2010年4月14日清晨,青海省玉树藏族自治州玉树县,一场7.1级的地震猛烈袭击了这座高原之城。截止到4月20日,已有两千余人在这场强震中丧生,几万人失去了自己的家园。
逝者已往矣,地震之后我们“痛定思痛”,如何防范地震、如何减少地震损失已成为大家首先要考虑的问题。而对于大多数互联网企业来说,DDoS攻击对他们造成的损失不亚于一场地震给震区带来的伤害。防攻击和抗地震有很多相通之处,以下从地震的防护经验来谈一下如何防范DDoS攻击:
一是提高对危机的事先预测能力。众所周知,地震预测是科学界的一大难题。地球的不可入性、地震孕律的复杂性都使地震预测的成功率一直处于极低的水平,但这并不意味着地震的成功预测是不可能完成的任务,同样对于DDoS攻击的成功预测也有迹可循。
对于DDoS攻击而言,攻击者往往是在几百台甚至更多的傀儡机上发动攻击,夹杂在大量的合法请求之中,本身就具有极强的隐蔽性,被攻击方很难事先得知攻击信息。但是,如果企业对社会舆论以及周边环境具有足够的敏锐度,在察觉到风险时便能未雨绸缪,做好充分的准备,及时备份关键的数据,加强人员的配置,便能极大地减少DDoS攻击带来的损失。
二是增强自身对危机的抵抗能力。2010年2月7日,智利发生了里氏8.8级大地震,但令人惊奇的是,此次地震的罹难人数仅为750人。在分析原因时,专家发现建筑精巧的抗震设计和严格的工序监督是制胜的关键因素。
同样,由于DDoS攻击对企业危害的严重性与不可逆性,选择在事发前便增强自身的防御能力显得格外重要。国内知名的互联网产品和专业服务提供商——傲盾公司的CTO李军对“如何增强防御能力”提出了以下几点建议:
1.采用高性能的网络设备
在选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。当攻击发生的时候请相关人员在所架设的DDoS防火墙做一下流量限制是增强防御能力的有效措施。
2.尽量避免NAT(网络地址转换)的使用
无论是路由器还是硬件防火墙设备都要尽量避免采用网络地址转换NAT的使用。NAT需要对地址来回转换,转换过程中需要对网络包进行校验和计算,因此浪费了很多CPU的时间。
3. 增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定抵抗DDoS攻击的能力,开启时可抵挡10000个SYN攻击包,可以在一定程度上防御流量较小的攻击。
4. 定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较大的带宽,是黑客利用的{zj0}位置,因此加强这些主机本身的防御能力是非常重要的。
5.选购合适的抗拒绝服务系统
以前,DDoS攻击的流量仅有几十兆,现在已经增长到几百兆、几千兆甚至更大的流量,这就要求企业增加更多的服务器并选择监控流量更大的抗拒绝服务系统。李军说:“从傲盾公司十二年抗拒绝服务系统的研发历程来看,在事发前就增强自身的抵御能力非常重要。当2001年傲盾推出国内{sk}抗DDoS攻击软件防火墙时,仅靠软件就能抵御大多数攻击。但是到了现在,只有硬件设备才能有效保障企业的安全。据我们统计,选择适合的抗拒绝服务系统可以防御90%以上的DDoS攻击。”
三是加强事发后的补救能力。地震是天灾,往往是不可避免的,地震发生之后最重要的则是抢救伤者、重建家园。同样,对于互联网企业而言,一旦遭到了DDoS攻击,应该采取迅速恢复数据、修复受损网络等应对措施。这就要求企业要建立一套明晰的危机处理流程,力求在最短的时间内把损失降到{zd1}。
虚拟专用网络 VPN(Virtual Private Network )能通过公用网络Internet建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。VPN是对企业内部网的扩展,它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。许多公司使用VPN向公司外部的员工提供企业网络接入。本手册将围绕VPN进行全方位的讲解。
“{zj0}实践”来自英文Best Practice。维基百科对{zj0}实践的定义是一个管理学概念,认为存在某种技术、方法、过程、活动或机制可以使生产或者管理实践的结果达到{zy},并减少出错的可能性。学习应用IT企业安全的{zj0}实践,其实就是借鉴别人成功的经验,让自己在保护企业安全方面少走弯路。在本手册中,将集合IT业内关于企业安全的{zj0}实践,并不断更新,以期在企业安全防护方面提供帮助。
虚拟化是数据中心的流行技术,它起源于20世纪60年代。它是把昂贵的计算机资源的利用{zd0}化的方式。典型的服务器的利用率不足40%,虚拟化可以更有效地利用技术资源,并节约固定费用。虚拟化的{zd0}优势是,它允许管理员从中央区域为个人电脑和客户设备提供软件。虚拟化不需要管理员对一般任务进行分别考虑。服务器的关机可以带动多用户的关机。
黑客策略和技术一直都在进步。黑客还在继续开发新的攻击工具和黑客方法,来恶意访问系统并攻击你的网络,这样企业在开发和采取恰当的方法防御黑客的攻击就变得非常困难。《黑客攻击技术和策略》的技术指南将介绍黑客的内心想法,并帮助你理解恶意攻击者的动机,也提供了一些黑客攻击具体信息的方式,采用的方法以及企业应该采用的保护敏感数据的方法。这里将会提供大量黑客技术和策路的信息,例如允许黑客获取网络系统或者文件访问的系统特征探测。
假如你正在寻找一个漏洞扫描器,你可能已经遇到了大量的非常昂贵的商业解决方案,这些方案都有一长串的性能和优点。不幸的是,如果你和我们之中大部分人的情况一样的话,你一般根本没有运行这些奇特的系统的预算。你可能已经退而求其次,转向考虑使用像SATAN或Saint的免费工具。然而,你可能觉得使用这些工具是一种折衷的办法,因为它们的性能设置不能与商业解决方案相比。这时候你就应该学会使用Nessus! 2005年12月Nessus背后的公司Tenable Network Security Inc.发布了Nessus 3,引进了对该产品的全面检查。在写这篇文章时候的最近版本,Nessus 3.2是在2008年3月发布的。Nessus现在可以在多种平台上使用,包括Windows、各种版本的Linux、FreeBSD、Solaris和Mac OS X。以下是这次Nessus3中的重大变化: 下面将介绍如何使用Nessus工具以及Nessus工具的更新。