|
網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù)����,它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體�,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作��,使人們能夠透明地使用資源的整體能力并按需獲取信息�。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源����、數(shù)據(jù)資源、信息資源���、知識(shí)資源�、專家資源�����、大型數(shù)據(jù)庫(kù)���、網(wǎng)絡(luò)����、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享�,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。 網(wǎng)絡(luò)設(shè)備上的設(shè)置
企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮�����。這兩個(gè)設(shè)備是到外界的接口設(shè)備�,在進(jìn)行防DDoS設(shè)置的同時(shí),要注意一下這是以多大的效率犧牲為代價(jià)的����,對(duì)你來(lái)說(shuō)是否值得。
���。.防火墻
禁止對(duì)主機(jī)的非開(kāi)放服務(wù)的訪問(wèn)
限制同時(shí)打開(kāi)的SYN最大連接數(shù)
限制特定IP地址的訪問(wèn)
啟 用防火墻的防DDoS的屬性
嚴(yán)格限制對(duì)外開(kāi)放的服務(wù)器的向外訪問(wèn)
第五項(xiàng)主要是防止自己的服務(wù)器被當(dāng)做工具去害人�����。
2.路由器
以Cisco路由器為例
Cisco Express Forwarding(CEF)
使用 unicast reverse-path
訪問(wèn)控制列表(ACL)過(guò)濾
設(shè)置SYN數(shù)據(jù)包流量速率
升級(jí)版本過(guò)低的ISO
為路由器建立log server
其中使用CEF和Unicast設(shè)置時(shí)要特別注意�,使用不當(dāng)會(huì)造成路由器工作效率嚴(yán)重下降,升級(jí)IOS也應(yīng)謹(jǐn)慎�����。路由器是網(wǎng)絡(luò)的核心設(shè)備�,與大家分享一下進(jìn)行設(shè)置修改時(shí)的小經(jīng)驗(yàn)�,就是先不保存�����。Cisco路由器有兩份配置startup config和running config�,修改的時(shí)候改變的是running config,可以讓這個(gè)配置先跑一段時(shí)間(三五天的就隨意啦)���,覺(jué)得可行后再保存配置到startup config�;而如果不滿意想恢復(fù)原來(lái)的配置���,用copy start run就行了����。
ISP / ICP管理員
ISP / ICP為很多中小型企業(yè)提供了各種規(guī)模的主機(jī)托管業(yè)務(wù)��,所以在防DDoS時(shí)���,除了與企業(yè)網(wǎng)管理員一樣的手段外�����,還要特別注意自己管理范圍內(nèi)的客戶托管主機(jī)不要成為傀儡機(jī)���������?陀^上說(shuō),這些托管主機(jī)的安全性普遍是很差的�����,有的連基本的補(bǔ)丁都沒(méi)有打就赤膊上陣了���,成為黑客最喜歡的"肉雞"�,因?yàn)椴还苓@臺(tái)機(jī)器黑客怎么用都不會(huì)有被發(fā)現(xiàn)的危險(xiǎn)���,它的安全管理太差了�����;還不必說(shuō)托管的主機(jī)都是高性能、高帶寬的-簡(jiǎn)直就是為DDoS定制的�����。而做為ISP的管理員,對(duì)托管主機(jī)是沒(méi)有直接管理的權(quán)力的���,只能通知讓客戶來(lái)處理�����。在實(shí)際情況時(shí)�,有很多客戶與自己的托管主機(jī)服務(wù)商配合得不是很好�����,造成ISP管理員明知自己負(fù)責(zé)的一臺(tái)托管主機(jī)成為了傀儡機(jī)����,卻沒(méi)有什么辦法的局面。而托管業(yè)務(wù)又是買(mǎi)方市場(chǎng)�,ISP還不敢得罪客戶,怎么辦�����?咱們管理員和客戶搞好關(guān)系吧����,沒(méi)辦法���,誰(shuí)讓人家是上帝呢?呵呵�����,客戶多配合一些��,ISP的主機(jī)更安全一些��,被別人告狀的可能性也小一些�����。
骨干網(wǎng)絡(luò)運(yùn)營(yíng)商
他們提供了互聯(lián)網(wǎng)存在的物理基礎(chǔ)��。如果骨干網(wǎng)絡(luò)運(yùn)營(yíng)商可以很好地合作的話���,DDoS攻擊可以很好地被預(yù)防����。在2000年yahoo等知名網(wǎng)站被攻擊后����,美國(guó)的網(wǎng)絡(luò)安全研究機(jī)構(gòu)提出了骨干運(yùn)營(yíng)商聯(lián)手來(lái)解決DDoS攻擊的方案。其實(shí)方法很簡(jiǎn)單����,就是每家運(yùn)營(yíng)商在自己的出口路由器上進(jìn)行源IP地址的驗(yàn)證,如果在自己的路由表中沒(méi)有到這個(gè)數(shù)據(jù)包源IP的路由���,就丟掉這個(gè)包�����。這種方法可以阻止黑客利用偽造的源IP來(lái)進(jìn)行DDoS攻擊����。不過(guò)同樣�����,這樣做會(huì)降低路由器的效率�,這也是骨干運(yùn)營(yíng)商非常關(guān)注的問(wèn)題,所以這種做法真正采用起來(lái)還很困難�����。
對(duì)DDoS的原理與應(yīng)付方法的研究一直在進(jìn)行中,找到一個(gè)既有效又切實(shí)可行的方案不是一朝一夕的事情���。但目前我們至少可以做到把自己的網(wǎng)絡(luò)與主機(jī)維護(hù)好�����,首先讓自己的主機(jī)不成為別人利用的對(duì)象去攻擊別人�����;其次�,在受到攻擊的時(shí)候�����,要盡量地保存證據(jù)�����,以便事后追查��,一個(gè)良好的網(wǎng)絡(luò)和日志系統(tǒng)是必要的����。無(wú)論DDoS的防御向何處發(fā)展����,這都將是一個(gè)社會(huì)工程����,需要IT界的同行們來(lái)一起關(guān)注�����,通力合作���。
網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中��,正因如此�,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上����、軟件上、所用標(biāo)準(zhǔn)上......�,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展�����,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。
|
溫馨提示:喜歡本站的話�����,請(qǐng)收藏一下本站���!
