淺析如何預防DDOS攻擊
古人有一句話說:要防微杜漸,不可諱疾忌醫(yī)。面對互聯(lián)網(wǎng)安全也是如此,在DDOS攻擊大行其道的今天,如果自身企業(yè)并沒有遭到DDOS攻擊也不要就放心下來。如何預防DDOS攻擊是企業(yè)網(wǎng)絡管理員應該思考的問題。對于面臨拒絕服務攻擊的目標或潛在目標,應該采取的重要措施:
預防DDOS方法一:消除 FUD心態(tài)
FUD 的意思是 Fear(恐懼)、 Uncerntainty(猜測)和 Doubt(懷疑)。最近發(fā)生的攻擊可能會使某些人因為害怕成為攻擊目標而整天擔心受怕。其實必須意識到可能會成為拒絕服務攻擊目標的公司或主機只是極少數(shù),而且多數(shù)是一些著名站點,如搜索引擎、門戶站點、大型電子商務和證券公司、 IRC服務器和新聞雜志等。如果不屬于這類站點,大可不必過于擔心成為拒絕服務攻擊的直接目標。
預防DDOS方法二:要求與 ISP協(xié)助和合作
獲得你的主要互聯(lián)網(wǎng)服務供應商( ISP)的協(xié)助和合作是非常重要的。分布式拒絕服務( DDoS)攻擊主要是耗用帶寬,單憑你自己管理網(wǎng)絡是無法對付這些攻擊的。與你的 ISP協(xié)商,確保他們同意幫助你實施正確的路由訪問控制策略以保護帶寬和內(nèi)部網(wǎng)絡。最理想的情況是當發(fā)生攻擊時你的 ISP愿意監(jiān)視或允許你訪問他們的路由器。
預防DDOS方法三:優(yōu)化路由和網(wǎng)絡結構
如果你管理的不僅僅是一臺主機,而是網(wǎng)絡,就需要調(diào)整路由表以將拒絕服務攻擊的影響減到最小。為了防止 SYN flood攻擊,應設置 TCP偵聽功能。詳細資料請參閱相關路由器技術文檔。另外禁止網(wǎng)絡不需要使用的 UDP和 ICMP包通過,尤其是不應該允許出站 ICMP“不可到達”消息。
預防DDOS方法四:優(yōu)化對外開放訪問的主機
對所有可能成為目標的主機都進行優(yōu)化。禁止所有不必要的服務。另外多 IP主機也會增加攻擊者的難度。建議在多臺主機中使用多 IP地址技術,而這些主機的首頁只會自動轉向真正的 web服務器。
預防DDOS方法五:正在受到攻擊時,必須立刻應用對應策略。
盡可能迅速地阻止攻擊數(shù)據(jù)包是非常重要的,同時如果發(fā)現(xiàn)這些數(shù)據(jù)包來自某些 ISP時應盡快和他們?nèi)〉寐?lián)系。千萬不要依賴數(shù)據(jù)包中的源地址,因為它們在 DoS攻擊中往往都是隨機選擇的。是否能迅速準確地確定偽造來源將取決于你的響應動作是否迅速,因為路由器中的記錄可能會在攻擊中止后很快就被清除。
對于已被或可能被入侵和安裝 DDoS代理端程序的主機,應該采取的重要措施:
預防DDOS方法六:消除 FUN心態(tài)
作為可能被入侵的對象,沒必要太過緊張,只需盡快采取合理和有效的措施即可?,F(xiàn)在的拒絕服務攻擊服務器都只被安裝到 Linux和 Solaris系統(tǒng)中。雖然可能會被移植到 *BSD*或其它系統(tǒng)中,但只要這些系統(tǒng)足夠安全,系統(tǒng)被入侵的可能性不大。
預防DDOS方法七:確保主機不被入侵和是安全的
現(xiàn)在互聯(lián)網(wǎng)上有許多舊的和新的漏洞攻擊程序。以確保你的服務器版本不受這些漏洞影響。記住,入侵者總是利用已存在的漏洞進入系統(tǒng)和安裝攻擊程序。系統(tǒng)管理員應該經(jīng)常檢查服務器配置和安全問題,運行最新升級的軟件版本,最重要的一點就是只運行必要的服務。如果能夠完全按照以上思路,系統(tǒng)就可以被認為是足夠安全,而且不會被入侵控制。
預防DDOS方法八:周期性審核系統(tǒng)
必須意識到你要對自己管理的系統(tǒng)負責。應該充分了解系統(tǒng)和服務器軟件是如何工作的,經(jīng)常檢查系統(tǒng)配置和安全策略。另外還要時刻留意安全站點公布的與自發(fā)管理的操作系統(tǒng)及軟件有關的最新安全漏洞和問題。
預防DDOS方法九:檢查文件完整性
當確定系統(tǒng)未曾被入侵時,應該盡快這所有二進制程序和其它重要的系統(tǒng)文件產(chǎn)生文件簽名,并且周期性地與這些文件比較以確保不被非法修改。另外,強烈推薦將文件檢驗和保存到另一臺主機或可移動介質(zhì)中。這類文件 /目錄完整性檢查的免費工具(如 tripwire等)可以在許多 FTP站點上下載。當然也可以選擇購買商業(yè)軟件包。
預防DDOS方法十:發(fā)現(xiàn)正在實施攻擊時,必須立刻關閉系統(tǒng)并進行調(diào)查
如果監(jiān)測到(或被通知)網(wǎng)絡或主機正實施攻擊,應該立刻關閉系統(tǒng),或者至少切斷與網(wǎng)絡的連接。因為這些攻擊同時也意味著入侵者已幾乎完全控制了該主機,所以應該進行研究分析和重新安裝系統(tǒng)。建議聯(lián)系安全組織。。必須記往,將攻擊者遺留在入侵主機中的所有程序和數(shù)據(jù)完整地提供給安全組織或專家是非常重要,因為這能幫助追蹤攻擊的來源。
【編輯推薦】