高手輕松教你如何針對DDos部署防御措施
來源:易賢網(wǎng) 閱讀:1874 次 日期:2016-08-03 14:54:49
溫馨提示:易賢網(wǎng)小編為您整理了“高手輕松教你如何針對DDos部署防御措施”,方便廣大網(wǎng)友查閱!

對于DDoS攻擊來說并沒有100%有效的防御手段。但是由于攻擊者必須付出比防御者大得多的資源和努力才能擁有這樣的“動力”,所以只要我們更好的了解DDoS攻擊,積極部署防御措施,還是能夠在很大程度上緩解和抵御這類安全威脅的。

增強(qiáng)防御力

對抗DDoS攻擊一個很重要的要素就是增強(qiáng)自身的防御能力。使用更大的帶寬及提升相關(guān)設(shè)備的性能是面對DDoS攻擊最直接的處理方法。雖然這必定需要耗用一定的資源,但是對于那些將生存寄托于這些在線系統(tǒng)的企業(yè)來說,進(jìn)行這種投入是具備足夠理由的。只是在執(zhí)行這類“硬性增幅”的時候,我們需要把握適度的原則。

因為我們的資源是有限的,如果增加100%的投入僅能在相關(guān)性能及DDoS防御力上獲得10%的提升,明顯是一種得不償失的處理方式,畢竟這并不是我們僅有的選擇。而且攻擊者的資源同樣是有限的,在我們增加防御強(qiáng)度的同時,就意味著攻擊者必須集合比原來多得多的攻擊傀儡機(jī)來實施攻擊,并且會提高攻擊者暴露的風(fēng)險。不過應(yīng)該記住的是,真正有效的DDoS防御并不是陷入與攻擊者“角力”的惡性循環(huán)當(dāng)中,而是應(yīng)該綜合各種方法,為攻擊者設(shè)置足夠的障礙。

目標(biāo)系統(tǒng)處理

攻擊者的最終目標(biāo)可能是一臺主機(jī),也可能是一臺網(wǎng)絡(luò)設(shè)備。除了對其目標(biāo)的硬件能力進(jìn)行增強(qiáng)之外,我們同樣應(yīng)該充分發(fā)揮系統(tǒng)自身的潛能,通過對目標(biāo)系統(tǒng)的針對性處理,我們可以有效地放大現(xiàn)有資源的能量。最基本的任務(wù)是做好更新補(bǔ)丁的工作。特別是一些操作系統(tǒng)的通訊協(xié)議堆棧存在著問題,很容易成為拒絕服務(wù)攻擊的利用對象。因為利用漏洞實施拒絕服務(wù)攻擊相對于純粹的設(shè)施能力比拼要容易的多。如果不能保證消除明顯可被拒絕服務(wù)攻擊利用的漏洞,其它的防御工作將只能成為擺設(shè)。

好在現(xiàn)在各類系統(tǒng)的補(bǔ)丁更新速度還是比較令人滿意的,只要根據(jù)自身環(huán)境的情況注意對相關(guān)系統(tǒng)的補(bǔ)丁發(fā)布情況進(jìn)行跟蹤就可以了。一些經(jīng)常被使用的方法還包括限制連接隊列的長度以及減少處理延時等。前者可以緩解系統(tǒng)資源的耗盡,雖然不能完全避免“拒絕服務(wù)”的發(fā)生,但是至少在一定程度上降低了系統(tǒng)崩潰的可能性。而后者能夠加強(qiáng)系統(tǒng)的處理能力,通過減少延時,我們可以以更快的速度拋棄隊列里的等待的連接,而不是任其堆滿隊列;不過這種方法也不是在所有的情況下都有效,因為很多DDoS的攻擊機(jī)制并不是建立在類似SYN Flood這樣以畸形連接淹沒隊列的方式之上。

縱深防御

攻擊者和目標(biāo)通常并非直接相連,兩者之間要經(jīng)過很多網(wǎng)絡(luò)節(jié)點才能進(jìn)行通信。所以我們可以在受保護(hù)系統(tǒng)之前盡可能部署有效的屏障,以緩解系統(tǒng)的壓力。設(shè)置屏障最主要的工具就是_blank“》防火墻,先進(jìn)的_blank”》防火墻產(chǎn)品能夠有效識別和處理數(shù)據(jù)包的深層內(nèi)容,這樣有助于我們設(shè)置更加細(xì)致的過濾。

現(xiàn)在有很多_blank“》防火墻產(chǎn)品集成了反DDoS功能,進(jìn)一步提高了對常見DDoS攻擊包的識別能力。這樣的產(chǎn)品可以在很大程度上增強(qiáng)DDoS防御能力,并且可以做到不對數(shù)據(jù)包進(jìn)行完全檢查就可以發(fā)現(xiàn)“惡意行為”。這是非常有幫助的能力,因為如果判斷DDoS攻擊所耗費(fèi)的處理越少,就越不容易被耗盡處理能力,從而極大的增加攻擊者的成本。包括很多路由器產(chǎn)品在內(nèi)的網(wǎng)絡(luò)設(shè)備都具備一些_blank”》防火墻功能,我們應(yīng)該盡可能充分的利用。

特別是路由器本身負(fù)責(zé)對數(shù)據(jù)流進(jìn)行導(dǎo)向,應(yīng)盡可能將其置于“前哨”位置。這樣既可以起到御敵于千里之外的作用,又可以靈活地將攻擊包導(dǎo)向到其它無害的位置甚至化攻擊于虛無。當(dāng)然,攻擊者對這些防御層也會有或淺或深的體認(rèn),不會一味地以目標(biāo)系統(tǒng)作為惟一的打擊點,他們很可能會在受到這些設(shè)施的阻撓之后轉(zhuǎn)而組織針對這些設(shè)施的攻擊,這就需要我們動態(tài)的對防御設(shè)施進(jìn)行調(diào)整,隨機(jī)應(yīng)變。

除了以上這些基礎(chǔ)的方法和工具之外,還有一些更高級的技巧可以利用,例如我們可以進(jìn)行冗余設(shè)計,以在系統(tǒng)癱瘓于攻擊發(fā)生時有可以隨時啟用的應(yīng)急機(jī)制;也可以部署一些陷阱部件,既可以用于吸引攻擊流量,也可以對攻擊者起到一定的迷惑作用。

知己者勝

其實在對我們進(jìn)行安全防御時,最重要的因素之一是對系統(tǒng)的透徹了解。例如我們必須清楚地知道系統(tǒng)對外開放了哪些服務(wù),哪些訪問是被禁止的。同時,當(dāng)有DDoS攻擊跡象發(fā)生的時候,我們也應(yīng)該很好地判斷攻擊利用了系統(tǒng)的哪些處理機(jī)制。雖然我們已經(jīng)聽過無數(shù)人無數(shù)次的重復(fù)“關(guān)閉不必要服務(wù)”,但顯然其重要性仍未被充分認(rèn)知。

有時一個端口沒有開放我們就認(rèn)為其處于安全狀態(tài),其實事實并非如此。很多時候,一些關(guān)閉的端口由于設(shè)計上的原因仍會響應(yīng)某些查詢,這一點經(jīng)常被DDoS攻擊所利用。攻擊者通過向這些看似沉睡的端口發(fā)送海量的查詢耗盡目標(biāo)系統(tǒng)的資源從而達(dá)到自己的目的。我們經(jīng)常利用一個稱為Shields UP的基于Web接口的工具檢查端口的真實狀態(tài)。

我們在一臺聯(lián)網(wǎng)的工作站上登錄其頁面并執(zhí)行All Service Ports檢測,返回的結(jié)果頁會列出從0到1055端口狀態(tài)的方格圖,綠色的小塊兒表示該端口處于安全的隱秘(Stealth)狀態(tài),將不會對外界做出任何響應(yīng)。如果小塊兒是代表危險的紅色,說明該端口處于開放狀態(tài)。而如果小塊兒是藍(lán)色的話,說明該端口處于關(guān)閉狀態(tài),雖然大部分程序無法使用這些端口,但不代表其絕對安全。通過類似的工具我們可以更透徹的了解我們暴露在網(wǎng)絡(luò)上的都是什么,也才能進(jìn)行真正有效的處理,同時不會忽視存在的隱患。

以上就是如何針對DDos部署的防御措施,希望對大家的學(xué)習(xí)有所幫助。

更多信息請查看技術(shù)文章
易賢網(wǎng)手機(jī)網(wǎng)站地址:高手輕松教你如何針對DDos部署防御措施
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!

2025國考·省考課程試聽報名

  • 報班類型
  • 姓名
  • 手機(jī)號
  • 驗證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 加入群交流 | 手機(jī)站點 | 投訴建議
工業(yè)和信息化部備案號:滇ICP備2023014141號-1 云南省教育廳備案號:云教ICP備0901021 滇公網(wǎng)安備53010202001879號 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號
云南網(wǎng)警備案專用圖標(biāo)
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號:hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報警專用圖標(biāo)