三个阶段,然后再学习怎么将这种攻击的危害降到最低。
理会 DDoS攻击
一个DDoS攻击通常分为三个阶段。第一阶段是目标确认:黑客会在互联网上锁定一个企业网络的IP地址。这个被锁定的IP地址可能代表了企业的Web服务器,DNS服务器,互联网网关等。而挑选这些目标执行 攻击的目标同样多种多样,比如为了盈利 (有人会付费给黑客攻击某些站点),或者只是以破坏为乐。
第二个阶段是准备阶段:在这个阶段,黑客会入侵互联网上大量的没有良好防护系统的计算机(基本上就是网络上的家庭计算机,DSL宽带或有线电缆上网形式为主)。黑客会在这些计算机中植入日后攻击目标所需的工具。
第三个阶段是实际攻击阶段:黑客会将攻击命令发送到所有被入侵的计算机(也就是僵尸计算机)上,并命令这些计算机运用 预先植入的攻击工具不断向攻击目标发送数据包,使得目标不能处理大量的数据或者频宽被占满。
聪明的黑客还会让这些僵尸计算机伪造发送攻击数据包的IP地址,并且将攻击目标的IP地址插在数据包的原始地址处,这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应,更加重了目标主机所承受的数据流。
因此,咱们不能阻止这种DDoS攻击,但是知晓了这种攻击的原理,咱们就能够尽量减小这种攻击所带来的影响。
降低攻击影响
入侵过滤(Ingressfiltering)是一种基本并且所有网络(ISP)都应该实施的安全策略。在你的网络边缘(比如每一个与外网直接相连的路由器),应该建立一个路由声明,将所有数据来来源IP标记为本网地址的数据包丢弃。虽然这种形式并不能 防止 DDoS攻击,但是却能够预防DDoS反射攻击。
减轻DDoS攻击危害
但是许多大型ISP好像都因为各种原由拒绝实现入侵过滤,因此咱们须要其它形式来降低DDoS带来的影响。当前最有效的一个要领就是反追踪(backscattertracebackmethod)。
要采用这种形式,最先应该确定当前所遭受的是外部DDoS攻击,而不是来自内网或者路由疑问。接下来就要尽快在所有边缘路由器的外部接口上执行 配置,拒绝所有流向DDoS攻击目标的数据流。
另外,还要在这些边缘路由器端口上执行 配置,将所有无效或不能定位的数据来源IP的数据包丢弃。比如以下地址:
10.0.0.0-10.255.255.255
172.16.0.0-172.31.255.255
192.168.0.0-192.168.255.255
将路由器配置为拒绝这些资料包后,路由器会在每次拒绝数据包时发送一个因特网控制讯息协议(ICMP)包,并将”destinationunreachable”信息和被拒绝的数据包打包发送给来源IP地址。接下来,打开路由器日志,查看那个路由器收到的攻击资料包最多。然后根据所记载的数据包来源IP确定哪个网段的资料量最大。在这个路由器上调整路由器针对这个网段为“黑洞”状态,并藉由修改子网掩码的要领将这个网段隔离开。
然后再寻找这个网段的所有者的信息,联系你的ISP以及数据发送网段的ISP,将攻击情况汇报给他们,并请求协助。不论他们能不能愿意帮忙,无非是一个电话的疑问。
接下来为了让服务和正当流量议决,你能够将其它一些攻击情况较轻的路由器还原正常,只保存承受攻击最重的那个路由器,并拒绝攻击来源最大的网段。假如你的ISP和对方ISP很负责的协助阻挡攻击数据包,你的网络将很快还原正常。
防备技巧:指导你减轻DDoS攻击危害 - 刁民日志
Linux系统下防御 如何减轻DDOS攻击
全面阻击DDoS攻击
ddos攻击类型
DDOS攻击主要类型解析
预防DDoS攻击的十项安全策略
常见的DDoS黑客攻击技术方法
DDoS拒绝服务攻击和安全防范技术
DDOS网络攻击的7种武器
DDOS网络攻击的方式和武器
对付DDoS攻击的绝招齐分享
日本全面防备遭北韩飞弹攻击
喝茶能减轻吸烟危害
四个小动作减轻久坐危害
网管经验:一次真实的DDoS攻击防御实战
DDoS攻击:先疯狂,后灭亡-网界网网络安全频道
比DDoS更变态的防御CC攻击安全技术解析
不可不知 DDoS的攻击原理与防御方法(2)
技巧:DDoS防御的八大方法详解
刁民.
办公室健康:小动作轻松减轻久坐危害
刁民 分享日志 学会此篇你就是半仙 11月16日 19:07
分布式拒绝服务攻击(DDoS)原理及防范-软件频道-拒绝服务-天极网
剖析七种主流DDoS攻击与防范的方法-02