如何防范“拒绝服务(DoS)”攻击
DoS攻击使用相对简单的攻击 *** ,可以使目标系统完全瘫痪,甚至破坏整个 *** 。因此Extreme Networks认为,只有从 *** 的全局着眼,在网间基础设施的各个层面上采取应对措施,包括在局域网层面上采用特殊措施,及在 *** 传输层面上进行必要的安全设置,并安装专门的DoS识别和预防工具,才能更大限度地减少DoS攻击所造成的损失。建立这样一个全面系统的 *** 安全体系, *** 的基础架构必须是以三层交换和路由为核心的智能型 *** ,并在此基础上,提供完善的三层以上的安全策略管理工具,并提供对专业的安全管理软件支持的能力。Extreme Networks 一直是三层及多层交换技术的领导者,在为用户提供强大的带宽和速度的同时,也具备一套非常完善的 *** 管理工具,特别是针对DoS最难以解决的流量型攻击,Extreme Ware管理套件提供了有效的识别机制和强硬的控制手段。将更先进的三层交换技术和多层安全防范体系结合起来,是认真考虑抵抗DoS攻击的用户的更佳选择。而且在进行 *** 的设计阶段,就应该从局域网层面和 *** 传输层面进行合理的布置。 局域网层面问题:在局域网层面上,系统管理员可以采取大量的预防措施,防止DoS攻击带来的服务不能效应。这些预防措施包括:保持坚实的整体管理和安全程序,针对各类DoS攻击,实施特定的防卫措施等等。与特定DoS攻击类型有关的其它 *** 可以包括:关闭或限制可能被损坏或暗中破坏的特定服务。遗憾的是,这些限制措施还必须与其可能给合法应用(如采用UDP作为传输机制的 Real Audio) 带来的影响进行权衡。如果攻击者能够胁迫受害人不使用有益的IP服务或合法应用,那么在一定程度上,这些黑客已经达到了自己的目标。 *** 传输层问题:尽管局域网管理员采取的措施在防止和抗击DoS攻击的基础工作中发挥着关键作用,但它们还必须在 *** 传输层实现某些完善的措施,以对基础工作进行有效补充。
保护 *** 数据流量:有效地保护 *** 数据流量涉及大量的互补战略,包括采用多层交换,实现独立于层的访问控制;利用可定制的过滤和信任邻居标准;控制非授权用户的 *** 登录访问。
如何修改Win2k注册表抵抗拒绝服务攻击
修改Win2k注册表抵抗拒绝服务攻击相信大家都一定不会对这两个这个词感到陌生,是的,拒绝服务攻击(Denial of Service),以及分布式拒绝服务攻击(Distributed Denial of Service)。
所谓拒绝服务,是指在特定攻击发生后, 被攻击的对象不能及时提供应有的服务,例如本来应提供网站服务(HTTP Service)而不能提供网站服务,电子邮件服务器( *** TP,POP3)不能提供收发信件等等的功能,基本上,阻绝服务攻击通常利用大量的 *** 数据包,以瘫痪对方之 *** 及主机,使得正常的使用者无法获得主机及时的服务。
分布式拒绝服务,简单的说就是用远超过目标处理能力的海量数据包消耗可用系统,以及 *** 带宽,造成 *** 服务瘫痪。
也许是和媒体的过分关注有关,DoS攻击特别是DDoS攻击,似乎一夜之间就流行了起来,搞的大大小小的网管们,只要服务器一有故障,就异常兴奋的高呼“我被DDoS了!”,脸上仿佛写着无比的光荣和骄傲。
其实在我们的周围,真正意义上的DDoS其实并不多,毕竟发动一次DDoS攻击所需要的资源非常的多,但实实在在的攻击却又不停的发生着,这里面,绝大多数,都是普通的拒绝服务攻击。普通级别的攻击,如何防护,也成为很多 *** 管理员最头疼的问题,于是到处打听,结果往往千篇一律,“购买我们的硬件防火墙吧”。
硬件防火墙,包括专用抗拒绝服务攻击产品的确是好,但基本价格都十分昂贵,效果虽然好,可从投资以及保护投资的角度来说,未免有些过火。
其实从操作系统角度来说,本身就藏有很多的功能,只是很多是需要我们慢慢的去挖掘的。这里我给大家简单介绍一下如何在Win2000环境下修改注册表,增强系统的抗DoS能力。
细节:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
关闭无效网关的检查。当服务器设置了多个网关,这样在 *** 不通畅的时候系统会尝试连接第二个网关,通过关闭它可以优化 *** 。
"EnableDeadGWDetect"=dword:00000000
禁止响应ICMP重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时,可以使服务器禁止响应。
注意系统必须安装SP2以上
"NoNameReleaseOnDemand"=dword:00000001
发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态,不设该值,则系统每隔2小时对TCP是否有闲置连接进行检查,这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0
禁止进行更大包长度路径检测。该项值为1时,将自动检测出可以传输的数据包的大小,可以用来提高传输效率,如出现故障或安全起见,设项值为0,表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000
启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050
设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。项值为1,消耗时间为9秒。更低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。微软站点安全推荐为2。
"TcpMaxConnectResponseRetran *** issions"=dword:00000001
设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetran *** issions"=dword:00000003
设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005
禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的源路由包,微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
限制处于TIME_WAIT状态的最长时间。缺省为240秒,更低为30秒,更高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Net *** \Parameters]
增大Net *** 的连接块增加幅度。缺省为3,范围1-20,数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003
更大Net *** 的连接快的数目。范围1-40000,这里设置为1000,数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
配置激活动态Backlog。对于 *** 繁忙或者易遭受SYN攻击的系统,建议设置为1,表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001
配置最小动态Backlog。默认项值为0,表示动态Backlog分配的自由连接的最小数目。当自由连接数目低于此数目时,将自动的分配自由连接。默认值为0,对于 *** 繁忙或者易遭受SYN攻击的系统,建议设置为20。
"MinimumDynamicBacklog"=dword:00000014
更大动态Backlog。表示定义更大"准"连接的数目,主要看内存大小,理论每32M内存更大可以增加5000个,这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20
每次增加的自由连接数据。默认项值为5,表示定义每次增加的自由连接数目。对于 *** 繁忙或者易遭受SYN攻击的系统,建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a
以下部分需要根据实际情况手动修改
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
启用网卡上的安全过滤
"EnableSecurityFilters"=dword:00000001
同时打开的TCP连接数,这里可以根据情况进行控制。
"TcpNumConnections"=
该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上,增加该设置可以提高 SYN 攻击期间的响应性能。
"TcpMaxSendFree"=
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
\Interfaces\{自己的网卡接口}]
禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录,可以导致攻击,所以禁止路由发现。
"PerformRouterDiscovery "=dword:00000000
如何防御僵尸 *** 对网站服务器80端口的不断攻击?
解读DDOS及防御DDOS攻击指南
一、为何要DDOS?
随着Internet互联 *** 带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和 *** 敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天 *** 等 *** 服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDOS攻击问题成为 *** 服务商必须考虑的头等大事。
二、什么是DDOS?
DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常 *** 服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常 *** 资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的 *** 包,从而造成 *** 阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击 *** 包就会犹如洪水般涌向受害主机,从而把合法用户的 *** 包淹没,导致合法用户无法正常访问服务器的 *** 资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致 *** 栈失效、系统崩溃、主机死机而无法提供正常的 *** 服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范,至于DOS攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDOS攻击。
三、被DDOS了吗?
DDOS的表现形式主要有两种,一种为流量攻击,主要是针对 *** 带宽的攻击,即大量攻击包导致 *** 带宽被阻塞,合法 *** 包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供 *** 服务。
如何判断网站是否遭受了流量攻击呢?可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的 *** 服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除 *** 故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了。
当前主要有三种流行的DDOS攻击:
1、SYN/ACK Flood攻击:
这种攻击 *** 是经典最有效的DDOS *** ,可通杀各种系统的 *** 服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。
2、TCP全连接攻击:
这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多 *** 服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。
3、刷Script脚本攻击:
这种攻击主要是针对存在ASP、 *** P、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击 *** 。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy *** 向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy *** 就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。
四、怎么抵御DDOS?
对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。以下为笔者多年以来抵御DDOS的经验和建议,和大家分享!
1、采用高性能的 *** 设备
首先要保证 *** 设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和 *** 提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用 *** 地址转换NAT的使用,因为采用此技术会较大降低 *** 通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对 *** 包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的 *** 带宽保证
*** 带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,更好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的 *** 带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为 *** 服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有 *** 带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,更好在需要调用数据库的脚本中拒绝使用 *** 的访问,因为经验表明使用 *** 访问你网站的80%属于恶意行为。
6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化 TCP/IP 堆栈安全》。也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN Cookies》
如何选择硬件防火墙?
防火墙是目前使用最为广泛的 *** 安全产品之一,用户在选购时应该注意以下几点:\x0d\x0a一、防火墙自身的安全性\x0d\x0a防火墙自身的安全性主要体现在自身设计和管理两个方面。设计的安全性关键在于操作系统,只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。而应用系统的安全是以操作系统的安全为基础的,同时防火墙自身的安全实现也直接影响整体系统的安全性。\x0d\x0a二、系统的稳定性\x0d\x0a目前,由于种种原因,有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场,其稳定性可想而知。防火墙的稳定性可以通过几种 *** 判断:\x0d\x0a1.从权威的测评认证机构获得。例如,你可以通过与其它产品相比,考察某种产品是否获得更多的国家权威机构的认证、推荐和入网证明(书),来间接了解其稳定性。\x0d\x0a3.自己试用。在自己的 *** 上进行一段时间的试用(一个月左右)。\x0d\x0a4.厂商开发研制的历史。一般来说,如果没有两年以上的开发经历,很难保证产品的稳定性。\x0d\x0a5.厂商实力,如资金、技术开发人员、市场销售人员和技术支持人员多少等等。\x0d\x0a三、是否高效\x0d\x0a高性能是防火墙的一个重要指标,它直接体现了防火墙的可用性。如果由于使用防火墙而带来了 *** 性能较大幅度的下降,就意味着安全代价过高。一般来说,防火墙加载上百条规则,其性能下降不应超过5%(指包过滤防火墙)。\x0d\x0a四、是否可靠\x0d\x0a可靠性对防火墙类访问控制设备来说尤为重要,直接影响受控 *** 的可用性。从系统设计上,提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件,这要求有较高的生产标准和设计冗余度。\x0d\x0a五、是否功能灵活\x0d\x0a对通信行为的有效控制,要求防火墙设备有一系列不同级别,满足不同用户的各类安全控制需求的控制注意。例如对普通用户,只要对IP地址进行过滤即可;如果是内部有不同安全级别的子网,有时则必须允许高级别子网对低级别子网进行单向访问。\x0d\x0a六、是否配置方便\x0d\x0a在 *** 入口和出口处安装新的 *** 设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置。支持透明通信的防火墙,在安装时不需要对原 *** 配置做任何改动,所做的工作只相当于接一个网桥或Hub。\x0d\x0a七、是否管理简便\x0d\x0a *** 技术发展很快,各种安全事件不断出现,这就要求安全管理员经常调整 *** 安全注意。对于防火墙类访问控制设备,除安全控制注意的不断调整外,业务系统访问控制的调整也很频繁,这些都要求防火墙的管理在充分考虑安全需要的前提下,必须提供方便灵活的管理方式和 *** ,这通常体现为管理途径、管理工具和管理权限。\x0d\x0a八、是否可以抵抗拒绝服务攻击\x0d\x0a在当前的 *** 攻击中,拒绝服务攻击是使用频率更高的 *** 。抵抗拒绝服务攻击应该是防火墙的基本功能之一。目前有很多防火墙号称可以抵御拒绝服务攻击,但严格地说,它应该是可以降低拒绝服务攻击的危害而不是抵御这种攻击。在采购防火墙时,网管人员应该详细考察这一功能的真实性和有效性。\x0d\x0a九、是否可以针对用户身份过滤\x0d\x0a防火墙过滤报文,需要一个针对用户身份而不是IP地址进行过滤的办法。目前常用的是一次性口令验证机制,保证用户在登录防火墙时,口令不会在 *** 上泄露,这样,防火墙就可以确认登录上来的用户确实和他所声称的一致。\x0d\x0a十、是否可扩展、可升级\x0d\x0a用户的 *** 不是一成不变的,和防病毒产品类似,防火墙也必须不断地进行升级,此时支持软件升级就很重要了。如果不支持软件升级的话,为了抵御新的攻击手段,用户就必须进行硬件上的更换,而在更换期间 *** 是不设防的,同时用户也要为此花费更多的钱。
uhttpd服务器能否抵抗dos攻击
原理上任何服务器都防御不了的 不过没有遇到DDOS 中 syn 小包的攻击 只要流量够大 一切服务器都可以打死
服务器托管好处、办理流程、优点、如何防止抵抗DDOS攻击?
DDOS攻击服务器即分布式拒绝服务攻击。分布式拒绝服务(DDoS:Distributed Denial of
Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量 *** 程序通讯, *** 程序已经被安装在Inter上的许多计算机上。 *** 程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次 *** 程序的运行。
DDOS攻击方式
DDoS攻击通过大量合法的请求占用大量 *** 资源,以达到瘫痪 *** 的目的。 这种攻击方式可分为以下几种:
1.通过使 *** 过载来干扰甚至阻断正常的 *** 通讯;
2.通过向服务器提交大量请求,使服务器超负荷;
3.阻断某一用户访问服务器;
4.阻断某服务与特定系统或个人的通讯。
IP Spoofing
IP欺骗攻击是一种黑客通过向服务端发送虚假的包以欺骗服务器的做法。具体说,就是将包中的源IP地址设置为不存在或不合法的值。服务器一旦接受到该包便会返回接受请求包,但实际上这个包永远返回不到来源处的计算机。这种做法使服务器必需开启自己的监听端口不断等待,也就浪费了系统各方面的资源。
LAND attack
这种攻击方式与SYN floods类似,不过在LAND
attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环,最终耗尽资源而死机。
ICMP floods
ICMPfloods是通过向未良好设置的路由器发送广播信息占用系统资源的做法。
Application
与前面叙说的攻击方式不同,Application level
floods主要是针对应用软件层的,也就是高于OSI的。它同样是以大量消耗系统资源为目的,通过向IIS这样的 *** 服务程序提出无节制的资源申请来迫害正常的 *** 服务。
DDOS攻击现象
1.被攻击主机上有大量等待的TCP连接;
2. *** 中充斥着大量的无用的数据包;
3.源地址为假 制造高流量无用数据,造成 *** 拥塞,使受害主机无法正常和外界通讯;
4.利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求,使主机无法处理所有正常请求;
5.严重时会造成系统死机。
有效抵御DDoS攻击;
从事于DDoS攻击防御需要一种全新的 *** ,不仅能检测复杂性和欺骗性日益增加的攻击,而且要有效抵御攻击的影响。;
完整的DDoS保护围绕四个关键主题建立:;
1. 要缓解攻击,而不只是检测;
2. 从恶意业务中精确辨认出好的业务,维持业务继续进行,而不只是检测攻击的存在;
3. 内含性能和体系结构能对上游进行配置,保护所有易受损点;
4. 维持可靠性和成本效益可升级性;
建立在这些构想上的DDoS防御具有以下保护性质:;
1.通过完整的检测和阻断机制立即响应DDoS攻击,即使在攻击者的身份和轮廓不 断变化的情况下。;
2.与现有的静态路由过滤器或IDS签名相比,能提供更完整的验证性能。;
3.提供基于行为的反常事件识别来检测含有恶意意图的有效包。;
4.识别和阻断个别的欺骗包,保护合法商务交易。;
5.提供能处理大量DDoS攻击但不影响被保护资源的机制。;
6.攻击期间能按需求布署保护,不会引进故障点或增加串联策略的瓶颈点。;
7.内置智能只处理被感染的业务流,确保可靠性更大化和花销比例最小化。;
8.避免依赖 *** 设备或配置转换。;
9.所有通信使用标准协议,确保互操作性和可靠性更大化。;
完整DDoS保护解决技术体系;
基于检测、转移、验证和转发的基础上实施一个完整DDoS保护解决方案来提供完全保护,通过下列措施维持业务不间断进行:;
1. 时实检测DDoS停止服务攻击攻击。;
2. 转移指向目标设备的数据业务到特定的DDoS攻击防护设备进行处理。;
3. 从好的数据包中分析和过滤出不好的数据包,阻止恶意业务影响性能,同时允许合法业务的处理。;
4. 转发正常业务来维持商务持续进行。
总之,到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。不过即使它难于防范,也不是说我们就应该逆来顺受,实际上防止DDoS并不是绝对不可行的事情。
0条大神的评论