如何降低网站被DDOS攻击造成的伤害?(二)

发布时间:2022-05-15 12:23:10 作者: 来源: 浏览量(1651 )
摘要:在上篇文章中我们介绍了关于DDOS攻击的一些知识,如果我们无法防止这种攻击,那么怎么做才能最大限度地保护企业网络呢?首先应该清楚的了解DDoS攻击的三个阶段,然后再学习如何将这种攻击的危害降到最低。 减少攻击影...

 在上篇文章中我们介绍了关于DDOS攻击的一些知识,如果我们无法防止这种攻击,那么怎么做才能最大限度地保护企业网络呢?首先应该清楚的了解DDoS攻击的三个阶段,然后再学习如何将这种攻击的危害降到最低。

减少攻击影响

入侵过滤(Ingress filtering)是一种简单而且所有网络(ISP)都应该实施的安全策略。在你的网络边缘(比如每一个与外网直接相连的路由器),应该建立一个路由声明,将所有数据来来源IP标记为本网地址的数据包丢弃。虽然这种方式并不能防止DDoS攻击,但是却可以预防DDoS反射攻击。

减轻DDoS攻击危害

但是很多大型ISP好像都因为各种原因拒绝实现入侵过滤,因此我们需要其它方式来降低DDoS带来的影响。目前最有效的一个方法就是反追踪(backscatter traceback method)。

要采用这种方式,首先应该确定目前所遭受的是外部DDoS攻击,而不是来自内网或者路由问题。接下来就要尽快在全部边缘路由器的外部接口上进行配置,拒绝所有流向DDoS攻击目标的数据流。

另外,还要在这些边缘路由器端口上进行配置,将全部无效或无法定位的数据来源IP的数据包丢弃。比如以下地址:

10.0.0.0 - 10.255.255.255

172.16.0.0 - 172.31.255.255

192.168.0.0 - 192.168.255.255

将路由器设置为拒绝这些资料包后,路由器会在每次拒绝数据包时发送一个因特网控制讯息协议(ICMP)包,并将“destination unreachable”信息和被拒绝的数据包打包发送给来源IP地址。

接下来,打开路由器日志,查看那个路由器收到的攻击资料包最多。然后根据所记录的数据包来源IP确定哪个网段的资料量最大。在这个路由器上调整路由器针对这个网段为“黑洞”状态,并藉由修改子网掩码的方法将这个网段隔离开。

然后再寻找这个网段的所有者的信息,联系你的ISP以及数据发送网段的ISP,将攻击情况汇报给他们,并请求协助。不论他们是否愿意帮忙,无非是一个电话的问题。

接下来为了让服务和合法流量通过,你可以将其它一些攻击情况较轻的路由器恢复正常,只保留承受攻击最重的那个路由器,并拒绝攻击来源最大的网段。如果你的ISP和对方ISP很负责的协助阻挡攻击数据包,你的网络将很快恢复正常。

DDoS攻击很狡猾,也很难预防,但是你可以借由以上方式及时减轻这种攻击对网络的影响。面对攻击,你只需要快速地响应和正确的方法,就可以及时发现攻击数据流并将其挡掉。

扫一扫二维码,直接手机访问此页

扫码访问手机页面

【免责声明】本网站的部分文章信息(文字、图片、音频视频文件等资源)来自于网络,均是为公众传播有益咨询信息之目的,其版权归版权所有人所有。 本站采用的非本站原创文章及图片等内容无法一一与版权者联系,如果本站所选内容的文章作者及编辑认为其作品不宜供大家浏览,或不应无偿使用, 请及时联系我们删除,同时向您深表歉意!请发送邮件153462496@qq.com进行联系。

感兴趣吗?

欢迎联系我们,我们愿意为您解答任何有关网站疑难问题!

在线客服
嘿,我来帮您!