IDC數據中心DDOS解決方案
DDOS攻擊對于企業來說代表著投訴、延遲、糾紛、損失等一系列的問題。如何通過防護產品部署自己的DDOS解決方案又成為了個大企業網絡安全管理員的心中之痛。IDC-InternetDataCenter ,Internet數據中心。本身提供的就是高速接入的服務,一旦遭到DDOS攻擊就更成了重大災害。那么本篇文章就通過冰盾科技的防護系統,在看一看IDC中心的DDOS解決方案。
一、現象分析
IDC中心主機托管機房內部擺放著多個不同性質、不同服務、歸屬不同客戶的網絡服務器,在IDC機房中,并不是任何的服務器都會同時遭受黑客的攻擊。通常,遭受攻擊的只是其中的某臺服務器,例如WEB服務器、游戲服務器等,一旦受用戶托管的某臺服務器遭受到攻擊的時候,硬件防火墻會耗費大量系統資源來抗擊黑客的攻擊流量,由于防火墻處在網絡出口節點的位置,系統資源的大量消耗會嚴重影響其他服務器的正常應用,正所謂城門失火殃及池魚,勢必導致IDC的服務質量大大降低。正常情況下,內網都可以自由流暢的訪問互聯網絡,但假定可排除線路和硬件故障的情況下,若突然發現無法瀏覽外部網站網頁,正在玩游戲的用戶掉線等現象,則說明很有可能是遭受了DDOS攻擊,具體判定方法如下:
進入被攻擊的服務器,然后按照以下步驟進行觀察分析。
1、SYNFlood攻擊判定
(1)網上鄰居->右鍵選“屬性”->雙擊網卡,觀察每秒收到的包數量,若大于500,則可以肯定是受到了SYNFlood攻擊。
(2)開始->程序->附件->命令提示符->C:\>netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態,則說明遭受了SYNFlood攻擊。
(3)網線插上后,服務器立即凝固無法操作,拔出后有時可以恢復,有時候需要重新啟動機器才可恢復,則也說明遭受了SYNFlood類的流量攻擊。
2、TCP多連接攻擊判定
開始->程序->附件->命令提示符->C:\>netstat –na,若觀察到很多外部IP地址都與本機的服務端口建立了幾十個以上的ESTABLISHED狀態的連接,則說明遭到了TCP多連接攻擊。
二、解決方案
多年的統計數據表明,想徹底解決DDOS是幾乎不可能的,就好比治療感冒一樣,我們可以治療,也可以預防,但卻無法根治,但我們若采取積極有效的防御方法,則可在很大程度上降低或減緩生病的機率,防治DDOS攻擊也是如此,擁有充足的帶寬和配置足夠高的主機硬件是必需的,那么什么算是充足的帶寬呢?一般來說至少應該是100M共享,那么什么算配置足夠高的主機硬件呢?一般來說至少應該是P4 2.4G的CPU、512M內存和Intel等品牌網卡。擁有此配置的帶寬和主機理論上可應對每秒20萬以上的SYN攻擊,但這需要借助于專業配置和專用軟件才可實現,默認情況下,絕大多數服務器難以抵御每秒1000個以上SYN的攻擊。以下方案即為針對網關機進行的。
1、免費DDOS解決方案
通過優化Windows 2000或2003系統的注冊表,可有效對抗每秒約1萬個左右的SYN攻擊,方法是把以下文本內容存盤為antiddos.reg然后導入注冊表并重新啟動即可,當然也可地址 http://www.bingdun.com/tools/antiddos.reg 下載antiddos.reg文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
此方案的優點是,采用系統自身的能力來解決問題,而無需任何花費,缺點是只能抵御每秒少于10000的SYN攻擊,并且無法解決TCP多連接攻擊。
2、商用DDOS解決方案
在面對每秒多于10000的SYN攻擊或是TCP多連接攻擊的情況下,就必需采用商用DDOS解決方案了,商業解決方案的核心是采用冰盾抗DDOS防火墻和技術支持服務,購買并安裝冰盾抗DDOS防火墻后,可輕松應對各種DDOS攻擊,同時也擁有了專業的抗DDOS顧問,冰盾科技7x24小時的技術服務保證您的服務器任何時刻都可以得到完美的呵護。
【編輯推薦】
