|
|
DoS的英文全称是Denial of Service,也就是“拒绝服务”的意思
/ ?1 H1 i( i. d+ c: Z; WDDoS(分布式拒绝服务),它的英文全称为Distributed Denial of Service,DOS.
$ g0 \% o& V* m7 _+ o0 H5 X) H遭受ddos攻击的特征:8 D- N/ }. ^0 V! i6 f' k
1占用大量内存.cpu占用率持续100%
" X7 c& {5 V* y$ J5 V& X2被攻击主机上有大量等待的TCP连接
7 u; \ Y2 p+ D2 `1 F& k% ?3网络中充斥着大量的无用的数据包,源地址为假
) Z9 Q: G" o4 w" V4制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
0 {- ]* m' k' c2 I O2 o0 N' j5利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
9 K/ v) b1 c5 k" O- `+ C: Z" e U6 利用服务器系统的或者运行的程序的漏洞造成拒绝服务.严重时会造成系统死机 或者重新启动
* ^2 u$ T2 z# s3 T$ Y- ~* x$ {' f Q7 i一个出色的黑客如何进行最有效的DDOS攻击:
+ p( W. i5 O9 l3 Y& M7 F( X% m% r+ A要收集要进攻对象的相关信息.
" _2 g$ @, E! f3 h& I2 t0 q% ?3 ?1 想办法确定攻击目标主机数目与ip地址 比如:www.xxx.com xxx.com bbs.xxx.com ftp.xxx.com...
& e- T; x \: u2 通过页面信息分析目标主机的配置及可以抵抗的性能
c/ r# k2 A. }2 S9 Z! F# j3 目标的主机的网络带宽& j% {1 u: o& q8 @# @7 h. t
4 寻找攻击目标的近网段可以入侵的安全脆弱的肉鸡5 W' o, o, C1 `3 E# g
5 大范围查找高性能的高带宽肉鸡.
7 v5 {1 q- k, }: ?8 L) d. B% m6 根据访问多少的时间段进行有效的短时间攻击.7 _( s1 I t: Y: Y0 G
其中.重点就是确定到底有多少台主机被该站点利用.1 t* f( d3 S. O( F0 H
一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的web(www)服务
4 [' m6 ~9 A2 U; |3 K' e, W; d3 q 简单防御方法:: b& n3 f8 s- h$ r6 s5 e1 D5 W/ ?
1 主机设置:提高系统自身的错误设置与优化 承受的极限. 1000001包. 而服务器可以承受100000
( w0 e, I. G+ y# }关闭不必要的服务 * q* e! b( z% y! `
限制同时打开的Syn半连接数目 V2 s+ W* T4 t3 w6 i( e
缩短Syn半连接的time out 时间
6 D6 O) s6 z4 [及时更新系统补丁
0 Z7 U7 @( o$ p2 防火墙
# R. |8 O: d- j, s* i( G8 x4 ?: D禁止对主机的非开放服务的访问 ) f% E6 J6 q; z. _1 s
限制同时打开的SYN最大连接数 $ z. o7 D' M$ K+ _% F0 A m- u
限制特定IP地址的访问
+ T+ y2 k7 o) D# L7 `5 f+ n8 Q启用防火墙的防DDoS的属性
1 X, U/ \8 d& S. X! k) x% A! C* w; U$ W严格限制对外开放的服务器的向外访问
$ s# [) z% N( V0 ~5 o6 D4 B4 Q3 路由器9 G: _( R, T" E6 }: Q5 t/ ]
访问控制列表(ACL)过滤 2 I7 F" B) H3 d
设置SYN数据包流量速率
( c( _% A) h# g0 N0 V5 E升级版本
9 T: |0 f0 B7 X. j+ h8 F! _* o1 ^为路由器建立日志服务
5 b8 _1 l1 F) J并不能真正的防御ddos 拓宽网络宽带.加强服务器的处理能力 负载均衡 & k9 \% |) n, C- c( j/ m2 A
synflood洪水攻击0.0.0.03 o" |$ a4 i! `3 W
qq udp 4000! z. S9 w/ s* p8 I: W
海蜘蛛科技工程师通过反复测试,对DOS和DDOS的攻击提供全新解决方案,海蜘蛛路由+海盾,从服务器端到客户端的彻底解决内网攻击问题. |
|
粤公网安备44152102000001号 
发表于 2008-5-15 09:54:06