10种分布式拒绝服务攻击的应急解决方法

发表于:2007-07-02来源:作者:点击数: 标签:
网络中的安全弱点层出不穷,它们往往被黑客们通过 开发 成工具(拒绝服务攻击)用来危急我们的主机系统,不停的应付这些安全问题是一件非常复杂并耗力的工作。在很长的一段时间里,几乎没有什么简单易行的方法来较好的防止这些攻击,人们只好靠加强事先的防

    网络中的安全弱点层出不穷,它们往往被黑客们通过开发成工具(拒绝服务攻击)用来危急我们的主机系统,不停的应付这些安全问题是一件非常复杂并耗力的工作。在很长的一段时间里,几乎没有什么简单易行的方法来较好的防止这些攻击,人们只好靠加强事先的防范以及更严密的安全措施来加固系统。这篇文章很适用于那些经常为自己的网站担忧却又没有什么更好的解决方法的网管们,它介绍了几种关于拒绝服务攻击的措施。

1. 避免FUD
FUD代表恐惧,无常以及多疑(fear, uncertainty, and doubt)。由于最近的连续事件的发生,使得一些网站过于的紧张,他们生怕被作为下一个的被攻击目标。其实,应当清楚,只有很少数目的网站会遭受到拒绝服务攻击,这些遭受DDoS攻击的网站大多是些世界顶级的望站,象著名的搜索引擎、电子商务网站以及金融政权公司、IRC聊天服务器新闻站点等。假如您的网站并不在此列,您将不必过分担心您的网站会遭到此类的攻击。

2. 与您的网络服务提供商协作。
能否与您上一级的网络主干服务提供商进行良好的合作也是一件非常重要的事情。DDoS攻击对带宽的使用是非常严格的,无论您使用什么方法都无法使您自己的网络对它的上一级进行控制。最好能够与您的网络服务供应商进行协商,请求他们帮助您实现路由的访问控制,以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。如果还有可能的话,最好请求您的服务提供商帮您监视网络流量,并在遭受攻击时允许您访问他们的路由器。

3. 优化路由及网络结构。
假如您的网站不单单是一台主机,而是一个较为庞大的网络的话,那么应该对您的路由器进行合理设置以最小化使您遭受拒绝服务攻击的可能性,例如,为了防止SYN flooding攻击,您可以在路由器上设定TCP侦听功能(具体的方法可以从您的路由器生产厂家的网站或电话支持获得),应当过滤所有的您不需要的UDP和ICMP包信息。注意,如果您的路由器允许发送向外的不可到达的ICMP包将会使遭受DOS攻击的可能性增大。

4. 优化对外提供服务的主机
不仅仅对于网络设备,对于潜在的有可能遭受攻击的主机也要同样进行设置保护。在服务器上禁止一切不必要的服务,此外,如果使用多宿主机(一台主机多)的话也会给攻击者带来相当大的麻烦。我们还建议您将网站分布在多个不同的物理主机上,这样每一台主机只包含了网站的一部分,防止了网站在遭受攻击时全部瘫痪。

5. 当攻击正在进行时:
立即启动您的应付策略,尽可能快的向回追踪攻击包,如果发现攻击并非来自内部应当立即与您的服务提供商取得联系。由于攻击包的源地址很有可能是被攻击者伪装的,因此不必过分的相信该地址。您应当迅速的判断是否遭到了拒绝服务攻击,因为在攻击停止后,只有很短的一段时间您可以向回追踪攻击包。

6. 如果您的网站确实是一个潜在的拒绝服务攻击的受害者
您也不必过分的紧张,而应当尽快采取合理有效的防范手段。还应当注意,现在的拒绝服务攻击的服务器端软件仅有linux或Solaris的版本,而且大多安装在*BSD*系统中,但由于这些系统一般都比较安全严密,所以发生的可能性还是比较小的。

7. 核实您的主机没有被攻击并依然安全
最近又有许多的系统漏洞被发现,而且与之相关的一些黑客工具也被开发出来了。您应当通过检查漏洞数据库来核实您所正在使用的系统软件没有发现新的漏洞。切记,攻击者只有利用以发现的漏洞才能进入您的系统并安装他们自己的程序。您还应当回顾您的系统配置,查找其中的安全故障,最好使用最新的软件版本,并且尽量少的开启系统中的服务。如果您已经这样做了,那么您应当充分相信自己的系统已经做出了最大的努力来减小网络安全风险。

8. 审核您的系统规则
一个合格的网管应当对自己的系统负责任,并时刻注意本系统的运转,应当清楚的明白您的系统和应用软件是如何运做的以及它们的原理,回顾您经常采取的安全措施以及系统配置。检查著名的安全网站时刻关心最新揭露的安全漏洞,并注意他们是否将来会在您的系统中发生。

9. 使用密码检查
如果您正在检查的系统尚未遭受攻击,您应当尽量使用密码签名来加密您的系统文件和应用程序,并周期性的检查这些文件的变化。除此之外,我们还强烈建议您应当在攻击者所不能访问的其他机器上或在磁带机等媒体上存储校验后的数据,您可以在很多的网络安全站点上找到相关的备份工具。

10. 如果系统正在遭受攻击的过程中
立即关闭系统并投入精力进行调查。假如您在您的内部网络里发现有一台攻击发起点或者与网络正在连接着,那么您最好立即切断与其他网络的连接,假如进行攻击的主机就是您自己的主机,也就是说您的主机已经被攻击者完全控制了,那么您就应当对您的系统做一下仔细的检查了,最好重新安装一便,而且您还应当与安全组织或公司取得联系来紧急响应。聘请专业的安全公司作为顾问,对自己的系统进行检查才是正确的解决之道。

原文转自:http://www.ltesting.net