到目前为止,要想完全从技术上做到事先防御DDOS攻击还是比较困难的。首先,这种攻击
的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDOS攻击
。一位资深的安全专家给了个很形象的比喻:DDoS就好像有1000个人同时给你家里打电话
,这时候你的朋友还打得进来吗?
(1)主机上的设置:关闭不必要的服务,限制同时打开的SYN[1]半连接数目,缩短SYN半
连接的超时(Time Out)时间,及时更新系统补丁等。
(2)网络设备上的设置:可以在防火墙与路由器等网络设备上做配置,这两类设备是连接
到外部网络的主要接口设备。
防火墙:
*禁止对主机的非开放服务的访问;
*限制同时打开的SYN最大连接数;
*限制特定IP地址的访问;
*启用防火墙的防DDoS的属性;
*严格限制对外开放的服务器的向外访问。
路由器:
*访问控制列表(ACL)过滤;
*设置SYN数据包流量速率;
*升级版本过低的IOS;
*为路由器建立日志服务器。
(3)充足的网络带宽保证:网络带宽是决定抗攻击的能力重要因素之一,如果仅仅有
10Mbps带宽的话,无论采取什么措施都很难对抗现在的SYN Flood攻击,如果你的业务是不
能间断的,当前至少要选择100Mbps的共享带宽,最好的当然是1000Mbps的主干了。
(4)把网站做成静态页面:网站尽可能地做成静态页面,不仅能大大提高抗攻击的能力
,而且还给攻击入侵带来不少麻烦,至少到现在为止,关于HTML的溢出攻击还没出现。
(5)增强操作系统的TCP/IP栈:Windows 2000和Windows 2003作为服务器操作系统,本
身具备一定的抵抗DDOS攻击的能力,但在默认状态下没有开启,如果开启的话可抵挡约
10000个SYN攻击包。
(6)当你发现自己正在遭受DDOS攻击时,你应当启动你的应急策略,尽可能快地追踪
攻击包,并且要及时联系有关应急组织,在他们的指导下分析受影响的系统,确定涉及的
其他节点,从而采取相应的措施解决问题。
京ICP备14024464 公安备案号 京1081234