站务联系
(5)过滤不必要的服务跟端口
过滤不必要的服务跟端口,即在路由器上过滤假IP ……只开放服务端口成为这些服务器的流行做法,例如WWW服务器这么只开放80而将其他所有端口关掉或在防火墙上做阻挡策略。
(6)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过逆向路由器查询的方式检测访问者的IP地址是否是真,如果是假的,它将给予屏蔽。许多黑客攻击常选用假IP地址形式蛊惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于增加网路安全性。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个局域的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把他们过滤掉。此方式并不是过滤内部职工的访问,而是将防御时编造的大量虚假内部IP过滤,这样也可以减少DdoS的防御。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超出所限定的SYN/ICMP流量时,说明不是正常的网路访问,而是有黑客侵入。早期通过限制SYN/ICMP流量是最好的防控DOS的方式,虽然该办法对于DdoS疗效不太显著了,不过依然才能起至一定的作用。寻找机会规避防御假如用户正在遭到防御,他所能做的抵抗工作将是十分有限的。因为在先前没有打算好的状况下有大流量的灾难性防御冲向用户,很或许在用户还没回过神之际,网络早已失明。但是,用户还是可以把握机会寻找一线希望的。
(1)检查防御来源,通常黑客会通过这些假IP地址发起防御,此时,用户若就能判断出什么是真IP什么是假IP地址,然后了解哪些IP来自这些网关,再找网网管理员将这种机器关掉,从而在第一时间清除防御。如果发觉很多IP地址是来自外边的而不是公司内部的IP的话,可以采取临时过滤的方式,将这种IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把防御屏蔽掉。若黑客从这些端口发动防御,用户可把这种端口屏蔽掉,以阻挡侵入。不过此方式对于公司网路出口只有一个,而又饱受至来自外部的DdoS攻击时不太起效,毕竟将出口端口封闭后所有计算机都难以访问internet了。
(3)最后也有一种比较折中的方式是在路由器上滤掉ICMP。虽然在防御时他未能完全清除侵入,但是过滤掉ICMP后可以有效的避免防御规模的升级,也可以在一定程度上增加防御的级别。
不知道身为网路管理员的你是否碰到过服务器由于拒绝服务攻击(DDOS攻击)都失明的状况呢?就网路安全而言现在最使人怀疑跟讨厌的侵入防御就该算是DDOS攻击了。他跟传统的防御不同,采取的是仿真多个客户端来连结服务器,造成服务器未能完成这么多的客户端连结,从而未能提供服务。
目前网路安全界对于DdoS的防控最有效的攻击方法:
蜘蛛系统:由全世界各个国家以及地区组成一个庞大的网路系统,相当于一个虚幻的网路任何人测试至的也是节点服务器ip并不是您真实数据所在的真实ip地址,每个节点全部选用百M独享服务器单机抗2G以上流量防御+金盾软防无视任何cc攻击.
无论是G口分包还是家禽防御,使用蜘蛛系统在保障您个人服务器或则数据安全的状态下,只影响一个线路,一个地区,一个市或则一个市的一条线路的用户.并且会在一分钟内更换早已失明的节点服务器保证网站正常状态.还可以把G口分包的服务器或则家禽发出的数据包全部返回至发送点,使G口分包的服务器与家禽全部弄成失明状态.试想假如没了G口服务器或则土鸡黑客用何种来防御您的网站
如果根据本文的方式跟思路去严防DDos的话高防服务器,收到的疗效还是十分明显的,可以将防御带给的损失减少至最小。
注:Ddos攻击只好被减缓,无法被彻底清除。
