全国正在“护网行动”之际,湖南电信、联通、移动固网突然全部瘫痪。有消息称是境外黑客发起DDOS洪水攻击,导致总出口和入口堵塞。虽然三大运营商都在全力解决,但DDOS攻击本身是无解的。一切防御手段也只是减轻攻击伤害。那将来该如何防御呢?
广告老中医说:饭后一件事,变成易瘦体质,后悔知道晚了!× 1、应急防御措施DDOS攻击属于拒绝服务攻击。黑客通常利用庞大的“僵尸主机”对目标发起大量的连接。导致连接数量超出目标设备所能承受的极限范围。最终设备无法对外提供服务。面对这种情况,一般有以下防御应急措施。
①、限制IP:因为黑客发起DDOS攻击经常会伪造IP,所以可以通过发起sync包反向探测源IP地址是否真实存在,如果真实存在,立即封禁该IP。
②、限制连接数:在安全设备上限制对目标主机的访问连接数,即限制每秒新建的连接数。这可以有效减轻目标主机的压力。
③、限制递归查询:这个适用于类似针对DNS查询发起DDOS攻击。因为运营商的主DNS的查询有很多是来自其他DNS服务器的递归查询。如果服务器扛不住DDOS攻击,可以临时先关闭递归查询,减轻主DNS压力。
以上3条可以减轻被攻击主机的压力,但没法完全防御住DDOS攻击。要想更好地防御DDOS攻击,还是要提前做好各种安全防御措施。
广告菩提老祖与少年过招,三招后老祖下跪:师傅,是您吗?六界颤抖× 2、DDOS攻击防御的手段从DDOS攻击本身的特点来看,要想提高防御能力。可以从下面几点来着手。
①、增强主机安全能力
加强主机的安全策略,及时更新操作系统的安全补丁,尤其是关于TCP/IP协议堆栈方面的修复补丁。对主机上安全的互联网程序应该尽量保持更新,web网站尽量用全静态页面,并可配置iptables和nginx的反向代理来增强防御能力。数据库尽量拒绝使用代理访问。
在部署网络服务时,不要把设备性能掐算得那么死。可以多预留一点CPU、内存、网络带宽等处理能力。这样,就算有DDOS攻击,目标系统也能多支撑一会儿。
广告附近新闻:一名退休女护士不小心说出了对抗关节炎的秘密!×②、部署专业安全设备专业的安全设备一般会集成反DDOS功能,它们会对常见的DDOS攻击包进行识别。一旦识别成功,会主动丢去这些攻击包,并拒绝攻击者的连接。安全系统也还可以部署蜜罐假目标,让DDOS攻击的攻击流量流向了假目标。同时,安全系统发现攻击会联动防火墙做各种限制措施。如果是部署在云端,可以采购云服务商的抗DDOS安全产品。比如:阿里云盾、腾讯大禹。
广告0基础如何轻松拿造价工程师证?碎片化时间学习,一点就会× 总结DDOS攻击没有绝对的防御措施,但通过上面的安全措施,可以减少被攻击的风险。如果不幸被攻击后,也可以有效减轻被攻击造成的压力。