找独服伊拉克战争和俄乌战争都是从网络战开始的。DDoS作为互联网的隐形战场,是分布式拒绝服务攻击。它使用与普通拒绝服务攻击相同的方法,但有多个来源来发动攻击。通常,攻击者使用下载的工具来渗透未受保护的主机。在获得主机的适当访问权限后,攻击者在主机中安装软件服务或进程(以下简称为)。这些代理保持休眠状态,直到它们收到来自它们的主人的指令,对指定的目标发起拒绝服务攻击。
到目前为止,很难防御DDoS攻击。首先,这种攻击的特点是利用了TCP/IP协议的漏洞。除非不使用TCP/IP,否则完全抵御DDoS攻击是可能的。但这并不意味着我们不能阻止DDoS攻击。我们可以尽力减少DDoS攻击。以下是一些防御方法:
防御ddos攻击的几种有效方法:
1)确保服务器的系统文件是最新版本,并及时更新系统补丁。
需要定期扫描现有的网络主节点,检查可能存在的安全漏洞,及时清理新的漏洞。由于骨干电脑带宽高,是黑客利用的最佳场所,所以加强这些主机本身的主机安全非常重要。而且所有连接到网络主要节点的计算机都是服务器级别的,所以定期扫描漏洞就变得更加重要了。
2)关闭不必要的服务。
过滤不必要的服务和端口。可以使用Inexpress、express、Forwarding等工具过滤不必要的服务和端口,即在路由器上过滤假IP。比如思科的
CEF(Cisco快速转发)可用于数据包源IP和路由。
表,并对其进行过滤。只开放服务端口已经成为目前很多服务器流行的做法。例如,WWW服务器只打开80个端口,关闭所有其他端口,或者在防火墙上制定阻塞策略。
3)限制同时打开的SYN半连接数量,缩短SYN半连接的超时时间,限制SYN/ICMP的流量
用户应该在路由器上配置SYN/ICMP的最大流量,以限制SYN/ICMP数据包可以占用的最大带宽。这样,当出现大量超过限定的SYN/ICMP的流量时,就说明不是正常的网络访问,而是黑客入侵。前期限制SYN/ICMP流量是防止DOS最好的方法,虽然目前这种方法对Ddos的效果并不明显。
但还是能起到一定的作用。
4)正确设置防火墙。
禁止访问主机的非开放服务。
限制对特定IP地址的访问
过滤所有RFC1918 IP地址RFC1918
IP地址是内网的IP地址,比如10.0.0.0,192.168.0.0,172.16.0.0。它们不是某个网段的固定IP地址,而是互联网内部预留的区域性IP地址,要过滤掉。这种方法不是过滤内部员工的访问,而是过滤攻击过程中伪造的大量虚假内部IP,也可以减少Ddos攻击。
启用防火墙的DDoS防护属性
严格限制对外开放的服务器向外访问。
运行端口映射器和端口扫描程序时,请仔细检查特权端口和非特权端口。
在主干节点上配置防火墙。
防火墙本身可以抵御Ddos攻击和其他攻击。当发现攻击时,可以将其定向到一些受害主机,这样可以保护真正的主机免受攻击。当然,这些牺牲主机可以选择不重要的,或者是漏洞少,对linux、unix等攻击有优秀天然防御的系统。
5)仔细检查网络设备和主机/服务器系统的日志。只要日志有漏洞或者时间变化,这台机器就有可能被攻击。
6)限制与防火墙外的网络文件共享。这就给了黑客拦截系统文件的机会,将主机信息暴露给黑客无疑给了对方入侵的机会。
7)充分利用网络设备保护网络资源。
所谓网络设备,是指路由器、防火墙等负载均衡设备,能够有效保护网络。当网络受到攻击时,路由器是第一个死的,但其他机器并没有死。死路由器超重。
启动后会恢复正常,启动很快,没有损耗。如果其他服务器死亡,其中的数据将会丢失,重新启动服务器是一个漫长的过程。特别是,一家公司使用了负载。
设备,以便当一个路由器受到攻击并崩溃时,另一个路由器将立即工作。从而最大程度减少Ddos攻击。
路由器
以思科路由器为例。
思科快速货运(CEF)
使用单播反向路径
访问控制列表(ACL)过滤
设置SYN数据包流率
用太低的版本升级ISO
为路由器建立日志服务器
8)用足够多的机器遭受黑客攻击
这是一种理想的应对策略。如果一个用户有足够的能力和资源让黑客攻击,那么他自己的精力也会随着不断访问用户,抢占用户资源而逐渐消耗。也许在用户被杀死之前,黑客什么也做不了。但是这种方式需要大量的资金,而且平时大部分设备都是闲置的,与目前中小企业网络的实际运行情况不符。
评论前必须登录!
注册