什麼是DDoS
分佈式拒絕服務(DDoS:Distributed Denial of Service)×××指藉助於客戶/服務器技術,將多個計算機聯合起來作爲×××平臺,對一個或多個目標發動DDoS×××,從而成倍地提高拒絕服務×××的威力。通常,×××者使用一個偷竊帳號將DDoS主控程序安裝在一個計算機上,在一個設定的時間主控程序將與大量代理程序通訊,代理程序已經被安裝在網絡上的許多計算機上。代理程序收到指令時就發動×××。利用客戶/服務器技術,主控程序能在幾秒鐘內激活成百上千次代理程序的運行。
DdoS×××是×××最常用的×××手段,下面列出了對付它的一些常規方法。
(1)定期掃描
要定期掃描現有的網絡主節點,清查可能存在的安全漏洞,對新出現的漏洞及時進行清理。骨幹節點的計算機因爲具有較高的帶寬,是×××利用的最佳位置,因此對 這些主機本身加強主機安全是非常重要的。而且連接到網絡主節點的都是服務器級別的計算機,所以定期掃描漏洞就變得更加重要了。
(2)在骨幹節點配置防火牆
防火牆本身能抵禦DdoS×××和其他一些×××。在發現受到×××的時候,可以將×××導向一些犧牲主機,這樣可以保護真正的主機不被×××。當然導向的這些犧牲主機 可以選擇不重要的,或者是linux以及unix等漏洞少和天生防範×××優秀的系統
(3)用足夠的機器承受××××××
這是一種較爲理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給××××××,在它不斷訪問用戶、奪取用戶資源之時,自己的能量也在逐漸耗失,或許未等用 戶被攻死,×××已無力支招兒了。不過此方法需要投入的資金比較多,平時大多數設備處於空閒狀態,和目前中小企業網絡實際運行情況不相符。
(4)充分利用網絡設備保護網絡資源
所謂網絡設備是指路由器、防火牆等負載均衡設備,它們可將網絡有效地保護起來。當網絡被×××時最先死掉的是路由器,但其他機器沒有死。死掉的路由器經重啓 後會恢復正常,而且啓動起來還很快,沒有什麼損失。若其他服務器死掉,其中的數據會丟失,而且重啓服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設 備,這樣當一臺路由器被×××死機時,另一臺將馬上工作。從而最大程度的削減了DdoS的×××。
(5)過濾不必要的服務和端口
過濾不必要的服務和端口,即在路由器上過濾假IP ……只開放服務端口成爲目前很多服務器的流行做法,例如WWW服務器那麼只開放80而將其他所有端口關閉或在防 火牆上做阻止策略。
(6)檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,它將予以屏蔽。許多××××××常採用假IP地址方 式迷惑用戶,很難查出它來自何處。因此,利用Unicast Reverse Path Forwarding可減少假IP地址的出現,有助於提高網絡安全性。
(7)過濾所有RFC1918 IP地址
RFC1918 IP地址是內部網的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它們不是某個網段的固定的IP地址,而是Internet內部保留的區域性IP地址,應該把 它們過濾掉。此方法並不是過濾內部員工的訪問,而是將×××時僞造的大量虛假內部IP過濾,這樣也可以減輕DdoS的×××。
(8)限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能佔有的最高頻寬,這樣,當出現大量的超過所限定的SYN/ICMP流量時,說明不是正常的網絡訪問 ,而是有×××***。早期通過限制SYN/ICMP流量是最好的防範DOS的方法,雖然目前該方法對於DdoS效果不太明顯了,不過仍然能夠起到一定的作用。
DDoS ×××主要要兩大類: 帶寬耗盡×××和資源耗盡×××. 爲了有效遏制這兩種類型的×××,可以按照下面列出的步驟來做:
1、如果只有幾臺計算機是×××的來源,並且已經確定了這些來源的 IP 地址, 你在防火牆服務器上放置一份 ACL(訪問控制列表) 來阻斷這些來自這些 IP 的訪問。如果可能的話將 web 服務器的 IP 地址變更一段時間,但是如果×××者通過查詢服務端的 DNS 服務器解析到新設定的 IP,那這一措施及不再有效了。
2、如果確定×××來自一個特定的國家,可以考慮將來自那個國家的 IP 阻斷,至少要阻斷一段時間。
3、監控進入的網絡流量。通過這種方式可以知道誰在訪問你的網絡,可以監控到異常的訪問者,可以在事後分析日誌和來源IP。在進行大規模的×××之前,×××者可能會使用少量的×××來測試你網絡的健壯性。
4、對付帶寬消耗型的×××來說,最有效(也很昂貴)的解決方案是購買更多的帶寬。
5、也可以使用高性能的負載均衡軟件,使用多臺服務器,並部署在不同的數據中心。
6、對web和其他資源使用負載均衡的同時,也使用相同的策略來保護DNS。
7、優化資源使用提高 web server 的負載能力。例如,使用 apache 可以安裝 apachebooster 插件,該插件與 varnish 和 nginx 集成,可以應對突增的流量和內存佔用。
8、使用高可擴展性的 DNS 設備來保護針對 DNS 的 DDOS ×××。可以考慮購買 Cloudfair 的商業解決方案,它可以提供針對 DNS 或 TCP/IP3 到7層的 DDOS ×××保護。
9、啓用路由器或防火牆的反IP欺騙功能。在 CISCO 的 ASA 防火牆中配置該功能要比在路由器中更方便。在 ASDM(Cisco Adaptive Security Device Manager)中啓用該功能只要點擊“配置”中的“防火牆”,找到“anti-spoofing”然後點擊啓用即可。也可以在路由器中使用 ACL(access control list)來防止 IP 欺騙,先針對內網創建 ACL,然後應用到互聯網的接口上。
10、使用第三方的服務來保護你的網站。有不少公司有這樣的服務,提供高性能的基礎網絡設施幫你抵禦拒絕服務×××。你只需要按月支付幾百美元費用就行。
11、注意服務器的安全配置,避免資源耗盡型的 DDOS ×××。
12、聽從專家的意見,針對×××事先做好應對的應急方案。
13、監控網絡和 web 的流量。如果有可能可以配置多個分析工具,例如:Statcounter 和 Google analytics,這樣可以更直觀瞭解到流量變化的模式,從中獲取更多的信息。
14、保護好 DNS 避免 DNS 放大×××。
15、在路由器上禁用 ICMP。僅在需要測試時開放 ICMP。在配置路由器時也考慮下面的策略:流控,包過濾,半連接超時,垃圾包丟棄,來源僞造的數據包丟棄,SYN 閥值,禁用 ICMP 和 UDP 廣播。
SSL證書是HTTP明文協議升級HTTPS加密協議的重要渠道,是網絡安全傳輸的加密到通道。GDCA致力於網絡信息安全,已通過WebTrust的國際認證,是全球可信任的證書籤發機構。