ddos平台网站被攻击如何有效预防黑客DDoS攻击?

Distributed Denial of Service (DDoS) attacks refer to the use of client/server technology to combine multiple computers as an attack platform to launch DDoS attacks on one or more targets, thereby multiplying denial of service attacks. The power. Typically, an attacker uses a theft account to install the DDoS host program on a computer. At a set time, the master program communicates with a number of agents that have been installed on many computers on the network. The agent launches an attack when it receives the command. With client/server technology, the main control program can activate hundreds or thousands of agents in a matter of seconds.

DDoS attacks use a batch of controlled machines to launch attacks on a machine, so that a fast attack is unpredictable and therefore more damaging. If the network administrator used to filter the IP address method against Dos, then there is no way to face the many fake DDoS addresses. Therefore, it is more difficult to prevent DDoS attacks. How to take effective measures to deal with them? Let us introduce them from two aspects.
First, look for opportunities to deal with attacks
If the user is under attack, the defense work he can do will be very limited. Because a catastrophic attack with a large amount of traffic is rushing to the user when it is not ready, it is likely that the network has been paralyzed when the user has not returned to God. However, users can still seize the opportunity to seek a glimmer of hope.
Check the source of the attack. Usually, the hacker will attack through many fake IP addresses. At this time, if the user can distinguish which are true IP and which are fake IP addresses, then understand which network segments these IPs come from, and then look for the network administrator to The machine is turned off, eliminating the attack in the first place. If you find that these IP addresses are from outside rather than the company's internal IP, you can use a temporary filtering method to filter these IP addresses on the server or router.xx
找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DDoS的攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问互联网了。
最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
二,预防为主保证安全
分布式拒绝服务攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。
XX1.过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网络的IP地址,如10.0.0.0,192.168.0.0和172.16.0.0。它们不是某个网段的固定IP地址,而是Internet中保留的区域IP地址。他们应该过滤。算了吧。此方法不会过滤内部员工的访问权限,但会过滤攻击期间伪造的大量虚假内部IP,这也可以缓解DDoS攻击。
2.使用足够的机器来抵御黑客攻击
这是一个理想的应对策略。如果用户具有足够的容量和足够的资源供黑客攻击,当他不断访问用户并占用用户的资源时,他的能量逐渐丧失。也许用户没有遭到攻击,黑客也无法采取行动。然而,这种方法需要大量投资,并且大多数设备处于空闲状态,这与当前SME网络的实际操作不一致。
3.充分利用网络设备保护网络资源
所谓的网络设备是指负载均衡设备,如路由器和防火墙,可以有效保护网络。当网络受到攻击时,路由器首先死亡,但其他机器没有死亡。死机路由器在重启后会恢复正常,并且会快速启动,不会丢失。如果其他服务器死机,数据将丢失,重启服务器是一个漫长的过程。特别是,公司使用负载平衡设备,以便当一个路由器受到攻击时,另一个路由器将立即工作。这可以最大限度地减少DDoS攻击。
4.在骨干节点上配置防火墙
防火墙本身可以防御DDoS攻击和其他攻击。当发现攻击时,可以将攻击定向到一些牺牲主机,这可以保护真实主机免受攻击。当然,这些牺牲主机可以选择不重要,或者Linux和Unix以及其他具有很少漏洞和自然防御攻击的系统。
5.过滤不必要的服务和端口
可以使用Inexpress,Express,Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包源IP和路由表做比较,并加以过滤。只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
6.限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DDoS的效果不太明显了,不过仍然能够起到一定的作用。

XX7.定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
8.检查访问者的来源
使用单播反向路径转发等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性DDOS平台

相关推荐

发表评论

路人甲

网友评论(0)