当网站遭遇DDOS攻击的解决方案及展望(4)
发布时间:2011-02-28 20:45:00
三、针对DOS预防措施
对于预防及缓解这种带宽相关的DoS攻击并没有什么灵丹妙药。本质上,这是一种“粗管子打败细管子”的攻击。攻击者能“指使”更多带宽,有时甚至是巨大的带宽,就能击溃带宽不够的网络。在这种情况下,预防和缓解应相辅相成。
有许多方法可以使攻击更难发生,或者在攻击发生时减小其影响,具体如下:
Ø 网络入口过滤
网络服务提供商应在他的下游网络上设置入口过滤,以防止假信息包进入网络(而把它们留在Internet上)。这将防止攻击者伪装IP地址,从而易于追踪。
Ø 网络流量过滤
过滤掉网络不需要的流量总是不会错的。这还能防止DoS攻击,但为了达到效果,这些过滤器应尽量设置在网络上游。
Ø 网络流量速率限制 一些路由器有流量速率的最高限制。
这些限制条款将加强带宽策略,并允许一个给定类型的网络流量匹配有限的带宽。这一措施也能预先缓解正在进行的攻击,同时,这些过滤器应尽量设置在网络上游(尽可能靠近攻击者);
Ø 入侵检测系统和主机监听工具
IDS能警告网络管理员攻击的发生时间,以及攻击者使用的攻击工具,这将能协助阻止攻击。主机监听工具能警告管理员系统中是否出现DoS工具
Ø 单点传送RPF
这是CEF用于检查在接口收到的数据包的另一特性。如果源IP地址CEF表上不具有与指向接收数据包时的接口一致的路由的话,路由器就会丢掉这个数据包。丢弃RPF的妙处在于,它阻止了所有伪装源IP地址的攻击。
针对DDOS预防措施
看了上面的实际案例我们也了解到,许多DDoS攻击都很难应对,因为搞破坏的主机所发出的请求都是完全合法、符合标准的,只是数量太大。借助恰当的ACL,我们可以阻断ICMP echo请求。但是,如果有自己的自治系统,就应该允许从因特网上ping你。不能ping通会使ISP或技术支持团队(如果有的话)丧失某些故障排解能力。也可能碰到具有Cisco TCP截获功能的SYN洪流:
Router(config)#ip tcp intercept list 101
Router(config)#ip tcp intercept max-incomplete high 3500
Router(config)#ip tcp intercept max-incomplete low 3000
Router(config)#ip tcp intercept one-minute high 2500
Router(config)#ip tcp intercept one-minute low 2000
Router(config)#access-list 101 permit any any
如果能采用基于上下文的访问控制(Context Based Access Control,CBAC),则可以用其超时和阈值设置应对SYN洪流和UDP垃圾洪流。例如:
Router(config)# ip inspect tcp synwait-time 20
Router(config)# ip inspect tcp idle-time 60
Router(config)# ip inspect udp idle-time 20
Router(config)# ip inspect max-incomplete high 400
Router(config)# ip inspect max-incomplete low 300
Router(config)# ip inspect one-minute high 600
Router(config)# ip inspect one-minute low 500
Router(config)# ip inspect tcp max-incomplete host 300 block-time 0
警告:建议不要同时使用TCP截获和CBAC防御功能,因为这可能导致路由器过载。
打开Cisco快速转发(Cisco Express Forwarding,CEF)功能可帮助路由器防御数据包为随机源地址的洪流。可以对调度程序做些设置,避免在洪流的冲击下路由器的CPU完全过载:
Router(config)#scheduler allocate 3000 1000
在做了这样的配置之后,IOS会用3s的时间处理网络接口中断请求,之后用1s执行其他任务。对于较早的系统,可能必须使用命令scheduler interval《milliseconds》。
四、总结
无论是出于报复、敲诈勒索、发起更大规模攻击,DoS或DDoS攻击都是一种不容轻视的威胁。非同一般的DoS攻击通常是某种不完整的漏洞利用—使系统服务崩溃,而不是将控制权交给攻击者。防范这种攻击的办法是及时打上来自厂商的补丁,或者对于Cisco系统,及时将操作系统升级到更新版本。同时,要关闭有漏洞的服务,或者至少要用访问控制列表限制访问。常规的DoS攻击,特别是DDoS攻击,经常不是那么有章法,也更难防范。如果整个带宽都被蹩脚的ping洪流所耗尽,我们所能做的就很有限了。最后,必须与ISP和权力部门协作,尽可能从源头上阻止攻击。要用不同供应商、不同AS路径并支持负载均衡功能的不止一条到因特网的连接,但这与应对消耗高带宽的常规DoS/DDoS洪流的要求还相差很远。我们总是可以用CAR或NBAR来抛弃数据包或限制发动进攻的网络流速度,减轻路由器CPU的负担,减少对缓冲区和路由器之后的主机的占用。
文章来源:http://www.cnblogs.com/chenguang/archive/2011/02/26/1965918.html
0
投稿猜你喜欢
- 做网赚说复杂也复杂,说简单也会简单,但为什么新手做网赚往往感到很无力,找不到任何方向,在万般无奈的情况下找到一个网赚的项目到头来还发现居然是
在刚装完mysql,就建立了数据库abc,然后新建一个abc表,插入英文没有问题,但是插入中文就有问题,会报错:ERROR 1366 (HY- 问题:之前虚拟机都是可以通过桥接模式上网的,这两天新装的虚拟机不管怎么设置,都无法通过桥接模式连接上网络。原因和解决办法:尝试了很多种办法,
- 扩展提示译注:少数条目有重复,不重新编排以遵从原文。AdSense 收入 = 广告展示次数 x 点击率 x 点击单价 x 智能定价因素(Sm
- SEO发展到今天,可以说已经有非常多的SEOER涌现,也有越来越多的“准SEOER”正在学习或打算学习SEO技术,那么,是什么导致SEO越来
- Google AdSense英文关键词价格要远远高于中文关键词,初略观察,有实力的同学,做英文站也许是这个经济形式下的一个不错的选择。并不是
- WWW,也有人称它为WEB,是应用目前互联网上增长最快的网络信息服务,也是最方便和最受欢迎的信息服务类型。其最大的特点为集成性,它可以集成多
- 百度与Google两大搜索向来都是不同的,Google的搜索结果更客观点,而百度则更适合大众化用户,作为站长有必要了解他们的某些“特殊爱好”
- 什么是红海战略和蓝海战略红海战略主要是在已有已知的市场空间竞争,在这里你相对于你对手是成本比他低,或是比他更加可以达到差异化的战略两者取其一
- 选择服务器是一项重大决策,通常费时费钱。错误的决策会导致不良后果。在本文中,我们将首先谈谈一些在规划时需考虑的问题,然后进一步讨论如何在Wi
- 作为一个新站长,我实在不想写这篇文章. 但是今天我发现我的一个小炒作竟然成功了.所以还是和大家分享一下这20多天的建站历程.我的网站是一个图
- Exchange 2007的变化包括:采用统一的收件箱,支持语音邮件,并改进了Outlook客户端电子邮件软件。①立即升级的公司廖廖无几。高
- 大家先来看看问题描述:新建虚拟机的列表中没有64位系统选项,如何解决?操作系统:Windows 7 64位;虚拟机:Oracle VM Vi
- Tools工具箱是为了方便广大站长日常维护论坛等程序而出的工具。工具箱只有单一的一个文件,便于上传和使用。比如找回管理员、修复数据库、导入数
- Flickr今天宣布将支持开放街道地图(OpenStreetMap,OSM)网站的标签。OSM是一家类似维基的地图网站,允许用户创建和编辑地
- 1 安装GIT$ sudo aptitude install git$ sudo aptitude install
- 做站也有一段时间了,俗话说的好,外行看我们很好赚,但实际做了才发现,真的不简单,一个字"难"。做站,每个人从做垃圾站过来
- 本文实例讲述了CentOS平台快速搭建LAMP环境的方法。分享给大家供大家参考,具体如下:LAMP -- Linux Apach
- Google AdSense发布者在账号被停止后是否可以收到已经支付或即将支付的款项,这是最近很多发布者都在关注的问题,尤其是通过西联汇款支
- 下面给大家介绍下Godaddy-Linux主机上安装的程序语言,这是我们的Godaddy-Linux主机服务器上的Web软件及版本。操作系统
