|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機整體,實現(xiàn)資源的全面共享和有機協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 到目前為止,進(jìn)行DDoS攻擊的防御還是比較困難的。首先,這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個形象的比喻:DDoS就好象有1,000個人同時給你家里打電話,這時候你的朋友還打得進(jìn)來嗎? 不過即使它難于防范,也不是說我們就應(yīng)該逆來順受,實際上防止DDoS并不是絕對不可行的事情。互聯(lián)網(wǎng)的使用者是各種各樣的,與DDoS做斗爭,不同的角色有不同的任務(wù)。我們以下面幾種角色為例:企業(yè)網(wǎng)管理員、ISP、ICP管理員、骨干網(wǎng)絡(luò)運營商。 網(wǎng)管員做為一個企業(yè)內(nèi)部網(wǎng)的管理者,往往也是安全員、守護(hù)神。在他維護(hù)的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供WWW服務(wù),因而不可避免地成為DDoS的攻擊目標(biāo),他該如何做呢?可以從主機與網(wǎng)絡(luò)設(shè)備兩個角度去考慮。 幾乎所有的主機平臺都有抵御DoS的設(shè)置,總結(jié)一下,基本的有幾種:關(guān)閉不必要的服務(wù)、限制同時打開的Syn半連接數(shù)目、縮短Syn半連接的time out 時間、及時更新系統(tǒng)補丁、網(wǎng)絡(luò)設(shè)備上的設(shè)置。 企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮。這兩個設(shè)備是到外界的接口設(shè)備,在進(jìn)行防DDoS設(shè)置的同時,要注意一下這是以多大的效率犧牲為代價的,對你來說是否值得。 1.防火墻:禁止對主機的非開放服務(wù)的訪問、限制同時打開的SYN最大連接數(shù)、限制特定IP地址的訪問、啟用防火墻的防DDoS的屬性、嚴(yán)格限制對外開放的服務(wù)器的向外訪問、第五項主要是防止自己的服務(wù)器被當(dāng)做工具去害人。 2.路由器(以Cisco路由器為例):Cisco Express Forwarding(CEF)、使用 unicast reverse-path、訪問控制列表(ACL)過濾、設(shè)置SYN數(shù)據(jù)包流量速率、升級版本過低的ISO、為路由器建立log server。 其中使用CEF和Unicast設(shè)置時要特別注意,使用不當(dāng)會造成路由器工作效率嚴(yán)重下降,升級IOS也應(yīng)謹(jǐn)慎。路由器是網(wǎng)絡(luò)的核心設(shè)備,與大家分享一下進(jìn)行設(shè)置修改時的小經(jīng)驗,就是先不保存。Cisco路由器有兩份配置startup config和running config,修改的時候改變的是running config,可以讓這個配置先跑一段時間(三五天的就隨意啦),覺得可行后再保存配置到startup config;而如果不滿意想恢復(fù)原來的配置,用copy start run就行了。 ISP/ICP為很多中小型企業(yè)提供了各種規(guī)模的主機托管業(yè)務(wù),所以在防DDoS時,除了與企業(yè)網(wǎng)管理員一樣的手段外,還要特別注意自己管理范圍內(nèi)的客戶托管主機不要成為傀儡機。客觀上說,這些托管主機的安全性普遍是很差的,有的連基本的補丁都沒有打就赤膊上陣了,成為黑客最喜歡的“肉雞”,因為不管這臺機器黑客怎么用都不會有被發(fā)現(xiàn)的危險,它的安全管理太差了;還不必說托管的主機都是高性能、高帶寬的-簡直就是為DDoS定制的。而做為ISP的管理員,對托管主機是沒有直接管理的權(quán)力的,只能通知讓客戶來處理。在實際情況時,有很多客戶與自己的托管主機服務(wù)商配合得不是很好,造成ISP管理員明知自己負(fù)責(zé)的一臺托管主機成為了傀儡機,卻沒有什么辦法的局面。而托管業(yè)務(wù)又是買方市場,ISP還不敢得罪客戶,怎么辦?咱們管理員和客戶搞好關(guān)系吧,沒辦法,誰讓人家是上帝呢?呵呵,客戶多配合一些,ISP的主機更安全一些,被別人告狀的可能性也小一些。 他們提供了互聯(lián)網(wǎng)存在的物理基礎(chǔ)。如果骨干網(wǎng)絡(luò)運營商可以很好地合作的話,DDoS攻擊可以很好地被預(yù)防。在2000年yahoo等知名網(wǎng)站被攻擊后,美國的網(wǎng)絡(luò)安全研究機構(gòu)提出了骨干運營商聯(lián)手來解決DDoS攻擊的方案。其實方法很簡單,就是每家運營商在自己的出口路由器上進(jìn)行源IP地址的驗證,如果在自己的路由表中沒有到這個數(shù)據(jù)包源IP的路由,就丟掉這個包。這種方法可以阻止黑客利用偽造的源IP來進(jìn)行DDoS攻擊。不過同樣,這樣做會降低路由器的效率,這也是骨干運營商非常關(guān)注的問題,所以這種做法真正采用起來還很困難。 對DDoS的原理與應(yīng)付方法的研究一直在進(jìn)行中,找到一個既有效又切實可行的方案不是一朝一夕的事情。但目前我們至少可以做到把自己的網(wǎng)絡(luò)與主機維護(hù)好,首先讓自己的主機不成為別人利用的對象去攻擊別人;其次,在受到攻擊的時候,要盡量地保存證據(jù),以便事后追查,一個良好的網(wǎng)絡(luò)和日志系統(tǒng)是必要的。無論DDoS的防御向何處發(fā)展,這都將是一個社會工程,需要IT界的同行們來一起關(guān)注,通力合作。( 網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來越嚴(yán)峻的考驗―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項技術(shù)都需要適時應(yīng)勢,對應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發(fā)布的Win7純凈版系統(tǒng)、Win10純凈版和XP純凈版系統(tǒng)僅為個人學(xué)習(xí)測試使用,請在下載后24小時內(nèi)刪除,不得用于任何商業(yè)用途,否則后果自負(fù),請支持購買微軟正版軟件!
本站所有資源全部來自于網(wǎng)絡(luò)資源,如侵犯到您的權(quán)益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統(tǒng) 手機站 關(guān)于本站
