对于大规模的DDOS攻击,有哪些好的预防措施?

对于ddos攻击,目前没有办法完全根除,那有哪些办法能够减轻ddos攻击呢?

Geo5
Geo5
463
编辑于2011-12-14
评论 (0)链接2011-10-19 

DDOS 其實是一個資源的對抗,目前沒有非常有效的方法來做這個事情,流量清洗和牽引服務有頻寬限制,超過1G的流量基本沒辦法做。 目前我覺得最有效的方法就是逃,做好多點之間的備份,攻擊一個點的時候,業務自動切換到另外一個點,讓攻擊沒辦法自動跟隨。 另外像sync攻擊,可以設置syn cookie,或者用iptables隨機丟棄50%的sync包。 udp flood這些本質上算流量攻擊,大的時候只能用逃的方法。 以前在做yy的時候,收到4G的DDOS攻擊,用上面的方法基本沒有什麼問題。 攻擊最多只能使我們一台服務器癱瘓,其他服務器都沒受影響。 另外我們當時跟机房談了一個方案,就是機房對我們的上行流量不限制(一般機房上行都是空閒的),這些資源都對ddos的防範都非常重要。

项根生
编辑于 2011-10-21
该答案已被锁定,无法对其进行评论,编辑及投票。
()
评论 (1)链接 • 2011-10-21
  • 0 支持
    赞同这个观点,被大规模ddos攻击最主要的是把区分攻击流量和有效访问流量(通过修改dns解析等),做好备份,牵引有效流量到可用服务器。但是不明白上行流量怎么防范ddos。 – micheal 2012-07-10

大的IDC提供流量清洗服务,这个是最根本的解决之道,其他的,就是动静态分开,静态在CDN上几乎就是无法被ddos的。动态只能靠IDC了。硬件防火墙在流量足够大的时候,没有太大意义.

流量清理服务介绍:

流量清洗服务是提供给租用IDC服务的政企客户,针对对其发起的DOS/DDOS攻击的监控、告警和防护的一种网络安全服务。该服务对进入客户IDC的数据流量进行实时监控,及时发现包括DOS攻击在内的异常流量。在不影响正常业务的前提下,清洗掉异常流量。有效满足客户对IDC运作连续性的要求。同时该服务通过时间通告、分析报表等服务内容提升客户网络流量的可见性和安全状况的清晰性。更多》

Geo5
Geo5
463
编辑于 2011-10-20
该答案已被锁定,无法对其进行评论,编辑及投票。
()
评论 (2)链接 • 2011-10-20
  • 0 支持
    说白了就是忍着。 – 黄新颖 2011-10-21
  • 0 支持
    使用流量清洗服务相当于把这个脏活交给了IDC。 – 邵辉 2012-03-31

大家都说的挺好,我再从自身可控的防御措施说说。
1.修改自身协议栈配置,包括限制连接队列的长度以及减少处理延时等。windows下见简单设置防御小流量DDOS攻击
2.关闭不必要的服务和端口。服务包括:Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。端口可以使用Shields UP,它是基于Web接口的工具检查端口的真实状态。
3.即时升级补丁。现在很多攻击是基于操作系统、软件漏洞实施的攻击,此种攻击更为有效。
4.将硬件防火墙其置于“前哨”位置。这样既可以做到御敌于千里之外,又可以灵活地将攻击包导向到其它无害的位置。
5.尽量避免NAT的使用。因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间。
6.把网站做成静态页面,有很多攻击是基于数据库的查询攻击,消耗CPU。

至尊宝
至尊宝
1129
编辑于 2011-12-22
该答案已被锁定,无法对其进行评论,编辑及投票。
()
评论 (0)链接 • 2011-11-21

如果要自己做解决方案,试试下面几招:
1、入口带宽有没有成为瓶颈?如果有,那么先解决带宽问题。
2、是否是服务器直接对用户提供服务?如果是,那么打开Syncookie内核选项,并用多台服务器DNS轮转的方式提供服务。一般DoS时由于实时解析域名成本太高,所以都是针对IP的,使用DNS轮转是个简单廉价但效果很好的办法。
3、如果还是扛不住,考虑采用防火墙或者负载均衡设备。这些设备都有不同程度的DoS防护能力,要防10G以下的Flood不难做到。现在硬件也不贵。
4、如果攻击流量达到数十G,那么你一定是一家很赚钱的公司,最简单的办法就是用钱搞定,比如请我加盟:D

该答案已被锁定,无法对其进行评论,编辑及投票。
()
评论 (0)链接 • 2012-03-31

根据以前的运营经验,对于DDOS的攻击,只能使用专用的硬件防火墙进行防御。在我们游戏设计技术上无法进行有效地屏蔽和减轻。

该答案已被锁定,无法对其进行评论,编辑及投票。
()
评论 (0)链接 • 2011-10-19

目前,我们所熟知的DOS攻击防范大致可分为几种:基于增设TCP传输检测点、基于连接修改和传递、基于连接重组现场TCP技术。
  基于增设TCP的测点,只能应用于linux终端设备,该技术效率不够高,因为整个系统都在中断服务程序中实现,编程难度较大,调试较困难。
  基于连接修改和传递,对应用层服务程序透明。缺点FE每次需要与HAP重新建立连接,有两次报文交换,性能不够高,并且不能真正识别非法连接。
基于连接重组现场TCP技术这个太核心了,只给有钱人回答,哈哈

该答案已被锁定,无法对其进行评论,编辑及投票。
()
评论 (0)链接 • 2012-04-27

其实这个是可防不可止的,只能从预防的角度去处理,网络入口过滤,网络服务提供商应在他的下游网络上设置入口过滤,以防止假信息包进入网络(而把它们留在Internet上)。这将防止攻击者伪装IP地址,从而易于追踪。网络流量过滤,过滤掉网络不需要的流量总是不会错的。这还能防止DoS攻击,但为了达到效果,这些过滤器应尽量设置在网络上游。网络流量速率限制 一些路由器有流量速率的最高限制。这些限制条款将加强带宽策略,并允许一个给定类型的网络流量匹配有限的带宽。这一措施也能预先缓解正在进行的攻击,同时,这些过滤器应尽量设置在网络上游(尽可能靠近攻击者);入侵检测系统和主机监听工具,IDS能警告网络管理员攻击的发生时间,以及攻击者使用的攻击工具,这将能协助阻止攻击。主机监听工具能警告管理员系统中是否出现DoS工具.单点传送RPF,这是CEF用于检查在接口收到的数据包的另一特性。如果源IP地址CEF表上不具有与指向接收数据包时的接口一致的路由的话,路由器就会丢掉这个数据包。丢弃RPF的妙处在于,它阻止了所有伪装源IP地址的攻击。

该答案已被锁定,无法对其进行评论,编辑及投票。
()
评论 (0)链接 • 2012-03-31

不是您所需,查看更多相关问题与答案

德问是一个专业的编程问答社区,请 登录注册 后再提交答案