全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworksBGVM服务器主机交流
IP归属甄别会员请立即修改密码Sharktech防护
查看: 2002|回复: 6

如何最大限度地减少DDOS攻击的危害

[复制链接]
发表于 2019-8-17 09:54:27 | 显示全部楼层 |阅读模式
如何最大限度地保护企业服务器?如果我们无法阻止这种攻击,可以采取哪些措施?分布式拒绝服务(DDoS)是一种完全不同的攻击,你阻止不了黑客对你这么做,除非您主动断开与互联网的连接,否则它会对你的网站发起DDoS攻击。然后我们必须首先了解DDoS攻击的三个阶段:
第一阶段是目标确认:黑客将锁定Internet上公司网络的IP地址。这个锁定的IP地址可能代表企业的网络服务器,DNS服务器,互联网网关等。选择这些攻击目标的目的也是多种多样的,例如赚钱(有人会为黑客攻击某些网站付费),或者是为了打破乐趣。

第二阶段是准备阶段:在这个阶段,黑客将入侵互联网上的大量计算机而没有良好的保护系统(基本上是网络上的家用计算机,NDSL宽带或有线电缆是主要方法),黑客将在未来植入所需的工具。
第三阶段是实际攻击阶段:黑客将攻击命令发送给所有受到攻击的计算机(即僵尸计算机),并命令计算机使用预先植入的攻击工具连续向攻击目标发送数据包,使得目标无法处理大量数据或带宽被占满。

聪明的黑客还会让这些僵尸计算机欺骗攻击数据包的IP地址,并将攻击目标的IP地址插入数据包的原始地址。这称为反射攻击。在服务器或路由器看到这些数据包之后,它会将收到的响应转发(即反映)到原始IP地址,这将进一步增加到目标主机的数据流。所以,我们无法阻止这种DDoS攻击,但是知道这种攻击的原理,我们可以最大限度地减少这种攻击的影响。

减少攻击影响
入侵过滤是一种简单的安全策略,所有网络(ISP)都应该实现。在网络边缘(例如直接连接到外部网络的每个路由器),应建立路由声明,以丢弃具有此网络地址的源IP标记的所有数据包。虽然这种方法不能防止DDoS攻击,但它可以预防DDoS反射攻击。

减轻DDoS攻击危害
但是很多大型ISP好像都因为各种原因拒绝实现入侵过滤,因此我们需要其它方式来降低DDoS带来的影响。目前最有效的一个方法就是反追踪(backscattertraceback method)。
要采用这种方式,首先应该确定目前所遭受的是外部DDoS攻击,而不是来自内网或者路由问题。接下来就要尽快在全部边缘路由器的外部接口上进行配置,拒绝所有流向DDoS攻击目标的数据流。
将 路由器设置为拒绝这些资料包后,路由器会在每次拒绝数据包时发送一个因特网控制讯息协议(ICMP)包,并将"destinationunreachable"信息和被拒绝的数据包打包发送给来源IP地址。接下来,打开路由器日志,查看那个路由器收到的攻击资料包最多。然后根据所记录的数据包来源IP确定哪个网段的资料量最大。在这个路由器上调整路由器针对这个网段为“黑洞”状态,并藉由修改子网掩码的方法将这个网段隔离开。然后再寻找这个网段的所有者的信息,联系你的ISP以及数据发送网段的ISP,将攻击情况汇报给他们,并请求协助。不论他们是否愿意帮忙,无非是一个电话的问题。接下来为了让服务和合法流量通过,你可以将其它一些攻击情况较轻的路由器恢复正常,只保留承受攻击最重的那个路由器,并拒绝攻击来源最大的网段。如果你的ISP和对方ISP很负责的协助阻挡攻击数据包,你的服务器你的网络将很快恢复正常。
 楼主| 发表于 2019-8-17 10:00:30 | 显示全部楼层
周六快乐  
 楼主| 发表于 2019-8-19 10:26:18 | 显示全部楼层

啊哈 有用就好~
发表于 2019-8-28 16:56:12 | 显示全部楼层
感谢大屌小妹
 楼主| 发表于 2019-9-2 21:15:42 | 显示全部楼层

默默流下了两滴汗  俺是纯妹纸你信不
发表于 2019-9-3 11:22:53 | 显示全部楼层
Jose 发表于 2019-9-2 21:15
默默流下了两滴汗  俺是纯妹纸你信不

那默默的加个好友吧
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|全球主机交流论坛

GMT+8, 2019-10-21 06:39 , Processed in 3.563187 second(s), 6 queries , MemCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表