日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
中小網(wǎng)站如何才能對付惡意DoS攻擊

DoS(Denial of Service)是一種利用合理的服務請求占用過多的服務資源,從而使合法用戶無法得到服務響應的網(wǎng)絡攻擊行為。

創(chuàng)新互聯(lián)是一家專注于網(wǎng)站建設、成都網(wǎng)站設計西信服務器托管的網(wǎng)絡公司,有著豐富的建站經(jīng)驗和案例。

被DoS攻擊時的現(xiàn)象大致有:

被攻擊主機上有大量等待的TCP連接;

被攻擊主機的系統(tǒng)資源被大量占用,造成系統(tǒng)停頓;

網(wǎng)絡中充斥著大量的無用的數(shù)據(jù)包,源地址為假地址;

高流量無用數(shù)據(jù)使得網(wǎng)絡擁塞,受害主機無法正常與外界通訊;

利用受害主機提供的服務或傳輸協(xié)議上的缺陷,反復高速地發(fā)出特定的服務請求,使受害主機無法及時處理所有正常請求;

嚴重時會造成系統(tǒng)死機。

到目前為止,防范DoS特別是DDoS攻擊仍比較困難,但仍然可以采取一些措施以降低其產(chǎn)生的危害。對于中小型網(wǎng)站來說,可以從以下幾個方面進行防范:

主機設置:

即加固操作系統(tǒng),對各種操作系統(tǒng)參數(shù)進行設置以加強系統(tǒng)的穩(wěn)固性。重新編譯或設置Linux以及各種BSD系統(tǒng)、Solaris和Windows等操作系統(tǒng)內核中的某些參數(shù),可在一定程度上提高系統(tǒng)的抗攻擊能力。

例如,對于DoS攻擊的典型種類—SYN Flood,它利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請求,以造成網(wǎng)絡無法連接用戶服務或使操作系統(tǒng)癱瘓。該攻擊過程涉及到系統(tǒng)的一些參數(shù):可等待的數(shù)據(jù)包的鏈接數(shù)和超時等待數(shù)據(jù)包的時間長度。因此,可進行如下設置:

關閉不必要的服務;

將數(shù)據(jù)包的連接數(shù)從缺省值128或512修改為2048或更大,以加長每次處理數(shù)據(jù)包隊列的長度,以緩解和消化更多數(shù)據(jù)包的連接;

將連接超時時間設置得較短,以保證正常數(shù)據(jù)包的連接,屏蔽非法攻擊包;

及時更新系統(tǒng)、安裝補丁。

防火墻設置:

仍以SYN Flood為例,可在防火墻上進行如下設置:

禁止對主機非開放服務的訪問;

限制同時打開的數(shù)據(jù)包最大連接數(shù);

限制特定IP地址的訪問;

啟用防火墻的防DDoS的屬性;

嚴格限制對外開放的服務器的向外訪問,以防止自己的服務器被當做工具攻擊他人。

此外,還可以采取如下方法:

Random Drop算法。當流量達到一定的閥值時,按照算法規(guī)則丟棄后續(xù)報文,以保持主機的處理能力。其不足是會誤丟正常的數(shù)據(jù)包,特別是在大流量數(shù)據(jù)包的攻擊下,正常數(shù)據(jù)包猶如九牛一毛,容易隨非法數(shù)據(jù)包被拒之網(wǎng)外;

SYN Cookie算法,采用6次握手技術以降低受攻擊率。其不足是依據(jù)列表查詢,當數(shù)據(jù)流量增大時,列表急劇膨脹,計算量隨之提升,容易造成響應延遲乃至系統(tǒng)癱瘓。

由于DoS攻擊種類較多,而防火墻只能抵擋有限的幾種。

路由器設置:

以Cisco路由器為例,可采取如下方法:

Cisco Express Forwarding(CEF);

使用Unicast reverse-path;

訪問控制列表(ACL)過濾;

設置數(shù)據(jù)包流量速率;

升級版本過低的IOS;

為路由器建立log server。

其中,使用CEF和Unicast設置時要特別注意,使用不當會造成路由器工作效率嚴重下降。升級IOS也應謹慎。

路由器是網(wǎng)絡的核心設備,需要慎重設置,最好修改后,先不保存,以觀成效。Cisco路由器有兩種配置,startup config和running config,修改的時候改變的是running config,可以讓這個配置先運行一段時間,認為可行后再保存配置到startup config;如果不滿意想恢復到原來的配置,用copy start run即可。

不論防火墻還是路由器都是到外界的接口設備,在進行防DDoS設置的同時,要權衡可能相應犧牲的正常業(yè)務的代價,謹慎行事。

利用負載均衡技術:

就是把應用業(yè)務分布到幾臺不同的服務器上,甚至不同的地點。采用循環(huán)DNS服務或者硬件路由器技術,將進入系統(tǒng)的請求分流到多臺服務器上。這種方法要求投資比較大,相應的維護費用也高,中型網(wǎng)站如果有條件可以考慮。

以上方法對流量小、針對性強、結構簡單的DoS攻擊進行防范還是很有效的。而對于DDoS攻擊,則需要能夠應對大流量的防范措施和技術,需要能夠綜合多種算法、集多種網(wǎng)絡設備功能的集成技術。

近年來,國內外也出現(xiàn)了一些運用此類集成技術的產(chǎn)品,如Captus IPS 4000、Mazu Enforcer、Top Layer Attack Mitigator以及國內的綠盟黑洞、東方龍馬終結者等,能夠有效地抵擋SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻擊,個別還具有路由和交換的網(wǎng)絡功能。對于有能力的網(wǎng)站來說,直接采用這些產(chǎn)品是防范DDoS攻擊較為便利的方法。但不論國外還是國內的產(chǎn)品,其技術應用的可靠性、可用性等仍有待于進一步提高,如提高設備自身的高可用性、處理速率和效率以及功能的集成性等。

最后,介紹兩個當網(wǎng)站遭受DoS攻擊導致系統(tǒng)無響應后快速恢復服務的應急辦法:

如有富余的IP資源,可以更換一個新的IP地址,將網(wǎng)站域名指向該新IP;

停用80端口,使用如81或其它端口提供HTTP服務,將網(wǎng)站域名指向IP:81。


標題名稱:中小網(wǎng)站如何才能對付惡意DoS攻擊
文章位置:http://www.5511xx.com/article/dhhodhj.html