|
|
|||||||||||||||||
詳細介紹
1,、定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點,,清查可能存在的安全漏洞,對新出現(xiàn)的漏洞及時進行清理,。骨干節(jié)點的計算機因為具有較高的帶寬,,是黑客利用的**位置,,因此對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡主節(jié)點的都是服務器級別的計算機,,所以定期掃描漏洞就變得更加重要了,。
2、在骨干節(jié)點配置防火墻
防火墻本身能抵御DdoS攻擊和其他一些攻擊,。在發(fā)現(xiàn)受到攻擊的時候,,可以將攻擊導向一些犧牲主機,,這樣可以保護**的主機不被攻擊,。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊的系統(tǒng),。
3,、用足夠的機器承受攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給攻擊,,在它不斷訪問用戶,、奪取用戶資源之時,自己的能量也在逐漸耗失,,或許未等用戶被攻死,,黑客已無力支招兒了。不過此方法需要投入的資金比較多,,平時大多數(shù)設備處于空閑狀態(tài),,和目前中小企業(yè)網(wǎng)絡實際運行情況不相符。
4,、充分利用網(wǎng)絡設備保護網(wǎng)絡資源
所謂網(wǎng)絡設備是指路由器,、防火墻等負載均衡設備,它們可將網(wǎng)絡有效地保護起來,。當網(wǎng)絡被攻擊時**死掉的是路由器,,但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復正常,,而且啟動起來還很快,,沒有什么損失。若其他服務器死掉,,其中的數(shù)據(jù)會丟失,,而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,,這樣當一臺路由器被攻擊死機時,,另一臺將馬上工作。從而**的削減了DdoS的攻擊,。
5,、過濾不必要的服務和端口
過濾不必要的服務和端口,,即在路由器上過濾假IP……只開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略,。
6,、檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,,它將予以屏蔽,。許多攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處,。因此,,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡安全性,。
7,、過濾所有RFC1918 IP地址
RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址,像10.0.0.0,、192.168.0.0 和172.16.0.0,,它們不是某個網(wǎng)段的固定的IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址,,應該把它們過濾掉,。此方法并不是過濾內(nèi)部員工的訪問,而是將攻擊時偽造的大量虛假內(nèi)部IP過濾,,這樣也可以減輕DdoS的攻擊,。
8、限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的**流量來限制SYN/ICMP封包所能占有的**頻寬,,這樣,,當出現(xiàn)大量的超過所限定的SYN/ICMP流量時,說明不是正常的網(wǎng)絡訪問,,而是有黑客入侵,。早期通過限制SYN/ICMP流量是**的防范DOS的方法,雖然目前該方法對于DdoS效果不太明顯了,,不過仍然能夠起到一定的作用,。(葵芳idc)
要定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點,,清查可能存在的安全漏洞,對新出現(xiàn)的漏洞及時進行清理,。骨干節(jié)點的計算機因為具有較高的帶寬,,是黑客利用的**位置,,因此對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡主節(jié)點的都是服務器級別的計算機,,所以定期掃描漏洞就變得更加重要了,。
2、在骨干節(jié)點配置防火墻
防火墻本身能抵御DdoS攻擊和其他一些攻擊,。在發(fā)現(xiàn)受到攻擊的時候,,可以將攻擊導向一些犧牲主機,,這樣可以保護**的主機不被攻擊,。當然導向的這些犧牲主機可以選擇不重要的,或者是linux以及unix等漏洞少和天生防范攻擊的系統(tǒng),。
3,、用足夠的機器承受攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給攻擊,,在它不斷訪問用戶,、奪取用戶資源之時,自己的能量也在逐漸耗失,,或許未等用戶被攻死,,黑客已無力支招兒了。不過此方法需要投入的資金比較多,,平時大多數(shù)設備處于空閑狀態(tài),,和目前中小企業(yè)網(wǎng)絡實際運行情況不相符。
4,、充分利用網(wǎng)絡設備保護網(wǎng)絡資源
所謂網(wǎng)絡設備是指路由器,、防火墻等負載均衡設備,它們可將網(wǎng)絡有效地保護起來,。當網(wǎng)絡被攻擊時**死掉的是路由器,,但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復正常,,而且啟動起來還很快,,沒有什么損失。若其他服務器死掉,,其中的數(shù)據(jù)會丟失,,而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備,,這樣當一臺路由器被攻擊死機時,,另一臺將馬上工作。從而**的削減了DdoS的攻擊,。
5,、過濾不必要的服務和端口
過濾不必要的服務和端口,,即在路由器上過濾假IP……只開放服務端口成為目前很多服務器的流行做法,例如WWW服務器那么只開放80而將其他所有端口關閉或在防火墻上做阻止策略,。
6,、檢查訪問者的來源
使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真,如果是假的,,它將予以屏蔽,。許多攻擊常采用假IP地址方式迷惑用戶,很難查出它來自何處,。因此,,利用Unicast Reverse Path Forwarding可減少假IP地址的出現(xiàn),有助于提高網(wǎng)絡安全性,。
7,、過濾所有RFC1918 IP地址
RFC1918 IP地址是內(nèi)部網(wǎng)的IP地址,像10.0.0.0,、192.168.0.0 和172.16.0.0,,它們不是某個網(wǎng)段的固定的IP地址,而是Internet內(nèi)部保留的區(qū)域性IP地址,,應該把它們過濾掉,。此方法并不是過濾內(nèi)部員工的訪問,而是將攻擊時偽造的大量虛假內(nèi)部IP過濾,,這樣也可以減輕DdoS的攻擊,。
8、限制SYN/ICMP流量
用戶應在路由器上配置SYN/ICMP的**流量來限制SYN/ICMP封包所能占有的**頻寬,,這樣,,當出現(xiàn)大量的超過所限定的SYN/ICMP流量時,說明不是正常的網(wǎng)絡訪問,,而是有黑客入侵,。早期通過限制SYN/ICMP流量是**的防范DOS的方法,雖然目前該方法對于DdoS效果不太明顯了,,不過仍然能夠起到一定的作用,。(葵芳idc)
聯(lián)系方式
|
