應(yīng)對(duì)DoS/DDoS攻擊的十條軍規(guī)

DoS是“拒絕服務(wù)”（Denial of Service）的縮寫，它是指故意攻擊網(wǎng)絡(luò)協(xié)議的缺陷或直接通過野蠻手段耗盡受攻擊目標(biāo)的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)，甚至系統(tǒng)崩潰。早期的DoS攻擊都需要相當(dāng)大的帶寬資源來實(shí)現(xiàn)，而以個(gè)人為單位的“入侵者”往往沒有這樣的條件。但是后來攻擊者發(fā)明了分布式的攻擊方式，即利用工具軟件集合許多的網(wǎng)絡(luò)帶寬來同時(shí)對(duì)同一個(gè)目標(biāo)發(fā)動(dòng)大量的攻擊請(qǐng)求，這就是DDoS（Distributed Denial Of Service）攻擊。簡而言之，DDoS攻擊是由“入侵者”集中控制、發(fā)動(dòng)的一組DoS攻擊的集合，非常難以抵擋。

很多企業(yè)網(wǎng)站和個(gè)人網(wǎng)站都不止一次地遭遇過DoS/DDoS攻擊，由此也積累了一些“亡羊補(bǔ)牢”的經(jīng)驗(yàn)。前車之鑒能夠提醒我們注意：“為什么我們這樣容易受到攻擊？如何才能防患于未然降低受攻擊的風(fēng)險(xiǎn)？”下面列出的就是筆者收集的十個(gè)預(yù)防、應(yīng)對(duì)DoS/DDoS攻擊的有效方法：

1. 保留并定期查看各種日志以助分析各種情況。

日志看起來很枯燥，而且絕大多數(shù)時(shí)候沒什么作用；可一旦意外發(fā)生，它就能為你提供很重要的信息參考，每天下班前看一眼日志吧。

2. 預(yù)先建立標(biāo)準(zhǔn)操作規(guī)程和應(yīng)急操作規(guī)程。

前者簡稱SOPs，后者是EOPs，預(yù)先建立好規(guī)程并且處變不驚是一個(gè)合格網(wǎng)管員的基本素養(yǎng)。

3. 要有居安思危的思想準(zhǔn)備。

遭遇攻擊往往沒有先兆，有備無患才是長治久安之計(jì)。

4. 網(wǎng)管員必須熟悉所有的配置細(xì)節(jié)。

如果你是半路接手工作，一定要向前任咨詢、核對(duì)清楚所有的工作細(xì)節(jié)。

5. 在本地和外網(wǎng)分別進(jìn)行安全性測試。

“自測”不僅是演習(xí)，多給自己出一些安全性測試的難題能起到知己知彼的效用。

6. 提防錯(cuò)誤配置造成的隱患。

錯(cuò)誤配置通常發(fā)生在硬件搭配、服務(wù)器系統(tǒng)或者應(yīng)用程序中，有時(shí)候問題還很隱蔽。通過反復(fù)檢查來確保路由器、交換機(jī)等網(wǎng)絡(luò)連接設(shè)備和服務(wù)器系統(tǒng)都進(jìn)行了正確的配置，這樣才會(huì)減小各種錯(cuò)誤和入侵、攻擊發(fā)生的可能性。

7. 要熟悉過去的一些配置細(xì)節(jié)。

8. 一旦發(fā)現(xiàn)異常，要時(shí)刻警惕。

網(wǎng)管員最要不得的就是麻痹大意，凡事將就。

9. 把握好網(wǎng)絡(luò)架構(gòu)的繁簡程度和系統(tǒng)開銷、安全風(fēng)險(xiǎn)之間的平衡。

一味地添加設(shè)備并不等同于提高防護(hù)機(jī)制，網(wǎng)絡(luò)系統(tǒng)一樣是因簡就奢易，因奢就簡難。

10. 通過安全防護(hù)來降低黑客攻擊的風(fēng)險(xiǎn)，比如安裝防火墻等安全設(shè)備

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]