企業(yè)在網(wǎng)絡(luò)中不僅要面對(duì)病毒木馬的襲擊，還要面臨網(wǎng)絡(luò)中各種各樣的攻擊。其中危害最大的莫過(guò)于DDOS攻擊，對(duì)于此類攻擊很多企業(yè)是束手無(wú)策，有的只依賴于硬件防DDOS防火墻來(lái)抵擋強(qiáng)大的攻擊。但是據(jù)一個(gè)企業(yè)網(wǎng)管多年的抗戰(zhàn)經(jīng)驗(yàn)來(lái)說(shuō)：硬件和策略結(jié)合之道才能讓DDOS攻擊由強(qiáng)變?nèi)酢?/P>

DDOS攻擊原理

知已知彼方能百戰(zhàn)百勝，在談如何防止DDOS之前，有必要先了解一下DDOS是如何實(shí)現(xiàn)強(qiáng)化攻擊的。DDOS攻擊就是利用計(jì)算機(jī)中的協(xié)議漏洞，模擬正常的數(shù)據(jù)流向目標(biāo)機(jī)發(fā)送大量數(shù)據(jù)包，造成三次握手多隊(duì)列等待，讓目標(biāo)計(jì)算機(jī)處在一種處理再處理狀態(tài)，隨著來(lái)訪的數(shù)據(jù)包越來(lái)越多，目標(biāo)機(jī)的處理隊(duì)列越排越長(zhǎng)，最終死機(jī)崩潰。而這些數(shù)據(jù)包的形成，則不是一臺(tái)兩臺(tái)計(jì)算機(jī)能夠完成的。那么攻擊者是如何組建龐大的計(jì)算機(jī)群集來(lái)對(duì)目標(biāo)發(fā)動(dòng)大規(guī)模的攻擊呢?

對(duì)于一個(gè)黑客高手來(lái)說(shuō)，在網(wǎng)絡(luò)中抓肉雞那是相當(dāng)簡(jiǎn)單的。通常方法為：通過(guò)計(jì)算機(jī)的漏洞利用工具進(jìn)行大范圍的掃描入侵，一但入侵成功后，黑客會(huì)在計(jì)算機(jī)中種下后門木馬并通過(guò)控制木馬上傳一個(gè)DDOS攻擊軟件到計(jì)算機(jī)中，此時(shí)一臺(tái)肉雞形成。黑客找肉雞下木馬的軟件效率十分驚人，利如NB自掃描種植軟件一天內(nèi)能描上千臺(tái)肉雞。將這些肉雞集中起來(lái)，統(tǒng)一控制即形成龐大的僵尸網(wǎng)絡(luò)。如果此些肉雞在同一時(shí)間內(nèi)通過(guò)DDOS軟件對(duì)某臺(tái)目標(biāo)機(jī)一起發(fā)起數(shù)據(jù)包訪問(wèn)，那么即形成可怕的DDOS攻擊流，由于這些數(shù)據(jù)包來(lái)自網(wǎng)絡(luò)各地，因此從根本上來(lái)講很難預(yù)防。

從攻擊目標(biāo)上看，很多 DDoS 攻擊的目的讓網(wǎng)絡(luò)應(yīng)用負(fù)載過(guò)大。只要網(wǎng)絡(luò)中的應(yīng)用服務(wù)器存在漏洞，很有可能成為黑客構(gòu)建僵尸網(wǎng)絡(luò)的傀儡機(jī)，如有利可圖，還有可能成為 DDoS 攻擊目標(biāo)，以求從中獲利，形成黑客產(chǎn)業(yè)鏈。

 #p#

DDOS硬件防范

看完了DDOS的形成于攻擊原理后，很多企業(yè)網(wǎng)絡(luò)管理人員會(huì)感到DDOS太可怕了，想要防御根本無(wú)從下手，因?yàn)檫@些數(shù)據(jù)包傳遞的IP地址不是一個(gè)，而是成千上萬(wàn)個(gè)，如果單一的憑手工進(jìn)行IP地址的數(shù)據(jù)包丟棄，那肯定是無(wú)法達(dá)到效果的。于是想到了硬件防范方法。

目前通常的硬件防DDOS都從理論上能達(dá)到抗DDOS的目的，其原理大多數(shù)都是對(duì)數(shù)據(jù)包采用核心算法，精確算出數(shù)據(jù)包的危害性，有效防止連接耗盡，主動(dòng)清除服務(wù)器上的殘余連接。不過(guò)當(dāng)企業(yè)網(wǎng)絡(luò)受到大于自身網(wǎng)絡(luò)寬數(shù)倍的網(wǎng)絡(luò)數(shù)據(jù)包請(qǐng)求時(shí)，硬件防DDOS也顯得心有余而力不足了。

在硬件防DDOS問(wèn)題上企業(yè)可以根據(jù)自身所購(gòu)買的防DDOS產(chǎn)品手冊(cè)操作進(jìn)行即可，這里不在占用篇幅。#p#

企業(yè)2003服務(wù)器防DDOS設(shè)置

作為企業(yè)服務(wù)器，一般的策略肯定要比網(wǎng)內(nèi)的用戶機(jī)器嚴(yán)格的多。但是雖然多，如果不進(jìn)行專業(yè)的抗DDOS配置，那么當(dāng)DDOS來(lái)襲時(shí)，也將束手無(wú)策。下面以2003系統(tǒng)為例進(jìn)行講解。

由于DDOS攻擊占用SYN緩存，因此可以從這上面著手對(duì)注冊(cè)表進(jìn)行如下修改，即能達(dá)到防御DDOS的目的。其步驟如下：

一：“開(kāi)始->運(yùn)行->輸入regedit”進(jìn)入注冊(cè)表編輯器。

二：找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在其下的有個(gè)SynAttackProtect鍵值。默認(rèn)為0將其修改為1。

三：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值，將其修改為0。該設(shè)置將禁止SYN攻擊服務(wù)器后強(qiáng)迫服務(wù)器修改網(wǎng)關(guān)從而使服務(wù)暫停。

四：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery鍵值，將其修改為0。這樣可以限定攻擊者的MTU大小，降低服務(wù)器總體負(fù)荷。

五：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設(shè)置為300,000。將NoNameReleaseOnDemand設(shè)置為1。

利用硬件配合軟件的方式進(jìn)行了防DDOS相關(guān)設(shè)置后，通過(guò)進(jìn)行以上注冊(cè)表的修改，調(diào)整了SYN-ACKS的重新傳輸?shù)膯?wèn)題，并且將DDOS攻擊數(shù)據(jù)包響應(yīng)時(shí)間縮短，企業(yè)服務(wù)器從整體上提高了防御力。但是這只是緩兵之際，并不能從根本上瓦解DDOS攻擊，因此要想從源頭上解決此事，還得往下看。#p#

作為一個(gè)企業(yè)服務(wù)器管理者

要想從源頭上防止DDOS攻擊，那么就得具備發(fā)現(xiàn)攻擊的能力，其要掌握的要領(lǐng)如下：

在采用硬件防DDOS設(shè)備后，還要架設(shè)起路由負(fù)載均衡設(shè)備，因?yàn)榉?wù)器受到攻擊時(shí)，首先位于節(jié)點(diǎn)的路由會(huì)最先受到傷害，導(dǎo)至路由當(dāng)機(jī)，此時(shí)部署好的負(fù)載均衡會(huì)自動(dòng)接手工作，可以很大程度的削減了DdoS的攻擊，給企業(yè)服務(wù)器管理者提供更多的時(shí)間對(duì)抗。

在做完上述硬設(shè)備后。企業(yè)服務(wù)器管理者可以進(jìn)行除必須開(kāi)放的端口以外的端口屏蔽二套策略，以用在發(fā)生DDOS攻擊時(shí)啟用。常用到的工具有Inexpress、Express、Forwarding等。另外可以使用Unicast Reverse Path Forwarding通過(guò)反向路由器查詢的方法檢查訪問(wèn)者的IP地址真假問(wèn)題從而進(jìn)行屏蔽。另外還要定期對(duì)服務(wù)器進(jìn)行掃描清查漏洞，發(fā)現(xiàn)漏洞節(jié)點(diǎn)后，要即時(shí)作出補(bǔ)丁處理。

編者按：

對(duì)于DDOS攻擊，企業(yè)服務(wù)器做好上述的各項(xiàng)設(shè)置后，可以將DDOS攻擊危害降低，然后爭(zhēng)取時(shí)間通過(guò)邊接收數(shù)據(jù)邊屏蔽的策略辦法，進(jìn)一步化解DDOS危害，從而實(shí)現(xiàn)企業(yè)服務(wù)器安全的根本目的。

【編輯推薦】

1. DDoS攻擊移師云計(jì)算(1)
2. DDoS防御進(jìn)入“云”清洗階段
3. 對(duì)話首席安全官 研究者從DDoS手法中學(xué)到了什么？