最有效的防御体系综合防范DDoS攻击

 

典型的DDoS攻击包括带宽攻击和应用攻击。在带宽攻击中,网络资源或网络设备被高流量数据包所消耗。在应用攻击时,TCP或HTTP资源无法被用来处理交易或请求。

那么,如何保护服务器免受来自Internet上感染蠕虫病毒的PC发出的数据冲击呢?如何防止DDoS攻击造成企业网络瘫痪呢?以下是几种可以防御DDoS攻击的方法。
 ddos.jpg
  丢弃数据包:改变数据流的传送方向,将其丢弃在一个数据“黑洞”中,以阻止所有的数据流。这种方法的缺点是所有的数据流(不管是合法的还是非法的)都被丢弃,业务应用被中止。数据包过滤和速率限制等措施同样能够关闭所有应用,拒绝为合法用户提供接入。
  路由器和防火墙:通过配置路由器过滤不必要的协议,既能阻止简单的ping攻击,还能阻止无效的IP地址。不过,路由器通常不能有效阻止更复杂的嗅探攻击和使用有效IP地址发起的应用级攻击。防火墙可以阻挡与攻击相关的特定数据流,不过与路由器一样,防火墙不具备反嗅探功能。
  入侵检测系统(IDS):IDS能够进行异常检测,可以发现协议被用作攻击载体的安全事件。IDS与防火墙配合使用,能够自动阻止数据流。不过IDS不能自动配置,需要安全专家进行手工调整,而且常常会生成假报警。
  服务器:正确配置服务器应用,对于减少DDoS攻击至关重要。管理人员可以定义应用可以使用哪些资源以及如何响应来自客户机的请求,来防范DDoS。与反DDoS专用设备配合使用,优化设置的服务器能够在发生DDoS攻击时正常运行。
反DDoS专用设备:反DDoS专用设备可以分为两类,一类是专门用于清除有害数据流的设备,另一类是具有反DDoS功能的安全设备 (如负载均衡或防火墙)。这两类设备具有不同的效力,前者会将非法数据流丢弃,后者会将包括非法数据流在内的所有数据流分别传送到不同的冗余服务器上,而不是某一台服务器,这就要求服务器必须足够健壮,能够过滤非法数据流,继续为合法的客户机提供服务。
 
ddos键盘.jpg
 
  购买服务:选择外包服务提供商使用户不必投入巨资购买冗余网络设备。在很多时候,用户事先并不知道DDoS攻击正在发生,DDoS攻击的性质常常在中途改变,这就要求用户在几个小时或几天中迅速而持续地做出反应,由于多数攻击的主要影响是消耗Internet带宽,因此选择一家优秀的服务提供商对于化解DDoS攻击具有重要意义。
随着人们对Internet的依赖性不断增加,DDoS攻击的危害性也在不断加剧,对于用户来说,要想正常开展业务,使企业应用不受DDoS攻击的影响,就必须采取有效措施,确保企业网的连续性和可用性。
 

最有效的防御体系综合防范DDoS攻击

扫一扫手机访问

发表评论