面对日益复杂的网络环境,各种潜在的安全问题以及不诡的而已攻击,让我们的网络随时处在一个危险之地,在信息时代的今天,保证服务器稳定高效率的运转和防控这些恶意攻击使网管们焦头烂额。特别是DDOS这种简单并且非常迅猛的攻击方式,几乎已经让很多站长、网管焦头烂额了,这里将着重讲述DDOS的防控。
DDOS分布式拒绝服务攻击的简写,是目前网络上最流行、最有效的打垮一个服务器的最有效途径之一。对于他的防控可以说只能被动防控,在挨了打才知道还手,如何才能建立一个预警机制呢?先下手为强,建立机制主动防御DDOSGuard和Detector是CISCO公司今年收购的,并将其模块化是最热门模块之一,他们对DDOS的防控可以说是前无来着的产品,效率非常的高。
在没有遭到DDOS的时候Guard模块是处于休眠状态,也可以说是离线状态,当Detector收到发往受保护的终端时,通过算法分析和策略匹配,确定受到攻击。此时Detector将以SSH与Guard建立连接,激活Guard对保护终端进行保护。Guard也将进行策略和算法分析,给出适当的处理方案丢弃非法数据包,限制速率等方式,将通过策略和算法分析的数据包发往目的地。
整个防御过程就结束了,同时这个模块还有智能学习的功能可以使防御更加精确,这个模块的设置非常的简单,因为可以进行图形化的操作,所以在这里就不再赘述了。当然要防御DDOS攻击在没有Guard模块的路由器上依然能实现,比如使用最常用的ip verfy unicast reverse-path接口命令可以将伪装过的数据包抛弃掉,判断的标准最简单的就是有没有反向传输数据包时所需的路由;通过ACL过滤RFC1918中的所有地址,RFC1918就是所有局域网地址的集合如10。
*。*。*,192。*。*。*,172。*。*。*这类保留地址。
