【www.bbyears.com--php安全】
10种对于分布式拒绝服务攻击的应急解决方法来源:NCOD全球华人信息安全及黑客技术交流同盟 http://www.ncod.net
翻译:广州寒路 8/28/2000
网络中的安全弱点层出不穷,它们往往被黑客们通过开发成工具(拒绝服务攻击)用来危急我们的主机系统,不停的应付这些安全问题是一件非常复杂并耗力的工作。在很长的一段时间里,几乎没有什么简单易行的方法来较好的防止这些攻击,人们只好靠加强事先的防范以及更严密的安全措施来加固系统。这篇文章很适用于那些经常为自己的网站担忧却又没有什么更好的解决方法的网管们,它介绍了几种关于拒绝服务攻击的措施。
1. 避免FUD
FUD代表恐惧,无常以及多疑(fear, uncertainty, and doubt)。由于最近的连续事件的发生,使得一些网站过于的紧张,他们生怕被作为下一个的被攻击目标。其实,应当清楚,只有很少数目的网站会遭受到拒绝服务攻击,这些遭受DDoS攻击的网站大多是些世界顶级的望站,象著名的搜索引擎、电子商务网站以及金融政权公司、IRC聊天服务器、新闻站点等。假如您的网站并不在此列,您将不必过分担心您的网站会遭到此类的攻击。
2. 与您的网络服务提供商协作。
能否与您上一级的网络主干服务提供商进行良好的合作也是一件非常重要的事情。DDoS攻击对带宽的使用是非常严格的,无论您使用什么方法都无法使您自己的网络对它的上一级进行控制。最好能够与您的网络服务供应商进行协商,请求他们帮助您实现路由的访问控制,以实现对带宽总量的限制以及不同的访问地址在同一时间对带宽的占有率。如果还有可能的话,最好请求您的服务提供商帮您监视网络流量,并在遭受攻击时允许您访问他们的路由器。
3. 优化路由及网络结构。
假如您的网站不单单是一台主机,而是一个较为庞大的网络的话,那么应该对您的路由器进行合理设置以最小化使您遭受拒绝服务攻击的可能性,例如,为了防止SYN flooding攻击,您可以在路由器上设定TCP侦听功能(具体的方法可以从您的路由器生产厂家的网站或电话支持获得),应当过滤所有的您不需要的UDP和ICMP包信息。注意,如果您的路由器允许发送向外的不可到达的ICMP包将会使遭受DOS攻击的可能性增大。
4. 优化对外提供服务的主机
不仅仅对于网络设备,对于潜在的有可能遭受攻击的主机也要同样进行设置保护。在服务器上禁止一切不必要的服务,此外,如果使用多宿主机(一台主机多)的话也会给攻击者带来相当大的麻烦。我们还建议您将网站分布在多个不同的物理主机上,这样每一台主机只包含了网站的一部分,防止了网站在遭受攻击时全部瘫痪。