论坛: 菜鸟乐园 标题: 预防DDOS!!~ 复制本贴地址    
作者: 迷茫 [tianyecool]    论坛用户   登录
 要想完全预防分布式拒绝服务攻击是比较困难的,因为连yahoo,cnn这样的大网站都难以逃脱DDoS的魔爪。虽然没有简单和专门的方法免受这些攻击,但是却可以应用各种安全和保护策略来尽量减少因受到攻击所造成的损害。对于所有面临分布式拒绝服务攻击威胁的系统,下面给出了一些简单易行且快速的安全策略: 
 1。得到你的因特网服务供应商(ISP)的协助和合作,这一点是非常重要的。分布式拒绝服务攻击只要是耗用带宽,如果单凭自己管理网络是无法对付这些攻击的。与你的ISP协商,确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是,当发生攻击时你的ISP愿意监视或允许你访问他们的路由器。 
 2。优化路由器和网络结构。如果你管理的不仅仅是一台主机,而是一个网络,就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止SYN flood攻击,应设置TCP监听功能。详细资料请参阅相关路由器的技术文档。另外,禁止网络不用的UDP和ICMP包通过,尤其是不应该允许出现“ICMP不可到达”的消息。 
 3。对所有可能成为目标的主机都进行优化,禁止所有不必要的服务。另外,拥有多IP地址的主机也会增加攻击者的难度。建议在多台主机中使用多IP地址技术,而这些主机的首页只会自动转向真正的Web服务器。 
 4。正在遭到攻击时,必须立刻采取应对策略。尽可能迅速地组织攻击数据包是非常重要的,同时,如果发现这些数据包来自某些ISP时应该尽快和他们取得联系。千万不要依赖数据包中的源地址,因为他们往往都是随机伪造的。是否能迅速准确地确定为伪造来源,取决于你的响应动作是否迅速,因为路由器中的记录可能会在攻击终止后很快就被清除。 
 对于作为可能被入侵的对象,需要进快采取合理和有效的措施。现在因特网上有许多旧的和新的漏洞攻击程序,网络管理员应,该经常检查漏洞数据库,www.securityfocus.com或packetstorm.security.com等以确保你的服务器不受这些漏洞的影响。记住,入侵者总是利用现有的漏洞进入系统并安装攻击程序。系统管理员应该经常检查服务器的培植和安全问题,运行最新升级的软件版本,最重要的一点,就是只运行必要的服务。如果能够完全按照以上的建议去做,系统就可以被认为是安全的,而且不会被人入侵和控制。 
 另外,必须周期性地审核系统。按照经验,虽然许多主机都已经被黑客成功的入侵了,但是管理员还毫无察觉。所以充分了解系统和服务器软件是如何工作的,经常检查系统的配置和安全策略。还要时刻留意一些安全站点公布的与自己管理的操作系统及软件有关的最新的安全漏洞和问题。 
为了确定系统是否被入侵,还应经常检查文件的完整性。在系统未曾被入侵时,必须对所有二进制程序和其他重要的系统文件产生文件签名,并且周期性地与这些文件比较以确保不被非法修改。另外,建议将文件“校验和”保存到另一台相对坚固的主机当中。可用来检查用语文件完整性的免费工具很多,比如tripwire等。网管门有空可以下载用一下。 


地主 发表时间: 08/02 19:37

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号