为什么我的电脑经常被路由器加入DoS攻击禁止的主机列表?
随着互联网上DDOS攻击的猖獗,面对各种潜在的不可预测的攻击威胁,维护网络安全成为网民的首要任务。DDOS攻击相对于原来简单的DOS攻击,呈现出更为分散、协同的大规模攻击,其破坏性前所未有。这也使得DDOS的防范更加困难。应该采取哪些措施有效应对?打击DDOS攻击以预防为主。以下是以网络安全为己任的云盾网安为大家介绍新推出的云盾DDOS安全防护系统的几大特色:
特点1:多重整合
随着恶性DDOS攻击的不断出现,互联网环境和网站的安全问题不断暴露。目前,网站的安全处于非常脆弱的状态。未来的DDOS防范工作要在每个运营关键点深化防御力度,在了解DDOS攻击的数量和规律后,采取相应的措施将DDOS攻击的影响降到最低。
云盾网安的DDOS云防御系统将从高防服务器、高防智能DNS、高防服务器集群、集群式防火墙架构、网络监控系统、高防智能路由系统六个方面为网站带来安全防护。六个子产品架构智能形成的终极多层次、多角度、多结构的CC/DDOS防护架构,提供定期扫描监控、骨干点防火墙配置、网络设备合理配置、入侵过滤等服务。,可以修复网站上每一个可能被黑客利用的安全漏洞,让安全问题不再是网站担心的因素之一,为用户提供真正的保护。
特点二:智能防御
云盾网安的DDOS云防御系统通过网络监控实现对网络主要节点的定期扫描,利用智能DNS分析系统设置监控端口,时刻防范可能出现的安全漏洞,如果一个节点受到攻击,会自动切换到另一个节点。面对攻击威胁时,云盾采取理想的应对策略,以海量的容量和资源拖垮黑客的攻击。云盾网安的DDOS云防御系统可以彻底有效地应对SYNFlood、ACKFlood、ICMPFlood、UDPFlood、DNSFlood等100G以下的DDOS攻击,可以有效应对连接耗尽、HTTPGetFlood、DNSQueryFlood、CC攻击。面对黑客的DDOS攻击,云盾构建分布式集群防御,可以根据需求增加节点数量,提高防御强度。停机检测系统会快速响应,替换瘫痪的节点服务器,保证网站的正常状态。还可以将攻击者发送的数据包全部返回到发送点,让攻击源变得瘫痪,从而降低攻击能力。
特点三:自由组合
长期以来,用户的需求是市场的主要驱动力。但是,对于不同的运行条件和不同的规模,用户也对网站的安全性提出了不同程度的要求。面对这些详细的个体标准,DDOS防御服务提供商需要考虑如何满足用户的个性化需求。有鉴于此,云盾网安的DDOS云防御系统云盾网安并不是一个被强行绑定的庞大系统,各个子产品之间相互呼应,相对独立。企业可以根据自身需求单独购买一个子产品,也可以集成一套量身定制的解决方案,实现企业系统由复杂到简单的瘦身过程。此外,云盾的DDOS防护产品分为不同等级,方便用户自由选择。防御体系的等级范围为8G-100G,为用户的安全防御提供了坚实的后盾。
如何防范DDOS攻击;
阻塞服务
在讨论DDoS之前,我们需要了解一下DoS。DoS一般指黑客试图阻止正常用户使用网络上的服务,比如切断大楼内的电话线,使用户无法通话。对于网络而言,由于带宽、网络设备和服务器主机的处理能力的限制,当黑客产生过多的网络数据包时,设备无法处理,导致正常用户无法正常使用服务。例如,如果黑客试图用大量数据包攻击拨号或ADSL用户,受害者会发现他想连接的网站无法连接或响应非常慢。
DoS攻击不入侵主机或窃取机器上的数据,但也会对目标造成破坏。如果目标是电子商务网站,客户将无法在网站上购物。
分布式拒绝服务
DDoS是DoS的一个特例。黑客使用多台机器同时攻击,阻止正常用户使用服务。黑客提前入侵大量主机后,在受害主机上安装DDoS攻击,对目标进行攻击。有些DDoS工具采用多级架构,甚至可以一次控制多达上千台电脑进行攻击。这种方式可以有效产生巨大的网络流量来瘫痪攻击目标。早在2000年,就有针对雅虎、易贝、Buy、CNN等知名网站的DDoS攻击,阻断合法网络流量数小时。
DDoS攻击程序的分类可以分为几种方式,根据自动化程度可以分为手动、半自动和自动攻击。早期的DDoS攻击程序大多是人工攻击。黑客人工搜索可以入侵的电脑入侵对象,植入攻击程序,然后下达攻击目标的命令。半自动攻击程序大多有代理程序供处理程序控制攻击。黑客将自动化入侵工具扩散到代理程序中,然后利用handler控制所有代理对目标发起DDoS攻击。自动攻击进一步将整个攻击程序自动化,攻击的目标、时间、方式都事先写在攻击程序中。黑客传播攻击程序后,会自动扫描入侵主机并植入代理,在预定时间攻击指定目标。比如W32/Blaster网络蠕虫就属于这一类。
根据攻击的弱点,可以分为协议攻击和暴力攻击两种。协议攻击是指黑客利用一个网络协议在设计上的弱点或实现上的bug来消耗大量资源,如TCP SYN攻击、对认证服务器的攻击等。暴力攻击是指黑客利用大量正常的在线连接来消耗受害者的资源。因为黑客会准备多台主机对目标发起DDoS攻击,只要攻击者发送的网络流量在单位时间内高于目标的处理速度,就可以消耗目标的处理能力,使正常用户无法使用服务。
如果以攻击频率区分,可以分为连续攻击和变频攻击两种。持续攻击是指当攻击命令发出后,攻击主机会继续全力攻击,因此会瞬间产生大量流量阻断目标的服务,因此容易被检测到;而变频攻击则更加谨慎,攻击的频率可能会由慢逐渐增加或由高变低,以拖延检测到攻击的时间。
从DDoS攻击中幸存
那么当你受到DDoS攻击时,你是如何生存下来并继续提供正常服务的呢?从前面的介绍我们可以知道,如果黑客攻击的规模远远高于你的网络带宽和设备或主机的能力,其实是很难抵御攻击的,但是还是有一些方法可以降低攻击的影响。
首先是调查攻击的来源。因为黑客是通过入侵的机器进行攻击的,所以你可能找不到黑客发起攻击的地方。我们必须从被攻击的目标一步一步推回来,先搞清楚上一步被管网络的哪些边界路由器进来了,外界的哪些路由器进来了,联系这些路由器的管理者(可能是ISP或者电信公司),请他们帮忙阻止或者找出攻击的来源。在他们处理之前我们能做什么?
如果攻击的目标只是单个ip,那么尝试改变一个ip,改变它的DNS映射,可能会避开攻击,这是最快最有效的方法;但攻击的目的是让正常用户无法使用服务。虽然换ip的方式避开了攻击,但是黑客从另一个角度达到了目的。此外,如果攻击方法简单,可以从生成的流量中找出规则,那么可能会使用路由器的ACL(访问控制列表)或防火墙规则来阻止。如果可以发现流量来自同一个源或核心路由器,可以考虑暂时拦截那里的流量。当然,正常流量和异常流量都屏蔽还是可以的,但至少其他源可以得到正常服务,这有时候是被迫牺牲。如果有空余容量,可以考虑增加机器或者带宽作为被攻击的缓冲,但这只是治标不治本。最重要的是立即调查,协调相关单位解决。
防止DDoS攻击
DDoS必须通过网络上各个团体和用户的合作,以及制定更严格的网络标准来解决。每个网络设备或主机都需要随时更新自己的系统漏洞,关闭不必要的服务,安装必要的杀毒和防火墙软件,随时注意系统安全,避免被黑客植入攻击程序和自动化DDoS程序,以免成为黑客攻击的帮凶。
有些DDoS会伪装攻击源,伪造数据包的源ip,难以追查。这部分可以通过设置路由器的过滤功能来防止。只要域内的数据包来源是其域外的ip,就应该直接丢弃该数据包,不应该再发出去。如果网管设备支持该功能,网管人员可以正确设置过滤器过滤掉假包,也可以大大减少调查跟踪的时间。
域间保持联系非常重要,这样才能有效预警和防范DDoS攻击。一些ISP会在一些网络节点上放置传感器,检测突然出现的巨大流量,从而预警和隔离DDoS的影响区域,降低受害程度。
最有效的保护方法:
可以通过隐藏源IP来实现,前提是你先找到高防盾机,然后隐藏IP。