交换机的DDoS攻击怎么解决
为网吧业主对病毒可谓谈之色变,有过网吧或机房管理经验朋友肯定知道,机器中的病毒是很让人头疼的事情,尤其是内网服务器DDoS攻击和交换机的DDoS攻击,直接影响网吧 *** 的安全问题,分享解决这个问题的 *** 。
1,在PC上安装过滤软件
它与ARP防御软件类似,通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力,该类型的软件一般仅过滤TCP协议,而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。
2,关键设备前加设防火墙
关
键设备前加设防火墙,过滤内网PC向关键设备发起的DDoS攻击,该 *** 在每个核心 *** 设备如核心交换机、路由器、服务器前安装一台硬件防火墙,防护的整
体成本过高,使得该方案无法对网吧众多关键设备进行全面的防护,目前2-3万元左右的防火墙整体通过能力与防护能力在60M左右。
3,通过安全交换机过滤 *** 中所有的DDoS攻击
通过交换机内置硬件DDoS防御模块,每个端口对收到的DDoS攻击报文,进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时,启用自身协议保护,保证自身的CPU不被DDoS报文影响。
一个局域网内有一台机子中了病毒,如果不及时杀毒和隔离,其他的机子很快便会感染病毒。一旦病毒感染全场机器,轻则断网杀毒,投入大量人力物力反复检查;重则系统破坏,网吧被迫停业。希望对你们有帮助
为什么我DDOS攻击,有时候有反映,有时候没有?这是怎么回事?
以下几点是防御DDOS攻击几点:
1、采用高性能的 *** 设备
2、充足的 *** 带宽保证
3、安装专业抗DDOS防火墙
你攻击不到,可能是人家做了1,3预防。
有时有反映有时没反映,可能是当时的(2) *** 导致的,你攻击成功的时候,可能当时该段 *** 比较繁忙,所以有反映。没反映的时候,可能他的 *** 有足够带宽来应付你的攻击,也就是说你的攻击还不够猛..
Cisco 29交换机能防止DDoS吗?要怎样设置交换机才能防止DDoS攻击呢?
可以采用硬\软结合的方式.
硬件,可以采用思科设备. 配置:
Cisco路由器上防止分布式拒绝服务(DDoS)攻击的一些建议
1、使用 ip verfy unicast reverse-path *** 接口命令
这个功能检查每一个经过路由器的数据包。在路由器的CEF(Cisco Express Forwarding)表该数据包所到达 *** 接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。
单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止 *** URF攻击和其它基于IP地址伪装的攻击。这能够保护 *** 和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的\"CEF swithing\"或\"CEF distributed switching\"选项。不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的 *** 接口都可以配置为其它交换(switching)模式。RPF(反向传输路径转发)属于在一个 *** 接口或子接口上激活的输入端功能,处理路由器接收的数据包。
在路由器上打开CEF功能是非常重要的,因为RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0及以上版本中,但不支持Cisco IOS 11.2或11.3版本。
2、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址
参考以下例子:
interface xy
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
3、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文
参考以下例子:
{ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端 *** }
ISP端边界路由器应该只接受源地址属于客户端 *** 的通信,而客户端 *** 则应该只接受源地址未被客户端 *** 过滤的通信。以下是ISP端边界路由器的访问控制列表(ACL)例子:
access-list 190 permit ip {客户端 *** } {客户端 *** 掩码} any
access-list 190 deny ip any any [log]
interface {内部 *** 接口} { *** 接口号}
ip access-group 190 in
以下是客户端边界路由器的ACL例子:
access-list 187 deny ip {客户端 *** } {客户端 *** 掩码} any
access-list 187 permit ip any any
access-list 188 permit ip {客户端 *** } {客户端 *** 掩码} any
access-list 188 deny ip any any
interface {外部 *** 接口} { *** 接口号}
ip access-group 187 in
ip access-group 188 out
如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的 *** 接口并不需要是CEF交换接口。
4、使用CAR(Control Access Rate)限制ICMP数据包流量速率
参考以下例子:
interface xy
rate-limit output access-group 2020 3000000 512000 786000 conform-action
tran *** it exceed-action drop
access-list 2020 permit icmp any any echo-reply
请参阅IOS Essential Features 获取更详细资料。
5、设置SYN数据包流量速率
interface {int}
rate-limit output access-group 153 45000000 100000 100000 conform-action
tran *** it exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
tran *** it exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
在实现应用中需要进行必要的修改,替换:
45000000为更大连接带宽
1000000为SYN flood流量速率的30%到50%之间的数值。
burst normal(正常突变)和 burst max(更大突变)两个速率为正确的数值。
注意,如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包。使用\"show interfaces rate-limit\"命令查看该 *** 接口的正常和过度速率,能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。
警告:一般推荐在 *** 正常工作时测量SYN数据包流量速率,以此基准数值加以调整。必须在进行测量时确保 *** 的正常工作以避免出现较大误差。
另外,建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。
6、搜集证据并联系 *** 安全部门或机构
如果可能,捕获攻击数据包用于分析。建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:
tcpdump -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500
本例中假定MTU大小为1500。如果MTU大于1500,则需要修改相应参数。将这些捕获的数据包和日志作为证据提供给有关 *** 安全部门或机构。
软件方式:
系统中的防火墙,流量检测以及限制. 软件有很多,防火墙也有很多.关键在硬件设备把关.
防御ddos攻击应该怎么做
DDOS攻击是最常见的 *** 攻击方式之一,到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻:DDoS就好像有1,000个人同时给你家里打 *** ,这时候你的朋友还打得进来吗?不过即使它难于防范,也不是说我们就应该逆来顺受,实际上防止DDoS并不是绝对不可行的事情。下面锐速云介绍几种措施:
1、采用高性能的 *** 设备引首先要保证 *** 设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、 口碑好的产品。
再就是假如和 *** 提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免 NAT 的使用无论是路由器还是硬件防护墙设备要尽量避免采用 *** 地址转换 NAT
的使用,因为采用此技术会较大降低 *** 通信能力,其实原因很简单,因为NAT 需要对地址来回转换,转换过程中需要对 *** 包的校验和进行计算,因此浪费了很多 CPU
的时间,但有些时候必须使用 NAT,那就没有好办法了。
3、充足的 *** 带宽保证 *** 带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗当今的SYNFlood 攻击,
至少要选择 100M 的共享带宽,更好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M 的并不意味着它的 *** 带宽就是千兆的,若把它接在
100M 的交换机上,它的实际带宽不会超过100M,
再就是接在100M的带宽上也不等于就有了百兆的带宽,因为 *** 服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、找专业的 *** 安全防护公司比如墨者安全这类的高防公司为您架设防御系统,墨者安全无需客户迁移机房就能有阻止DDOS和CC攻击,实现DDOS云防护清洗、
强效抵抗CC攻击;支持HTTPS及最新的HTTP/2协议,HTTPS全链路支持,具备T级超强防护能力,最新自研指纹识别架构WAF防火墙,提供1T超大防护宽带,单IP防护能力更大可达数百G,超大宽带,从容应对超大流量攻击。全方位保护游戏企业的服务器,有预防性的构建 *** 防御部署,消除 *** 安全隐患。
企业应该如何防御ddos攻击?
一、寻找机会应对
如果已遭受攻击,那所能做的防范工作是非常有限的,因为在未准备好的情况下,有大流量灾难性攻击冲向用户,很可能在用户还没回过神之际, *** 已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。
检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在之一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的 *** ,将这些IP地址在服务器或路由器上过滤掉。
找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此 *** 对于公司 *** 出口只有一个,而又遭受到来自外部的DDoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
最后还有一种比较折中的 *** 是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效地防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
二、预防为主
DoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规 *** :
1. 过滤所有RFC1918IP地址
RFC1918IP地址是内部网的IP地址,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此 *** 并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DDoS的攻击。
2. 用足够的机器承受黑客攻击
是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此 *** 需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业 *** 实际运行情况不相符。
3. 充分利用 *** 设备保护 *** 资源
所谓 *** 设备是指路由器、防火墙等负载均衡设备,它们可将 *** 有效地保护起来。当 *** 被攻击时更先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而更大程度的削减了DDoS的攻击。
4. 配置防火墙
防火墙本身能抵御DDoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux漏洞少和天生防范攻击优秀的系统。
5. 限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的更大流量来限制SYN/ICMP封包所能占有的更高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的 *** 访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是更好的防范DOS的 *** ,虽然目前该 *** 对于DDoS效果不太明显了,不过仍然能够起到一定的作用。
6. 定期扫描
要定期扫描现有的 *** 主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的更佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到 *** 主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
怎么通过交换机过滤网吧 *** 中所有的DDoS攻击
网吧首先不太会有DDos攻击吧,这种一般都是针对网站的。你应该是遇到的广播风暴吧
交换机看是你是用的三层还是四层的交换机。如果没有划分vlan你也不太好弄。
如果可以划分vlan基本上就可以杜绝你说的这种情况。
如果不可以更好使用多层交换机也可以实现
0条大神的评论