古人有一句話(huà)說(shuō)：要防微杜漸，不可諱疾忌醫(yī)。面對(duì)互聯(lián)網(wǎng)安全也是如此，在DDOS攻擊大行其道的今天，如果自身企業(yè)并沒(méi)有遭到DDOS攻擊也不要就放心下來(lái)。如何預(yù)防DDOS攻擊是企業(yè)網(wǎng)絡(luò)管理員應(yīng)該思考的問(wèn)題。對(duì)于面臨拒絕服務(wù)攻擊的目標(biāo)或潛在目標(biāo)，應(yīng)該采取的重要措施：

預(yù)防DDOS方法一：消除 FUD心態(tài)

FUD 的意思是 Fear（恐懼）、 Uncerntainty（猜測(cè)）和 Doubt（懷疑）。最近發(fā)生的攻擊可能會(huì)使某些人因?yàn)楹ε鲁蔀楣裟繕?biāo)而整天擔(dān)心受怕。其實(shí)必須意識(shí)到可能會(huì)成為拒絕服務(wù)攻擊目標(biāo)的公司或主機(jī)只是極少數(shù)，而且多數(shù)是一些著名站點(diǎn)，如搜索引擎、門(mén)戶(hù)站點(diǎn)、大型電子商務(wù)和證券公司、 IRC服務(wù)器和新聞雜志等。如果不屬于這類(lèi)站點(diǎn)，大可不必過(guò)于擔(dān)心成為拒絕服務(wù)攻擊的直接目標(biāo)。

預(yù)防DDOS方法二：要求與 ISP協(xié)助和合作

獲得你的主要互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ ISP）的協(xié)助和合作是非常重要的。分布式拒絕服務(wù)（ DDoS）攻擊主要是耗用帶寬，單憑你自己管理網(wǎng)絡(luò)是無(wú)法對(duì)付這些攻擊的。與你的 ISP協(xié)商，確保他們同意幫助你實(shí)施正確的路由訪(fǎng)問(wèn)控制策略以保護(hù)帶寬和內(nèi)部網(wǎng)絡(luò)。最理想的情況是當(dāng)發(fā)生攻擊時(shí)你的 ISP愿意監(jiān)視或允許你訪(fǎng)問(wèn)他們的路由器。

預(yù)防DDOS方法三：優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)

如果你管理的不僅僅是一臺(tái)主機(jī)，而是網(wǎng)絡(luò)，就需要調(diào)整路由表以將拒絕服務(wù)攻擊的影響減到最小。為了防止 SYN flood攻擊，應(yīng)設(shè)置 TCP偵聽(tīng)功能。詳細(xì)資料請(qǐng)參閱相關(guān)路由器技術(shù)文檔。另外禁止網(wǎng)絡(luò)不需要使用的 UDP和 ICMP包通過(guò)，尤其是不應(yīng)該允許出站 ICMP“不可到達(dá)”消息。

預(yù)防DDOS方法四：優(yōu)化對(duì)外開(kāi)放訪(fǎng)問(wèn)的主機(jī)

對(duì)所有可能成為目標(biāo)的主機(jī)都進(jìn)行優(yōu)化。禁止所有不必要的服務(wù)。另外多 IP主機(jī)也會(huì)增加攻擊者的難度。建議在多臺(tái)主機(jī)中使用多 IP地址技術(shù)，而這些主機(jī)的首頁(yè)只會(huì)自動(dòng)轉(zhuǎn)向真正的 web服務(wù)器。

預(yù)防DDOS方法五：正在受到攻擊時(shí)，必須立刻應(yīng)用對(duì)應(yīng)策略。

盡可能迅速地阻止攻擊數(shù)據(jù)包是非常重要的，同時(shí)如果發(fā)現(xiàn)這些數(shù)據(jù)包來(lái)自某些 ISP時(shí)應(yīng)盡快和他們?nèi)〉寐?lián)系。千萬(wàn)不要依賴(lài)數(shù)據(jù)包中的源地址，因?yàn)樗鼈冊(cè)?DoS攻擊中往往都是隨機(jī)選擇的。是否能迅速準(zhǔn)確地確定偽造來(lái)源將取決于你的響應(yīng)動(dòng)作是否迅速，因?yàn)槁酚善髦械挠涗浛赡軙?huì)在攻擊中止后很快就被清除。

對(duì)于已被或可能被入侵和安裝 DDoS代理端程序的主機(jī)，應(yīng)該采取的重要措施：

預(yù)防DDOS方法六：消除 FUN心態(tài)

作為可能被入侵的對(duì)象，沒(méi)必要太過(guò)緊張，只需盡快采取合理和有效的措施即可?，F(xiàn)在的拒絕服務(wù)攻擊服務(wù)器都只被安裝到 Linux和 Solaris系統(tǒng)中。雖然可能會(huì)被移植到 *BSD*或其它系統(tǒng)中，但只要這些系統(tǒng)足夠安全，系統(tǒng)被入侵的可能性不大。

預(yù)防DDOS方法七：確保主機(jī)不被入侵和是安全的

現(xiàn)在互聯(lián)網(wǎng)上有許多舊的和新的漏洞攻擊程序。以確保你的服務(wù)器版本不受這些漏洞影響。記住，入侵者總是利用已存在的漏洞進(jìn)入系統(tǒng)和安裝攻擊程序。系統(tǒng)管理員應(yīng)該經(jīng)常檢查服務(wù)器配置和安全問(wèn)題，運(yùn)行最新升級(jí)的軟件版本，最重要的一點(diǎn)就是只運(yùn)行必要的服務(wù)。如果能夠完全按照以上思路，系統(tǒng)就可以被認(rèn)為是足夠安全，而且不會(huì)被入侵控制。

預(yù)防DDOS方法八：周期性審核系統(tǒng)

必須意識(shí)到你要對(duì)自己管理的系統(tǒng)負(fù)責(zé)。應(yīng)該充分了解系統(tǒng)和服務(wù)器軟件是如何工作的，經(jīng)常檢查系統(tǒng)配置和安全策略。另外還要時(shí)刻留意安全站點(diǎn)公布的與自發(fā)管理的操作系統(tǒng)及軟件有關(guān)的最新安全漏洞和問(wèn)題。

預(yù)防DDOS方法九：檢查文件完整性

當(dāng)確定系統(tǒng)未曾被入侵時(shí)，應(yīng)該盡快這所有二進(jìn)制程序和其它重要的系統(tǒng)文件產(chǎn)生文件簽名，并且周期性地與這些文件比較以確保不被非法修改。另外，強(qiáng)烈推薦將文件檢驗(yàn)和保存到另一臺(tái)主機(jī)或可移動(dòng)介質(zhì)中。這類(lèi)文件 /目錄完整性檢查的免費(fèi)工具（如 tripwire等）可以在許多 FTP站點(diǎn)上下載。當(dāng)然也可以選擇購(gòu)買(mǎi)商業(yè)軟件包。

預(yù)防DDOS方法十：發(fā)現(xiàn)正在實(shí)施攻擊時(shí)，必須立刻關(guān)閉系統(tǒng)并進(jìn)行調(diào)查

如果監(jiān)測(cè)到（或被通知）網(wǎng)絡(luò)或主機(jī)正實(shí)施攻擊，應(yīng)該立刻關(guān)閉系統(tǒng)，或者至少切斷與網(wǎng)絡(luò)的連接。因?yàn)檫@些攻擊同時(shí)也意味著入侵者已幾乎完全控制了該主機(jī)，所以應(yīng)該進(jìn)行研究分析和重新安裝系統(tǒng)。建議聯(lián)系安全組織。。必須記往，將攻擊者遺留在入侵主機(jī)中的所有程序和數(shù)據(jù)完整地提供給安全組織或?qū)＜沂欠浅Ｖ匾?，因?yàn)檫@能幫助追蹤攻擊的來(lái)源。
 

【編輯推薦】

1. DDOS防火墻防御功能對(duì)比
2. 淺析企業(yè)DDOS防火墻成本比較
3. 防火墻安全測(cè)試之日志分析工具
4. 淺析各類(lèi)DDOS防火墻應(yīng)對(duì)攻擊時(shí)的表現(xiàn)
5. 實(shí)例體驗(yàn)自造DDOS硬件防火墻