|
如何最大限度地保護企業(yè)服務器?如果我們無法阻止這種攻擊�����,可以采取哪些措施?分布式拒絕服務(DDoS)是一種完全不同的攻擊�����,你阻止不了黑客對你這么做���,除非您主動斷開與互聯(lián)網的連接�,否則它會對你的網站發(fā)起DDoS攻擊����。然后我們必須首先了解DDoS攻擊的三個階段。 第一階段是目標確認:黑客將鎖定Internet上公司網絡的IP地址����。這個鎖定的IP地址可能代表企業(yè)的網絡服務器,DNS服務器���,互聯(lián)網網關等�����。選擇這些攻擊目標的目的也是多種多樣的����,例如賺錢(有人會為黑客攻擊某些網站付費),或者是為了打破樂趣���。 第二階段是準備階段:在這個階段,黑客將入侵互聯(lián)網上的大量計算機而沒有良好的保護系統(tǒng)(基本上是網絡上的家用計算機�,NDSL寬帶或有線電纜是主要方法),黑客將在未來植入所需的工具�。
第三階段是實際攻擊階段:黑客將攻擊命令發(fā)送給所有受到攻擊的計算機(即僵尸計算機),并命令計算機使用預先植入的攻擊工具連續(xù)向攻擊目標發(fā)送數據包���,使得目標無法處理大量數據或帶寬被占滿�。 聰明的黑客還會讓這些僵尸計算機欺騙攻擊數據包的IP地址���,并將攻擊目標的IP地址插入數據包的原始地址���。這稱為反射攻擊。在服務器或路由器看到這些數據包之后�,它會將收到的響應轉發(fā)(即反映)到原始IP地址,這將進一步增加到目標主機的數據流����。所以,我們無法阻止這種DDoS攻擊����,但是知道這種攻擊的原理���,我們可以最大限度地減少這種攻擊的影響。 減少攻擊影響
入侵過濾是一種簡單的安全策略����,所有網絡(ISP)都應該實現。在網絡邊緣(例如直接連接到外部網絡的每個路由器)���,應建立路由聲明����,以丟棄具有此網絡地址的源IP標記的所有數據包�。雖然這種方法不能防止DDoS攻擊,但它可以預防DDoS反射攻擊����。 減輕DDoS攻擊危害 但是很多大型ISP好像都因為各種原因拒絕實現入侵過濾,因此我們需要其它方式來降低DDoS帶來的影響。目前最有效的一個方法就是反追蹤(backscattertraceback method)�。 要采用這種方式,首先應該確定目前所遭受的是外部DDoS攻擊,而不是來自內網或者路由問題。接下來就要盡快在全部邊緣路由器的外部接口上進行配置,拒絕所有流向DDoS攻擊目標的數據流�。 將 路由器設置為拒絕這些資料包后,路由器會在每次拒絕數據包時發(fā)送一個因特網控制訊息協(xié)議(ICMP)包,并將"destinationunreachable"信息和被拒絕的數據包打包發(fā)送給來源IP地址。接下來,打開路由器日志,查看那個路由器收到的攻擊資料包最多���。然后根據所記錄的數據包來源IP確定哪個網段的資料量最大�����。在這個路由器上調整路由器針對這個網段為“黑洞”狀態(tài),并藉由修改子網掩碼的方法將這個網段隔離開�。然后再尋找這個網段的所有者的信息,聯(lián)系你的ISP以及數據發(fā)送網段的ISP,將攻擊情況匯報給他們,并請求協(xié)助。不論他們是否愿意幫忙,無非是一個電話的問題����。接下來為了讓服務和合法流量通過,你可以將其它一些攻擊情況較輕的路由器恢復正常,只保留承受攻擊最重的那個路由器,并拒絕攻擊來源最大的網段���。如果你的ISP和對方ISP很負責的協(xié)助阻擋攻擊數據包,你的服務器你的網絡將很快恢復正常����。
|
