三招教企業(yè)抵御小流量DDoS攻擊
—— 閱讀:1751次
用戶要去嘗試了解攻擊來自于何處�,原因是黑客在攻擊時所調(diào)用的IP地址并不一定是真實的,一旦掌握了真實的地址段����,可以找到相應(yīng)的碼段進行隔離,或者臨時過濾���。同時���,如果連接核心網(wǎng)的端口數(shù)量有限����,也可以將端口進行屏蔽�����。
相較被攻擊之后的疲于應(yīng)對���,有完善的安全機制無疑要更好����。有些人可能會選擇大規(guī)模部署網(wǎng)絡(luò)基礎(chǔ)設(shè)施���,但這種辦法只能拖延黑客的攻擊進度����,并不能解決問題���。與之相比的話�,還不如去“屏蔽”那些區(qū)域性或者說臨時性的地址段,減少受攻擊的風(fēng)險面���。
此外��,還可以在骨干網(wǎng)��、核心網(wǎng)的節(jié)點設(shè)置防護墻�,這樣在遇到大規(guī)模攻擊時可以讓主機減少被直接攻擊的可能����������?紤]到核心節(jié)點的帶寬通常較高�,容易成為黑客重點“關(guān)照”的位置��,所以定期掃描現(xiàn)有的主節(jié)點�����,發(fā)現(xiàn)可能導(dǎo)致風(fēng)險的漏洞����,就變得非常重要�。
多層防護DDoS攻擊的方法仍然適用��。例如����,駐地端防護設(shè)備必須24小時全天候主動偵測各類型DDoS攻擊,包括流量攻擊����、狀態(tài)耗盡攻擊與應(yīng)用層攻擊;為了避免出現(xiàn)上述防火墻等設(shè)備存在的弊端,用戶應(yīng)該選擇無狀態(tài)表架構(gòu)的防護設(shè)備利用云平臺�����、大數(shù)據(jù)分析�����,積累并迅速察覺攻擊特征碼�,建立指紋知識庫,以協(xié)助企業(yè)及時偵測并阻擋惡意流量攻擊�。
像以上的抵御方法還有一些, 如 限制SYN/ICMP流量���、過濾所有RFC1918 IP地址等等����,但歸根結(jié)底,還是要從根源上進行有效遏制�,不要等出了問題再去想辦法,這也是DDoS攻擊“不絕于耳”的原因���。
