如何应对ddos攻击?DDoS是英文Distributed Denial of Service的缩写,即“分布式拒绝服务”。凡是能导致合法用户不能够正常访问网络服务的行为都是DoS攻击,或拒绝服务攻击。在各种DoS攻击中,DDoS攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务。常见电脑黑客攻击类型与预防方法是什么?一起和佰佰安全网看看吧。
1、Filter。对于特征明显的DDoS攻击包,在路由器或者防火墙就可以搞定。当然,如果跟踪技术能够确定攻击包的来源则可以设置路由器或防火墙过滤掉所有来自攻击源的包,在攻击源被伪造的情况下,是通过识别攻击包的一些特征来实现的。然而有些攻击包并不容易识别出来。
2、随机丢包。如果不能非常有把握地识别攻击包,但是能对攻击包的做概率性的判断,则可以用随机丢包的方法来过滤一大部分的攻击流量,然而使用这种方法就必须考虑如何能够使合法用户的流量被尽可能好的保留。可以加上一些限制条件,如果判定一个包“一定是”合法的,则不对它做丢包。
3、SYN Cookie等特定防御办法。针对一些固定的攻击手段来防御和过滤。这类方法主要是减少主机对一些可能的攻击的容忍能力。比如为了减轻SYN Flood攻击占用TCP半连接队列,在SYN Cookie的执行过程中,当服务器接收到一个SYN包的时候,返回一个SYN-ACK包,这个数据包的ACK序列号是经过加密的,也就是说,它由源地址,端口源次序,目标地址,目标端口和一个加密种子计算得出。然后SYN释放所有的状态。如果一个ACK包从客户端返回,服务器将重新计算它来判断它是不是上个SYN-ACK的返回包。如果这样,服务器就可以直接进入TCP连接状态并打开连接。这样,服务器就可以避免守侯半开放连接了。
4、被动消极忽略。一般正常连接失败会重新尝试,但是攻击者一般不会重新。所以可以临时抛弃第一次连接请求而接受第二次或者第三次连接请求。
以上是小编整理的应对方法,生活中学习基本的网络安全小知识很重要。
( 责任编辑: 慕丹萍 )
2196
