日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
保護好自己的網(wǎng)絡流量 預防DDOS攻擊

最不講道理的也最簡單攻擊形式就是拒絕服務(DoS)攻擊。

這種攻擊不是為了入侵系統(tǒng)來獲取敏感信息,它的目的就是讓系統(tǒng)崩潰,從而無法響應正當用戶的請求。而且這種攻擊可以非常簡單,不需要任何技術功底;它的本質(zhì)思想就是突破設備有效載荷。不管什么計算機系統(tǒng)、Web服務器、還是網(wǎng)絡都只能處理有限的載荷,計算機系統(tǒng)的工作載荷通常以帶多少用戶、文件系統(tǒng)大小、數(shù)據(jù)傳輸速率、文件存儲量等指標來衡量。一旦超過了載荷,再執(zhí)行操作就無法響應了。例如,可以向某一網(wǎng)站泛洪,超過服務器的處理能力,就無法響應訪問請求了。

常見DoS的類型

1、TCP SYN泛洪

對于TCP協(xié)議,當客戶端向服務器發(fā)起連接請求并初始化時,服務器一端的協(xié)議棧會留一塊緩沖區(qū)來處理“握手”過程中的信息交換。請求建立連接時發(fā)送的數(shù)據(jù)包的包頭SYN位就表明了數(shù)據(jù)包的順序,攻擊者可以利用在短時間內(nèi)快速發(fā)起大量連接請求,以致服務器來不及響應。同時攻擊者還可以偽造源IP地址。也就是說攻擊者發(fā)起大量連接請求,然后掛起在半連接狀態(tài),以此來占用大量服務器資源直到拒絕服務。雖然緩沖區(qū)中的數(shù)據(jù)在一段時間內(nèi)(通常是三分鐘)都沒有回應的話,就會被丟棄,但在這段時間內(nèi),大量半連接足以耗盡服務器資源。

防御這種攻擊沒有好的辦法,所有基于TCP的服務都有此“弱點”,但對于Web服務來說,有三招防御手段:設置SYN cookie、RST cookie和編輯緩沖區(qū)大小。具體方法可以搜一下,但要注意,三種方法都有局限性。

2、Smurf IP

Smurf IP利用廣播地址發(fā)送ICMP包,一旦廣播出去,就會被廣播域內(nèi)的所有主機回應,當然這些包都回應給了偽裝的IP地址(指向被攻擊主機),偽裝IP地址可以是互聯(lián)網(wǎng)上的任何地址,不一定在本地;假如駭客不停地發(fā)送此種類型的包,就會造成DoS攻擊。

防御這種攻擊要從內(nèi)網(wǎng)入手,因為攻擊是從廣播域內(nèi)發(fā)起的,所以一是防內(nèi)賊,二是防木馬、病毒以防被外控制,再一個就是利用防火墻隱藏內(nèi)網(wǎng);最好將這些措施組合起來。

3、其它

其它還有UDP泛洪、ICMP泛洪、死亡之ping、淚珠攻擊、著陸攻擊、Echo/Chargen攻擊,基本思想都差不多,有興趣的可以查查,篇幅所限這里不多介紹。

4、DDoS攻擊

DDoS是分布式拒絕服務攻擊,其基本思想與DoS攻擊一樣,只是方法不同。DDoS攻擊一般通過兩種方式:一是利用大量路由器,一是利用botnet。

DoS的弱點

從攻擊者的角度來講,DoS攻擊的不足是要求洪水包必須能夠持續(xù)發(fā)送,一旦洪水包停了,系統(tǒng)一般也就恢復正常了。另外如果直接從本機發(fā)起攻擊,就有被跟蹤到IP的危險;而利用Botnet又需要很強的控制力。

如何防御DoS

正如沒有確定的方法來防止駭客攻擊一樣,也沒有確保的方法防止所有DoS攻擊。然而,有一些措施可以減小危險發(fā)生的可能性。如前面介紹的SNY cookie、RST cookie、編輯緩沖區(qū)大小。下面再介紹一些,這些方法要根據(jù)情況綜合應用。

第一利用防火墻阻止外網(wǎng)的ICMP包,幾乎沒有什么理由讓外網(wǎng)的ICMP包進入本地網(wǎng)絡,有人可能會對此有爭論,說是沒有好的理由,但在我看來都一樣。再一個利用工具時常檢查一下網(wǎng)絡內(nèi)是否SYN_RECEIVED狀態(tài)的半連接,這可能預示著SYN泛洪,許多網(wǎng)關型防火墻也是用此方法防御DoS攻擊的。另外如果網(wǎng)絡比較大,有內(nèi)部路由器,同時網(wǎng)絡不向外提供服務的話,可以考慮配置路由器禁止所有不是由本地發(fā)起的流量,而且考慮禁止直接IP廣播。

若路由器具有包過濾功能的話,可以檢查數(shù)據(jù)包的源IP地址是否被偽造,來自外網(wǎng)的數(shù)據(jù)包源IP應該是外網(wǎng)IP,來自內(nèi)網(wǎng)的數(shù)據(jù)包源IP是內(nèi)網(wǎng)IP。最后就是防止網(wǎng)內(nèi)出現(xiàn)Zombie了,沒什么說的,常規(guī)防護,及時更新補丁,使用防病毒軟件,制定下載策略,禁止隨意下載。

到此已經(jīng)對網(wǎng)絡上基本的威脅形式有所了解,各有各的特點,這里只總結一下基本的防御措施,常規(guī)動作,一定要做好。除此之外,網(wǎng)絡安全是個攻防對抗的動態(tài)過程,新思路新形式隨時會出現(xiàn),需要不斷學習,針對自身網(wǎng)絡以及威脅的特點,對癥下藥。再次提醒注意,常規(guī)動作一定要做好:

(1)使用防病毒軟件,定期掃描。

(2)及時更新系統(tǒng)及軟件補丁。

(3)關閉不需要的服務。

(4)瀏覽器配置為最高安全級。

(5)使用防火墻,對于桌面機,系統(tǒng)自帶防火墻足夠。

(6)考慮使用反間諜軟件。

(7)不要在互聯(lián)網(wǎng)泄露私人信息,除非十分有必要。

(8)企業(yè)要有相應安全策略。

當然安全保障是貫穿整個網(wǎng)絡運維全過程的,隨網(wǎng)絡環(huán)境的不同,要求的不同,措施會有差異,沒有最好,只有更好,需要不斷修煉。接下來會系統(tǒng)地介紹一下如何進行安全防護。方法是自頂而下,由抽象到具體,首先來看一下都有哪些網(wǎng)絡安全模型

【編輯推薦】

  1. 網(wǎng)絡如何應對DDoS攻擊
  2. 系統(tǒng)漏洞分析:DoS拒絕服務攻擊來襲如何應對
  3. 應對DoS/DDoS攻擊的十條軍規(guī)(圖)

本文標題:保護好自己的網(wǎng)絡流量 預防DDOS攻擊
轉載注明:http://www.dlmjj.cn/article/coshhij.html