免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
楼主: king_819

生产环境中对于防范DDOS攻击的讨论(获奖名单已公布) [复制链接]

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-27 12:28 |显示全部楼层
回复 74# king_819

我遇到的是,机房把  IP 封了。

   

论坛徽章:
0
发表于 2012-04-27 14:44 |显示全部楼层
这个东西不用纠结. 一个人开发防火墙一个月能拿多少工资10W? 开发一个好的ddos攻击工具一天就可以挣到这些钱,  所以这是个经济问题, 我相信那些发起攻击的人里面的核心人员的技术远在机房管理员的水平之上,  这也是为啥那些黑客能挣那么多钱.

论坛徽章:
0
发表于 2012-04-27 16:24 |显示全部楼层
回复 79# Godbach


    随着“肉鸡”的配置不断的提高、带宽不断的加大、安全意识薄弱,对DDOS攻击提供了极大的便利,也有很多机房管理人员利用手中的资源接“私活”

论坛徽章:
0
发表于 2012-04-27 16:25 |显示全部楼层
回复 81# wojiaohesen


    都是利益驱使的

论坛徽章:
6
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-03 17:33:522015元宵节徽章
日期:2015-03-06 15:50:39IT运维版块每日发帖之星
日期:2016-01-11 06:20:00IT运维版块每日发帖之星
日期:2016-03-19 06:20:0019周年集字徽章-19
日期:2019-09-06 18:56:11
发表于 2012-04-27 21:29 |显示全部楼层
前面讲过DDoS的检测和防御方法,进行分布式拒绝服务攻击(DDoS)的防御还是比较困难的。因为这种攻击的特点是利用TCP/IP协议的漏洞。除非不用TCP/IP,才有可能完全抵御DDoS攻击。即使DDoS难于防范,我们也不应该“逆来顺受”。

论坛徽章:
6
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-03 17:33:522015元宵节徽章
日期:2015-03-06 15:50:39IT运维版块每日发帖之星
日期:2016-01-11 06:20:00IT运维版块每日发帖之星
日期:2016-03-19 06:20:0019周年集字徽章-19
日期:2019-09-06 18:56:11
发表于 2012-04-27 21:31 |显示全部楼层
作为企业的网络管理员,我们该如何防范DDOS攻击呢?
(1)时刻留意安全站点公布的、与Linux 系统和软件有关的最新安全漏洞和报告;及早发现系统存在的攻击漏洞,及时安装系统补丁程序;对一些重要信息(例如系统配置信息)建立并完善备份机制;对一些特权账号(例如管理员账号)的密码设置要谨慎。通过这样的一系列举措可以把攻击者的机会降到最小。
(2)在网络管理方面,要经常检查系统的物理环境, 禁止那些不必要的网络服务; 充分了解系统和服务器软件是如何工作的; 经常检查系统配置和安全策略, 并注意查看每天的安全日志。
(3)利用工具检查文件完整性。在确定系统未曾被入侵时,应该尽快为所有二进制程序和其他重要系统文件产生文件签名,并且周期性地进行比较以确保没有被非法修改。另外,强烈推荐将文件检验和保存到另一台主机或可移动介质中。工具可以使用免费的的Tripwire和Aide等文件/目录完整性检查程序;有条件也可以选择购买商业软件包。如果使用基于RPM 的软件包,可以直接使用RPM 的检验功能来校验软件特征码。
(4)利用网络安全设备(例如防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。一般商业公司都会配备相应的防火墙设备。目前市场上无论IDS还是IPS都具备防范DDoS攻击的功能,购买时多比较相关数据处理能力、数据包吞吐量和转发等性能指标来进行选择。
(5)经常与IDC中心管理员沟通, 以及与主要互联网服务供应商(ISP)的协助和合作是非常重要的。因为DDoS攻击主要是耗用带宽,虽然攻击来自四面八方,但进入上游ISP网络的入口点是有限的。个人管理的网络无法单独对付这些攻击,可以与ISP协商,通过他们帮助实施正确的路由访问控制策略来保护带宽和内部网络,实现路由访问控制和对带宽总量的限制。
(6) 当发现自己正在遭受DDoS攻击时,应当启动应对策略,如采用网络数据包嗅探工具,尽可能快地追踪攻击包,保存好攻击日志文件,并且及时联系ISP和应急组织,分析受影响系统,确定涉及的其他节点, 从而阻挡来自已知攻击节点的流量。

论坛徽章:
0
发表于 2012-04-28 00:54 |显示全部楼层
学习了,顶一个,留名

论坛徽章:
0
发表于 2012-04-28 02:36 |显示全部楼层
哎呀 来晚了 大多前面都说过了 现支持下
其实还是建议如果防一个是带宽增加来洗流量,一个是上硬件防火墙
如果实在巨大,估计IDC就直接拔网线了····

论坛徽章:
36
IT运维版块每日发帖之星
日期:2016-04-10 06:20:00IT运维版块每日发帖之星
日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东
日期:2016-04-16 19:59:32IT运维版块每日发帖之星
日期:2016-04-18 06:20:00IT运维版块每日发帖之星
日期:2016-04-19 06:20:00每日论坛发贴之星
日期:2016-04-19 06:20:00IT运维版块每日发帖之星
日期:2016-04-25 06:20:00IT运维版块每日发帖之星
日期:2016-05-06 06:20:00IT运维版块每日发帖之星
日期:2016-05-08 06:20:00IT运维版块每日发帖之星
日期:2016-05-13 06:20:00IT运维版块每日发帖之星
日期:2016-05-28 06:20:00每日论坛发贴之星
日期:2016-05-28 06:20:00
发表于 2012-04-28 10:49 |显示全部楼层
回复 87# Gray1982

最有效的防御手段就是你能处理的带宽大于攻击带宽

   

论坛徽章:
6
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-03 17:33:522015元宵节徽章
日期:2015-03-06 15:50:39IT运维版块每日发帖之星
日期:2016-01-11 06:20:00IT运维版块每日发帖之星
日期:2016-03-19 06:20:0019周年集字徽章-19
日期:2019-09-06 18:56:11
发表于 2012-04-28 10:57 |显示全部楼层
如不在技术上加以处理,一味的增加带宽不能解决问题啊
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP