从地震防护看如何防范DDoS攻击DDoS

2010-05-13    来源:中国IDC产业联盟    
中国IDC产业联盟讯 2010年4月14日清晨,青海省玉树藏族自治州玉树县,一场7.1级的地震猛烈袭击了这座高原之城。截止到4月20日,已有两千余人在这场强震中丧生,几万人失去了自己的

       中国IDC产业联盟讯 2010年4月14日清晨,青海省玉树藏族自治州玉树县,一场7.1级的地震猛烈袭击了这座高原之城。截止到4月20日,已有两千余人在这场强震中丧生,几万人失去了自己的家园。

       逝者已往矣,地震之后我们“痛定思痛”,如何防范地震、如何减少地震损失已成为大家首先要考虑的问题。而对于大多数互联网企业来说,DDoS攻击对他们造成的损失不亚于一场地震给震区带来的伤害。防攻击和抗地震有很多相通之处,以下从地震的防护经验来谈一下如何防范DDoS攻击:

       一是提高对危机的事先预测能力。众所周知,地震预测是科学界的一大难题。地球的不可入性、地震孕律的复杂性都使地震预测的成功率一直处于极低的水平,但这并不意味着地震的成功预测是不可能完成的任务,同样对于DDoS攻击的成功预测也有迹可循。

       对于DDoS攻击而言,攻击者往往是在几百台甚至更多的傀儡机上发动攻击,夹杂在大量的合法请求之中,本身就具有极强的隐蔽性,被攻击方很难事先得知攻击信息。但是,如果企业对社会舆论以及周边环境具有足够的敏锐度,在察觉到风险时便能未雨绸缪,做好充分的准备,及时备份关键的数据,加强人员的配置,便能极大地减少DDoS攻击带来的损失。

       二是增强自身对危机的抵抗能力。2010年2月7日,智利发生了里氏8.8级大地震,但令人惊奇的是,此次地震的罹难人数仅为750人。在分析原因时,专家发现建筑精巧的抗震设计和严格的工序监督是制胜的关键因素。

       同样,由于DDoS攻击对企业危害的严重性与不可逆性,选择在事发前便增强自身的防御能力显得格外重要。国内知名的互联网产品和专业服务提供商——傲盾公司的CTO李军对“如何增强防御能力”提出了以下几点建议:

       1.采用高性能的网络设备

       在选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。当攻击发生的时候请相关人员在所架设的DDoS防火墙做一下流量限制是增强防御能力的有效措施。

       2.尽量避免NAT(网络地址转换)的使用

       无论是路由器还是硬件防火墙设备都要尽量避免采用网络地址转换NAT的使用。NAT需要对地址来回转换,转换过程中需要对网络包进行校验和计算,因此浪费了很多CPU的时间。

       3. 增强操作系统的TCP/IP栈

       Win2000和Win2003作为服务器操作系统,本身就具备一定抵抗DDoS攻击的能力,开启时可抵挡10000个SYN攻击包,可以在一定程度上防御流量较小的攻击。

       4. 定期扫描

       要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较大的带宽,是黑客利用的最佳位置,因此加强这些主机本身的防御能力是非常重要的。

       5.选购合适的抗拒绝服务系统

       以前,DDoS攻击的流量仅有几十兆,现在已经增长到几百兆、几千兆甚至更大的流量,这就要求企业增加更多的服务器并选择监控流量更大的抗拒绝服务系统。李军说:“从傲盾公司十二年抗拒绝服务系统的研发历程来看,在事发前就增强自身的抵御能力非常重要。当2001年傲盾推出国内首款抗DDoS攻击软件防火墙时,仅靠软件就能抵御大多数攻击。但是到了现在,只有硬件设备才能有效保障企业的安全。而傲盾抗拒绝服务系统已经具备了64G的动态牵引能力,能够防护4G的带宽。据我们统计,选择适合的抗拒绝服务系统可以防御90%以上的DDoS攻击。”

       三是加强事发后的补救能力。地震是天灾,往往是不可避免的,地震发生之后最重要的则是抢救伤者、重建家园。同样,对于互联网企业而言,一旦遭到了DDoS攻击,应该采取迅速恢复数据、修复受损网络等应对措施。这就要求企业要建立一套明晰的危机处理流程,力求在最短的时间内把损失降到最低。

       李军还向记者介绍,作为国内领先的互联网产品和专业服务提供商,北京傲盾公司十多年来一直致力于持续的技术研发和技术创新,并籍此保持对3至5年后网络安全行业发展趋势的技术敏感度和市场把握力。

1
3