当前位置:主页 > 热点 >

湖南电信网络瘫痪,疑是遭境外黑客DDOS攻击,将来该如何防护?

全国正在“护网行动”之际,湖南电信、联通、移动固网突然全部瘫痪。有消息称是境外黑客发起DDOS洪水攻击,导致总出口和入口堵塞。虽然三大运营商都在全力解决,但DDOS攻击本身是无解的。一切防御手段也只是减轻攻击伤害。那将来该如何防御呢?

 

 

1、应急防御措施

DDOS攻击属于拒绝服务攻击。黑客通常利用庞大的“僵尸主机”对目标发起大量的连接。导致连接数量超出目标设备所能承受的极限范围。最终设备无法对外提供服务。面对这种情况,一般有以下防御应急措施。

限制IP:因为黑客发起DDOS攻击经常会伪造IP,所以可以通过发起sync包反向探测源IP地址是否真实存在,如果真实存在,立即封禁该IP。

限制连接数:在安全设备上限制对目标主机的访问连接数,即限制每秒新建的连接数。这可以有效减轻目标主机的压力。

限制递归查询:这个适用于类似针对DNS查询发起DDOS攻击。因为运营商的主DNS的查询有很多是来自其他DNS服务器的递归查询。如果服务器扛不住DDOS攻击,可以临时先关闭递归查询,减轻主DNS压力。

以上3条可以减轻被攻击主机的压力,但没法完全防御住DDOS攻击。要想更好地防御DDOS攻击,还是要提前做好各种安全防御措施。

 

DDOS攻击

 

2、DDOS攻击防御的手段

从DDOS攻击本身的特点来看,要想提高防御能力。可以从下面几点来着手。

①、增强主机安全能力

加强主机的安全策略,及时更新操作系统的安全补丁,尤其是关于TCP/IP协议堆栈方面的修复补丁。对主机上安全的互联网程序应该尽量保持更新,web网站尽量用全静态页面,并可配置iptables和nginx的反向代理来增强防御能力。数据库尽量拒绝使用代理访问。

在部署网络服务时,不要把设备性能掐算得那么死。可以多预留一点CPU、内存、网络带宽等处理能力。这样,就算有DDOS攻击,目标系统也能多支撑一会儿。

 

增强主机安全能力

 

②、部署专业安全设备

专业的安全设备一般会集成反DDOS功能,它们会对常见的DDOS攻击包进行识别。一旦识别成功,会主动丢去这些攻击包,并拒绝攻击者的连接。安全系统也还可以部署蜜罐假目标,让DDOS攻击的攻击流量流向了假目标。同时,安全系统发现攻击会联动防火墙做各种限制措施。如果是部署在云端,可以采购云服务商的抗DDOS安全产品。比如:阿里云盾、腾讯大禹。

 

部署专业安全设备

 

总结

DDOS攻击没有绝对的防御措施,但通过上面的安全措施,可以减少被攻击的风险。如果不幸被攻击后,也可以有效减轻被攻击造成的压力。

  • 关注微信

猜你喜欢

热门阅读

  • 君子固穷意思相近的成语有哪些?
  • 被面印花、绣花、提花的区别
  • 五指伸平比长短下一句?
  • 齐豫乡愁哪一年唱的?

关注我们

微信公众号