怎样预防Ddos攻击

标签：

在服务器遭遇的攻击中，DDoS(DistributedDenialofService,分布式拒绝服务)攻击是一种非常可伯的黑客行为，它可以让一个大型服务器群也能很快地出现访问故障。

DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说 以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前ddos众多伪造出来的地址则显得没有办法。

方法和步骤：

1. 随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易，DDOS攻击事件正在成上升趋势。很多IDC托管机房、商业站点、游戏服务器.聊天网络等网络服务商长期以来一直被DDOS攻击所困扰。

   　　DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者人侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，如图所示。

    

   
2. 2

   分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水舣涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood、TCPFlood、ConnectionsFlood,ScriptFlood、ProxyFloor!等。

   　　随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，这使得DDoS攻击的困难程度加大了。目标对恶意攻击包的“消化能力”加强了不少，例如黑客的攻击软件每秒钟可以发送3，000个攻击包，但目标主机与网络带宽每秒钟可以处理10，000个攻击包，这样一来攻击就不会产生什么效果。

    

3. 3

   当目标计算机遭遇DDoS攻击时，可能会产生如下几种现象

   　　*被攻击主机上有大童等待的TCP连接。如，原来可以很流畅地打开几十个IE浏览器窗口，现在只能很困难地打开I～2个后，别的都处于等待中。

   　　*网络中充斥着大童的无用的数据包，源地址为假。如，没有进行任何网络操作，可是交換机上的数据灯却在狂闪。

   　　*制造高流童无用数据，造成网络拥塞，使受害主机无法正常和外界通汛;当对方的攻击极为猛烈，已经远远超出目标主机的带宽消化能力时，目标主机将无法进行任何网络操作。

   　　*利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务清求，使受害主机无法及时处理所有正常清求。

   　　*严重时会造成xp系统死机。

    

   预防步骤/方法:

   1. (1)定期扫描
      　　要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此 对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。
      　　
   2.  
      (2)在骨干节点配置防火墙
      　　防火墙本身能抵御Ddos攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
      　　
   3.  
      (3)用足够的机器承受黑客攻击
      　　这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。
      　　
   4.  
      (4)充分利用网络设备保护网络资源
      　　所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重 启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载 均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了Ddos的攻击。
      　　
   5.  
      (5)过滤不必要的服务和端口
      　　可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的 CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
      　　
   6.  
      (6)检查访问者的来源
      　　使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户， 很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。
      　　
   7.  
      (7)过滤所有RFC1918 IP地址
      　　RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻Ddos的攻击。 
   8.  
      (8)限制SYN/ICMP流量
      　　用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量 时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于Ddos效果不太明显了， 不过仍然能够起到一定的作用。

怎样预防Ddos攻击

标签：

原文地址：http://www.cnblogs.com/duanxz/p/4893420.html