2001-10-16 23:22 
老徐 由 徐永久 发表于 2001年10月16日 23:43。
DoS 和 DDoS (拒绝服务和分布式拒绝服务)使正常的用户不能访问网站或者特定的服务,几乎已经成为 Internet 上的公害。去年两月份的对很多大网站 Amazon.com,eBay,Buy.com,CNN 和l Yahoo! 等的袭击至今还让人心寒。
防御 DoS/DDoS 的攻击的主要措施有四方面内容:网关、主机、软硬件以及人,下面就这四方面进行讨论:
一、采取有效的安全策略
建立 Internet 安全策略是网站安全的第一步。大多数公司的安全策略基本上是针对用户存取,软件更新和病毒防治的,而往往忽略 DoS/DDoS 攻击。因此建立好这样的文档十分有必要。并要求所有员工按照文档实施。需要注意的是 IT 安全和 IT 管理是两个不同的概念,IT 员工特别需要安全方面的培训。
二、选用多家 ISP
选用至少两家 ISP 给你的网站安家。要保证这两家 ISP 采用不同的路由器(或者说管道),以防止因为只采用一个管道而导致断开连接。
三、采取好的负载平衡
有可能的话把网站分布到几台不同的服务器上,甚至不同的地点。采用
循环 DNS 服务(Round Robin DNS)或者硬件路由器把进入的请求分流到多台服务器去。
四、保证所有网络设备,服务器和电源的冗余
网站的主人除了不能依赖一台服务器以外,也需要检查因为网络设备、电源等引起的单点失败。因此,需要安装关键部件的备份,并保证能“热切换”
五、采用加固的防火墙保护你的关键系统
需要防火墙来保护网站是毫无疑问的,但是很多网站管理员没有采取足够的保护措施。例如,很多防火墙都能根据端口和IP 地址过滤数据包,但是可能不会考虑到攻击者嵌入在 HTTP 协议和 HTML 里面的数据。理想的防火墙应该能够过滤和阻止Web 应用本身导致的缓冲溢出攻击。
六、自动检查网站
运行一个自动检查的软件包验证网站处于正常运行状态。这个过程一般由第三方来提供,费用可能比较昂贵,你可以比较一下宕机6小时和这项服务的花费,然后来决定是否选择这样服务。
七、保持系统的简单
关闭系统上不使用的服务,保持简洁。
八、保持经常的升级,更新和安全补丁
确保采用最新版本的软件。旧版本意味着有漏洞对黑客敞开着。
九、通过测试和监视保持警觉
保持高度警觉的管理员加上合适的安全策略是阻止DoS/DDoS 攻击的主要因素。
如果在防火墙后面安装入侵检测系统,然后有专门软件监视 CPU、内存和带宽的使用情况,这些都是成功实施网络安全的重要因素。最好每三个月作入侵测试,每六个月改变测试人员。
十、准备好快速反应
准备好 7X24 的快速反应计划,就能保持你的企业一直在线,并保持良好状态。
并保证能够有人随叫随到,而且有对付紧急步骤的措施。
发表于 Uncategorized 
标签: 
