| 導購 | 订阅 | 在线投稿
分享
 
 
 

如何防禦分布式拒絕服務DDoS的攻擊_應用安全防護_網絡安全頻道

來源:互聯網  2008-09-21 07:53:37  評論

DDoS是英文Distributed Denial of Service的縮寫,中文意思是「分布式拒絕服務」。 是目前黑客經常采用而難以防範的攻擊手段。那什麽又是拒絕服務呢?用戶可以這樣理解,凡是能導致合法用戶不能進行正常的網絡服務的行爲都算是拒絕服務攻擊。拒絕服務攻擊的目的非常明確,就是要阻止合法用戶對正常網絡資源的訪問。

黑客們通過很多「傀儡主機」向遠程計算機發送大量看似合法的數據包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。分布式拒絕服務攻擊一旦被實施,攻擊數據包就會猶如洪水般湧向遠程計算機,從而把合法的數據包淹沒,導致合法用戶無法正常地訪問服務器的網絡資源,侵害合法用戶的的利益。

DDoS的表現形式主要有兩種,一種是流量攻擊,主要是針對網絡帶寬的攻擊,即大量攻擊包導致網絡帶寬被阻塞,合法的網絡數據包被虛假的網絡數據包淹沒而無法到達主機;另一種爲資源耗盡攻擊,主要是針對服務器主機進行的攻擊,即通過大量的攻擊包導致主機的內存被耗盡,或是CPU被內核及應用程序占完而造成無法提供網絡服務,這些攻擊都會給合法用戶帶來極大的損失。聰明的黑客還會讓這些僵屍計算機僞造發送攻擊數據包的IP地址,並且將攻擊目標的IP地址插在數據包的原始地址處,這就是所謂的反射攻擊。服務器或路由器看到這些資料包後會轉發(即反射)給原始IP地址一個接收響應,更加重了目標主機所承受的數據流。

DDoS的攻擊類型目前主要包括三種方式,即TCP-SYN Flood攻擊、UDP Flood攻擊以及提交腳本攻擊。

那麽面對這些DDoS的攻擊我們能做些什麽呢,如何降低被攻擊的可能行呢?下面的防範方法可以給你答案。

1、確保所有服務器采用最新系統,並打上安全補丁。計算機緊急響應協調中心發現,幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。對一些重要的信息(例如系統配置信息)建立和完善備份機制。對一些特權賬號(例如管理員賬號)的密碼設置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。

2、刪除多余的網絡服務,在網絡管理方面,要經常檢查系統的物理環境,禁止那些不必要的網絡服務。建立邊界安全界限,確保輸出的包受到正確限制。經常檢測系統配置信息,並注意查看每天的安全日志。如果你是一個單機用戶,可去掉多余不用的網絡協議,完全禁止NetBIOS服務,從而堵上這個危險的「漏洞」。

3、自己定制防火牆規則,利用網絡安全設備(例如:硬件防火牆)來加固網絡的安全性,配置好這些設備的安全規則,過濾掉所有可能的僞造數據包。

4、確保從服務器相應的目錄或文件數據庫中刪除未使用的服務如FTP或NFS。Wu-Ftpd等守護程序存在一些已知的漏洞,黑客通過根攻擊就能獲得訪問特權系統的權限,並能訪問其他系統——甚至是受防火牆保護的系統。

5、禁止內部網通過Modem連接至PSTN系統。否則,黑客能通過電話線發現未受保護的主機,即刻就能訪問極爲機密的數據。

6、禁止使用網絡訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳送口令,而Telnet和Rlogin則正好相反,黑客能搜尋到這些口令,從而立即訪問網絡上的重要服務器。

7、限制在防火牆外與網絡文件共享。這會使黑客有機會截獲系統文件,並以特洛伊木馬替換它,文件傳輸功能無異將陷入癱瘓。

8、在防火牆上運行端口映射程序或端口掃描程序。大多數事件是由于防火牆配置不當造成的,使DoS/DDoS攻擊成功率很高,所以定要認真檢查特權端口和非特權端口。

9、檢查所有網絡設備和主機/服務器系統的日志。只要日志出現漏洞或時間出現變更,幾乎可以肯定:相關的主機安全受到了危脅。

10、確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是爲了確保管理員知道每個主機系統在運行什麽?誰在使用主機?哪些人可以訪問主機?不然,即使黑客侵犯了系統,也很難查明。

雖然DDoS攻擊不可避免,但相信做到以上十條,你就可以比別人更加遠離DDos的攻擊,保證合法用戶的網絡暢通。

  DDoS是英文Distributed Denial of Service的縮寫,中文意思是「分布式拒絕服務」。 是目前黑客經常采用而難以防範的攻擊手段。那什麽又是拒絕服務呢?用戶可以這樣理解,凡是能導致合法用戶不能進行正常的網絡服務的行爲都算是拒絕服務攻擊。拒絕服務攻擊的目的非常明確,就是要阻止合法用戶對正常網絡資源的訪問。   黑客們通過很多「傀儡主機」向遠程計算機發送大量看似合法的數據包,從而造成網絡阻塞或服務器資源耗盡而導致拒絕服務。分布式拒絕服務攻擊一旦被實施,攻擊數據包就會猶如洪水般湧向遠程計算機,從而把合法的數據包淹沒,導致合法用戶無法正常地訪問服務器的網絡資源,侵害合法用戶的的利益。   DDoS的表現形式主要有兩種,一種是流量攻擊,主要是針對網絡帶寬的攻擊,即大量攻擊包導致網絡帶寬被阻塞,合法的網絡數據包被虛假的網絡數據包淹沒而無法到達主機;另一種爲資源耗盡攻擊,主要是針對服務器主機進行的攻擊,即通過大量的攻擊包導致主機的內存被耗盡,或是CPU被內核及應用程序占完而造成無法提供網絡服務,這些攻擊都會給合法用戶帶來極大的損失。聰明的黑客還會讓這些僵屍計算機僞造發送攻擊數據包的IP地址,並且將攻擊目標的IP地址插在數據包的原始地址處,這就是所謂的反射攻擊。服務器或路由器看到這些資料包後會轉發(即反射)給原始IP地址一個接收響應,更加重了目標主機所承受的數據流。   DDoS的攻擊類型目前主要包括三種方式,即TCP-SYN Flood攻擊、UDP Flood攻擊以及提交腳本攻擊。   那麽面對這些DDoS的攻擊我們能做些什麽呢,如何降低被攻擊的可能行呢?下面的防範方法可以給你答案。   1、確保所有服務器采用最新系統,並打上安全補丁。計算機緊急響應協調中心發現,幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。對一些重要的信息(例如系統配置信息)建立和完善備份機制。對一些特權賬號(例如管理員賬號)的密碼設置要謹慎。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最小。   2、刪除多余的網絡服務,在網絡管理方面,要經常檢查系統的物理環境,禁止那些不必要的網絡服務。建立邊界安全界限,確保輸出的包受到正確限制。經常檢測系統配置信息,並注意查看每天的安全日志。如果你是一個單機用戶,可去掉多余不用的網絡協議,完全禁止NetBIOS服務,從而堵上這個危險的「漏洞」。   3、自己定制防火牆規則,利用網絡安全設備(例如:硬件防火牆)來加固網絡的安全性,配置好這些設備的安全規則,過濾掉所有可能的僞造數據包。   4、確保從服務器相應的目錄或文件數據庫中刪除未使用的服務如FTP或NFS。Wu-Ftpd等守護程序存在一些已知的漏洞,黑客通過根攻擊就能獲得訪問特權系統的權限,並能訪問其他系統——甚至是受防火牆保護的系統。   5、禁止內部網通過Modem連接至PSTN系統。否則,黑客能通過電話線發現未受保護的主機,即刻就能訪問極爲機密的數據。   6、禁止使用網絡訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳送口令,而Telnet和Rlogin則正好相反,黑客能搜尋到這些口令,從而立即訪問網絡上的重要服務器。   7、限制在防火牆外與網絡文件共享。這會使黑客有機會截獲系統文件,並以特洛伊木馬替換它,文件傳輸功能無異將陷入癱瘓。   8、在防火牆上運行端口映射程序或端口掃描程序。大多數事件是由于防火牆配置不當造成的,使DoS/DDoS攻擊成功率很高,所以定要認真檢查特權端口和非特權端口。   9、檢查所有網絡設備和主機/服務器系統的日志。只要日志出現漏洞或時間出現變更,幾乎可以肯定:相關的主機安全受到了危脅。   10、確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是爲了確保管理員知道每個主機系統在運行什麽?誰在使用主機?哪些人可以訪問主機?不然,即使黑客侵犯了系統,也很難查明。   雖然DDoS攻擊不可避免,但相信做到以上十條,你就可以比別人更加遠離DDos的攻擊,保證合法用戶的網絡暢通。
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 熱帖排行
 
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有