DDoS前世今生 攻击原理与防御方法解析
2009-01-17 13:51:10 来源:WEB开发网核心提示: 一个服务器若是处理这些大量的半连接信息而消耗大量的 系统资源和网络带宽,这样服务器就不会再有空余去处理普通用户的正常请求(因为客户的正常请求比率很小),DDoS前世今生 攻击原理与防御方法解析(5),这样这个服务器就无法工作了,这种攻击 就叫做:SYN-Flood攻击,我们就可以挡住一部分
一个服务器若是处理这些大量的半连接信息而消耗大量的 系统资源和网络带宽,这样服务器就不会再有空余去处理普通用户的正常请求(因为客户的正常请求比率很小)。这样这个服务器就无法工作了,这种攻击 就叫做:SYN-Flood攻击。
到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住 DDoS攻击。不过这不等于我们就没有办法阻挡DDoS攻击,我们可以尽力来减少DDoS的攻击。下面就是一些防御方法:
1。确保服务器的系统文件是最新的版本,并及时更新系统补丁。
2。关闭不必要的服务。
3。限制同时打开的SYN半连接数目。
4。缩短SYN半连接的time out 时间。
5。正确设置防火墙
禁止对主机的非开放服务的访问,限制特定IP地址的访问,启用防火墙的防DDoS的属性,严格限制对外开放的服务器的向外访问,运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。
6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。
7。限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客,无疑是给了对方入侵的机会。
8。路由器,以Cisco路由器为例,Cisco Express Forwarding(CEF),使用unicast reverse-path ,访问控制列表(ACL)过滤,设置SYN数据包流量速率,升级版本过低的ISO ,为路由器建立log server ,能够了解DDoS攻击的原理,对我们防御的措施在加以改进,我们就可以挡住一部分的DDoS攻击,知己知彼,百战不殆嘛。
[]
赞助商链接