其實并沒有簡單和專門的方法保護不受到DDoS攻擊，我們只能盡可能地應用各種安全和保護策略。對于每個面臨安全威脅的系統(tǒng)，這里列出了一些簡單易行和快速的安全策略以保護免受這些攻擊。

消除FUD心態(tài)

FUD的意思是Fear（恐懼）、Uncerntainty（猜測）和Doubt（懷疑）。最近發(fā)生的攻擊可能會使某些人因為害怕成為攻擊目標而整天擔心受怕。其實必須意識到可能會成為拒絕服務攻擊目標的公司或主機只是極少數(shù)，而且多數(shù)是一些著名站點，如搜索引擎、門戶站點、大型電子商務和證券公司、IRC服務器和新聞雜志等。如果不屬于這類站點，大可不必過于擔心成為拒絕服務攻擊的直接目標。

要求與ISP協(xié)助和合作

獲得你的主要互聯(lián)網(wǎng)服務供應商（ISP）的協(xié)助和合作是非常重要的。分布式拒絕服務（DDoS）攻擊主要是耗用帶寬，單憑你自己管理網(wǎng)絡(luò)是無法對付這些攻擊的。與你的ISP協(xié)商，確保他們同意幫助你實施正確的路由訪問控制策略以保護帶寬和內(nèi)部網(wǎng)絡(luò)。最理想的情況是當發(fā)生攻擊時你的ISP愿意監(jiān)視或允許你訪問他們的路由器。

優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)

如果你管理的不僅僅是一臺主機，而是網(wǎng)絡(luò)，就需要調(diào)整路由表以將拒絕服務攻擊的影響減到最小。為了防止SYN flood攻擊，應設(shè)置TCP偵聽功能。詳細資料請參閱相關(guān)路由器技術(shù)文檔。另外禁止網(wǎng)絡(luò)不需要使用的UDP和ICMP包通過，尤其是不應該允許出站ICMP“不可到達”消息。

優(yōu)化對外開放訪問的主機

對所有可能成為目標的主機都進行優(yōu)化。禁止所有不必要的服務。另外多IP主機也會增加攻擊者的難度。建議在多臺主機中使用多IP地址技術(shù)，而這些主機的首頁只會自動轉(zhuǎn)向真正的web服務器。

正在受到攻擊時，必須立刻應用對應策略。

盡可能迅速地阻止攻擊數(shù)據(jù)包是非常重要的，同時如果發(fā)現(xiàn)這些數(shù)據(jù)包來自某些ISP時應盡快和他們?nèi)〉寐?lián)系。千萬不要依賴數(shù)據(jù)包中的源地址，因為它們在DoS攻擊中往往都是隨機選擇的。是否能迅速準確地確定偽造來源將取決于你的響應動作是否迅速，因為路由器中的記錄可能會在攻擊中止后很快就被清除。

本文是由德國著名黑客Mixter提供。

cc

收藏 海報分享