DDoS攻击分布式拒绝服务,又叫洪水攻击,是一种利用目标系统网络的功能缺陷或是直接消耗系统资源使服务器瘫韩,系统无法正常运行的攻击方式。现今互联网上主要使用的攻击手段有:SYN-FLOOD:老牌DDOS攻击方式,利用TCP协议三次握手的弱点发起的攻击。攻击将造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断。DDoS防火墙成为维护网络稳定和安全,保证正常运营的必备和必须。DDoS攻击是一个系统工程,单单依靠某种系统软件来防御是不现实的,通过CDN防DDoS攻击也不能完全做到,一般场景下可以用CDN来达到缓解攻击的目的,在现有的技术水平条件下,需要采取一些安全措施来防范。
一 把网站做成静态页面
把网站尽可能做成静态页面,不仅能大大提高网站的抗攻击能力,提高网站安全性,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现。目前我国的几家门户网站如新浪、搜狐、网易等主要都是静态页面。
(二) 增加服务器数量并采用
DNS轮巡或负载均衡技术需购买七层交换机设备,从而使得抗DDOS攻击能力成倍提高,只要投资足够深入,便可高效防御DDOS攻击。
(三)在攻击源头采取安全策略。
DDOS攻击的防御必须通过网络上各个团体和使用者的共同合作,制定更严格的网络标准来解决。 每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注意系统安全。
(四)采取加密技术
对于游戏服务商而言,在游戏通讯协议上,应采用高强度的加密算法,提高认证机制,加大攻击者的模拟难度。
(五)优化路由和网络结构。
如果你管理的不仅仅是一台主机,而是网络,就需要调整路由表以将拒绝服务攻击的影响减到最小。另外禁止 网络不需要使用的 UDP 和 ICMP 包通过,尤其是不应该允许出站 ICMP“不可到达”消息。
(六)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。
原文地址:http://blog.51cto.com/13584222/2071654