由于DDoS攻擊的嚴(yán)重性,多年來(lái)研究和提出了很多防御方案,但由于其復(fù)雜、大規(guī)模、高度分布的特點(diǎn),目前幾乎沒(méi)有能夠全面有效防御DDoS攻擊的方案DDoS 攻擊。
近年來(lái)針對(duì)windows服務(wù)器的防御ddos攻擊措施研究較多。那么windows服務(wù)器如何防御ddos攻擊?據(jù)此,可以根據(jù)主要標(biāo)準(zhǔn)防御ddos攻擊措施分為兩種類(lèi)型:
一、基于部署位置
在攻擊源附近部署防御ddos攻擊措施,這種方法旨在限制參與DDoS攻擊的用戶(hù)網(wǎng)絡(luò)。一些具體措施包括:
1、在網(wǎng)絡(luò)網(wǎng)關(guān)的路由器上使用欺騙地址執(zhí)行數(shù)據(jù)包過(guò)濾;
2、使用防火墻來(lái)識(shí)別和減少未確認(rèn)的數(shù)據(jù)包或請(qǐng)求的頻率。
3、部署在攻擊目標(biāo):防御ddos攻擊措施部署在攻擊目標(biāo)附近,即網(wǎng)絡(luò)網(wǎng)關(guān)的路由器或目標(biāo)系統(tǒng)的路由器。
4、IP地址跟蹤:包括地址識(shí)別和用戶(hù)欺騙技術(shù)。
5、過(guò)濾和標(biāo)記數(shù)據(jù)包:標(biāo)記有效數(shù)據(jù)包,以便受害者系統(tǒng)可以區(qū)分合法數(shù)據(jù)包和攻擊數(shù)據(jù)包。一些建議的數(shù)據(jù)包過(guò)濾和標(biāo)記技術(shù)包括基于歷史的 IP 過(guò)濾、路徑識(shí)別等等。
二、基于網(wǎng)絡(luò)協(xié)議
防御ddos攻擊措施按網(wǎng)絡(luò)層細(xì)分:IP、TCP 和應(yīng)用程序:
1、在IP層防御ddos攻擊包括以下幾個(gè)措施:
Pushback:一種IP層DDoS預(yù)防機(jī)制,允許路由器詢(xún)問(wèn)前面的相鄰路由器以減少數(shù)據(jù)包傳輸?shù)念l率。
SIP Defender一種開(kāi)放的安全架構(gòu),可以監(jiān)控SIP服務(wù)器與外部用戶(hù)和代理之間的數(shù)據(jù)包流,以檢測(cè)和防止對(duì)SIP服務(wù)器的攻擊。
2、TCP層的防御ddos攻擊包括以下幾個(gè)措施:
使用基于IP地址的數(shù)據(jù)包過(guò)濾技術(shù)。
減少TCP-SYN連接請(qǐng)求確認(rèn)超時(shí)有助于服務(wù)器在更短的時(shí)間內(nèi)中止未確認(rèn)的連接請(qǐng)求,從而釋放掛起連接占用的資源。
使用SYN緩存有助于為整個(gè)服務(wù)器維護(hù)共同的Backlog,而不是為每個(gè)應(yīng)用程序維護(hù)單獨(dú)的Backlog,這會(huì)增加等待確認(rèn)的連接數(shù)。
使用SYN Cookies允許只有在連接被確認(rèn)時(shí)才分配資源。如果SYN請(qǐng)求在轉(zhuǎn)發(fā)到目標(biāo)服務(wù)器之前沒(méi)有被確認(rèn),將被丟棄。這種方法可以幫助有效地防止SYN Flood攻擊。
使用防火墻或代理來(lái)過(guò)濾數(shù)據(jù)包或執(zhí)行預(yù)定義的安全策略。
3、應(yīng)用層防御ddos攻擊可以包括:
使用統(tǒng)計(jì)方法檢測(cè)HTTP級(jí)別的DDoS攻擊。
在會(huì)話(huà)期間監(jiān)視用戶(hù)行為以檢測(cè)攻擊。
以上就是windows服務(wù)器防御ddos攻擊的相關(guān)措施,希望能幫助到大家!
Copyright ? 2013-2020. All Rights Reserved. 恒訊科技 深圳市恒訊科技有限公司 粵ICP備20052954號(hào) IDC證:B1-20230800.移動(dòng)站