ISP����、ICP管理員
骨干網(wǎng)絡(luò)運(yùn)營商
企業(yè)網(wǎng)管理員
網(wǎng)管員做為一個企業(yè)內(nèi)部網(wǎng)的管理者����,往往也是安全員�、守護(hù)神����。在他維護(hù)的網(wǎng)絡(luò)中有一些服務(wù)器需要向外提供WWW服務(wù),因而不可避免地成為DDoS的攻擊目標(biāo)�,他該如何做呢?可以從主機(jī)與網(wǎng)絡(luò)設(shè)備兩個角度去考慮�。
主機(jī)上的設(shè)置
幾乎所有的主機(jī)平臺都有抵御DoS的設(shè)置,總結(jié)一下�����,基本的有幾種:
關(guān)閉不必要的服務(wù)
限制同時打開的Syn半連接數(shù)目
縮短Syn半連接的time out 時間
及時更新系統(tǒng)補(bǔ)丁
網(wǎng)絡(luò)設(shè)備上的設(shè)置
企業(yè)網(wǎng)的網(wǎng)絡(luò)設(shè)備可以從防火墻與路由器上考慮�。這兩個設(shè)備是到外界的接口設(shè)備,在進(jìn)行防DDoS設(shè)置的同時�,要注意一下這是以多大的效率犧牲為代價的,對你來說是否值得����。
1.防火墻
禁止對主機(jī)的非開放服務(wù)的訪問
限制同時打開的SYN最大連接數(shù)
限制特定IP地址的訪問
啟用防火墻的防DDoS的屬性
嚴(yán)格限制對外開放的服務(wù)器的向外訪問
第五項(xiàng)主要是防止自己的服務(wù)器被當(dāng)做工具去害人�。
2.路由器
以Cisco路由器為例
Cisco Express Forwarding(CEF)
使用 unicast reverse-path
訪問控制列表(ACL)過濾
設(shè)置SYN數(shù)據(jù)包流量速率
升級版本過低的ISO
為路由器建立log server
其中使用CEF和Unicast設(shè)置時要特別注意,使用不當(dāng)會造成路由器工作效率嚴(yán)重下降�����,升級IOS也應(yīng)謹(jǐn)慎。路由器是網(wǎng)絡(luò)的核心設(shè)備��,與大家分享一下進(jìn)行設(shè)置修改時的小經(jīng)驗(yàn)�����,就是先不保存��。Cisco路由器有兩份配置startup config和running config�����,修改的時候改變的是running config���,可以讓這個配置先跑一段時間(三五天的就隨意啦)�,覺得可行后再保存配置到startup config�����;而如果不滿意想恢復(fù)原來的配置�,用copy start run就行了。
ISP / ICP管理員
ISP / ICP為很多中小型企業(yè)提供了各種規(guī)模的主機(jī)托管業(yè)務(wù)��,所以在防DDoS時��,除了與企業(yè)網(wǎng)管理員一樣的手段外,還要特別注意自己管理范圍內(nèi)的客戶托管主機(jī)不要成為傀儡機(jī)���。
客觀上說���,這些托管主機(jī)的安全性普遍是很差的,有的連基本的補(bǔ)丁都沒有打就赤膊上陣了���,成為黑客最喜歡的"肉雞"���,因?yàn)椴还苓@臺機(jī)器黑客怎么用都不會有被發(fā)現(xiàn)的危險,它的安全管理太差了�����;還不必說托管的主機(jī)都是高性能���、高帶寬的-簡直就是為DDoS定制的��。
而做為ISP的管理員�,對托管主機(jī)是沒有直接管理的權(quán)力的��,只能通知讓客戶來處理�����。在實(shí)際情況時���,有很多客戶與自己的托管主機(jī)服務(wù)商配合得不是很好�,造成ISP管理員明知自己負(fù)責(zé)的一臺托管主機(jī)成為了傀儡機(jī)�����,卻沒有什么辦法的局面���。而托管業(yè)務(wù)又是買方市場���,ISP還不敢得罪客戶,怎么辦�?咱們管理員和客戶搞好關(guān)系吧,沒辦法����,誰讓人家是上帝呢?呵呵�,客戶多配合一些,ISP的主機(jī)更安全一些�����,被別人告狀的可能性也小一些。
骨干網(wǎng)絡(luò)運(yùn)營商
他們提供了互聯(lián)網(wǎng)存在的物理基礎(chǔ)��。如果骨干網(wǎng)絡(luò)運(yùn)營商可以很好地合作的話�,DDoS攻擊可以很好地被預(yù)防。在2000年yahoo等知名網(wǎng)站被攻擊后����,美國的網(wǎng)絡(luò)安全研究機(jī)構(gòu)提出了骨干運(yùn)營商聯(lián)手來解決DDoS攻擊的方案。
其實(shí)方法很簡單��,就是每家運(yùn)營商在自己的出口路由器上進(jìn)行源IP地址的驗(yàn)證���,如果在自己的路由表中沒有到這個數(shù)據(jù)包源IP的路由����,就丟掉這個包���。這種方法可以阻止黑客利用偽造的源IP來進(jìn)行DDoS攻擊�。不過同樣�����,這樣做會降低路由器的效率,這也是骨干運(yùn)營商非常關(guān)注的問題����,所以這種做法真正采用起來還很困難���。
對DDoS的原理與應(yīng)付方法的研究一直在進(jìn)行中���,找到一個既有效又切實(shí)可行的方案不是一朝一夕的事情。但目前我們至少可以做到把自己的網(wǎng)絡(luò)與主機(jī)維護(hù)好���,首先讓自己的主機(jī)不成為別人利用的對象去攻擊別人����;其次�,在受到攻擊的時候,要盡量地保存證據(jù)���,以便事后追查��,一個良好的網(wǎng)絡(luò)和日志系統(tǒng)是必要的���。無論DDoS的防御向何處發(fā)展�,這都將是一個社會工程��,需要IT界的同行們來一起關(guān)注��,通力合作����。
