DDOS攻擊將造成網(wǎng)絡(luò)資源浪費、鏈路帶寬堵塞、服務(wù)器資源耗盡而業(yè)務(wù)中斷。這種攻擊大多數(shù)是由黑客非法控制的電腦實施的。電腦被ddos攻擊怎么辦?常見電腦黑客攻擊類型與預(yù)防方法是什么?一起和佰佰安全網(wǎng)看看吧。

如何保護你的網(wǎng)絡(luò)

正如你所見，DDoS攻擊五花八門，防不勝防，當(dāng)你想建立一個防御系統(tǒng)對抗DDoS的時候，你需要掌握這些攻擊的變異形態(tài)。

最笨的防御方法，就是花大價錢買更大的帶寬。拒絕服務(wù)就像個游戲一樣。如果你使用10000個系統(tǒng)發(fā)送1Mbps的流量，那就意味著你輸送給你的服務(wù)器每秒鐘10Gb的數(shù)據(jù)流量。這就會造成擁堵。這種情況下，同樣的規(guī)則適用于正常的冗余。這時，你就需要更多的服務(wù)器，遍布各地的數(shù)據(jù)中心，和更好的負載均衡服務(wù)了。將流量分散到多個服務(wù)器上，幫助你進行流量均衡，更大的帶寬能夠幫你應(yīng)對各種大流量的問題。但現(xiàn)代的DDoS攻擊越來越瘋狂，需要的帶寬越來越大，你的財政狀況根本不允許你投入更多的資金。另外，絕大多數(shù)的時候，你的網(wǎng)站并不是主要攻擊目標(biāo)，很多管理員都忘了這一點。

網(wǎng)絡(luò)中最關(guān)鍵的一塊就是DNS服務(wù)器。將DNS解析器處于開放狀態(tài)這是絕對不可取的，你應(yīng)當(dāng)把它鎖定，從而減少一部分攻擊風(fēng)險。但這樣做了以后，我們的服務(wù)器就安全了嗎?答案當(dāng)然是否定的，即使你的網(wǎng)站，沒有一個可以鏈接到你的DNS服務(wù)器，幫你解析域名，這同樣是非常糟糕的事情。大多數(shù)完成注冊的域名需要兩個DNS服務(wù)器，但這遠遠不夠。你要確保你的DNS服務(wù)器以及你的網(wǎng)站和其他資源都處于負載均衡的保護狀態(tài)下。你也可以使用一些公司提供的冗余DNS。比如，有很多人使用內(nèi)容分發(fā)網(wǎng)絡(luò)(分布式的狀態(tài))給客戶發(fā)送文件，這是一種很好的抵御DDoS攻擊的方法。若你需要，也有很多公司提供了這種增強DNS的保護措施。

若是你自己管理你的網(wǎng)絡(luò)和數(shù)據(jù)，那么就需要著重保護你的網(wǎng)絡(luò)層，要進行很多配置。首先確保你所有的路由器都能夠屏蔽垃圾數(shù)據(jù)包，剔除掉一些不用的協(xié)議，比如ICMP這種的。然后設(shè)置好防火墻。很顯然，你的網(wǎng)站永遠不會讓隨機DNS服務(wù)器進行訪問，所以沒有必要允許UDP 53端口的數(shù)據(jù)包通過你的服務(wù)器。此外，你可以讓你的供應(yīng)商幫你進行一些邊界網(wǎng)絡(luò)的設(shè)置，阻止一些沒用的流量，保證你能夠得到一個最大的最通暢的帶寬。很多網(wǎng)絡(luò)供應(yīng)商都給企業(yè)提供這種服務(wù)，你可以與其網(wǎng)絡(luò)運營中心聯(lián)系，讓他們幫你優(yōu)化流量，幫你監(jiān)測一下你是否到了攻擊。

類似Syn的攻擊，也有很多方法來阻止，比如通過給TCP積壓，減少Syn-Receive定時器，或者使用Syn緩存等等。

最后，你還得想想如何在這些攻擊到達你網(wǎng)站前就將它們攔截住。例如，現(xiàn)代網(wǎng)站應(yīng)用了許多動態(tài)資源。在受到攻擊的時候其實帶寬是比較容易掌控的，但最終往往受到損失的是數(shù)據(jù)庫或是你運行的腳本程序。你可以考慮使用緩存服務(wù)器提供盡可能多的靜態(tài)內(nèi)容，還要快速用靜態(tài)資源取代動態(tài)資源并確保檢測系統(tǒng)正常運行。

以上就是電腦被攻擊的處理方法，生活中多學(xué)習(xí)網(wǎng)絡(luò)安全小知識很重要。

責(zé)任編輯:慕丹萍