生产环境中对于防范DDOS攻击的讨论（获奖名单已公布）

wojiaohesen

这个东西不用纠结. 一个人开发防火墙一个月能拿多少工资10W? 开发一个好的ddos攻击工具一天就可以挣到这些钱,  所以这是个经济问题, 我相信那些发起攻击的人里面的核心人员的技术远在机房管理员的水平之上,  这也是为啥那些黑客能挣那么多钱.

king_819

回复 79# Godbach


    随着“肉鸡”的配置不断的提高、带宽不断的加大、安全意识薄弱，对DDOS攻击提供了极大的便利，也有很多机房管理人员利用手中的资源接“私活”

king_819

回复 81# wojiaohesen


    都是利益驱使的

cgweb

前面讲过DDoS的检测和防御方法，进行分布式拒绝服务攻击(DDoS)的防御还是比较困难的。因为这种攻击的特点是利用TCP/IP协议的漏洞。除非不用TCP/IP，才有可能完全抵御DDoS攻击。即使DDoS难于防范，我们也不应该“逆来顺受”。

cgweb

作为企业的网络管理员，我们该如何防范DDOS攻击呢？
(1)时刻留意安全站点公布的、与Linux 系统和软件有关的最新安全漏洞和报告；及早发现系统存在的攻击漏洞，及时安装系统补丁程序；对一些重要信息(例如系统配置信息)建立并完善备份机制；对一些特权账号(例如管理员账号)的密码设置要谨慎。通过这样的一系列举措可以把攻击者的机会降到最小。
(2)在网络管理方面，要经常检查系统的物理环境， 禁止那些不必要的网络服务； 充分了解系统和服务器软件是如何工作的； 经常检查系统配置和安全策略， 并注意查看每天的安全日志。
(3)利用工具检查文件完整性。在确定系统未曾被入侵时，应该尽快为所有二进制程序和其他重要系统文件产生文件签名，并且周期性地进行比较以确保没有被非法修改。另外，强烈推荐将文件检验和保存到另一台主机或可移动介质中。工具可以使用免费的的Tripwire和Aide等文件/目录完整性检查程序；有条件也可以选择购买商业软件包。如果使用基于RPM 的软件包，可以直接使用RPM 的检验功能来校验软件特征码。
(4)利用网络安全设备(例如防火墙)来加固网络的安全性，配置好这些设备的安全规则，过滤掉所有可能的伪造数据包。一般商业公司都会配备相应的防火墙设备。目前市场上无论IDS还是IPS都具备防范DDoS攻击的功能，购买时多比较相关数据处理能力、数据包吞吐量和转发等性能指标来进行选择。
(5)经常与IDC中心管理员沟通， 以及与主要互联网服务供应商(ISP)的协助和合作是非常重要的。因为DDoS攻击主要是耗用带宽，虽然攻击来自四面八方，但进入上游ISP网络的入口点是有限的。个人管理的网络无法单独对付这些攻击，可以与ISP协商，通过他们帮助实施正确的路由访问控制策略来保护带宽和内部网络，实现路由访问控制和对带宽总量的限制。
(6) 当发现自己正在遭受DDoS攻击时，应当启动应对策略，如采用网络数据包嗅探工具，尽可能快地追踪攻击包，保存好攻击日志文件，并且及时联系ISP和应急组织，分析受影响系统，确定涉及的其他节点， 从而阻挡来自已知攻击节点的流量。

perlban

学习了，顶一个，留名

Gray1982

哎呀 来晚了 大多前面都说过了 现支持下
其实还是建议如果防一个是带宽增加来洗流量，一个是上硬件防火墙
如果实在巨大，估计IDC就直接拔网线了····

Godbach

回复 87# Gray1982

最有效的防御手段就是你能处理的带宽大于攻击带宽

   

cgweb

如不在技术上加以处理，一味的增加带宽不能解决问题啊

qqeyes

我自横刀向天笑，笑完我就去睡觉。

^_^