怎么最大限度減輕D拒絕服務(wù)攻擊危害

大部分網(wǎng)絡(luò)都很容易受到各種類型的黑客攻擊， 但是我們可以通過一套安全規(guī)范來最大限度的防止黑客攻擊的發(fā)生。 但是， 分布式拒絕服務(wù)攻擊(Ddos)是一個(gè)完全不同的攻擊方式， 你無法阻止黑客對(duì)你的網(wǎng)站發(fā)動(dòng)ddos攻擊， 除非你主動(dòng)斷開互聯(lián)網(wǎng)連接。

　　如果我們無法防止這種攻擊， 那么怎么做才能最大限度地保護(hù)企業(yè)網(wǎng)絡(luò)呢?首先你應(yīng)該清楚的了解ddos攻擊的三個(gè)階段， 然后再學(xué)習(xí)如何將這種攻擊的危害降到最低。

　　理解ddos攻擊

　　一個(gè)ddos攻擊一般分為三個(gè)階段。 第一階段是目標(biāo)確認(rèn)：黑客會(huì)在互聯(lián)網(wǎng)上鎖定一個(gè)企業(yè)網(wǎng)絡(luò)的IP地址。 這個(gè)被鎖定的IP地址可能代表了企業(yè)的Web服務(wù)器， DNS服務(wù)器， 互聯(lián)網(wǎng)網(wǎng)關(guān)等。 而選擇這些目標(biāo)進(jìn)行攻擊的目的同樣多種多樣， 比如為了賺錢(有人會(huì)付費(fèi)給黑客攻擊某些站點(diǎn))， 或者只是以破壞為樂。

　　第二個(gè)階段是準(zhǔn)備階段：在這個(gè)階段， 黑客會(huì)入侵互聯(lián)網(wǎng)上大量的沒有良好防護(hù)系統(tǒng)的計(jì)算機(jī)(基本上就是網(wǎng)絡(luò)上的家庭計(jì)算機(jī)， DSL寬帶或有線電纜上網(wǎng)方式為主)。 黑客會(huì)在這些計(jì)算機(jī)中植入日后攻擊目標(biāo)所需的工具。

　　第三個(gè)階段是實(shí)際攻擊階段：黑客會(huì)將攻擊命令發(fā)送到所有被入侵的計(jì)算機(jī)(也就是僵尸計(jì)算機(jī))上， 并命令這些計(jì)算機(jī)利用預(yù)先植入的攻擊工具不斷向攻擊目標(biāo)發(fā)送數(shù)據(jù)包， 使得目標(biāo)無法處理大量的數(shù)據(jù)或者頻寬被占滿。

　　聰明的黑客還會(huì)讓這些僵尸計(jì)算機(jī)偽造發(fā)送攻擊數(shù)據(jù)包的IP地址， 并且將攻擊目標(biāo)的IP地址插在數(shù)據(jù)包的原始地址處， 這就是所謂的反射攻擊。 服務(wù)器或路由器看到這些資料包后會(huì)轉(zhuǎn)發(fā)(即反射)給原始IP地址一個(gè)接收響應(yīng)， 更加重了目標(biāo)主機(jī)所承受的數(shù)據(jù)流。

　　因此， 我們無法阻止這種ddos攻擊， 但是知道了這種攻擊的原理， 我們就可以盡量減小這種攻擊所帶來的影響。

　　減少攻擊影響

　　入侵過濾(Ingressfiltering)是一種簡(jiǎn)單而且所有網(wǎng)絡(luò)(ISP)都應(yīng)該實(shí)施的安全策略。 在你的網(wǎng)絡(luò)邊緣(比如每一個(gè)與外網(wǎng)直接相連的路由器)， 應(yīng)該建立一個(gè)路由聲明， 將所有數(shù)據(jù)來來源IP標(biāo)記為本網(wǎng)地址的數(shù)據(jù)包丟棄。 雖然這種方式并不能防止Ddos攻擊， 但是卻可以預(yù)防ddos反射攻擊。

　　減輕ddos攻擊危害

　　但是很多大型ISP好像都因?yàn)楦鞣N原因拒絕實(shí)現(xiàn)入侵過濾， 因此我們需要其它方式來降低ddos帶來的影響。 目前最有效的一個(gè)方法就是反追蹤(backscattertracebackmethod)。

　　要采用這種方式， 首先應(yīng)該確定目前所遭受的是外部Ddos攻擊， 而不是來自內(nèi)網(wǎng)或者路由問題。 接下來就要盡快在全部邊緣路由器的外部接口上進(jìn)行配置， 拒絕所有流向ddos攻擊目標(biāo)的數(shù)據(jù)流。

　　另外， 還要在這些邊緣路由器端口上進(jìn)行配置， 將全部無效或無法定位的數(shù)據(jù)來源IP的數(shù)據(jù)包丟棄。 比如以下地址：

　　10.0.0.0 - 10.255.255.255

　　172.16.0.0 - 172.31.255.255

　　192.168.0.0 - 192.168.255.255

　　將路由器設(shè)置為拒絕這些資料包后， 路由器會(huì)在每次拒絕數(shù)據(jù)包時(shí)發(fā)送一個(gè)因特網(wǎng)控制訊息協(xié)議(ICMP)包， 并將"destinationunreachable"信息和被拒絕的數(shù)據(jù)包打包發(fā)送給來源IP地址。

　　接下來， 打開路由器日志， 查看那個(gè)路由器收到的攻擊資料包最多。 然后根據(jù)所記錄的數(shù)據(jù)包來源IP確定哪個(gè)網(wǎng)段的資料量最大。 在這個(gè)路由器上調(diào)整路由器針對(duì)這個(gè)網(wǎng)段為“黑洞”狀態(tài)， 并藉由修改子網(wǎng)掩碼的方法將這個(gè)網(wǎng)段隔離開。

　　然后再尋找這個(gè)網(wǎng)段的所有者的信息， 聯(lián)系你的ISP以及數(shù)據(jù)發(fā)送網(wǎng)段的ISP， 將攻擊情況匯報(bào)給他們， 并請(qǐng)求協(xié)助。 不論他們是否愿意幫忙， 無非是一個(gè)電話的問題。

　　接下來為了讓服務(wù)和合法流量通過， 你可以將其它一些攻擊情況較輕的路由器恢復(fù)正常， 只保留承受攻擊最重的那個(gè)路由器， 并拒絕攻擊來源最大的網(wǎng)段。 如果你的ISP和對(duì)方ISP很負(fù)責(zé)的協(xié)助阻擋攻擊數(shù)據(jù)包， 你的網(wǎng)絡(luò)將很快恢復(fù)正常。

　　結(jié)語

　　ddos攻擊很狡猾， 也很難預(yù)防， 但是你可以借由以上方式及時(shí)減輕這種攻擊對(duì)網(wǎng)絡(luò)的影響。 面對(duì)攻擊， 你只需要快速地響應(yīng)和正確的方法， 就可以及時(shí)發(fā)現(xiàn)攻擊數(shù)據(jù)流并將其擋掉。