到目前为止,要想完全从技术上做到事先防范DDoS攻击还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个很形象的比喻:DDoS就好像有1000个人同时给你家里打电话,这时候你的朋友还打得进来吗?
(1)主机上的设置:关闭不必要的服务,限制同时打开的SYN[1]半连接数目,缩短SYN半连接的超时(Time Out)时间,及时更新系统补丁等。
(2)网络设备上的设置:可以在防火墙与路由器等网络设备上做配置,这两类设备是连接到外部网络的主要接口设备。
防火墙:
*禁止对主机的非开放服务的访问; *限制同时打开的SYN最大连接数; *限制特定IP地址的访问; *启用防火墙的防DDoS的属性; *严格限制对外开放的服务器的向外访问。
路由器:
*访问控制列表(ACL)过滤; *设置SYN数据包流量速率; *升级版本过低的IOS; *为路由器建立日志服务器。
(3)充足的网络带宽保证:网络带宽是决定抗攻击的能力重要因素之一,如果仅仅有10Mbps带宽的话,无论采取什么措施都很难对抗现在的SYN Flood攻击,如果你的业务是不能间断的,当前至少要选择100Mbps的共享带宽,最好的当然是1000Mbps的主干了。
(4)把网站做成静态页面:网站尽可能地做成静态页面,不仅能大大提高抗攻击的能力,而且还给攻击入侵带来不少麻烦,至少到现在为止,关于HTML的溢出攻击还没出现。
(5)增强操作系统的TCP/IP栈:Windows 2000和Windows 2003作为服务器操作系统,本身具备一定的抵抗DDoS攻击的能力,但在默认状态下没有开启,如果开启的话可抵挡约10000个SYN攻击包。
(6)当你发现自己正在遭受DDoS攻击时,你应当启动你的应急策略,尽可能快地追踪攻击包,并且要及时联系有关应急组织,在他们的指导下分析受影响的系统,确定涉及的其他节点,从而采取相应的措施解决问题。 |