如何防范ddos?目前,DDOS作为企业遇到的一种网络攻击,目的很简单,就是让计算机或网络无法提供正常服务。我们可以用什么方法来防御ddos攻击?
限制服务器连接
目前市面上的安全产品,包括防火墙、入侵防御、ddos防御等产品,主要采用限制服务器-主机连接数来防止DDOS攻击,这是基本战术。
使用安全产品限制受保护主机的连接数,即每秒访问次数,可以保证受保护主机不会过载网络层处理(不包括CC攻击)。尽管用户的访问是间歇性的,但它可以确保受保护的主机始终能够处理数据消息。利用安全产品限制客户端发起的连接数,可以有效降低傀儡机的攻击效果,即发动同等规模的攻击需要更多的傀儡机。
攻击并追溯到源头。
针对CC攻击防御的溯源技术是实时监控服务器访问流量,发现在一定范围内波动。此时,设置服务器低电压阈值,当服务器访问流量高于低电压阈值时,开始记录和跟踪访问源。
此外,还要设置一个服务器的高压阈值,这个阈值代表服务器所能承受的最大负载。当服务器访问流量达到或超过高压阈值时,意味着发生了DDOS攻击,需要实时阻断攻击流量。此时,系统会逐一搜索被攻击服务器的攻击源列表,检查每个攻击源的访问流量,判断突发大流量的源IP地址为正在进行的攻击源,实时阻断攻击源流量及其连接。
Syn洪水防御技术
Syn cookie/Syn代理保护技术:该技术主动响应所有syn包,检测发起的syn包的源IP地址是否真的存在。如果IP地址真的存在,IP会响应保护设备的探测包,从而建立TCP连接。国内外大部分抗DDOS产品都采用了这种技术。
安全技术:该技术主动响应所有syn包,探测包故意构造错误字段。真实IP地址会向保护设备发送rst包,然后发起第二次连接建立TCP连接。国外一些产品已经采用了这种保护算法。
Syn重传技术:该技术利用了TCP/IP协议的重传特性。当来自源IP的第一个syn数据包到达时,它会被直接丢弃并记录状态。当来自源IP的第二个syn数据包到达时,它会被验证,然后被释放。
评论前必须登录!
注册