您的位置：浩海代码网 » 建站经验 » 当网站遭遇DDOS攻击的解决方案及展望

当网站遭遇DDOS攻击的解决方案及展望(3)

建站经验 2011-03-02 07:01:16 作者: 浩海代码网阅读() 评论字号：大中小订阅

　　过滤掉网络不需要的流量总是不会错的。这还能防止DoS攻击，但为了达到效果，这些过滤器应尽量设置在网络上游。

　　Ø 网络流量速率限制一些路由器有流量速率的最高限制。

　　这些限制条款将加强带宽策略，并允许一个给定类型的网络流量匹配有限的带宽。这一措施也能预先缓解正在进行的攻击，同时，这些过滤器应尽量设置在网络上游(尽可能靠近攻击者);

　　Ø 入侵检测系统和主机监听工具

　　IDS能警告网络管理员攻击的发生时间，以及攻击者使用的攻击工具，这将能协助阻止攻击。主机监听工具能警告管理员系统中是否出现DoS工具

　　Ø 单点传送RPF

　　这是CEF用于检查在接口收到的数据包的另一特性。如果源IP地址CEF表上不具有与指向接收数据包时的接口一致的路由的话，路由器就会丢掉这个数据包。丢弃RPF的妙处在于，它阻止了所有伪装源IP地址的攻击。

　　针对DDOS预防措施

　　看了上面的实际案例我们也了解到，许多DDoS攻击都很难应对，因为搞破坏的主机所发出的请求都是完全合法、符合标准的，只是数量太大。借助恰当的ACL，我们可以阻断ICMP echo请求。但是，如果有自己的自治系统，就应该允许从因特网上ping你。不能ping通会使ISP或技术支持团队(如果有的话)丧失某些故障排解能力。也可能碰到具有Cisco TCP截获功能的SYN洪流：

　　Router(config)#ip tcp intercept list 101

　　Router(config)#ip tcp intercept max-incomplete high 3500

　　Router(config)#ip tcp intercept max-incomplete low 3000

　　Router(config)#ip tcp intercept one-minute high 2500

　　Router(config)#ip tcp intercept one-minute low 2000

　　Router(config)#access-list 101 permit any any

　　如果能采用基于上下文的访问控制(Context Based Access Control，CBAC)，则可以用其超时和阈值设置应对SYN洪流和UDP垃圾洪流。例如：

　　Router(config)# ip inspect tcp synwait-time 20

　　Router(config)# ip inspect tcp idle-time 60

　　Router(config)# ip inspect udp idle-time 20

　　Router(config)# ip inspect max-incomplete high 400

　　Router(config)# ip inspect max-incomplete low 300

　　Router(config)# ip inspect one-minute high 600

　　Router(config)# ip inspect one-minute low 500

　　Router(config)# ip inspect tcp max-incomplete host 300 block-time 0

　　警告：建议不要同时使用TCP截获和CBAC防御功能，因为这可能导致路由器过载。

　　打开Cisco快速转发(Cisco Express Forwarding，CEF)功能可帮助路由器防御数据包为随机源地址的洪流。可以对调度程序做些设置，避免在洪流的冲击下路由器的CPU完全过载：

　　Router(config)#scheduler allocate 3000 1000

　　在做了这样的配置之后，IOS会用3s的时间处理网络接口中断请求，之后用1s执行其他任务。对于较早的系统，可能必须使用命令scheduler interval《milliseconds》。

　　四、总结

　　无论是出于报复、敲诈勒索、发起更大规模攻击，DoS或DDoS攻击都是一种不容轻视的威胁。非同一般的DoS攻击通常是某种不完整的漏洞利用—使系统服务崩溃，而不是将控制权交给攻击者。防范这种攻击的办法是及时打上来自厂商的补丁，或者对于Cisco系统，及时将操作系统升级到更新版本。同时，要关闭有漏洞的服务，或者至少要用访问控制列表限制访问。常规的DoS攻击，特别是DDoS攻击，经常不是那么有章法，也更难防范。如果整个带宽都被蹩脚的ping洪流所耗尽，我们所能做的就很有限了。最后，必须与ISP和权力部门协作，尽可能从源头上阻止攻击。要用不同供应商、不同AS路径并支持负载均衡功能的不止一条到因特网的连接，但这与应对消耗高带宽的常规DoS/DDoS洪流的要求还相差很远。我们总是可以用CAR或NBAR来抛弃数据包或限制发动进攻的网络流速度，减轻路由器CPU的负担，减少对缓冲区和路由器之后的主机的占用。

本文地址:http://122.114.238.25/article-1276.html

标签：

阅读| 评论| 举报

谈网站站内分析的必要性以及要诀

医院网站推广工作的阶段性总结

当网站遭遇DDOS攻击的解决方案及展望(3)

评论

推荐信息

热门信息

最近更新

标签(TAG)云

友情链接

浩海代码网 php 代码网 php代码 seo优化 php源码 php教程 mysql php代码网 Codeigniter

当网站遭遇DDOS攻击的解决方案及展望(3)

评论

推荐信息

热门信息

最近更新

标签(TAG)云

友情链接