五、如何配置路由器、防火墻和入侵檢測系統(tǒng)來抵御常見DDoS攻擊?
1、抵御 Smurf
·確定你是否成為了攻擊平臺:對不是來自于你的內(nèi)部網(wǎng)絡(luò)的信息包進行監(jiān)控;監(jiān)控大容量的回音請求和回音應(yīng)答信息包。
·避免被當做一個攻擊平臺:在所有路由器上禁止IP廣播功能;將不是來自于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。
·減輕攻擊的危害:在邊界路由器對回音應(yīng)答信息包進行過濾,并丟棄;對于Cisco路由器,使用CAR來規(guī)定回音應(yīng)答信息包可以使用的帶寬最大值。
2、抵御trinoo
·確定你是否成為攻擊平臺:在master程序和代理程序之間的通訊都是使用UDP協(xié)議,因此對使用UDP協(xié)議(類別 17)進行過濾;攻擊者用TCP端口27655與master程序連接,因此對使用TCP (類別6)端口 27655連接的流進行過濾;master與代理之間的通訊必須要包含字符串"l44" ,并被引導(dǎo)到代理的UDP 端口27444,因此對與UDP端口27444連接且包含字符串l44的數(shù)據(jù)流進行過濾。
·避免被用作攻擊平臺:將不是來自于你的內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。
·減輕攻擊的危害: 從理論上說,可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾,并丟棄它們。
3、抵御TFN和TFN2K
·確定你是否成為攻擊平臺:對不是來自于內(nèi)部網(wǎng)絡(luò)的信息包進行監(jiān)控。
·避免被用作攻擊平臺:不允許一切到你的網(wǎng)絡(luò)上的ICMP回音和回音應(yīng)答信息包,當然這會影響所有要使用這些功能的Internet程序;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。
4、抵御Stacheldraht
·確定你是否成為攻擊平臺:對 ID域中包含值666、數(shù)據(jù)域中包含字符串"skillz"或ID域中包含值667、數(shù)據(jù)域中包含字符串"ficken" 的ICMP回音應(yīng)答信息包進行過濾;對源地址為"3.3.3.3"的ICMP 信息包和ICMP信息包數(shù)據(jù)域中包含字符串"spoofworks"的數(shù)據(jù)流進行過濾。
·避免被用作攻擊平臺:不允許一切到你的網(wǎng)絡(luò)上的ICMP回音和回音應(yīng)答信息包, 當然這會影響所有要使用這些功能的Internet程序;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉;將不是來源于內(nèi)部網(wǎng)絡(luò)的信息包過濾掉。
