利用DDOS為攻擊方式的行為,通常來源位址已經經過偽造,稍有功力的駭
客,這是起碼的第一步,所以封鎖來源IP,並不一定能真正的阻斷DDOS,
可能可以暫時的解除被攻擊的狀況,但一般可以執行DDOS攻擊的代理軟體
通常都有個自動變換IP位址的基本功能。。。
我之前服務的公司也遭遇過大規模的DDOS攻擊,當時是靠防火牆跟備援線
路撐過去的,當時所採用的FW是netscreen 201,差一點就被幹掛。。。
可以的話,先調整SYN_ACK的等待回應時間吧。。減少等待時間,比封鎖
大範圍的IP來源可能更有效一點。。
聲明:不負責講座
補充一下:微軟作業系統的防護措施 SYN_Flooding 防護技巧
有幾點建議:
1.加裝硬體防火牆
2.考慮管制流量(如果在不封鎖其攻擊來源地區的情況下)
3.尋求ISP和其他單位的支援
4.要有長期抗戰的準備 = =" DDoS 的停止是攻擊者的決定,而不是系統管理者所能做的處理
之前我有去過一個大型的論壇 也是遭受攻擊 搞的整個站慢到不行 後來那個站長找出被攻擊
的區域 把那個區暫時關閉和管制流量(在尖峰時段時管制 不然真的整個站都動不了 開個網頁要
等十秒以上 會起笑 ) 才暫時恢復正常
期權資訊分享 http://bruce-stock.blogspot.tw/
對了, 在建立解決方法之前, 最好分析清楚受到的攻擊類型, 有個不用錢又簡單的方法, 就是安裝Snort這種IDS軟體, 可以幫您偵測攻擊封包, Snort網站是http://www.snort.org/, 確定遭受的攻擊類型後再決定要對抗的方法, 或是要買的防火牆種類, 才比較不會浪費人力和金錢喔, 此外常更新IDS偵測規則, 可以比較早發現攻擊行為, 並幫助防火牆設定Deny Rule, 雖然IDS不是萬靈丹, 但是跟車鎖一樣, 多加警報器或是一道鎖總是好容易發現小偷^^
可憐的小小軟體RD, 努力打拼中!!
totolo wrote:
嚴格說起來, DDOS現在是沒有辦法防止的, 因為IP都可以假造, 至少要等到IPV6跟IPSec完全普及全球才有辦法, 而且夠多的電腦同時發動, 真的是無解,目前公司碰到這種狀況的話, 通常是用Gateway等級的硬體防火牆(速度極快), 利用過濾異常封包(某些DOS攻擊封包的內容會有特定格式), 加上流量控管, 動態偵測異常流量的IP, 並立即動態阻絕此來源的Syn封包(全自動), 或是設立DMZ+多個Web伺服器+備源系統(但是成本要很高)來動態分散流量, 所以建議站上趕快找硬體防火牆廠商, 他們都很有經驗的, 可以馬上處理您的問題, 不過要花錢就是了, 好的硬體防火牆大約要10萬塊以上喔@_@"
對了, 在建立解決方法之前, 最好分析清楚受到的攻擊類型, 有個不用錢又簡單的方法, 就是安裝Snort這種IDS軟體, 可以幫您偵測攻擊封包, Snort網站是http://www.snort.org/, 確定遭受的攻擊類型後再決定要對抗的方法, 或是要買的防火牆種類, 才比較不會浪費人力和金錢喔, 此外常更新IDS偵測規則, 可以比較早發現攻擊行為, 並幫助防火牆設定Deny Rule, 雖然IDS不是萬靈丹, 但是跟車鎖一樣, 多加警報器或是一道鎖總是好容易發現小偷^^
其實現在就有辦法對付DDOS
只是很很很很很很很貴
Akamai這種 Content Delivery Network, 全球有 上萬個 cache server, 擋的住 DDOS ATTACK
http://www.akamai.com/en/html/services/site_protection.html
10 賺大錢
20 花大錢
30 GOTO 10
內文搜尋
從 APP 打開
X