您的(de)位置: 新聞資訊 > 新聞動态 > 正文(wén)

政府網站(zhàn)也(yě)頻(pín)受DDoS攻擊,該如(★→$rú)何防護?


來(lái)源:mozhe 2022-02-26
近(jìn)日(rì)俄烏沖突爆發後,烏克蘭國(g♣£uó)家(jiā)特殊通(tōng)信與信息保護局也(yě)通(tōng)報∑↕β(bào)了(le)針對(duì)政府網£♦★站(zhàn)和(hé)銀(yín)行(xíng)的(de)大(d§ •↔à)規模 DDoS 攻擊。此外(wài)追蹤世界各地(dìγ€)網絡中斷情況的(de) Netblocks 組織,也(yě)↓ ₩ε證實了(le)包括外(wài)交部、國(guó)防部、內(nèi)政部®δλ'、安全局(SBU)、內(nèi)閣在內(nèi)的(de)烏克蘭政府網≤<站(zhàn)已躺槍。
DDoS 攻擊是(shì)常見(jiàn)的(d¥₩&e)網絡攻擊中比較難以防範的(de)手段之一(yī)✔ ≠©,報(bào)告顯示2021年(nián),DDoS攻擊仍然呈現(xiàn)高(gāo)發頻(pí¥↑n)發之勢,攻擊組織性和(hé)目的(de)性更加凸顯。

DDoS之所以多(duō)年(nián)來(lái)“長(chá$‍♠​ng)盛不(bù)衰”,還(hái)是(shì)在于其一(y ™ī)打一(yī)個(gè)準。短(duǎn)時(shí)間(j♣↕§§iān)內(nèi),目标網站(zhàn)訪問(w₩♠≥↓èn)擁塞甚至宕機(jī)癱瘓,正常運營立馬受到(dào)直接影(yǐng)響 ‌↕,擱誰都(dōu)頂不(bù)住。然而,為(wèi)了α∏γ(le)防禦不(bù)知(zhī)何時(sh∑€ í)會(huì)造訪的(de)DDoS攻擊而準備大(dà)量的(de)帶寬資源會(hε©∏uì)讓成本難以招架,曆史的(de)慘痛案例也(y≥₽ě)表明(míng),接入靠譜的(de)第三方防護λ₹♣服務是(shì)預防DDoS攻擊最有(yǒu)效的(de)手段。

預防方法:

(1)定期掃描

要(yào)定期掃描現(xiàn)有(yǒu)的(de)網絡主節點,'↓∑±清查可(kě)能(néng)存在的(de)安全漏洞,對(duì)新出現(x≥Ωπiàn)的(de)漏洞及時(shí)進行(xíng)清理(lǐπ♠)。骨幹節點的(de)計(jì)算(suàn)機(j‌£ī)因為(wèi)具有(yǒu)較高(gāo)的(de)帶寬,是(sh£©♠ì)黑(hēi)客利用(yòng)的(de)合适位置,因此對(duì)™λ 這(zhè)些(xiē)主機(jī)本身(shēn)加強主機(jī)安全是ε±(shì)非常重要(yào)的(de)。而且∏​連接到(dào)網絡主節點的(de)都(dōu)是(shì)服務器(qì)≤™✘∑級别的(de)計(jì)算(suàn)機×♣‌(jī),所以定期掃描漏洞就(jiù)變得(de)更加重×'↓要(yào)了(le)。

(2)在骨幹節點配置防火(huǒ)牆

防火(huǒ)牆本身(shēn)能(néng)抵禦DdoS攻擊和(hΩ™✘é)其他(tā)一(yī)些(xiē)攻擊。在發現('→xiàn)受到(dào)攻擊的(de)時(shí)候£÷,可(kě)以将攻擊導向一(yī)些(xiē)犧牲主機(jī),這(zh↔÷è)樣可(kě)以保護真正的(de)主機(jī)不(bù) ✘♦€被攻擊。當然導向的(de)這(zhè)些(xiē)犧牲主機(jīπ♥↕) 可(kě)以選擇不(bù)重要(yào)®™®的(de),或者是(shì)linux以及unix等漏洞少(sh ₽γǎo)和(hé)天生(shēng)防範攻擊優秀的(de)系統

(3)用(yòng)足夠的(de)機(jī)器(σ♣α£qì)承受黑(hēi)客攻擊

這(zhè)是(shì)一(yī)種較為(wèi)理(lǐ ♦♦)想的(de)應對(duì)策略。如(rú)果用(yòng)戶擁'←δ>有(yǒu)足夠的(de)容量和(hé)足夠的('€→de)資源給黑(hēi)客攻擊,在它不(bù)斷訪問(wèn)用(yòng)戶 ♠、奪取用(yòng)戶資源之時(shí),自(zì‌&​β)己的(de)能(néng)量也(yě)在逐漸耗失,或許未等₽'>用(yòng) 戶被攻死,黑(hēi)客已無力支招兒(ér)了(₽$le)。不(bù)過此方法需要(yào)投入的(de)資金(™≠≈jīn)比較多(duō),平時(shí)大(dà)&λ多(duō)數(shù)設備處于空(kōng)®✔閑狀态,和(hé)目前中小(xiǎo)企業(yè)網絡實際運行(xíng)Ωπ情況不(bù)相(xiàng)符。
 

(4)充分(fēn)利用(yòng)網絡設備保護網絡資源

所謂網絡設備是(shì)指路(lù)由器(qì)、防火(huǒ) γ牆等負載均衡設備,它們可(kě)将網絡有(yǒu)$↔效地(dì)保護起來(lái)。當網絡被攻擊時(shí)最先±♠ δ死掉的(de)是(shì)路(lù)由器(qì),但(dàn)其他(tāσ↔)機(jī)器(qì)沒有(yǒu)死。死掉的(de)路(lù)由器 Ω≤φ(qì)經重啓 後會(huì)恢複正常,而→↔ 且啓動起來(lái)還(hái)很(hěn)快(™Ωkuài),沒有(yǒu)什(shén)麽損失。若其他(tā)€ ₩ 服務器(qì)死掉,其中的(de)數(shù)據會(h£÷"γuì)丢失,而且重啓服務器(qì)又(yòu)是(®">>shì)一(yī)個(gè)漫長(chángγ→ε↔)的(de)過程。特别是(shì)一(yī)個(gè)↓≈↑÷公司使用(yòng)了(le)負載均衡設 備,這(z‌'↑hè)樣當一(yī)台路(lù)由器(qì☆₽÷)被攻擊死機(jī)時(shí),另一(yī)台将馬上φ₩ש(shàng)工(gōng)作(zuò)。從(cóng)而最大(dà)≈→¶•程度的(de)削減了(le)DdoS的(d™♥☆e)攻擊。

(5)過濾不(bù)必要(yào)的(de)服務和(hé)端口

過濾不(bù)必要(yào)的(de)服務和(hé)端口,即在路(l✔$★ù)由器(qì)上(shàng)過濾假IP × ​……隻開(k™→↔āi)放(fàng)服務端口成為(wèi)目前很(hěε₹ ‍n)多(duō)服務器(qì)的(de)流行(xíng)做(zuò)法,例♦<$¶如(rú)WWW服務器(qì)那(nà)麽隻開(kāi♣↔§σ)放(fàng)80而将其他(tā)所有(★≈₽♠yǒu)端口關閉或在防 火(huǒ)牆上(shàn↓←≠÷g)做(zuò)阻止策略。

(6)檢查訪問(wèn)者的(de)來(₽♥™lái)源

使用(yòng)Unicast Reverse Path F∑φ↑orwarding等通(tōng)過反向路(lù)由器(qì)查詢的(de←♥)方法檢查訪問(wèn)者的(de)IP地(d ←★ì)址是(shì)否是(shì)真,如(rú)果是(shì)假的(de☆ε),它将予以屏蔽。許多(duō)黑(hēi)客攻擊常采用(yòng)假IP地σ®¥(dì)址方 式迷惑用(yòng)戶,很(hěn)難查出它來(l×≥ái)自(zì)何處。因此,利用(yòng)Unicast Reverse P←♥ath Forwarding可(kě)減少(shǎo)假IP地(dì)址的(d÷←£≈e)出現(xiàn),有(yǒu)助于提高(gāo)網絡安全性。

(7)過濾所有(yǒu)RFC1918 IP地(d™¥‌ì)址

RFC1918 IP地(dì)址是(shì)✘∞‍內(nèi)部網的(de)IP地(dì)址,像10.0.0.0、192.168↓'∞.0.0 和(hé)172.16.0.0,它們不(bù©♠∑)是(shì)某個(gè)網段的(de)固定的$$£(de)IP地(dì)址,而是(shì)Inte₽™$rnet內(nèi)部保留的(de)區(qū)域性IP"≈‍地(dì)址,應該把 它們過濾掉。此方法并不(bù)是(sπ↔≈hì)過濾內(nèi)部員(yuán)工(gōng)的(de)訪問(wèn)♥α$,而是(shì)将攻擊時(shí)僞造的(de)大(dà)量虛假內(nèi)部✔​IP過濾,這(zhè)樣也(yě)可(kě​∞)以減輕DdoS的(de)攻擊。
 

(8)限制(zhì)SYN/ICMP流量

用(yòng)戶應在路(lù)由器(qì)上(shàng)配置SYN/I☆÷CMP的(de)最大(dà)流量來(lái)限制(zhì)SYδ ★₽N/ICMP封包所能(néng)占有(yǒu)的(de)最高(λ©gāo)頻(pín)寬,這(zhè)樣,當出現(xiàn)大(dà)量的(±×↓de)超過所限定的(de)SYN/ICMP流量時(shí),說(→&₩shuō)明(míng)不(bù)是(shì)正常的(de)網絡訪問(wè§>¶™n) ,而是(shì)有(yǒu)黑(h±♦↓×ēi)客入侵。早期通(tōng)過限制(zhì)SYN/ICMP流量是(s♠♣hì)最好(hǎo)的(de)防範DOS的(de)方法,雖然目前該方法對λ✘₩•(duì)于DdoS效果不(bù)太明(m ≤íng)顯了(le),不(bù)過仍然能(néng)夠起到(dào)一(↑±yī)定的(de)作(zuò)用(yòng)。

 
  最新文(wén)章(zhāng)
X

7x24 小(xiǎo)時(shí)

免費(fèi)技(jì)術(shù)支持

15625276999


-->