用路由器來減輕DDOS攻擊危害
時間:2010-07-15 22:38:11 整理:佚名 []
大部分網(wǎng)絡都很容易受到各種類型的黑客攻擊,但是我們可以透過一套安全規(guī)范來 大限度的防止黑客攻擊的發(fā)生。
但是,分布式拒絕服務攻擊(DDoS)是一個完全不同的攻擊方式,你無法阻止黑客對你的網(wǎng)站發(fā)動DDoS攻擊,除非你主動斷開因特網(wǎng)連接。
如果我們無法防止這種攻擊,那么怎么做才能 大限度地保護企業(yè)網(wǎng)絡呢?
首先你應該清楚的了解DDoS攻擊的三個階段,然后再學習如何將這種攻擊的危害降到 低。
理解DDoS攻擊
一個DDoS攻擊一般分為三個階段。第一階段是目標確認:黑客會在因特網(wǎng)上鎖定一個企業(yè)網(wǎng)絡的IP地址。這個被鎖定的IP地址可能代表了企業(yè)的Web服務器,DNS服務器,因特網(wǎng)網(wǎng)關等。而選擇這些目標進行攻擊的目的同樣多種多樣,比如為了賺錢(有人會付費給黑客攻擊某些站點),或者只是以破壞為樂。
第二個階段是準備階段:在這個階段,黑客會入侵因特網(wǎng)上大量的沒有良好防護系統(tǒng)的計算機(基本上就是網(wǎng)絡上的家庭計算機,DSL寬帶或有線電纜上網(wǎng)方式為主)。黑客會在這些計算機中植入日后攻擊目標所需的工具。
第三個階段是實際攻擊階段:黑客會將攻擊命令發(fā)送到所有被入侵的計算機(也就是僵尸計算機)上,并命令這些計算機利用預先植入的攻擊工具不斷向攻擊目標發(fā)送數(shù)據(jù)包,使得目標無法處理大量的數(shù)據(jù)或者頻寬被占滿。
聰明的黑客還會讓這些僵尸計算機偽造發(fā)送攻擊數(shù)據(jù)包的IP地址,并且將攻擊目標的IP地址插在數(shù)據(jù)包的原始地址處,這就是所謂的反射攻擊。服務器或路由器看到這些資料包后會轉(zhuǎn)發(fā)(即反射)給原始IP地址一個接收響應,更加重了目標主機所承受的數(shù)據(jù)流。
因此,我們無法阻止這種DDoS攻擊,但是知道了這種攻擊的原理,我們就可以盡量減小這種攻擊所帶來的影響。
減少攻擊影響
入侵過濾(Ingress filtering)是一種簡單而且所有網(wǎng)絡(ISP)都應該實施的安全策略。在你的網(wǎng)絡邊緣(比如每一個與外網(wǎng)直接相連的路由器),應該建立一個路由聲明,將所有數(shù)據(jù)來來源IP標記為本網(wǎng)地址的數(shù)據(jù)包丟棄。雖然這種方式并不能防止DDoS攻擊,但是卻可以預防DDoS反射攻擊。
但是很多大型ISP好像都因為各種原因拒絕實現(xiàn)入侵過濾,因此我們需要其它方式來降低DDoS帶來的影響。目前 有效的一個方法就是反追蹤(backscatter traceback method)。
要采用這種方式,首先應該確定目前所遭受的是外部DDoS攻擊,而不是來自內(nèi)網(wǎng)或者路由問題。接下來就要盡快在全部邊緣路由器的外部接口上進行配置,拒絕所有流向DDoS攻擊目標的數(shù)據(jù)流。
另外,還要在這些邊緣路由器端口上進行配置,將全部無效或無法定位的數(shù)據(jù)來源IP的數(shù)據(jù)包丟棄。比如以下地址:
· 10.0.0.0 - 10.255.255.255
· 172.16.0.0 - 172.31.255.255
· 192.168.0.0 - 192.168.255.255
將路由器設置為拒絕這些資料包后,路由器會在每次拒絕數(shù)據(jù)包時發(fā)送一個因特網(wǎng)控制訊息協(xié)議(ICMP)包,并將“destination unreachable”信息和被拒絕的數(shù)據(jù)包打包發(fā)送給來源IP地址。
接下來,打開路由器日志,查看那個路由器收到的攻擊資料包 多。然后根據(jù)所記錄的數(shù)據(jù)包來源IP確定哪個網(wǎng)段的資料量 大。在這個路由器上調(diào)整路由器針對這個網(wǎng)段為「黑洞」狀態(tài),并藉由修改子網(wǎng)掩碼的方法將這個網(wǎng)段隔離開。
然后再尋找這個網(wǎng)段的所有者的信息,聯(lián)系你的ISP以及數(shù)據(jù)發(fā)送網(wǎng)段的ISP,將攻擊情況匯報給他們,并請求協(xié)助。不論他們是否愿意幫忙,無非是一個電話的問題。 接下來為了讓服務和合法流量通過,你可以將其它一些攻擊情況較輕的路由器恢復正常, 只保留承受攻擊 重的那個路由器,并拒絕攻擊來源 大的網(wǎng)段。如果你的ISP和對方ISP很負責的協(xié)助阻擋攻擊數(shù)據(jù)包,你的網(wǎng)絡將很快恢復正常。
結(jié)語
DDoS攻擊很狡猾,也很難預防,但是你可以藉由以上方式和專業(yè)的抗DDOS防火墻(如冰盾專業(yè)級抗DDOS防火墻)減輕這種攻擊對網(wǎng)絡的影響。面對攻擊,你只需要快速地響應和正確的方法,就可以及時發(fā)現(xiàn)攻擊數(shù)據(jù)流并將其擋掉。
但是,分布式拒絕服務攻擊(DDoS)是一個完全不同的攻擊方式,你無法阻止黑客對你的網(wǎng)站發(fā)動DDoS攻擊,除非你主動斷開因特網(wǎng)連接。
如果我們無法防止這種攻擊,那么怎么做才能 大限度地保護企業(yè)網(wǎng)絡呢?
首先你應該清楚的了解DDoS攻擊的三個階段,然后再學習如何將這種攻擊的危害降到 低。
理解DDoS攻擊
一個DDoS攻擊一般分為三個階段。第一階段是目標確認:黑客會在因特網(wǎng)上鎖定一個企業(yè)網(wǎng)絡的IP地址。這個被鎖定的IP地址可能代表了企業(yè)的Web服務器,DNS服務器,因特網(wǎng)網(wǎng)關等。而選擇這些目標進行攻擊的目的同樣多種多樣,比如為了賺錢(有人會付費給黑客攻擊某些站點),或者只是以破壞為樂。
第二個階段是準備階段:在這個階段,黑客會入侵因特網(wǎng)上大量的沒有良好防護系統(tǒng)的計算機(基本上就是網(wǎng)絡上的家庭計算機,DSL寬帶或有線電纜上網(wǎng)方式為主)。黑客會在這些計算機中植入日后攻擊目標所需的工具。
第三個階段是實際攻擊階段:黑客會將攻擊命令發(fā)送到所有被入侵的計算機(也就是僵尸計算機)上,并命令這些計算機利用預先植入的攻擊工具不斷向攻擊目標發(fā)送數(shù)據(jù)包,使得目標無法處理大量的數(shù)據(jù)或者頻寬被占滿。
聰明的黑客還會讓這些僵尸計算機偽造發(fā)送攻擊數(shù)據(jù)包的IP地址,并且將攻擊目標的IP地址插在數(shù)據(jù)包的原始地址處,這就是所謂的反射攻擊。服務器或路由器看到這些資料包后會轉(zhuǎn)發(fā)(即反射)給原始IP地址一個接收響應,更加重了目標主機所承受的數(shù)據(jù)流。
因此,我們無法阻止這種DDoS攻擊,但是知道了這種攻擊的原理,我們就可以盡量減小這種攻擊所帶來的影響。
減少攻擊影響
入侵過濾(Ingress filtering)是一種簡單而且所有網(wǎng)絡(ISP)都應該實施的安全策略。在你的網(wǎng)絡邊緣(比如每一個與外網(wǎng)直接相連的路由器),應該建立一個路由聲明,將所有數(shù)據(jù)來來源IP標記為本網(wǎng)地址的數(shù)據(jù)包丟棄。雖然這種方式并不能防止DDoS攻擊,但是卻可以預防DDoS反射攻擊。
但是很多大型ISP好像都因為各種原因拒絕實現(xiàn)入侵過濾,因此我們需要其它方式來降低DDoS帶來的影響。目前 有效的一個方法就是反追蹤(backscatter traceback method)。
要采用這種方式,首先應該確定目前所遭受的是外部DDoS攻擊,而不是來自內(nèi)網(wǎng)或者路由問題。接下來就要盡快在全部邊緣路由器的外部接口上進行配置,拒絕所有流向DDoS攻擊目標的數(shù)據(jù)流。
另外,還要在這些邊緣路由器端口上進行配置,將全部無效或無法定位的數(shù)據(jù)來源IP的數(shù)據(jù)包丟棄。比如以下地址:
· 10.0.0.0 - 10.255.255.255
· 172.16.0.0 - 172.31.255.255
· 192.168.0.0 - 192.168.255.255
將路由器設置為拒絕這些資料包后,路由器會在每次拒絕數(shù)據(jù)包時發(fā)送一個因特網(wǎng)控制訊息協(xié)議(ICMP)包,并將“destination unreachable”信息和被拒絕的數(shù)據(jù)包打包發(fā)送給來源IP地址。
接下來,打開路由器日志,查看那個路由器收到的攻擊資料包 多。然后根據(jù)所記錄的數(shù)據(jù)包來源IP確定哪個網(wǎng)段的資料量 大。在這個路由器上調(diào)整路由器針對這個網(wǎng)段為「黑洞」狀態(tài),并藉由修改子網(wǎng)掩碼的方法將這個網(wǎng)段隔離開。
然后再尋找這個網(wǎng)段的所有者的信息,聯(lián)系你的ISP以及數(shù)據(jù)發(fā)送網(wǎng)段的ISP,將攻擊情況匯報給他們,并請求協(xié)助。不論他們是否愿意幫忙,無非是一個電話的問題。 接下來為了讓服務和合法流量通過,你可以將其它一些攻擊情況較輕的路由器恢復正常, 只保留承受攻擊 重的那個路由器,并拒絕攻擊來源 大的網(wǎng)段。如果你的ISP和對方ISP很負責的協(xié)助阻擋攻擊數(shù)據(jù)包,你的網(wǎng)絡將很快恢復正常。
結(jié)語
DDoS攻擊很狡猾,也很難預防,但是你可以藉由以上方式和專業(yè)的抗DDOS防火墻(如冰盾專業(yè)級抗DDOS防火墻)減輕這種攻擊對網(wǎng)絡的影響。面對攻擊,你只需要快速地響應和正確的方法,就可以及時發(fā)現(xiàn)攻擊數(shù)據(jù)流并將其擋掉。
百度中找“用路由器來減輕DDOS攻擊危害”的內(nèi)容
GOOGLE中找“用路由器來減輕DDOS攻擊危害”的內(nèi)容
|
 |
關鍵詞:用路由器來減輕DDOS攻擊危害 相關文章
