到目前为止,防御DDoS攻击非常困难。首先,这种攻击的特点是利用了TCP/IP协议的漏洞,除非不使用TCP/IP协议,才能完全抵御DDoS攻击。但这并不意味着我们不能阻止DDoS攻击。我们可以尽最大努力减少DDoS攻击。以下是一些防御方法。
一、确保服务器的系统文件是最新的,并及时更新系统补丁
要定期扫描现有网络主节点,检验可能存在的安全漏洞,对新漏洞要及时清理。由于骨干网节点的计算机具有较高的带宽,是黑客攻击的最佳场所,因此加强这些主机自身的安全至关重要。所有连接到网络主节点的计算机都是服务器级的,所以定期扫描漏洞就更重要了。
二、关闭无用的服务
过滤掉不必要的服务和端口。Inexpress、Express、Forwarding和其他工具可以用来过滤掉不必要的服务和端口,即在路由器上过滤IP。例如,Cisco的CEF(Cisco Express Forwarding)可以针对封包Source IP和路由表做比较,并过滤。只开放服务端口成为现在许多服务器上的一种流行的做法,比如WWW服务器只开放80端口,而防火墙上的所有其他端口都是关闭或阻塞的。
三、限制同时打开的SYN半连接的数量,缩短SYN半连接的超时时间,限制SYN/ICMP流量
用户应该在路由器上配置最大的SYN/ICMP流量,以限制SYN/ICMP封包可以占用的最大带宽。这样,当大量的SYN/ICMP流量超过限制时,就意味着不是正常的网络访问,而是黑客入侵。在早期,通过限制SYN/ICMP流量是防范DDoS的最佳方法,虽然目前它对DDos的效果较为不太明显,但仍然有效。
四、配置正确的防火墙
禁止对主机的非开放服务的访问和限制特定IP地址的访问。
过滤所有RFC1918 IP地址RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻Ddos的攻击。
启用防火墙的防DDoS的属性,严格限制对外开放的服务器的向外访问。运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。在骨干节点配置防火墙。
防火墙本身可以抵御DDos攻击和其他攻击。当攻击被发现时,攻击可以指向一些牺牲主机,从而保护真正的主机不受攻击。当然,这些牺牲主机可以在不太重要或不太脆弱的Linux和Unix系统之间进行选择,而这两种系统本来就能更好地防止攻击。
五、仔细检查网络设备和主机/服务器系统的日志
每当日志出现漏洞或时间被更改时,计算机就可能被攻击了。
六、限制防火墙外与网络的文件共享
如果不设置防火墙外的网络文件共享这将给黑客截取系统文件的机会,主机的信息会暴露给黑客,无疑是给对方入侵的机会。
七、充分利用网站设施,保护网络资源
所谓网络设备就是路由器、防火墙等负载均衡设备,它们可以有效地保护网络。当网络受到攻击时,路由器是第一个挂的,但其他机器没有挂。死机的路由器重新启动后会恢复正常,而且速度快,没有任何损坏。如果其他的服务器挂了其数据将丢失,重新启动服务器是一个漫长的过程。特别是一个公司使用负载平衡设备,这样当一个路由器受到攻击并崩溃时,另一个路由器将立即工作。从而最大程度地减少DDoS攻击。
八、使用能够抵御攻击的高防
这是一个理想的应对策略。如果用户有足够的能力和资源来抵御黑客攻击,当它持续访问用户、抢夺用户资源时,攻击者的资源就会逐渐丧失,也许在用户被攻击致死之前,黑客就已经没有办法支持了。不过这种方法需要投入大量的资金,且平时大多数设备处于空闲状态,此策略与目前中小企业网络实际运行情况不相符。
九、检查来访者的来源
使用Unicast Reverse Path Forwarding等通过反向路由查询的方法来检查访问者的IP地址是否为真,如果为假,它将屏蔽它。许多攻击使用假的IP地址来迷惑用户,使人很难找到它的来源。因此,利用Unicast Reverse Path Forwarding可以减少假IP地址的出现,提高网络的安全性。