本文摘要
在系列文章(三)中,我們介紹了兩種減輕ddos攻擊危害的方法,是實現資料收集集中化和定義乙個明確的不斷公升級的發展路線。本文我們接著介紹另外兩種方法。
最佳方法三:使用分層過濾
減輕ddos攻擊的目標,是用最小的延遲排除惡意的非法通訊,僅允許合法的通訊進入網路。實現此目標最有效方法是,使用一種可以利用前文所述的所有方法的多層過濾驗證過程。
1、分層過濾通訊
使用簽名分析、動態分析(根據對正常行為的監視和分析)、反欺騙演算法等技術來主動過濾網路上游的有害通訊。
2、在osi堆疊的多層上都應用過濾器
雖然通過在網路層上實施過濾器就可以減少某些攻擊,但是當代的攻擊更複雜和深入,我們需要在包括應用層的多層上都進行分析和過濾。
3、必要時可限制通訊速率
為防止「低容忍」的資源發生癱瘓,根據頻寬的併發連線數量,可在必要時運用限制通訊速率的能力。
4、能夠快速改變和定製過濾器
在必要時,能夠快速應用和清除標準過濾器(即簽名),也可以根據網路遭受的攻擊變化來生成定製的過濾器。
5、隨著時間的推移而強化規則集
分析境內外的多種情報、監視、警告和報告日誌,然後使用這些資訊來不斷地更新規則集。
最佳方法四:構建可擴充套件性和靈活性
為確保在遭受攻擊的條件下,系統能夠正常發揮功能,企業必須擁有乙個高擴充套件性的、靈活性的基礎架構。
1、按需定製的能力
這種能力包括頻寬以及硬體處理能力,以及需要處理通訊負載的可擴充套件性。充足的能力至關重要,但要想在乙個企業內部維持充足的能力卻非常困難,並且常常是不現實的。例如,提供過度的頻寬來吸收海量攻擊需要花費大量的金錢去購買額外的頻寬,甚至有可能還需要購買伺服器。此外,在當今的環境中,過度配置頻寬也往往是不夠的,因為ddos攻擊的規模正以驚人的速度增長,而企業網路到網際網路連線的速率一般是1gbps及其以下。
2、找到臨界點
要了解你的基礎在遭受攻擊的情況下是如何動作的。確定通訊的特徵,並確認哪些元件在面臨沉重負載時會首先垮掉。例如,知道在哪個時點上防火牆或web伺服器會發生故障,知道哪些資料報或查詢在某系統上所造成的後果比其它系統更嚴重。要在映象生產環境中測試各種情況,而不僅僅是預報,並在改變了基礎架構的任何部分後重新進行測試。
3、對基礎架構建立負載平衡
一旦確認了臨界點,下一步就應當對基礎架構建立負載平衡,其目標是優化正常負載和峰值負載情況下的通訊流。
4、考慮監視工具的可擴充套件性
必須保證在高負載的情況下,監視工具仍能繼續工作。在有些消耗頻寬的ddos攻擊中,監視往往名存實亡,甚至還會報告錯誤資料。例如,有些監視工具只能報告相同的值,因為它無法報告更高階的東西。
5、增強硬體和軟體的多樣性
並不是要構建多麼複雜的it環境,而是為了防禦某些ddos攻擊針對特定廠商硬體和軟體,因而不妨從多個廠商購買硬體和軟體工具。
6、利用分布式模式
如果可能,利用一種分布式模式來為**值的應用和服務構建和維持冗餘性。
下文將介紹對付ddos攻擊的最後兩種最佳方法。
斬斷DDoS魔掌的六把利劍(二)
本文摘要本文分析了依靠傳統安全保護措施應對ddos攻擊的不足,以及減輕ddos攻擊面臨的挑戰。在系列文章 一 中,我們主要分析了當今造成ddos攻擊變得更猖獗也更具有破壞性的幾大變化因素。本文,我們將分析依靠傳統安全保護措施應對ddos攻擊的不足。減輕ddos攻擊面臨的挑戰 雖然許多企業日益關注dd...
斬斷DDoS魔掌的六把利劍(五)
本文摘要 最佳方法五 解決應用程式和配置問題 如今的ddos攻擊搖身一變,從原來網路層的強力攻擊演變成了更複雜 更難以檢測的應用層攻擊。攻擊者能夠知道個別應用程式通訊活動的上限,並可以在網路通訊激增過程中實施破壞。在總體網路環境中,增加通訊並不是乙個問題,但是如果目標應用程式對巨量通訊的容忍度太低,...
ddos攻擊工具 簡單有效的ddos攻擊防禦方法
做過 的站長大多有被ddos攻擊的經歷,不少人面對競爭對手的 就是直接雇人ddos攻擊 導致對方 長期打不開,最後無奈關閉 初堯今天就告訴大家乙個最簡單也是最有效的防禦方法。高防伺服器 高防ip 對於遊戲,網遊來說,是ddos攻擊的主要受害者,所以導致遊戲伺服器都需要購買高防伺服器來對抗流量巨大的d...