如何防禦DDoS攻擊

以前我家裡用的是卡巴的防火牆，經常受到ddos的攻擊，每一次受到攻擊之後，機子就不能上網，只有重啟之後才可以上，十分鬱悶。如果關掉卡巴的提示，就不會出現上不了網的情況。所以現在我的機子都不敢再用卡巴的防火牆了。

現在對於學網路專業的我來說，ddos也不是太可怕了。

由於ddos攻擊的主要手段是通過大於管道處理能力的流量淹沒管道或通過超過處理能力的任務使系統癱瘓，所以理論上只要攻擊者能夠獲得比目標更強大的「動力」，目標是注定會被攻陷的。這意味著對於ddos攻擊來說並沒有100％有效的防禦手段。但是由於攻擊者必須付出比防禦者大的多的資源和努力才能擁有這樣的「動力」，所以只要我們更好的了解ddos攻擊，積極部署防禦措施，還是能夠在很大程度上緩解和抵禦這類安全威脅的。下面通過分門別類的介紹，希望可以幫助大家累積更多關於ddos的知識，掌握更多應對ddos的方法。這些介紹中的很多部分也適用於dos攻擊。

增強防禦力

目標系統處理

縱深防禦

攻擊者和目標通常並非直接相連，兩者之間要經過很多網路節點才能進行通訊。所以我們可以在受保護系統之前盡可能部署有效的屏障，以緩解系統的壓力。設定屏障最主要的工具就是防火牆，先進的防火牆產品能夠有效識別和處理資料報的深層內容，這樣有助於我們設定更加細緻的過濾。現在有很多防火牆產品整合了反ddos功能，進一步提高了對常見ddos攻擊包的識別能力。這樣的產品可以在很大程度上增強ddos防禦能力，並且可以做到不對資料報進行完全檢查就可以發現「惡意行為」。這是非常有幫助的能力，因為如果判斷ddos攻擊所耗費的處理越少，就越不容易被耗盡處理能力，從而極大的增加攻擊者的成本。包括很多路由器產品在內的網路裝置都具備一些防火牆功能，我們應該盡可能充分的利用。特別是路由器本身負責對資料流進行導向，應盡可能將其置於「前哨」位置。這樣既可以起到禦敵於千里之外的作用，又可以靈活的將攻擊包導向到其它無害的位置甚至化攻擊於虛無。當然，攻擊者對這些防禦層也會有或淺或深的體認，不會一味的以目標系統做為唯一的打擊點，他們很可能會在受到這些設施的阻撓之後轉而組織針對這些設施的攻擊，這就需要我們動態的對防禦設施進行調整，隨機應變。除了以上這些基礎的方法和工具之外，還有一些更高階的技巧可以利用，例如我們可以進行冗餘設計，以在系統癱瘓於攻擊發生時有可以隨時啟用的應急機制；也可以部署一些陷阱部件，既可以用於吸引攻擊流量，也可以對攻擊者起到一定的迷惑作用。

知己者勝

其實在對我們進行安全防禦時，最重要的因素之一是對系統的透徹了解。例如我們必須清楚的知道系統對外開放了哪些服務，哪些訪問是被禁止的。同時，當有ddos攻擊跡象發生的時候，我們也應該很好的判斷攻擊利用了系統的哪些處理機制。雖然我們已經聽過無數人無數次的重複「關閉不必要服務」，但顯然其重要性仍未被充分認知。有時乙個埠沒有開放我們就認為其處於安全狀態，其實事實並非如此。很多時候，一些關閉的埠由於設計上的原因仍會響應某些查詢，這一點經常被ddos攻擊所利用。攻擊者通過向這些看似沉睡的埠傳送海量的查詢耗盡目標系統的資源從而達到自己的目的。我們經常利用乙個稱為shields up!!的基於web介面的工具檢查埠的真實狀態，我們可以從

找到該工具的登入介面。我們在一台聯網的工作站上登入其頁面並執行all service ports檢測，返回的結果頁會列出從0到1055埠狀態的方格圖，綠色的小塊兒表示該埠處於安全的隱密（stealth）狀態，將不會對外界做出任何響應。如果小塊兒是代表危險的紅色，說明該埠處於開放狀態。而如果小塊兒是藍色的話，說明該埠處於關閉狀態，雖然大部分程式無法使用這些埠，但不代表其絕對安全。通過類似的工具我們可以更透徹的了解我們暴露在網路上的都是什麼，也才能進行真正有效的處理，同時不會忽視存在的隱患。

話外之言 - 攻擊是最好的防禦

這樣講可不是說為了避免受到攻擊，最好我們也去攻擊別人。面對ddos攻擊，不能束手待斃，更不能一味防禦。我們在前面提到過，攻擊行為會根據我們的情況進行調整，總是處於被動挨打的地位只是延緩失敗的到來。應該積極的組織反擊，在防禦的同時和服務商良好協同，向攻擊者施加壓力，並爭取給攻擊者以應得的懲罰。只有聯合盡可能多的力量集體行動，才能更有效的打擊ddos攻擊。希望能有更多的人培養起阻斷ddos攻擊的意識，有更多的組織肩負起對抗ddos攻擊的責任。

如何防禦DDoS攻擊

DDoS攻擊介紹，如何防禦DDoS攻擊

如何防禦ddos攻擊？

如何防禦DDOS攻擊

如何防禦DDoS攻擊

DDoS攻擊介紹，如何防禦DDoS攻擊

如何防禦ddos攻擊？

如何防禦DDOS攻擊

相關推薦