怎樣才能降低服務器DDOS攻擊?要怎么做才能最大限度地保護企業的服務器租用或服務器托管?如果我們無法防止這種攻擊,那又有哪些措施可以實行?
分布式拒絕服務攻擊(DDoS)是一個完全不同的攻擊方式,你無法阻止黑客對你的網站發動DDoS攻擊,除非你主動斷開互聯網連接。
那么首先就要了解DDoS攻擊的三個階段:
第一階段是目標確認:黑客會在互聯網上鎖定一個企業網絡的IP地址。這個被鎖定的IP地址可能代表了企業的 Web服務器,DNS服務器,互聯網網關等。而選擇這些目標進行攻擊的目的同樣多種多樣,比如為了賺錢(有人會付費給黑客攻擊某些站點),或者只是以破壞為樂。
第二個階段是準備階段:在這個階段,黑客會入侵互聯網上大量的沒有良好防護系統的計算機(基本上就是網絡上的家庭計算機,NDSL寬帶或有線電纜上網方式為主)。黑客會在這些計算機中植入日后攻擊目標所需的工具。
第三個階段是實際攻擊階段:黑客會將攻擊命令發送到所有被入侵的計算機(也就是僵尸計算機)上,并命令這些計算機利用預先植入的攻擊工具不斷向攻擊目標發送數據包,使得目標無法處理大量的數據或者頻寬被占滿。
減少攻擊影響
入侵過濾(Ingress filtering)是一種簡單而且所有網絡(ISP)都應該實施的安全策略。在你的網絡邊緣(比如每一個與外網直接相連的路由器),應該建立一個路由聲 明,將所有數據來來源IP標記為本網地址的數據包丟棄。雖然這種方式并不能防止DDoS攻擊,但是卻可以預防DDoS反射攻擊。
減輕DDoS攻擊危害
但是很多大型ISP好像都因為各種原因拒絕實現入侵過濾,因此我們需要其它方式來降低DDoS帶來的影響。目前最有效的一個方法就是反追蹤(backscatter traceback method)。
要采用這種方式,首先應該確定目前所遭受的是外部DDoS攻擊,而不是來自內網或者路由問題。接下來就要盡快在全部邊緣路由器的外部接口上進行配置,拒絕所有流向DDoS攻擊目標的數據流。
另外,還要在這些邊緣路由器端口上進行配置,將全部無效或無法定位的數據來源IP的數據包丟棄。
將路由器設置為拒絕這些資料包后,路由器會在每次拒絕數據包時發送一個因特網控制訊息協議(ICMP)包,并將"destination unreachable"信息和被拒絕的數據包打包發送給來源IP地址。接下來,打開路由器日志,查看那個路由器收到的攻擊資料包最多。然后根據所記錄的數據包來源IP確定哪個網段的資料量最大。在這個路由器上調整路由器針對這個網段為“黑洞”狀態,并藉由修改子網掩碼的方法將這個網段隔離開。然后再尋找這個網段的所有者的信息,聯系你的ISP以及數據發送網段的ISP,將攻擊情況匯報給他們,并請求協助。不論他們是否愿意幫忙,無非是一個電話的問題。接下來為了讓服務和合法流量通過,你可以將其它一些攻擊情況較輕的路由器恢復正常,只保留承受攻擊最重的那個路由器,并拒絕攻擊來源最大的網段。如果你的ISP和對方ISP很負責的協助阻擋攻擊數據包,你的服務器你的網絡將很快恢復正常。
