预防DDOS攻击 保护好自己的网络流量
作者:高防CDN 来源:http://www.ddosgf.com :2016-04-19 阅读数:
一种常见的拒绝类型
1、TCP SYN洪水
对于TCP协议,当客户端发起连接请求并初始化到服务器,堆栈的服务器端会留下一个缓冲区处理“握手”过程中的信息。当请求建立一个发送数据包的包头顺位的连接显示数据包的顺序,攻击者可以快速启动一个在短时间内大量的连接请求,使服务器无法响应。同时,攻击者也可以伪造源地址。也就是说,攻击者发起了大量的连接请求,然后暂停在一个半连接状态,以占用大量的服务器资源,直到服务。虽然在缓冲区中的数据在一段时间内(通常是三分钟)没有响应,然后将它丢弃,但在这段时间内,大量的半连接到足以耗尽服务器资源。
为了抵御这种有没有好的办法,所有基于TCP的服务是“软弱”,但对于Web服务,招募防御手段:设置SYN Cookie,RST cookie和编辑缓冲区大小。具体方法可以找到,但要注意,这三种方法都有局限性。
2、IP精灵
蓝精灵的IP使用广播地址发送ICMP包,一旦播出,将所有主机的广播域的反应,当然,这些软件包对伪装IP地址(指向被攻击的主机),伪装IP地址可以被互联网上的任何地址,不一定在土地;如果黑客不停止发送这种类型的包,它会导致DoS攻击。
为了抵御这种攻击,从内部网络开始,因为攻击是在广播域内发起的,所以一个是防贼,二是防木马,病毒是为了防止被控制,另一个是使用防火墙来隐藏网络;更好的结合这些措施。
3、其他
还有其他的UDP洪水,ICMP洪水,死平,泪滴攻击,登陆攻击,回声/ Chargen攻击,其基本思想是相似的,有兴趣的可以看看,有限的空间不多。
4、DDoS攻击
DDoS攻击是一种分布式拒绝服务攻击的基本思想和DOS攻击的方法,只是不同。DDoS攻击一般通过两种途径:一是大量使用路由器,一个是僵尸网络的使用。
从攻击者的角度来看,缺乏攻击性的攻击是需要能够继续发送洪水包,一旦洪水包停止,系统一般恢复正常。此外,如果直接攻击从机器,有一个风险被追踪到的知识产权;和使用的僵尸网络和需要一个强有力的控制。
作为不确定的一种方法,防止黑客攻击,确保没有办法阻止所有的攻击。然而,有一些措施,可以减少风险的发生风险。正如前面所介绍的cookie RST,Cookie SNY,编辑缓冲区大小。这里有一些更多的,这些方法应根据情况的综合应用。
第一次使用防火墙来防止外部ICMP数据包,几乎没有什么理由让外面的ICMP数据包到本地网络,它将为此争论,说是没有好的理由,但在我看来。再次使用工具检查是否syn_received状态网络中的网络,这可能表明SYN洪水,许多网关防火墙也用这种方法来抵御DoS攻击。此外,如果网络比较大,有内部路由器,而网络不提供服务的外部,可以考虑路由器的配置,禁止所有的流量是不是由本地发起的,但也考虑禁止直接广播。
如果路由器有一个数据包过滤功能,可以对数据包的源地址进行检查,是否是伪造的,来自外部源数据的数据包应该是外部的,网络的数据包的源地址的网络是网络。最后是为了防止僵尸网络的出现,在网络上没有什么可以说,常规的保护,及时更新补丁,使用杀毒软件开发一个下载策略,禁止免费下载。
这已经对网络上的基本威胁进行了了解,每个都有其自身的特点,这里只有总结出基本的防御措施,常规行动,一定要做好。此外,网络安全是一个防御的动态过程,新的思想,新的形式,在任何时间。持续学习的必要性,根据网络本身的特点和威胁,对案件的救济。再次提醒注意,经常采取行动:
(1)使用防病毒软件,定期扫描。
(2)及时更新系统和软件补丁。
(3)关闭不需要的服务。
(4)浏览器配置为最高安全级别。
(5)使用防火墙,为桌面,系统自带防火墙。
(6)考虑使用反间谍软件。
(7)在互联网上不披露私人资料,除非有必要。
(8)企业应具有相应的安全政策。
当然,安全运行的全过程是通过网络运行维护的,随着网络环境的不同,不同的要求、措施会有所不同,没有最好的,只有更好的,需要不断的实践。下一步将系统介绍如何进行安全保护。方法是从上到下,从抽象到具体,先看一下网络安全模型。
本文转载于http://www.ddosgf.com 高防云盾