hlj317
新新人类
帖子
25
精华
0
无忧币 135
积分 125
阅读权限 20
|
发表于:2008-5-19 15:41
标题:DDOS攻击的解决方法
<上一帖 |
下一帖>
DDOS攻击的解决方法
以目前的状况来看,DDoS攻击由于攻击简单、容易达到目的、难于防止和追查,所以这种攻击方式越来越成为常见的攻击方式。
DDOS攻击如果按照攻击方式来分可以分为:资源消耗、服务中止和物理破坏。这些攻击方式危害性都是十分巨大的。
一般来说,DDoS攻击通过Internet上那些“僵尸”系统完成,这也是最常见的方式之一。
由于大量个人电脑联入Internet,且防护措施非常少,所以这点极易被黑客利用,只要植入某些代码,这些机器就成为DDoS攻击者的武器。当黑客发动大规模的DDoS时,只需要同时向这些将僵尸机发送某些命令,就可以由这些“僵尸”机器完成攻击。随着Botnet的发展,DDoS造成的攻击流量的规模可以非常惊人,会给应用系统或是网络本身带来非常大的负载消耗,这点千万不可小视。
既然DDOS破坏性这么厉害,那我们怎么来防护呢?
1.手工防护
一般而言手工方式防护DDoS主要通过两种形式:
系统优化:主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDoS进行防护,当黑客提高攻击的流量时,这种防护方法就无计可施了。
网络追查:遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。但是如果DDoS攻击流量的地址是伪造的,那么寻找其攻击源头的过程往往涉及很多运营商以及司法机关。再者,即使已经确定了攻击源头,进而对其流量进行阻断,也会造成相应正常流量的丢失。加之目前Botnet以及新型DrDoS攻击的存在,所以通过网络追查来防护DDoS攻击的方法没有任何实际意义。
2.避让策略
为了抵抗DDoS 攻击,客户可能会通过购买冗余硬件的方式来提高系统抗DDoS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高攻击流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。
3.路由器
通过路由器,我们确实可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDoS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,如果DDoS攻击采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范,这样黑客就很容易地过了路由器这一关。
4.防火墙
防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDoS攻击的防护,在某些情况下,防火墙甚至成为DDoS攻击的目标而导致整个网络的拒绝服务,这是要读者朋友引起注意的地方。
|
网络虽虚拟,技术无边界,来看看大家“真面目”! |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图