DDOS攻擊對(duì)于企業(yè)來說代表著投訴、延遲、糾紛、損失等一系列的問題。如何通過防護(hù)產(chǎn)品部署自己的DDOS解決方案又成為了個(gè)大企業(yè)網(wǎng)絡(luò)安全管理員的心中之痛。IDC-InternetDataCenter ，Internet數(shù)據(jù)中心。本身提供的就是高速接入的服務(wù)，一旦遭到DDOS攻擊就更成了重大災(zāi)害。那么本篇文章就通過冰盾科技的防護(hù)系統(tǒng)，在看一看IDC中心的DDOS解決方案。

一、現(xiàn)象分析

IDC中心主機(jī)托管機(jī)房?jī)?nèi)部擺放著多個(gè)不同性質(zhì)、不同服務(wù)、歸屬不同客戶的網(wǎng)絡(luò)服務(wù)器,在IDC機(jī)房中，并不是任何的服務(wù)器都會(huì)同時(shí)遭受黑客的攻擊。通常，遭受攻擊的只是其中的某臺(tái)服務(wù)器，例如WEB服務(wù)器、游戲服務(wù)器等，一旦受用戶托管的某臺(tái)服務(wù)器遭受到攻擊的時(shí)候，硬件防火墻會(huì)耗費(fèi)大量系統(tǒng)資源來抗擊黑客的攻擊流量，由于防火墻處在網(wǎng)絡(luò)出口節(jié)點(diǎn)的位置，系統(tǒng)資源的大量消耗會(huì)嚴(yán)重影響其他服務(wù)器的正常應(yīng)用，正所謂城門失火殃及池魚，勢(shì)必導(dǎo)致IDC的服務(wù)質(zhì)量大大降低。正常情況下，內(nèi)網(wǎng)都可以自由流暢的訪問互聯(lián)網(wǎng)絡(luò)，但假定可排除線路和硬件故障的情況下，若突然發(fā)現(xiàn)無法瀏覽外部網(wǎng)站網(wǎng)頁(yè)，正在玩游戲的用戶掉線等現(xiàn)象，則說明很有可能是遭受了DDOS攻擊，具體判定方法如下：

進(jìn)入被攻擊的服務(wù)器，然后按照以下步驟進(jìn)行觀察分析。

1、SYNFlood攻擊判定

（1）網(wǎng)上鄰居->右鍵選“屬性”->雙擊網(wǎng)卡，觀察每秒收到的包數(shù)量，若大于500，則可以肯定是受到了SYNFlood攻擊。

（2）開始->程序->附件->命令提示符->C:\>netstat –na，若觀察到大量的SYN_RECEIVED的連接狀態(tài)，則說明遭受了SYNFlood攻擊。

（3）網(wǎng)線插上后，服務(wù)器立即凝固無法操作，拔出后有時(shí)可以恢復(fù)，有時(shí)候需要重新啟動(dòng)機(jī)器才可恢復(fù)，則也說明遭受了SYNFlood類的流量攻擊。

2、TCP多連接攻擊判定

開始->程序->附件->命令提示符->C:\>netstat –na，若觀察到很多外部IP地址都與本機(jī)的服務(wù)端口建立了幾十個(gè)以上的ESTABLISHED狀態(tài)的連接，則說明遭到了TCP多連接攻擊。

二、解決方案

多年的統(tǒng)計(jì)數(shù)據(jù)表明，想徹底解決DDOS是幾乎不可能的，就好比治療感冒一樣，我們可以治療，也可以預(yù)防，但卻無法根治，但我們?nèi)舨扇》e極有效的防御方法，則可在很大程度上降低或減緩生病的機(jī)率，防治DDOS攻擊也是如此，擁有充足的帶寬和配置足夠高的主機(jī)硬件是必需的，那么什么算是充足的帶寬呢？一般來說至少應(yīng)該是100M共享，那么什么算配置足夠高的主機(jī)硬件呢？一般來說至少應(yīng)該是P4 2.4G的CPU、512M內(nèi)存和Intel等品牌網(wǎng)卡。擁有此配置的帶寬和主機(jī)理論上可應(yīng)對(duì)每秒20萬以上的SYN攻擊，但這需要借助于專業(yè)配置和專用軟件才可實(shí)現(xiàn)，默認(rèn)情況下，絕大多數(shù)服務(wù)器難以抵御每秒1000個(gè)以上SYN的攻擊。以下方案即為針對(duì)網(wǎng)關(guān)機(jī)進(jìn)行的。

1、免費(fèi)DDOS解決方案

通過優(yōu)化Windows 2000或2003系統(tǒng)的注冊(cè)表，可有效對(duì)抗每秒約1萬個(gè)左右的SYN攻擊，方法是把以下文本內(nèi)容存盤為antiddos.reg然后導(dǎo)入注冊(cè)表并重新啟動(dòng)即可，當(dāng)然也可地址 http://www.bingdun.com/tools/antiddos.reg 下載antiddos.reg文件。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]

"SynAttackProtect"=dword:00000002

"TcpMaxHalfOpen"=dword:000001f4

"TcpMaxHalfOpenRetried"=dword:00000190

此方案的優(yōu)點(diǎn)是，采用系統(tǒng)自身的能力來解決問題，而無需任何花費(fèi)，缺點(diǎn)是只能抵御每秒少于10000的SYN攻擊，并且無法解決TCP多連接攻擊。

2、商用DDOS解決方案

在面對(duì)每秒多于10000的SYN攻擊或是TCP多連接攻擊的情況下，就必需采用商用DDOS解決方案了，商業(yè)解決方案的核心是采用冰盾抗DDOS防火墻和技術(shù)支持服務(wù)，購(gòu)買并安裝冰盾抗DDOS防火墻后，可輕松應(yīng)對(duì)各種DDOS攻擊，同時(shí)也擁有了專業(yè)的抗DDOS顧問，冰盾科技7x24小時(shí)的技術(shù)服務(wù)保證您的服務(wù)器任何時(shí)刻都可以得到完美的呵護(hù)。

【編輯推薦】

1. DDOS防火墻防御功能對(duì)比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測(cè)試之日志分析工具
4. 淺析各類DDOS防火墻應(yīng)對(duì)攻擊時(shí)的表現(xiàn)
5. 實(shí)例體驗(yàn)自造DDOS硬件防火墻