日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

DDOS攻擊對(duì)于企業(yè)來(lái)說(shuō)有時(shí)候是一種致命的危害，企業(yè)安全管理員對(duì)于這種攻擊方式千方百計(jì)地想去將其拒之門外。那么如果你發(fā)現(xiàn)，我的服務(wù)器已經(jīng)被DDOS攻擊侵害了，那么應(yīng)該如何采取DDOS攻擊應(yīng)對(duì)措施呢？如果我們無(wú)法防止這種攻擊，那么怎么做才能最大限度地保護(hù)企業(yè)網(wǎng)絡(luò)呢?

目前成都創(chuàng)新互聯(lián)已為千余家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬主機(jī)、網(wǎng)站改版維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、喀左網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

首先你應(yīng)該清楚的了解DDoS攻擊的三個(gè)階段，然后再學(xué)習(xí)如何將這種攻擊的危害降到最低。

理解DDoS攻擊

一個(gè)DDoS攻擊一般分為三個(gè)階段。第一階段是目標(biāo)確認(rèn)：黑客會(huì)在互聯(lián)網(wǎng)上鎖定一個(gè)企業(yè)網(wǎng)絡(luò)的IP地址。這個(gè)被鎖定的IP地址可能代表了企業(yè)的 Web服務(wù)器，DNS服務(wù)器，互聯(lián)網(wǎng)網(wǎng)關(guān)等。而選擇這些目標(biāo)進(jìn)行攻擊的目的同樣多種多樣，比如為了賺錢(有人會(huì)付費(fèi)給黑客攻擊某些站點(diǎn))，或者只是以破壞 為樂(lè)。

第二個(gè)階段是準(zhǔn)備階段：在這個(gè)階段，黑客會(huì)入侵互聯(lián)網(wǎng)上大量的沒(méi)有良好防護(hù)系統(tǒng)的計(jì)算機(jī)(基本上就是網(wǎng)絡(luò)上的家庭計(jì)算機(jī)，DSL寬帶或有線電纜上網(wǎng)方式為主)。黑客會(huì)在這些計(jì)算機(jī)中植入日后攻擊目標(biāo)所需的工具。

第三個(gè)階段是實(shí)際攻擊階段：黑客會(huì)將攻擊命令發(fā)送到所有被入侵的計(jì)算機(jī)(也就是僵尸計(jì)算機(jī))上，并命令這些計(jì)算機(jī)利用預(yù)先植入的攻擊工具不斷向攻擊目標(biāo)發(fā)送數(shù)據(jù)包，使得目標(biāo)無(wú)法處理大量的數(shù)據(jù)或者頻寬被占滿。

聰明的黑客還會(huì)讓這些僵尸計(jì)算機(jī)偽造發(fā)送攻擊數(shù)據(jù)包的IP地址，并且將攻擊目標(biāo)的IP地址插在數(shù)據(jù)包的原始地址處，這就是所謂的反射攻擊。服務(wù)器或路由器看到這些資料包后會(huì)轉(zhuǎn)發(fā)(即反射)給原始IP地址一個(gè)接收響應(yīng)，更加重了目標(biāo)主機(jī)所承受的數(shù)據(jù)流。

因此，我們無(wú)法阻止這種DDoS攻擊，但是知道了這種攻擊的原理，我們就可以盡量減小這種攻擊所帶來(lái)的影響。

采取DDOS應(yīng)對(duì)措施 減少攻擊影響

入侵過(guò)濾(Ingress filtering)是一種簡(jiǎn)單而且所有網(wǎng)絡(luò)(ISP)都應(yīng)該實(shí)施的安全策略。在你的網(wǎng)絡(luò)邊緣(比如每一個(gè)與外網(wǎng)直接相連的路由器)，應(yīng)該建立一個(gè)路由聲 明，將所有數(shù)據(jù)來(lái)來(lái)源IP標(biāo)記為本網(wǎng)地址的數(shù)據(jù)包丟棄。雖然這種方式并不能防止DDoS攻擊，但是卻可以預(yù)防DDoS反射攻擊。(請(qǐng)接續(xù)下一頁(yè)閱讀)

減輕DDoS攻擊危害

但是很多大型ISP好像都因?yàn)楦鞣N原因拒絕實(shí)現(xiàn)入侵過(guò)濾，因此我們需要其它方式來(lái)降低DDoS帶來(lái)的影響。目前最有效的一個(gè)方法就是反追蹤(backscatter traceback method)。

要采用這種方式，首先應(yīng)該確定目前所遭受的

是外部DDoS攻擊，而不是來(lái)自內(nèi)網(wǎng)或者路由問(wèn)題。接下來(lái)就要盡快在全部邊緣路由器的外部接口上進(jìn)行配置，拒絕所有流向DDoS攻擊目標(biāo)的數(shù)據(jù)流。

另外，還要在這些邊緣路由器端口上進(jìn)行配置，將全部無(wú)效或無(wú)法定位的數(shù)據(jù)來(lái)源IP的數(shù)據(jù)包丟棄。比如以下地址：

10.0.0.0 - 10.255.255.255

172.16.0.0 - 172.31.255.255

192.168.0.0 - 192.168.255.255

將路由器設(shè)置為拒絕這些資料包后，路由器會(huì)在每次拒絕數(shù)據(jù)包時(shí)發(fā)送一個(gè)因特網(wǎng)控制訊息協(xié)議(ICMP)包，并將"destination unreachable"信息和被拒絕的數(shù)據(jù)包打包發(fā)送給來(lái)源IP地址。

接下來(lái)，打開(kāi)路由器日志，查看那個(gè)路由器收到的攻擊資料包最多。然后根據(jù)所記錄的數(shù)據(jù)包來(lái)源IP確定哪個(gè)網(wǎng)段的資料量最大。在這個(gè)路由器上調(diào)整路由器針對(duì)這個(gè)網(wǎng)段為“黑洞”狀態(tài)，并藉由修改子網(wǎng)掩碼的方法將這個(gè)網(wǎng)段隔離開(kāi)。

然后再尋找這個(gè)網(wǎng)段的所有者的信息，聯(lián)系你的ISP以及數(shù)據(jù)發(fā)送網(wǎng)段的ISP，將攻擊情況匯報(bào)給他們，并請(qǐng)求協(xié)助。不論他們是否愿意幫忙，無(wú)非是一個(gè)電話的問(wèn)題。

接下來(lái)為了讓服務(wù)和合法流量通過(guò)，你可以將其它一些攻擊情況較輕的路由器恢復(fù)正常，只保留承受攻擊最重的那個(gè)路由器，并拒絕攻擊來(lái)源最大的網(wǎng)段。如果你的ISP和對(duì)方ISP很負(fù)責(zé)的協(xié)助阻擋攻擊數(shù)據(jù)包，你的網(wǎng)絡(luò)將很快恢復(fù)正常。

結(jié)語(yǔ)

DDoS攻擊很狡猾，也很難預(yù)防，但是你可以借由以上DDOS應(yīng)對(duì)措施及時(shí)減輕這種攻擊對(duì)網(wǎng)絡(luò)的影響。面對(duì)攻擊，你只需要快速地響應(yīng)和正確的方法，就可以及時(shí)發(fā)現(xiàn)攻擊數(shù)據(jù)流并將其擋掉。

看到本文的時(shí)候就想起來(lái)在黑客聯(lián)盟的時(shí)候，曾經(jīng)有一個(gè)公司為了攻擊一個(gè)競(jìng)爭(zhēng)對(duì)手，不惜一切的代價(jià)去，設(shè)置付出很高的價(jià)錢，要DDOS人家半年，如果這樣還不能被發(fā)現(xiàn)的話，那么這個(gè)公司肯定是一垃圾的公司?

本文寫(xiě)的不錯(cuò)，偶就喜歡這樣的文章，DDOS暫時(shí)沒(méi)辦法防止，但是你可以把你的損失減少到最少，我們做的不只是單純的防御，DDOS有有很多中，曾經(jīng)baidu的遭到大面積的分射式拒絕服務(wù)攻擊造成了很大的損失?

我們的路還有很長(zhǎng)，路途會(huì)比你想象的還要艱巨。
 

【編輯推薦】

1. DDOS防火墻防御功能對(duì)比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測(cè)試之日志分析工具
4. 淺析各類DDOS防火墻應(yīng)對(duì)攻擊時(shí)的表現(xiàn)
5. 實(shí)例體驗(yàn)自造DDOS硬件防火墻

網(wǎng)站欄目：企業(yè)遭到DDOS攻擊應(yīng)對(duì)措施
分享地址：http://www.dlmjj.cn/article/cdcdjpi.html