问:如何有效减轻DDoS攻击?
答:大部分网络都很容易受到各种类型的黑客攻击,但是我们可以透过一套安全规范来最大限度的防止黑客攻击的发生。但分布式拒绝服务攻击(DDoS)是一个完全不同的攻击方式,你无法阻止黑客对你的网站发动DDoS攻击,除非你主动断开互联网连接。
有效的减轻DDoS攻击,首先你应该清楚的了解DDoS攻击的三个阶段。
第一阶段:黑客会在对攻击目标进行锁定。这个被锁定的IP地址可能是企业的Web服务器,DNS服务器,网关等。
第二个阶段:黑客会入侵网络中存在隐患的计算机,黑客会在这些计算机中植入后门使其成为攻击者的肉鸡,为以后的攻击做准备。
第三个阶段:黑客会将攻击命令发送到所有被入侵的计算机(也就是俗称的僵尸计算机或肉鸡),并命令这些计算机向攻击目标发送数据包,进而侵占整个网络的资源。
一些聪明的黑客还会在僵尸计算机中伪造发送攻击数据包的IP地址,并且将攻击目标的IP地址插在数据包的原始地址中,这就是所谓的反射攻击。服务器或路由器看到这些资料包后会转发(即反射)给原始IP地址一个接收响应,加重了目标主机的负载。
搞清楚攻击原理,我们可以来看看如何减少DDoS攻击造成的损害。
入侵过滤(Ingress filtering)是一种被广泛使用的安全策略。在网络边缘(比如每一个与外网直接相连的路由器)建立一个路由声明,将所有数据来源IP标记为本网地址的数据包丢弃,可以有效预防DDoS反射攻击行为。
然而实际过程中,很多ISP因为各种原因没有进行入侵过滤,因此我们需要其它方式来降低DDoS带来的影响。目前最有效的一个方法就是散布反追踪模式 (backscatter traceback method)。要采用这种方式,首先应该确定目前所遭受的是来自外部的DDoS攻击,而不是来自内网或者路由问题。然后就要尽快在全部边缘路由器的外部 接口上进行配置,拒绝所有流向DDoS攻击目标的数据流。
另外,还要在这些边缘路由器端口上进行配置,将全部无效或无法定位的数据来源IP的数据包丢弃。比如以下地址:
· 10.0.0.0 - 10.255.255.255 · 172.16.0.0 - 172.31.255.255 · 192.168.0.0 - 192.168.255.255
将路由器设置为拒绝这些资料包后,路由器会在每次拒绝数据包时发送一个Internet控制讯息协议(ICMP)包,并将“destination unreachable”目标不能到达信息和被拒绝的数据包打包发送给来源IP地址。
打开路由器日志,查看哪个路由器收到的攻击资料包最多,然后根据所记录的数据包来源IP确定哪个网段的资料量最大。在这个路由器上调整路由器针对这个网段状态,并对该网段做隔离措施。
寻找这个网段的详细信息,联系ISP以及数据发送网段的ISP,将攻击情况汇报给他们,并请求协助。为让服务和合法流量通过,你可以将其它一些攻击情况 较轻的路由器恢复正常,只保留承受攻击最重的那个路由器,并拒绝攻击来源最大的网段。如果你的ISP和对方ISP很负责的协助阻挡攻击数据包,你的网络将 很快恢复正常。
|