遭到DOS攻击怎么办?
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
?
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。
??
3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统??甚至是受防火墙保护的系统。?
4.确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。
?
5.禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据?
6.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!
7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。?
8.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
?
9.在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。
11.利用DDoS设备提供商的设备。
遗憾的是,目前没有哪个网络可以免受DDoS攻击,但如果采取上述几项措施,能起到一定的预防作用。
被ddos攻击一般会持续多久?
一般持续不到24小时,遇到这样的情况,我们一定要把自己的信息全部都隐藏起来,千万不要被泄露。
在黑客里面DOS是什么呀?
dos攻击
� DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。如:
��* 试图FLOOD服务器,阻止合法的网络通讯
��* 破坏两个机器间的连接,阻止访问服务
��* 阻止特殊用户访问服务
��* 破坏服务器的服务或者导致服务器死机
��不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。
DoS 攻 击 (Denial of Service,简称DOS)即拒绝服务攻击,是指攻击者通过消耗受害网络的带宽,消耗受害主机的系统资源,发掘编程缺陷,提供虚假路由或DNS信息,使被攻击目标不能正常工作。实施DoS攻击的工具易得易用,而且效果明显。仅在美国,每周的DoS攻击就超过4 000次,攻击每年造成的损失达上千万美元{irl。一般的DoS攻击是指一台主机向目的主机发送攻击分组(1:1),它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝服务攻击(Distributed Denial of Service,简称DDoS)同时发动分布于全球的几千台主机对目的主机攻击(m:n ),即使对于带宽较宽的站点也会产生致命的效果。随着电子商业在电子经济中扮演越来越重要的角色,随着信息战在军事领域应用的日益广泛,持续的DoS攻击既可能使某些机构破产,也可能使我们在信息战中不战而败。可以毫不夸张地说,电子恐怖活动的时代已经来临。
DoS 攻 击 中,由于攻击者不需要接收来自受害主机或网络的回应,它的IP包的源地址就常常是伪造的。特别是对DDoS攻击,最后实施攻击的若干攻击器本身就是受害者。若在防火墙中对这些攻击器地址进行IP包过滤,则事实上造成了新的DDS攻击。为有效地打击攻击者,必须设法追踪到攻击者的真实地址和身份。
硬件防火墙
硬件防火墙是保障内部网络安全的一道重要屏障。它的安全和稳定,直接关系到整个内部网络的安全。因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
一般来说,硬件防火墙的例行检查主要针对以下内容:
1.硬件防火墙的配置文件
2.硬件防火墙的磁盘使用情况
3.硬件防火墙的CPU负载
4.硬件防火墙系统的精灵程序
5.系统文件
6.异常日志
现在市场上针对这些攻击的有很多知名的硬防,如:金盾硬防集(专业做硬防技术的单位,非常不错的),傲盾硬防集(开始不错,后来自己也做了机房了,做硬防的公司转型做机房了,印像不好!我觉得人还是做好自己的工作好些,做专!)其外的还有冰盾,黑洞,黑盾,绿盾,威盾,等等。
目前全国有些不错的机房,主要是网通和电信两个机房线路:
网通大硬防机房:大连网通(8G硬防集),辽宁网通(10G硬防集),河南网通(硬防集10G)
电信大硬防机房:江苏电信(20G硬防集),浙江电信(8G),金华(10G)
DoS攻击方法
Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。
Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。
Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。
Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。
Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。
PingSweep:使用ICMP Echo轮询多个主机。
Pingflood: 该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。
黑客中dos攻击是什么意思啊
作个形象的比喻来理解DoS。街头的餐馆是为大众提供餐饮服务,如果一群地痞流氓要DoS餐馆的话,手段会很多,比如霸占着餐桌不结账,堵住餐馆的大门不让路,骚扰餐馆的服务员或厨子不能干活,甚至更恶劣……相应的计算机和网络系统则是为Internet用户提供互联网资源的,如果有黑客要进行DoS攻击的话,可以想象同样有好多手段!今天最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
被DDOS攻击了,太气人了,可恨的黑客
针对目前各大传奇私服站长受到盛大或者某些卑鄙小人的无耻行为,我特地整理了防止DDOS的攻击资料!
绝对可以防止针对传奇端口,或者WEB的大流量的DDOS承受大约40万个包的攻击量
设置保护80.7000.7100.7200等你的传奇端口的。
然后按下面整理的注册表修改或者添加下面的数值。
请注意,以下的安全设置均通过注册表进行修改,该设置的性能取决于服务器的配置,尤其是CPU的处理能力。如按照如下进行安全设置,采用双路至强2.4G的服务器配置,经过测试,可承受大约1万个包的攻击量。
接下来你就可以高枕无忧了。
一部份DDOS我们可以通过DOS命令netstat -an|more或者网络综合分析软件:sniff等查到相关攻击手法、如攻击某个主要端口、或者对方主要来自哪个端口、对方IP等。这样我们可以利用w2k自带的远程访问与路由或者IP策略等本身自带的工具解决掉这些攻击。做为无法利用这些查到相关数据的我们也可以尝试一下通过对服务器进行安全设置来防范DDOS攻击。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
'关闭无效网关的检查。当服务器设置了多个网关,这样在网络不通畅的时候系统会尝试连接
'第二个网关,通过关闭它可以优化网络。
"EnableDeadGWDetect"=dword:00000000
'禁止响应ICMP重定向报文。此类报文有可能用以攻击,所以系统应该拒绝接受ICMP重定向报文。
"EnableICMPRedirects"=dword:00000000
'不允许释放NETBIOS名。当攻击者发出查询服务器NETBIOS名的请求时,可以使服务器禁止响应。
'注意系统必须安装SP2以上
"NonameReleaseOnDemand"=dword:00000001
'发送验证保持活动数据包。该选项决定TCP间隔多少时间来确定当前连接还处于连接状态,
'不设该值,则系统每隔2小时对TCP是否有闲置连接进行检查,这里设置时间为5分钟。
"KeepAliveTime"=dword:000493e0
'禁止进行最大包长度路径检测。该项值为1时,将自动检测出可以传输的数据包的大小,
'可以用来提高传输效率,如出现故障或安全起见,设项值为0,表示使用固定MTU值576bytes。
"EnablePMTUDiscovery"=dword:00000000
'启动syn攻击保护。缺省项值为0,表示不开启攻击保护,项值为1和2表示启动syn攻击保护,设成2之后
'安全级别更高,对何种状况下认为是攻击,则需要根据下面的TcpMaxHalfOpen和TcpMaxHalfOpenRetried值
'设定的条件来触发启动了。这里需要注意的是,NT4.0必须设为1,设为2后在某种特殊数据包下会导致系统重启。
"SynAttackProtect"=dword:00000002
'同时允许打开的半连接数量。所谓半连接,表示未完整建立的TCP会话,用netstat命令可以看到呈SYN_RCVD状态
'的就是。这里使用微软建议值,服务器设为100,高级服务器设为500。建议可以设稍微小一点。
"TcpMaxHalfOpen"=dword:00000064
'判断是否存在攻击的触发点。这里使用微软建议值,服务器为80,高级服务器为400。
"TcpMaxHalfOpenRetried"=dword:00000050
'设置等待SYN-ACK时间。缺省项值为3,缺省这一过程消耗时间45秒。项值为2,消耗时间为21秒。
'项值为1,消耗时间为9秒。最低可以设为0,表示不等待,消耗时间为3秒。这个值可以根据遭受攻击规模修改。
'微软站点安全推荐为2。
"TcpMaxConnectResponseRetransmissions"=dword:00000001
'设置TCP重传单个数据段的次数。缺省项值为5,缺省这一过程消耗时间240秒。微软站点安全推荐为3。
"TcpMaxDataRetransmissions"=dword:00000003
'设置syn攻击保护的临界点。当可用的backlog变为0时,此参数用于控制syn攻击保护的开启,微软站点安全推荐为5。
"TCPMaxPortsExhausted"=dword:00000005
'禁止IP源路由。缺省项值为1,表示不转发源路由包,项值设为0,表示全部转发,设置为2,表示丢弃所有接受的
'源路由包,微软站点安全推荐为2。
"DisableIPSourceRouting"=dword:0000002
'限制处于TIME_WAIT状态的最长时间。缺省为240秒,最低为30秒,最高为300秒。建议设为30秒。
"TcpTimedWaitDelay"=dword:0000001e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters]
'增大NetBT的连接块增加幅度。缺省为3,范围1-20,数值越大在连接越多时提升性能。每个连接块消耗87个字节。
"BacklogIncrement"=dword:00000003
'最大NetBT的连接快的数目。范围1-40000,这里设置为1000,数值越大在连接越多时允许更多连接。
"MaxConnBackLog"=dword:000003e8
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Afd\Parameters]
'配置激活动态Backlog。对于网络繁忙或者易遭受SYN攻击的系统,建议设置为1,表示允许动态Backlog。
"EnableDynamicBacklog"=dword:00000001
'配置最小动态Backlog。默认项值为0,表示动态Backlog分配的自由连接的最小数目。当自由连接数目
'低于此数目时,将自动的分配自由连接。默认值为0,对于网络繁忙或者易遭受SYN攻击的系统,建议设置为20。
"MinimumDynamicBacklog"=dword:00000014
'最大动态Backlog。表示定义最大"准"连接的数目,主要看内存大小,理论每32M内存最大可以
'增加5000个,这里设为20000。
"MaximumDynamicBacklog"=dword:00002e20
'每次增加的自由连接数据。默认项值为5,表示定义每次增加的自由连接数目。对于网络繁忙或者易遭受SYN攻击
'的系统,建议设置为10。
"DynamicBacklogGrowthDelta"=dword:0000000a
以下部分需要根据实际情况手动修改
'-------------------------------------------------------------------------------------------------
'[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
'启用网卡上的安全过滤
'"EnableSecurityFilters"=dword:00000001
'
'同时打开的TCP连接数,这里可以根据情况进行控制。
'"TcpNumConnections"=
'
'该参数控制 TCP 报头表的大小限制。在有大量 RAM 的机器上,增加该设置可以提高 SYN 攻击期间的响应性能。
'"TcpMaxSendFree"=
'
'[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{自己的网卡接口}]
'禁止路由发现功能。ICMP路由通告报文可以被用来增加路由表纪录,可以导致攻击,所以禁止路由发现。
"PerformRouterDiscovery "=dword:00000000
被DDOS攻击了,该怎么办?
我们一般把网络或者服务器无法对外提供正常的服务成为,称为拒绝服务,造成拒绝服务的攻击行为称为拒绝服务攻击。举个例子来说,比如你的网站打开很慢,你的游戏很卡,在你的网站上查询数据很慢,等等,都是可能正在受到拒绝服务攻击。实际上这些服务还是能够对外开放的,只不过他已经不是正常的了。最坏的情况当然是造成网络瘫痪,服务器系统崩溃了!!
简单来说拒绝服务攻击,实际就是以消耗资源为目的的一种攻击,以大量无用的数据消耗你的有限的网络资源,服务器系统资源,因为网络和系统是没有办法分辨数据是有用还是无用的,无论怎样它都要分配资源去处理,如果一直在处理无用数据,就没有多余资源去处理正常的数据了。
举个简单的例子,如果你有一个电子邮件,邮箱空间只有50M,每分钟能处理外界发来的100封邮件,如果一直有人以每分钟发100封垃圾邮件的速度,向你的邮箱发邮件,你的邮箱就会很快被垃圾邮件塞满,直接导致你收不到正常的邮件。
盾是专业的抗拒绝服务攻击设备?
第一,功能上的专业,什么是功能上的专业。举个简单的例子,刚刚列举的发邮件的事例,如果在我的邮箱前面,有一种设备能够帮我把垃圾邮件过滤掉,把正常的邮件转发给我,那我接受正常邮件就不会有问题了。对于拒绝服务攻击实际也是同样的道理,如果有一种设备能够放在,网络,或者系统的最前端,帮助我们过滤掉攻击数据,只把正常数据放进来,那么网络和服务应用就不会受到影响。这里有个重点,就是有这种功能的设备一定得有一种验证机制,能够分辨出攻击数据和正常数据,才能进行相关处理,现今的很多安全设备比如防火墙,IPS等等实际上都没有这种机制,它们是通过另外的方式去做的,这些方式肯定不够专业,也无法治标治本。而我们金盾产品正是基于这种验证转发机制来处理数据的。
第二,性能上的专业,我们的产品是一款专门处理拒绝服务攻击的设备,设备所有资源都是用来对数据进行检测和处理,而其他的传统的安全设备比如防火墙,UTM,IPS等等都是在产品中集成的一个抗拒绝服务攻击的模块,根本无法保证模块的处理性能。如防火墙在受到大流量攻击时,甚至会成为整个网络的一个瓶颈,因为它自己首先就被攻击拖垮了。
专业的抗拒绝服务系统实际上是填补了现今安全体系的空白。大家知道,由于互联网的发展,网络面临的各种威胁也越来越多,病毒,黑客,攻击等等都对用户的对外应用服务造成影响。针对这些威胁,大部分用户也会采用一些安全措施,使用一些安全设备,建设网络安全防御体系。在现今的安全体系中,主要包括防火墙,防毒墙,上网行为管理,流量控制设备,VPN,内网安全管理设备等安全设备。但是这些设备都无一例外的对拒绝服务攻击,没有行之有效的解决办法。
拒绝服务攻击实际上就是使用大量的无用数据消耗资源的攻击方式。那么最治标有治本的方法就是,在网络或服务系统前端,架设一台设备,这台设备能够检测并分析出正常数据和无用数据,过滤掉无用数据,而将正常数据放行到网络中,转发给服务器。这个也是金盾产品采用的数据处理方式。而现今其他的安全设备,都没有这样的检测验证机制,因此也不能有效的防御拒绝服务攻击。传统的安全设备在对待攻击处理上主要有以下几种方式。
(1)设置阀值,控制访问数据速率。还是列举邮箱的事例,如果接收邮件的速率很快,那我们根本就来不及删除其中的垃圾邮件。如果我将速率降低,设为每秒接收50封邮件,那么我就有时间删除垃圾邮件,保证我邮箱的空闲。问题是在这一分钟内同时发送的部分正常用户,就有可能遭到拒收,因为他们的邮件可能是在前50封之后。同样道理,如果我设置了数据速率阀值,那么在同一时间发送访问请求的部分用户,很可能就得不到响应。
(2)随机丢弃数据包。还是列举邮箱事例,在接收邮件时,每收两封邮件,我就拒收一封或两封邮件,这种方式很容易就令人想到,如果我绝收的当中有正常邮件呢?同样道理,如果采用随机丢包方式,也有一定几率将正常用户请求包丢掉,造成正常用户无法访问应用服务。
总体来说,正因为传统的安全设备没有能够验证攻击包和非攻击包的机制,因此,只能采用这两种方式,牺牲部分用户的权益,来保证整个网络和应用服务受到拒绝服务攻击的影响。