Web 技術:政府可以防止 DDoS 攻擊吗?
DDoS 攻擊屬於 Web 的世界的生活。 您永遠不會完全免疫,但有些步驟可讓您減輕任何潛在威脅。
將 Hogan
在 12 月。 8、 2010,駭客啟動分散式拒絕服務 (DDoS) 攻擊對於簽證和 PayPal Web 伺服器的群組。 另一個事件發生在大約在相同時間,此時駭客叫用瑞典文的政府的官方網站。 這些攻擊多半是成功。 這些網站所提供的所有服務已嚴重都中斷。
如果像簽證在全域層級作業的主要公司就無法避免這些攻擊,可以政府及政府機關停止 Web 伺服器上的這類攻擊吗? 簡單的答案是"no"— 或者是,"可能不會"
若要了解為何如此困難防範這類攻擊,請考慮精確什麼 DDoS 攻擊是以及它如何與拒絕服務 (DoS) 攻擊。 然後您可以考慮將需要準備及基礎結構,避免這類攻擊中獨立出來要採取的步驟。
大量的連線
同時連線最大數目為一個限制電腦共用。 在任何時候,可以是不能超過 65535 連線到 Windows 為主的電腦或伺服器。 這種有趣的限制,而另一個特殊的意義,就會因為它提供的基礎為標準的 DoS 攻擊。
如果駭客或群組的駭客,可承受 65535 並行工作階段到伺服器,它們會有效地拒絕該服務其他人。 沒有任何人都能夠連線到的一些這些連線會卸除為止。 一旦 Web 伺服器 attains 該臨界值,它可承受沒有更多的連線,因此拒絕服務。
一般而言,有兩種類型的 DoS 攻擊。 有些被為了損毀系統 (例如"ping 死亡的")。 其他人被為了讓大量湧入具有要求的資源 (頻寬、 處理器時間、 磁碟空間等等) 的系統。 兩者都是極大的潛在損害他們自己的方式。
您可以設定您的路由器不回應 ping 要求或廣播,並不轉送導向廣播位址的封包。 現代的 IP 篩選應用裝置現在都夠聰明可以拖放任何大於一組數量 ping 來減緩這些威脅。 他們也可以設定以允許從任何單一的 IP 位址的同時連線限制的數目。
如果限制設低限制同時連線數量是對付 DoS 洪水攻擊 — 比方五或六個連線,例如。 若要產生足夠的資源要求表示那里必須為非常大的數字,駭客所涉及的 — 超過可以組織成一個群組。 有鑑於此,DoS 駭客必須尋找另一個方法。
DDoS 攻擊可讓駭客解決這項限制。 在 DDoS 攻擊中,駭客不從自己的個人電腦傳送 DoS 攻擊。 相反地,它們使用網路的電腦,因此已在其管理放置 「 殭屍代理程式 」。這可讓它們使用 Pc 來激發 DDoS 攻擊 (稱為 botnet)。 一個駭客可能會在控制項中的幾千"殭屍代理 」,每個沒有甚至深知它發生的電腦擁有者取得 Web 伺服器的五個或六個連線。
駭客,協同作業,做一小群無法輕易地拒絕任何合法使用者存取或損毀整個系統。 目前的 IP 篩選技術無法防止這類的攻擊,因此還有其他辦法呢?
有緩和步驟 (連同為什麼他們可能就無法運作的原因):
- 若要確保所有 PC 的 Os 和應用程式都是完全安全的所有的惡意程式碼滲透不 legislate。 這是個好主意,但有點不切實際。 即使您可以這麼做,您無法停止者開啟來路不明的電子郵件、 按兩下附件並不小心安裝特洛伊木馬是個笨蛋。
- 在大量的基礎的世界的不同部份的獨立伺服器上安裝 Web 服務應用程式。 每個可能仍然可以發動攻擊,但其中的機會就愈所有往下是渺茫。
- 在大量的獨立伺服器在同一個位置上安裝 Web 服務應用程式。 前端此陣列的負載平衡與設備。 這可能是成本過高,但如果服務您提供很重要的就有多少是它值得來控管組織,這不是成功攻擊的主旨吗?
DDoS 攻擊發生此問題。 即使政府不能免於。 在 2010年夏天,愛爾蘭中央應用程式辦公室伺服器已叫用 DDoS 攻擊。 2009 年期間伊朗選舉,在正式的網站的伊朗政府已遭到攻擊,無法存取。 在 2001 年,愛爾蘭政府部門的財務部的伺服器已叫用 DDoS 攻擊。
沒有萬無一失的方法,以防止目前 DDoS 攻擊。 不過,重要的 Web 服務,您需要做某件事 — 和坐在等待攻擊您把自己手上沒有的選項。 您只需要決定最佳的策略是保護您的組織。
.jpg)
Will Hogan 是管理主管 Idappcom Ltd.,開發人員的流量智商專業人員。