10種對于分布式拒絕服務攻擊的應急解決方法 《轉》

10種對于分布式拒絕服務攻擊的應急解決方法
來源：NCOD全球華人信息安全及黑客技術交流同盟 http://www.ncod.net

翻譯：廣州寒路 8/28/2000   


網絡中的安全弱點層出不窮，它們往往被黑客們通過開發成工具（拒絕服務攻擊）用來危急我們的主機系統，不停的應付這些安全問題是一件非常復雜并耗力的工作。在很長的一段時間里，幾乎沒有什么簡單易行的方法來較好的防止這些攻擊，人們只好靠加強事先的防范以及更嚴密的安全措施來加固系統。這篇文章很適用于那些經常為自己的網站擔憂卻又沒有什么更好的解決方法的網管們，它介紹了幾種關于拒絕服務攻擊的措施。



1. 避免FUD
FUD代表恐懼，無常以及多疑（fear, uncertainty, and doubt）。由于最近的連續事件的發生，使得一些網站過于的緊張，他們生怕被作為下一個的被攻擊目標。其實，應當清楚，只有很少數目的網站會遭受到拒絕服務攻擊，這些遭受DDoS攻擊的網站大多是些世界頂級的望站，象著名的搜索引擎、電子商務網站以及金融政權公司、IRC聊天服務器、新聞站點等。假如您的網站并不在此列，您將不必過分擔心您的網站會遭到此類的攻擊。



2. 與您的網絡服務提供商協作。
能否與您上一級的網絡主干服務提供商進行良好的合作也是一件非常重要的事情。DDoS攻擊對帶寬的使用是非常嚴格的，無論您使用什么方法都無法使您自己的網絡對它的上一級進行控制。最好能夠與您的網絡服務供應商進行協商，請求他們幫助您實現路由的訪問控制，以實現對帶寬總量的限制以及不同的訪問地址在同一時間對帶寬的占有率。如果還有可能的話，最好請求您的服務提供商幫您監視網絡流量，并在遭受攻擊時允許您訪問他們的路由器。



3. 優化路由及網絡結構。
假如您的網站不單單是一臺主機，而是一個較為龐大的網絡的話，那么應該對您的路由器進行合理設置以最小化使您遭受拒絕服務攻擊的可能性，例如，為了防止SYN flooding攻擊，您可以在路由器上設定TCP偵聽功能（具體的方法可以從您的路由器生產廠家的網站或電話支持獲得）,應當過濾所有的您不需要的UDP和ICMP包信息。注意，如果您的路由器允許發送向外的不可到達的ICMP包將會使遭受DOS攻擊的可能性增大。



4. 優化對外提供服務的主機
不僅僅對于網絡設備，對于潛在的有可能遭受攻擊的主機也要同樣進行設置保護。在服務器上禁止一切不必要的服務，此外，如果使用多宿主機（一臺主機多）的話也會給攻擊者帶來相當大的麻煩。我們還建議您將網站分布在多個不同的物理主機上，這樣每一臺主機只包含了網站的一部分，防止了網站在遭受攻擊時全部癱瘓。



5. 當攻擊正在進行時：
立即啟動您的應付策略，盡可能快的向回追蹤攻擊包，如果發現攻擊并非來自內部應當立即與您的服務提供商取得聯系。由于攻擊包的源地址很有可能是被攻擊者偽裝的，因此不必過分的相信該地址。您應當迅速的判斷是否遭到了拒絕服務攻擊，因為在攻擊停止后，只有很短的一段時間您可以向回追蹤攻擊包。



6. 如果您的網站確實是一個潛在的拒絕服務攻擊的受害者
您也不必過分的緊張，而應當盡快采取合理有效的防范手段。還應當注意，現在的拒絕服務攻擊的服務器端軟件僅有linux或Solaris的版本，而且大多安裝在*BSD*系統中，但由于這些系統一般都比較安全嚴密，所以發生的可能性還是比較小的。



7. 核實您的主機沒有被攻擊并依然安全
最近又有許多的系統漏洞被發現，而且與之相關的一些黑客工具也被開發出來了。您應當通過檢查漏洞數據庫來核實您所正在使用的系統軟件沒有發現新的漏洞。切記，攻擊者只有利用以發現的漏洞才能進入您的系統并安裝他們自己的程序。您還應當回顧您的系統配置，查找其中的安全故障，最好使用最新的軟件版本，并且盡量少的開啟系統中的服務。如果您已經這樣做了，那么您應當充分相信自己的系統已經做出了最大的努力來減小網絡安全風險。



8. 審核您的系統規則
一個合格的網管應當對自己的系統負責任，并時刻注意本系統的運轉，應當清楚的明白您的系統和應用軟件是如何運做的以及它們的原理，回顧您經常采取的安全措施以及系統配置。檢查著名的安全網站時刻關心最新揭露的安全漏洞，并注意他們是否將來會在您的系統中發生。



9. 使用密碼檢查
如果您正在檢查的系統尚未遭受攻擊，您應當盡量使用密碼簽名來加密您的系統文件和應用程序，并周期性的檢查這些文件的變化。除此之外，我們還強烈建議您應當在攻擊者所不能訪問的其他機器上或在磁帶機等媒體上存儲校驗后的數據，您可以在很多的網絡安全站點上找到相關的備份工具。



10. 如果系統正在遭受攻擊的過程中
立即關閉系統并投入精力進行調查。假如您在您的內部網絡里發現有一臺攻擊發起點或者與網絡正在連接著，那么您最好立即切斷與其他網絡的連接，假如進行攻擊的主機就是您自己的主機,也就是說您的主機已經被攻擊者完全控制了，那么您就應當對您的系統做一下仔細的檢查了，最好重新安裝一便，而且您還應當與安全組織或公司取得聯系來緊急響應。聘請專業的安全公司作為顧問，對自己的系統進行檢查才是正確的解決之道。 

原文轉自：http://www.kjueaiud.com