目前網(wǎng)絡中有一種攻擊讓網(wǎng)絡管理員為頭疼,那就是拒絕服務攻擊,簡稱DOS和DDOS。它是一種濫用資源性的攻擊,目的就是利用自身的資源通過一種放大或不對等的方式來達到消耗對方資源的目的。同一時刻很多不同的IP對服務器進行訪問造成服務器的服務失效甚至死機。
今天就啟凡大連網(wǎng)絡公司管理服務器的經(jīng)驗為各位讀者介紹2個簡單有效的防范拒絕服務攻擊的方法,雖然不能徹底防護,但在與DDOS的戰(zhàn)斗中可以大限度降低損失。
如何發(fā)現(xiàn)攻擊
在服務器上可以通過CPU使用率和內(nèi)存利用率簡單有效的查看服務器當前負載情況,如果發(fā)現(xiàn)服務器突然超負載運作,性能突然降低,這就有可能是受攻擊的征兆。不過也可能是正常訪問網(wǎng)站人數(shù)增加的原因。如何區(qū)分這兩種情況呢?按照下面兩個原則即可確定受到了攻擊。
(1)網(wǎng)站的數(shù)據(jù)流量突然超出平常的十幾倍甚至上百倍,而且同時到達網(wǎng)站的數(shù)據(jù)包分別來自大量不同的IP。
(2)大量到達的數(shù)據(jù)包(包括TCP包和UDP包)并不是網(wǎng)站服務連接的一部分,往往指向你機器任意的端口。比如你的網(wǎng)站是Web服務器,而數(shù)據(jù)包卻發(fā)向你的FTP端口或其它任意的端口。
1、增加SYN緩存法
上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊但由于使用了屏蔽IP功能,自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防御小型DOS與DDOS的攻擊。該方法在筆者所在公司收效顯著。
修改SY緩存大小是通過注冊表的相關鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。
(1)WIN2003下拒絕訪問攻擊的防范:
先進步:“開始->運行->輸入regedit”進入注冊表編輯器。
第二步:找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,在其下的有個SynAttackProtect鍵值。默認為0將其修改為1可更有效地防御SYN攻擊。
小提示:該參數(shù)可使TCP調整SYN-ACKS的重新傳輸。將SynAttackProtect設置為1時,如果系統(tǒng)檢測到存在SYN攻擊,連接響應的超時時間將更短。
第三步:將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnableDeadGWDetect鍵值,將其修改為0。該設置將禁止SYN攻擊服務器后強迫服務器修改網(wǎng)關從而使服務暫停。
第四步:將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery鍵值,將其修改為0。這樣可以限定攻擊者的MTU大小,降低服務器總體負荷。
第五步:將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下KeepAliveTime設置為300,000。將NoNameReleaseOnDemand
設置為1。
(2)WIN2000下拒絕訪問攻擊的防范:
在WIN2000下拒絕訪問攻擊的防范方法和2003基本相似,只是在設置數(shù)值上有些區(qū)別。我們做下簡單介紹。
先進步:將SynAttackProtect設置為2。
第二步:將EnableDeadGWDetect設置為0。
第三步:將EnablePMTUDiscovery設置為0。
第四步:將KeepAliveTime設置為300000。
第五步:將NoNameReleaseOnDemand設置為1。
2、BAN IP地址法
確定自己受到攻擊后就可以使用簡單的屏蔽IP的方法將DOS攻擊化解。對于DOS攻擊來說這種方法非常有效,因為DOS往往來自少量IP地址,而且這些IP地址都是虛構的偽裝的。在服務器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩,需要我們對IP地址分析,將真正攻擊的IP地址屏蔽。
不論是對付DOS還是DDOS都需要我們在服務器上安裝相應的防火墻,然后根據(jù)防火墻的日志分析來訪者的IP,發(fā)現(xiàn)訪問量大的異常IP段就可以添加相應的規(guī)則到防火墻中實施過濾了。
當然直接在服務器上過濾會耗費服務器的一定系統(tǒng)資源,所以目前比較有效的方法是在服務器上通過防火墻日志定位非法IP段,然后將過濾條目添加到路由器上。例如我們發(fā)現(xiàn)進行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0,而服務器的地址為61.153.5.1。那么可以登錄公司核心路由器添加如下語句的訪問控制列表進行過濾。
cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,這樣就實現(xiàn)了將211.153.0.0 255.255.0.0的非法IP過濾的目的。
小提示:在訪問控制列表中表示子網(wǎng)掩碼需要使用反向掩碼,也就是說0.0.255.255表示子網(wǎng)掩碼為255.255.0.0 。
總結:經(jīng)過上面介紹的察覺攻擊法,BAN IP法和后的修改注冊表法可以有效的防范DOS與DDOS的攻擊。不過由于DDOS攻擊的特點,實際上沒有一臺服務器能夠徹底防范它,即使安裝了專業(yè)的防范DDOS的硬件防火墻也不能百分之百的避免損失。今天介紹的幾個方法只是免費的防范手段,實際中能起到一定的效果。
掃一掃
關注新圖聞科技
全國咨詢熱線
186-0984-0880