ddos对计算机底层dns的攻击,一文让您全面了解ddos
DDoS攻击dns需要攻击者控制在线计算机网络才能进行攻击。计算机和其他移动设备(如物联网设备)比如感染了恶意病毒,将每个计算机变成“僵尸”。然后,攻击者可以远程控制僵尸程序组进行攻击,这称为僵尸网络。
在过去的几年中,网络或者服务器受到的各种攻击以及变得越来越复杂。逐渐新的威胁已经开始让一般的云服务器难以招架,不过所谓“魔高一尺道高一丈”,专业的安全人员可以使用很多相关工具构建多层防御的防火墙。
在古代的攻城战中,往往一个坚不可摧的城池都有护城河和坚固的城墙。为了攻破城池,敌人除了强攻以外可以趁着夜色夜袭城池,或者通过令牌欺骗城池守军。就好像“诸葛亮派遣赵云偷袭南郡。”一样。
这种打法就是绕过城墙和看起来坚不可摧的防御,在WEB领域一样,我们要防止敌人进行这种攻取漏洞的攻击方法,现在可以通过一些技术手法轻松过滤已知的攻击,同时可以通过保护方案中途的复杂机制处理可能穿透一个或多个层的复杂攻击。
许多网络的最外层安全层位于边界路由器,这是外部世界和受保护网络之间的分界线。现代路由器能够过于一些黑名单中的IP连接,同时也可以限制连接个数。使用路由器可以防御基于Web的恶意攻击。
1、您可以将路由器配置为阻止通常与Web活动(80,443,8080等)相关联的端口上的入站流量到任何未托管授权Web服务器的系统。此配置将阻止用户(内部和外部)设置本来容易受到攻击的路由Web服务器。它还有助于通过阻止未经授权的端口来绕过搜索运行非维护Web服务器的系统的探测攻击。
您还可以配置路由器以通过访问控制列表和其他基本过滤器执行访问控制。例如,如果您看到来自某个IP子网的DOS攻击,您可以简单地将该子网列入边界路由器的黑名单。使用路由器进行最外层防御的最大优势是速度 – 路由器工作速度非常快,可以帮助防止更复杂的防御措施(如防火墙和内容过滤器)被这种类型的流量所淹没。但是,您必须记住,路由器不是一个完整的安全解决方案。他们不能进行有状态检查,只能用于初步筛查。
2、您可以实施的第二个防御机制包括漏洞扫描程序。这些工具可扫描网络(客户端和服务器)上的系统,查找可能被恶意代码利用的已知漏洞。在客户端,漏洞扫描程序允许您检测易受攻击的系统,这些漏洞通过Web传递恶意代码。他们利用全面的漏洞数据库来探测系统中与存储的签名匹配的模式,然后向管理员报告任何检测到的漏洞。它们非常适合检测常见的疾病,如开放的SMTP中继和未修补的操作系统。
3、在服务器端,这些工具将帮助您修补Web服务器漏洞,以防止拒绝服务攻击和其他威胁。与其他主机一样,云服务器中最常检测到的缺陷是不正确的OS补丁级别。虽然这似乎是一个简单的问题,但它经常被忽视,并且是系统妥协的主要原因。如果您在Microsoft商店,则应该考虑使用免费的Microsoft Baseline Security Analyzer。如果您正在寻找独立于Redmond的观点(也可用于非Microsoft操作系统),您可能需要尝试使用开源Nessus扫描程序。
4、下一道防线涉及使用特定于应用程序的过滤器。与漏洞扫描程序一样,您可以通过两种方式使用这些工具:客户端保护和服务器保护。在最基本的级别,客户端保护过滤器(如SurfControl和Proventia)执行URL过滤以防止用户浏览不需要的站点。这些工具在过去三年中取得了很大进展,现在允许内容扫描,IM附件过滤和其他先进技术。服务器过滤器(例如Microsoft的UrlScan)可以对Web服务器的入站流量执行类似的过滤,查找与已知攻击或违反标准相对应的URL请求。
5、您可以考虑部署的另一种机制是基于网络和/或基于主机的入侵检测系统(IDS)。以前是大型企业的领域,现在可以使用IDS来监控即使是最小的网络上的流量。如果你可以省去一个盒子,你可以在几个小时内启动并运行一个开源IDS(例如Snort)。