斬斷DDoS魔掌的六把利劍(五)

2021-06-02 00:45:51 字數 1861 閱讀 3112

本文摘要

最佳方法五:解決應用程式和配置問題

如今的ddos攻擊搖身一變,從原來網路層的強力攻擊演變成了更複雜、更難以檢測的應用層攻擊。攻擊者能夠知道個別應用程式通訊活動的上限,並可以在網路通訊激增過程中實施破壞。在總體網路環境中,增加通訊並不是乙個問題,但是如果目標應用程式對巨量通訊的容忍度太低,攻擊者就可以「拿下」應用程式。

1、理解你的應用程式

要知道每個應用程式能做什麼,使用頻率是多少,每個應用程式的請求看起來應當怎樣,每個關鍵應用程式元件的正常業務的通訊水平是怎樣的,並決定乙個應用程式被「淹沒」的通訊上限。如果有必要,為個別的應用程式定製通訊流量。此外,要解決最簡單的配置問題,這有助於將資源消耗型攻擊,如syn、push、ack洪水攻擊等危害降到最低。

2、解決常用應用程式的漏洞

最易招惹ddos攻擊的三個應用程式漏洞是:不當的輸入驗證、緩衝區溢位、不正確的計算。這三個漏洞普遍存在於企業中,但修復這些漏洞的成本其實比較低。

3、成為一位好鄰居

要確保非關鍵的應用程式和系統也不會遭到漏洞利用,從而不會被用於攻擊其它**。

最佳方法六:評估和選擇**商

在評估能夠減輕ddos攻擊的託管服務**商時,不妨考慮以下幾個方面:

1、檢測和減輕ddos攻擊的專業技術

考慮以下這些問題:該**商是否擁有專業技術人員能夠幫助客戶制定對付ddos攻擊的長期戰略?是否能夠利用明確的系統化方法來組織並管理通訊報告和應對ddos攻擊?ddos的應對技術是其核心專業技術嗎?

2、能力和可公升級性

**商能夠吸收多大強度的攻擊?在正常條件和在遭到攻擊的條件下,你希望達到怎樣的處理速度、記憶體速度、儲存訪問和延遲呢?

3、攻擊管理

**商能夠管理攻擊嗎?它能夠主動地檢測攻擊包嗎?或者它要等到你的企業報告了「宕機」時間或其它徵兆後才能檢測?在遭受一次攻擊期間,它能夠阻止多少合法通訊?會阻止多長時間?(請注意黑洞路由問題,許多第三方**商使用此方法,它會阻止資源達到合法使用者,因而滿足了攻擊者的目標。)

4、服務的透明性

該廠商是否可以讓你透明地觀察通訊監視和減輕攻擊的過程,以便於你理解在沒有發生攻擊和正在遭受攻擊的情況下的通訊特徵呢?

5、過濾能力

在發生安全事件期間,**商是否能夠有效地過濾通訊?如果能的話,它能夠部署哪些功能?它能夠為應用程式級、會話級和作業系統級的攻擊提供過濾嗎?能夠部署多長時間?部署過濾器的服務等級約定是怎樣的?

6、服務等級約定

在發生ddos攻擊後,託管服務**商要用多長時間來通知你異常情況?你是否擁有專業的服務代表或者快速響應時間?你的服務請求是否需要排隊等候?服務水平能否不斷滿足企業未來的融合和重組嗎?

7、服務的可用性

在你的網路遭受攻擊時,服務的可用性是98%還是99.99%?**商在多個客戶之間使用負載共享嗎?**商支援專用系統嗎?

8、報告

在發生攻擊事件後,**商可能生成哪些報告?**商能夠儲存與你企業有關的日誌和報告多長時間?

9、聯網安全

託管服務提供商是否有一套既定的安全基礎設施來保護客戶資料?它是否能夠提供乙個包括審計跟蹤、資料加密(ssl)和口令保護的基於web的安全入口?

10、物理安全

**商是否為包含關鍵系統和機密資料的設施使用了軍事級別的安全機制?它是否擁有冗餘的系統用於電源、網路服務?它是否擁有冗餘的資料儲存?

11、易於使用

託管服務**商是否提供定製的介面和報告工具呢?**商是否提供乙個web入口(或**),從而可以對實時的網路通訊和頻寬利用提供警告和可見性,並能夠檢測異常情況?

至此,應對ddos攻擊的系列文章到此告一段落。文章主要從巨集觀策略上討論了應對ddos的最佳方案,但每一種方法和策略都不是孤立的,必須與其它的措施相結合,才能發揮其最大效益。

斬斷DDoS魔掌的六把利劍(二)

本文摘要本文分析了依靠傳統安全保護措施應對ddos攻擊的不足,以及減輕ddos攻擊面臨的挑戰。在系列文章 一 中,我們主要分析了當今造成ddos攻擊變得更猖獗也更具有破壞性的幾大變化因素。本文,我們將分析依靠傳統安全保護措施應對ddos攻擊的不足。減輕ddos攻擊面臨的挑戰 雖然許多企業日益關注dd...

斬斷DDoS魔掌的六把利劍(四)

本文摘要 在系列文章 三 中,我們介紹了兩種減輕ddos攻擊危害的方法,是實現資料收集集中化和定義乙個明確的不斷公升級的發展路線。本文我們接著介紹另外兩種方法。最佳方法三 使用分層過濾 減輕ddos攻擊的目標,是用最小的延遲排除惡意的非法通訊,僅允許合法的通訊進入網路。實現此目標最有效方法是,使用一...

ddos攻擊工具 簡單有效的ddos攻擊防禦方法

做過 的站長大多有被ddos攻擊的經歷,不少人面對競爭對手的 就是直接雇人ddos攻擊 導致對方 長期打不開,最後無奈關閉 初堯今天就告訴大家乙個最簡單也是最有效的防禦方法。高防伺服器 高防ip 對於遊戲,網遊來說,是ddos攻擊的主要受害者,所以導致遊戲伺服器都需要購買高防伺服器來對抗流量巨大的d...