技术前沿

如何让防范黑客DDoS的攻击

2019-04-26 蓝西资讯

分布式拒绝服务攻击(简称DDoS)是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍的提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客服/服务器技术,主控程序能在几秒内激活成白上千次代理程序的运行。

DDoS攻击通过大量合法请求占用大量网络资源,以达到瘫痪网络的目的。这种攻击方式分为以下几种:

1、通过使网络过载来干扰甚至阻断正常的网络通讯。

2、通过向服务器提交大量请求,使服务器超负荷。

3、阻断某一个用户访问服务器。

4、阻断某服务于特定系统或个人的通讯。

那么,我们怎么应对和防范DDoS攻击呢?

1、定期扫描

定期扫描现在持有的网络主节点,彻查可能存在的安全漏洞,对新出现的漏洞进行及时清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要。

2、过滤所有RFC1918私有网络IP地址

因特网域名分配阻止IANA组织保留10.0.0.0、172.16.0.0、192.168.0.0三个IP地址用于私有网络,过滤所有RFC1918地址时为了将攻击时伪造的大量虚假IP浮出水面,这样就会减轻DDoS的攻击。

3、过滤无用的服务和端口

可以使用软件工具来过滤无用的服务和端口,比如在路由器上过滤IP。可以针对封包Source IP和Routing Table做比较,并进行过滤。目前很多服务器都只开放服务端口,将其他端口关闭和防火墙上做阻止策略。

4、利用网络设备保护网络资源

网络设备是指路由器、防火墙等设备,它们可以有效的将网络保护起来。当网络受到攻击时最先瘫痪的是路由器,其他机器暂时是安全的。瘫痪的路由器重启后会恢复正常,而且启动速度也很快,没有什么损失。如果其他服务器瘫痪,里面的数据会丢失,而且重启服务器是一个漫长的过程。所以使用了这些网络设备,当一台设备被攻击瘫痪是,另一台将马上工作,这样最大程度削减的DDoS的攻击。

5、用足够的机器承受黑客攻击

这是一个较为理想的应对策略,足够多的用户拥有足够多的容量和资源给黑客攻击,在它不断访问和夺取资源的时候,自己的攻击能量也在逐渐消耗,所以足够多的机器可以完全消耗掉DDoS的攻击。但这种方法需要大量资金的投入,平时会有机器空闲的现象,所以经常受到攻击和大型企业可以尝试这种方法。

6、在骨干节点配置防火墙

防火墙本身可以抵制DDoS攻击和其它一些攻击,在发现受到攻击时,可以将攻击导向一些主机,这样可以保护真正的主机和服务器不被攻击。选择的牺牲的这些主机是不重要的,或者选择Linux以及unix等漏洞少和防范攻击强的系统。

7、限制SYN/ICMP流量

用户可以在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽。这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是受到黑客的攻击。通过限制SYN/ICMP流量是最好的防范DDoS攻击的方法,虽然效果不是很明显,但仍然能够起到一定的作用

8、检查访问者的来历

通过反向路由器查询的方法来检查访问者的IP地址是真是假,如果是假的,它可以进行屏蔽。很多黑客攻击经常采用假IP地址的方式迷惑用户,很难查出它来自何处。所以,利用反向查询可以减少假IP地址的出现,提高网络安全性。