浅析如何针对DDos攻击部署安全防御措施(2)

原作者:[标签:作者] 添加时间:2007-06-29 原文发表时间:2007-06-30 人气:1

本文章共2259字，分2页，当前第2页，快速翻页：

　　除了以上这些基础的方法和工具之外，还有一些更高级的技巧可以利用，例如我们可以进行冗余设计，以在系统瘫痪于攻击发生时有可以随时启用的应急机制；也可以部署一些陷阱部件，既可以用于吸引攻击流量，也可以对攻击者起到一定的迷惑作用。

　　知己者胜

　　其实在对我们进行安全防御时，最重要的因素之一是对系统的透彻了解。例如我们必须清楚地知道系统对外开放了哪些服务，哪些访问是被禁止的。同时，当有DDoS攻击迹象发生的时候，我们也应该很好地判断攻击利用了系统的哪些处理机制。虽然我们已经听过无数人无数次的重复“关闭不必要服务”，但显然其重要性仍未被充分认知。

　　有时一个端口没有开放我们就认为其处于安全状态，其实事实并非如此。很多时候，一些关闭的端口由于设计上的原因仍会响应某些查询，这一点经常被DDoS攻击所利用。攻击者通过向这些看似沉睡的端口发送海量的查询耗尽目标系统的资源从而达到自己的目的。我们经常利用一个称为Shields UP!!的基于Web接口的工具检查端口的真实状态，我们可以从http://www.grc.com/找到该工具的登入接口。

　　我们在一台联网的工作站上登录其页面并执行All Service Ports检测，返回的结果页会列出从0到1055端口状态的方格图，绿色的小块儿表示该端口处于安全的隐秘（Stealth）状态，将不会对外界做出任何响应。如果小块儿是代表危险的红色，说明该端口处于开放状态。而如果小块儿是蓝色的话，说明该端口处于关闭状态，虽然大部分程序无法使用这些端口，但不代表其绝对安全。通过类似的工具我们可以更透彻的了解我们暴露在网络上的都是什么，也才能进行真正有效的处理，同时不会忽视存在的隐患。

• 家用防盗报警系统误报因素分析及防止方法