由于DDoS攻擊的嚴重性,多年來研究和提出了很多防御方案,但由于其復(fù)雜、大規(guī)模、高度分布的特點,目前幾乎沒有能夠全面有效防御DDoS攻擊的方案DDoS 攻擊。
近年來針對windows服務(wù)器的防御ddos攻擊措施研究較多。那么windows服務(wù)器如何防御ddos攻擊?據(jù)此,可以根據(jù)主要標準防御ddos攻擊措施分為兩種類型:
一、基于部署位置
在攻擊源附近部署防御ddos攻擊措施,這種方法旨在限制參與DDoS攻擊的用戶網(wǎng)絡(luò)。一些具體措施包括:
1、在網(wǎng)絡(luò)網(wǎng)關(guān)的路由器上使用欺騙地址執(zhí)行數(shù)據(jù)包過濾;
2、使用防火墻來識別和減少未確認的數(shù)據(jù)包或請求的頻率。
3、部署在攻擊目標:防御ddos攻擊措施部署在攻擊目標附近,即網(wǎng)絡(luò)網(wǎng)關(guān)的路由器或目標系統(tǒng)的路由器。
4、IP地址跟蹤:包括地址識別和用戶欺騙技術(shù)。
5、過濾和標記數(shù)據(jù)包:標記有效數(shù)據(jù)包,以便受害者系統(tǒng)可以區(qū)分合法數(shù)據(jù)包和攻擊數(shù)據(jù)包。一些建議的數(shù)據(jù)包過濾和標記技術(shù)包括基于歷史的 IP 過濾、路徑識別等等。
二、基于網(wǎng)絡(luò)協(xié)議
防御ddos攻擊措施按網(wǎng)絡(luò)層細分:IP、TCP 和應(yīng)用程序:
1、在IP層防御ddos攻擊包括以下幾個措施:
Pushback:一種IP層DDoS預(yù)防機制,允許路由器詢問前面的相鄰路由器以減少數(shù)據(jù)包傳輸?shù)念l率。
SIP Defender一種開放的安全架構(gòu),可以監(jiān)控SIP服務(wù)器與外部用戶和代理之間的數(shù)據(jù)包流,以檢測和防止對SIP服務(wù)器的攻擊。
2、TCP層的防御ddos攻擊包括以下幾個措施:
使用基于IP地址的數(shù)據(jù)包過濾技術(shù)。
減少TCP-SYN連接請求確認超時有助于服務(wù)器在更短的時間內(nèi)中止未確認的連接請求,從而釋放掛起連接占用的資源。
使用SYN緩存有助于為整個服務(wù)器維護共同的Backlog,而不是為每個應(yīng)用程序維護單獨的Backlog,這會增加等待確認的連接數(shù)。
使用SYN Cookies允許只有在連接被確認時才分配資源。如果SYN請求在轉(zhuǎn)發(fā)到目標服務(wù)器之前沒有被確認,將被丟棄。這種方法可以幫助有效地防止SYN Flood攻擊。
使用防火墻或代理來過濾數(shù)據(jù)包或執(zhí)行預(yù)定義的安全策略。
3、應(yīng)用層防御ddos攻擊可以包括:
使用統(tǒng)計方法檢測HTTP級別的DDoS攻擊。
在會話期間監(jiān)視用戶行為以檢測攻擊。
以上就是windows服務(wù)器防御ddos攻擊的相關(guān)措施,希望能幫助到大家!
Copyright ? 2013-2020. All Rights Reserved. 恒訊科技 深圳市恒訊科技有限公司 粵ICP備20052954號 IDC證:B1-20230800.移動站