荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: hellsolaris (qq), 信区: Security
标 题: ddos的防范
发信站: 荔园晨风BBS站 (Sun Oct 26 21:51:12 2003), 站内信件
DDoS的防范
到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它
利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。
一位资深的安全专家给了个形象的比喻:DDoS就好象有1,000个人同时给你家里打
电话,这时候你的朋友还打得进来吗?
不过即使它难于防范,也不是说我们就应该逆来顺受,实际上防止DDoS并不是绝
对不可行的事情。互联网的使用者是各种各样的,与DDoS做斗争,不同的角色有不
同的任务。我们以下面几种角色为例:
企业网管理员
网管员做为一个企业内部网的管理者,往往也是安全员、守护神。在他维护的网络中有一
些服务器需要向外提供WWW服务,因而不可避免地成为DDoS的攻击目标,他该如何
做呢?可以从主机与网络设备两个角度去考虑。
主机上的设置
几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种:
关闭不必要的服务
限制同时打开的Syn半连接数目
缩短Syn半连接的time out 时间
及时更新系统补丁
网络设备上的设置
企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设
备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是
否值得
1.防火墙
禁止对主机的非开放服务的访问
限制同时打开的SYN最大连接数
限制特定IP地址的访问
启用防火墙的防DDoS的属性
严格限制对外开放的服务器的向外访问
第五项主要是防止自己的服务器被当做工具去害人。
2.路由器
以Cisco路由器为例
Cisco Express Forwarding(CEF)
使用 unicast reverse-path
访问控制列表(ACL)过滤
设置SYN数据包流量速率
升级版本过低的ISO
为路由器建立log server
其中使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重?
降,升级IOS也应谨慎。路由器是网络的核心设备,与大家分享一下进行设置修
改时的小经验,就是先不保存。Cisco路由器有两份配置startup config和running c
onfig,修改的时候改变的是runninfig,可以让这个配置先跑一段时间(三
五天的就随意啦),觉得可行后再保存配置到startup config;而如果不满意想恢
复原来的配置,用copy
详细的看这个:
http://s011617.stu.cdut.edu.cn/tjwz/ddos1.htm--
--
※ 修改:·hellsolaris 於 Oct 26 22:33:06 修改本文·[FROM: 192.168.44.223]
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.44.223]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店