预防DdoS攻击从合理配置服务器及架设防火墙开始.pdfVIP

本文由 美国空间/ 奇码站长网/fuwuqi/vps/ 整理 /zhanzhang/domain/ /zhanzhang/news/ DdoS DdoS 预防DDddooSS攻击从合理配置服务器及架设防火墙开始 DdoS DdoS 一、合理配置服务器有效预防DDddooSS攻击 1、拒绝服务攻击的发展 从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单 Dos DdoS Dos DdoS ?DoS 到现在的 。那么什么是 和 呢 是一种利用单 台计算机的攻击方式。而DdoS(DistributedDenial ofService，分布式 拒绝服务)是一种基于DoS 的特殊形式的拒绝服务攻击，是一种分布、 协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、 搜索引擎和政府部门的站点。DdoS 攻击是利用一批受控制的机器向 一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较 Dos IP 大的破坏性。如果说以前网络管理员对抗 可以采取过滤 地址 方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。 所以说防范DdoS 攻击变得更加困难，如何采取措施有效的应对呢? 下面我们从两个方面进行介绍。 2、预防为主保证安全 DdoS 攻击是黑客最常用的攻击手段，下面列出了对付它的一些 常规方法。 (1)定期扫描 本文由 美国空间/ 奇码站长网/fuwuqi/vps/ 整理 /zhanzhang/domain/ /zhanzhang/news/ 要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新 出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽， 是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重 要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期 扫描漏洞就变得更加重要了。 (2)在骨干节点配置防火墙 防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击 的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不 被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux 以及unix等漏洞少和天生防范攻击优秀的系统。 (3)用足够的机器承受黑客攻击 这是一种较为理想的应对策略。如果用户拥有足够的容量和足够 的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的 能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不 过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和 目前中小企业网络实际运行情况不相符。 (4)充分利用网络设备保护网络资源 所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网 络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机 器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快， 没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服 务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这 本文由 美国空间/ 奇码站长网/fuwuqi/vps/ 整理 /zhanzhang/domain/ /zhanzhang/news/ 样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的 削减了DdoS 的攻击。 (5)过滤不必要的服务和端口 可以使用Inexpress、Express、Forwarding等工具来过滤不必要的 服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding) SourceIP RoutingTable 可以针对封包 和