企业服务器防DDOS技术攻略
2010-04-27 IT专家网
编者按:
对于DDOS攻击,企业服务器做好上述的各项设置后,可以将DDOS攻击危害降低,然后争取时间通过边接收数据边屏蔽的策略办法,进一步化解DDOS危害,从而实现企业服务器安全的根本目的。
企业在网络中不仅要面对病毒木马的袭击,还要面临网络中各种各样的攻击。其中危害最大的莫过于DDOS攻击,对于此类攻击很多企业是束手无策,有的只依赖于硬件防DDOS防火墙来抵挡强大的攻击。但是据一个企业网管多年的抗战经验来说:硬件和策略结合之道才能让DDOS攻击由强变弱。
DDOS攻击原理
知已知彼方能百战百胜,在谈如何防止DDOS之前,有必要先了解一下DDOS是如何实现强化攻击的。DDOS攻击就是利用计算机中的协议漏洞,模拟正常的数据流向目标机发送大量数据包,造成三次握手多队列等待,让目标计算机处在一种处理再处理状态,随着来访的数据包越来越多,目标机的处理队列越排越长,最终死机崩溃。而这些数据包的形成,则不是一台两台计算机能够完成的。那么攻击者是如何组建庞大的计算机群集来对目标发动大规模的攻击呢?
对于一个黑客高手来说,在网络中抓肉鸡那是相当简单的。通常方法为:通过计算机的漏洞利用工具进行大范围的扫描入侵,一但入侵成功后,黑客会在计算机中种下后门木马并通过控制木马上传一个DDOS攻击软件到计算机中,此时一台肉鸡形成。黑客找肉鸡下木马的软件效率十分惊人,利如NB自扫描种植软件一天内能描上千台肉鸡。将这些肉鸡集中起来,统一控制即形成庞大的僵尸网络。如果此些肉鸡在同一时间内通过DDOS软件对某台目标机一起发起数据包访问,那么即形成可怕的DDOS攻击流,由于这些数据包来自网络各地,因此从根本上来讲很难预防。
从攻击目标上看,很多 DDoS 攻击的目的让网络应用负载过大。只要网络中的应用服务器存在漏洞,很有可能成为黑客构建僵尸网络的傀儡机,如有利可图,还有可能成为 DDoS 攻击目标,以求从中获利,形成黑客产业链。
图一
DDOS硬件防范
看完了DDOS的形成于攻击原理后,很多企业网络管理人员会感到DDOS太可怕了,想要防御根本无从下手,因为这些数据包传递的IP地址不是一个,而是成千上万个,如果单一的凭手工进行IP地址的数据包丢弃,那肯定是无法达到效果的。于是想到了硬件防范方法。
图二
目前通常的硬件防DDOS都从理论上能达到抗DDOS的目的,其原理大多数都是对数据包采用核心算法,精确算出数据包的危害性,有效防止连接耗尽,主动清除服务器上的残余连接。不过当企业网络受到大于自身网络宽数倍的网络数据包请求时,硬件防DDOS也显得心有余而力不足了。
在硬件防DDOS问题上企业可以根据自身所购买的防DDOS产品手册操作进行即可,这里不在占用篇幅。
企业2003服务器防DDOS设置
作为企业服务器,一般的策略肯定要比网内的用户机器严格的多。但是虽然多,如果不进行专业的抗DDOS配置,那么当DDOS来袭时,也将束手无策。下面以2003系统为例进行讲解。
由于DDOS攻击占用SYN缓存,因此可以从这上面着手对注册表进行如下修改,即能达到防御DDOS的目的。其步骤如下:
一:“开始->运行->输入regedit”进入注册表编辑器。
二:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有个SynAttackProtect键值。默认为0将其修改为1。
三:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。
四:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的MTU大小,降低服务器总体负荷。
五:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand设置为1。
利用硬件配合软件的方式进行了防DDOS相关设置后,通过进行以上注册表的修改,调整了SYN-ACKS的重新传输的问题,并且将DDOS攻击数据包响应时间缩短,企业服务器从整体上提高了防御力。但是这只是缓兵之际,并不能从根本上瓦解DDOS攻击,因此要想从源头上解决此事,还得往下看。
高手抗DDOS经验谈
作为一个企业服务器管理者,要想从源头上防止DDOS攻击,那么就得具备发现攻击的能力,其要掌握的要领如下:
在采用硬件防DDOS设备后,还要架设起路由负载均衡设备,因为服务器受到攻击时,首先位于节点的路由会最先受到伤害,导至路由当机,此时部署好的负载均衡会自动接手工作,可以很大程度的削减了DdoS的攻击,给企业服务器管理者提供更多的时间对抗。
图四
在做完上述硬设备后。企业服务器管理者可以进行除必须开放的端口以外的端口屏蔽二套策略,以用在发生DDOS攻击时启用。常用到的工具有Inexpress、Express、Forwarding等。另外可以使用Unicast Reverse Path Forwarding通过反向路由器查询的方法检查访问者的IP地址真假问题从而进行屏蔽。另外还要定期对服务器进行扫描清查漏洞,发现漏洞节点后,要即时作出补丁处理。