扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
上党网站制作公司哪家好,找创新互联!从网页设计、网站建设、微信开发、APP开发、响应式网站开发等网站项目制作,到程序开发,运营维护。创新互联从2013年开始到现在10年的时间,我们拥有了丰富的建站经验和运维经验,来保证我们的工作的顺利进行。专注于网站建设就选创新互联。
80 8000等等的端口 都可以攻击
DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻 止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于 通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,分布 式拒绝服务攻击一旦被实施,攻击网络包就会犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正常访问服务器的网络资源,因此,拒绝 服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能,从而造成拒绝服务,常见 的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范,至于DOS攻击, 通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDOS攻击。详细参考百度百科:http://baike.baidu.com/link?url=NnTY6B1ksa1YoXOnTk6eKbgy8jzfkE7-AS7xMreb_8b3yNPd1MetQ7p-60j11Yd8118YinW6XzebA8srUZl3Sq
1。确保服务器的系统文件是最新的版本,并及时更新系统补丁。
2。关闭不必要的服务。
3。限制同时打开的syn半连接数目。
4。缩短syn半连接的time out 时间。
5。正确设置防火墙 禁止对主机的非开放服务的访问 限制特定ip地址的访问 启用防火墙的防ddos的属性 严格限制对外开放的服务器的向外访问 运行端口映射程序祸端口扫描程序,要认真检查特权端口和非特权端口。
6。认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可 能遭到了攻击。
7。限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会,主机的信息暴露给黑客, 无疑是给了对方入侵的机会。
8。路由器 以cisco路由器为例 cisco express forwarding(cef) 使用 unicast reverse-path 访问控制列表(acl)过滤 设置syn数据包流量速率 升级版本过低的iso 为路由器建立log server
这篇文章集中讨论Linux平台上的几种基于主机的入侵检测系统。而且,我还会介绍一下如何安装这些软件包、它们有什么用处以及在什么情况下使用这些软件包。系统安全101 这篇文章假定你已经有了一些系统安全的基本知识。而且,为了防止来自Internet的入侵也已经采取了一些基本的安全防范措施。这些措施包括: l 防火墙,用来防止系统中的TCP和UDP端口不会被黑客利用。例如,用于Web服务器的一组基本的防火墙规则要保证只能通过TCP端口80(通常是HTTP协议的端口号)用TCP/IP协议来访问这台计算机。l 禁止不必要的daemon。例如,一个Web服务器在正常情况下只需要一个进程用来处理网页的请求。与处理网页请求无关的进程,如:RPC/Portmap服务、NFS服务、X字体服务、DNS域名服务以及其它用不着的程序必须被禁止运行。在Red Hat Linux系统中,通常使用象ntsysv或tksysv这样的程序来禁止不必要的daemon或服务的。l 通过编辑“/etc/inetd.conf”,禁止不必要的端口。在一般情况下,系统安装完之后在“/etc/inetd.conf”文件中许多端口都被设置成有效的。编辑这个文件并把不必要的行删掉或注释掉是最基本的安全防范措施,必须在所有的系统中都使用这样的安全措施。安全防线 在这篇文章中,我将讨论保证系统安全的多层次的解决方案。如果任何一层安全防线被破坏了,其它安全防线也能够对系统提供保护。多层次的系统安全结构就是如图表1所示的这个例子。图中的每一层为其上面一层提供更多的数据保护。例如,第一层是防火墙。
一旦防火墙被攻破,第二层,也就是Port Sentry程序,也还能够提供保护。在系统中第三第四层分别是LIDS和LogCheck程序,一旦Port Sentry对入侵者无能为力,它们将提供更进一步的保护。监控连接请求 在防火墙之后的第一层是用来监控连接请求的软件包。PortSentry软件包(http://www.psionic.com/abacus/portsentry/)提供了简单而有效地完成这项任务的方法。PortSentry是用来做什么的? PortSentry是用来监控TCP/IP端口活动的监控器。被PortSentry监控的端口活动都会被报告出来而且可以设置某些参数,包括根据端口活动的来源禁止其对系统进一步的访问。这是一个很重要的防御措施,因为黑客在入侵之前都会试图探查系统的弱点(通过端口扫描)。检测“探查”或端口扫描,可以彻底地防止潜在的黑客入侵系统,让黑客不可能在扫描过端口之后发动真正的攻击。安装PortSenty 对Red Hat Linux的用户,PortSentry的RPM包可以在Red Hat contrib FTP站点找到。这个站点在世界各地都有镜像,查看www.redhat.com找到离你最近的镜像站点。我不能确定是否有.deb格式的PortSentry软件包,但是我想可能会有吧。对于其它Linux系统,用源代码来安装PortSentry相对来说也很容易。建议配置 PortSentry可以在很多种模式下运行,包括各种各样的TCP和UDP“秘密”(stealth)模式。我喜欢把PortSentry和一些TCP端口绑定,这些端口是:(a)不在使用的;(b)众所周知的很容易被攻击的端口。例如,端口143(imap2),端口111(portmap)和端口23(telnet)都是很容易被攻击的端口,因此我在自己的系统中都没有使用这些端口,但是我的Web服务器的这些端口在24小时之内%D
服务器遭受ddos攻击的影响:
1、网站打不开。该特征主要表现为:网站服务器提供的页面浏览、上传等服务变得极慢或不能再提供服务。但也有可能是网站带宽或其他原因,所以需要综合其他症状进行判断。
2、CPU超载。如果网站管理员发现原本正常的服务器出现CPU、内存等消耗很大,CPU长期处于100%的状态,极有可能是DDOS引起的。
3、网路堵塞。如果你网络上出现了大量的非法数据包或伪造数据包,这也是DDOS的症状之一。最典型的案例是同一个IDC下的多个网站都无法访问,这是由于庞大到难以想象的数据涌入到整个IDC入口节点,导致IDC被DDOS击倒,造成整个IDC下的所有网站无法访问,停止服务。
4、频繁死机。如果遭到了DDOS的攻击,尤其是当CPU一直处于100%使用率的高危,那么服务器会反复重启。一般游戏行业、电商行业比较容易被ddos攻击,所以建议选择服务器的话要选择高防服务器,确保网站的安全稳定。
那你的建的站就没用了。
DoS(Denial of Service)是一种利用合理的服务请求占用过多的服务资源,从而使合法用户无法得到服务响应的网络攻击行为。被DoS攻击时的现象大致有:* 被攻击主机上有大量等待的TCP连接;* 被攻击主机的系统资源被大量占用,造成系统停顿;* 网络中充斥着大量的无用的数据包,源地址为假地址;* 高流量无用数据使得网络拥塞,受害主机无法正常与外界通讯;* 利用受害主机提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使受害主机无法及时处理所有正常请求;* 严重时会造成系统死机。到目前为止,防范DoS特别是DDoS攻击仍比较困难,但仍然可以采取一些措施以降低其产生的危害。对于中小型网站来说,可以从以下几个方面进行防范:主机设置:即加固操作系统,对各种操作系统参数进行设置以加强系统的稳固性。重新编译或设置Linux以及各种BSD系统、Solaris和Windows等操作系统内核中的某些参数,可在一定程度上提高系统的抗攻击能力。例如,对于DoS攻击的典型种类—SYN Flood,它利用TCP/IP协议漏洞发送大量伪造的TCP连接请求,以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及到系统的一些参数:可等待的数据包的链接数和超时等待数据包的时间长度。因此,可进行如下设置:* 关闭不必要的服务;* 将数据包的连接数从缺省值128或512修改为2048或更大,以加长每次处理数据包队列的长度,以缓解和消化更多数据包的连接;* 将连接超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包;* 及时更新系统、安装补丁。防火墙设置:仍以SYN Flood为例,可在防火墙上进行如下设置:* 禁止对主机非开放服务的访问;* 限制同时打开的数据包最大连接数;* 限制特定IP地址的访问;* 启用防火墙的防DDoS的属性;* 严格限制对外开放的服务器的向外访问,以防止自己的服务器被当做工具攻击他人。此外,还可以采取如下方法:* Random Drop算法。当流量达到一定的阀值时,按照算法规则丢弃后续报文,以保持主机的处理能力。其不足是会误丢正常的数据包,特别是在大流量数据包的攻击下,正常数据包犹如九牛一毛,容易随非法数据包被拒之网外;* SYN Cookie算法,采用6次握手技术以降低受攻击率。其不足是依据列表查询,当数据流量增大时,列表急剧膨胀,计算量随之提升,容易造成响应延迟乃至系统瘫痪。由于DoS攻击种类较多,而防火墙只能抵挡有限的几种。路由器设置:以Cisco路由器为例,可采取如下方法:* Cisco Express Forwarding(CEF);* 使用Unicast reverse-path;* 访问控制列表(ACL)过滤;* 设置数据包流量速率;* 升级版本过低的IOS;* 为路由器建立log server。其中,使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降。升级IOS也应谨慎。路由器是网络的核心设备,需要慎重设置,最好修改后,先不保存,以观成效。Cisco路由器有两种配置,startup config和running config,修改的时候改变的是running config,可以让这个配置先运行一段时间,认为可行后再保存配置到startup config;如果不满意想恢复到原来的配置,用copy start run即可。不论防火墙还是路由器都是到外界的接口设备,在进行防DDoS设置的同时,要权衡可能相应牺牲的正常业务的代价,谨慎行事。利用负载均衡技术:就是把应用业务分布到几台不同的服务器上,甚至不同的地点。采用循环DNS服务或者硬件路由器技术,将进入系统的请求分流到多台服务器上。这种方法要求投资比较大,相应的维护费用也高,中型网站如果有条件可以考虑。以上方法对流量小、针对性强、结构简单的DoS攻击进行防范还是很有效的。而对于DDoS攻击,则需要能够应对大流量的防范措施和技术,需要能够综合多种算法、集多种网络设备功能的集成技术。近年来,国内外也出现了一些运用此类集成技术的产品,如Captus IPS 4000、Mazu Enforcer、Top Layer Attack Mitigator以及国内的绿盟黑洞、东方龙马终结者等,能够有效地抵挡SYN Flood、UDP Flood、ICMP Flood和Stream Flood等大流量DDoS的攻击,个别还具有路由和交换的网络功能。对于有能力的网站来说,直接采用这些产品是防范DDoS攻击较为便利的方法。但不论国外还是国内的产品,其技术应用的可靠性、可用性等仍有待于进一步提高,如提高设备自身的高可用性、处理速率和效率以及功能的集成性等。最后,介绍两个当网站遭受DoS攻击导致系统无响应后快速恢复服务的应急办法:* 如有富余的IP资源,可以更换一个新的IP地址,将网站域名指向该新IP;* 停用80端口,使用如81或其它端口提供HTTP服务,将网站域名指向IP:81。
额
近几年,ddos攻击的频繁出现给国内互联网环境带来了很大的污染。实际上,ddos攻击也不是凭空出现的。由于服务器的网络设备,路由器,交换机等基础设施对数据包的处理能力存在一定的上限,当到达的数据路包超过对应的上限时,就会出现网络拥堵,响应缓慢的问题。黑客正是利用这一个特性发起的ddos攻击。为了更好的防御ddos攻击,企业应尽量了解ddos攻击的相关信息。一般来说,ddos攻击针对网络设备共有三种攻击形势,分别是直接攻击、反射放大攻击和链路攻击,下面主要介绍一下直接攻击,以供参考。直接攻击有以下几种形式:
1、ICMP/IGMPICMP是Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。IGMP,就是Internet Group Management Protocol的意思。该协议用来在ip主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系,但不包括组播路由器之间的组成员关系信息的传播与维护,这部分工作由各组播路由协议完成。所有参与组播的主机必须实现IGMP。攻击者使用大量的受控主机向目标机器发送大量的ICMP/IGMP报文,进行Flood攻击以消耗攻击目标的资源。
2、UDPUDP协议全称是用户数据报协议,在网络中它与TCP协议一样用于处理数据包,是一种e799bee5baa6e58685e5aeb931333365656563无连接的协议。UDP有不提供数据包分组、组装和不能对数据包进行排序的缺点,也就是说,当报文发送之后,是无法得知其是否安全完整到达的。由于UDP它不属于连接型协议,因而具有资源消耗小,处理速度快的优点,所以通常音频、视频和普通数据在传送时使用UDP较多,因为它们即使偶尔丢失一两个数据包,也不会对接收结果产生太大影响。比如我们聊天用的ICQ和QQ就是使用的UDP协议。UDP Flood是比较常见的ddos攻击,经常采用小包以及大包两种方式进行攻击: - 小包:小包是指64字节的数据包,这是以太网上传输数据帧的最小值,在相同的流量下,数据包越小,包的数量就越多,由于网络设备收到数据包时都要对其进行检查校验,所以该种方式可以有效的增加网络设备的工作压力。- 大包:大包是指1500字节以上的数据包,其大小超过了以太网的最大传输单元。该种攻击可以有效的占用网络接口的传输带宽,迫使被攻击目标在接收到UDP数据时对进行分片重组,造成网络拥堵。
受害主机在 ddos 攻击下,明显特征就是大量的不明数据报文流向受害主机,受害主机的网络接入带宽被耗尽,或者受害主机的系统资源(存储资源和计算资源)被大量占用,甚至发生死机。前者可称为带宽消耗攻击,后者称为系统资源消耗攻击。两者可能单独发生,也可能同时发生。
1 带宽消耗攻击
ddos带宽消耗攻击主要为直接洪流攻击。直接洪流攻击采取了简单自然的攻击方式,它利用了攻击方的资源优势,当大量代理发出的攻击流汇聚于目标时,足以耗尽其 internet 接入带宽。通常用于发送的攻击报文类型有:tcp报文(可含tcp syn报文),udp报文,icmp报文,三者可以单独使用,也可同时使用。
1.1 tcp洪流攻击
在早期的dos攻击中,攻击者只发送tcp syn报文,以消耗目标的系统资源。而在 ddos 攻击中,由于攻击者拥有更多的攻击资源,所以攻击者在大量发送tcp syn报文的同时,还发送ack, fin, rst报文以及其他 tcp 普通数据报文,这称为 tcp 洪流攻击。该攻击在消耗系统资源(主要由 syn,rst 报文导致)的同时,还能拥塞受害者的网络接入带宽。由于tcp协议为tcp/ip协议中的基础协议,是许多重要应用层服务(如web 服务,ftp 服务等)的基础,所以tcp洪流攻击能对服务器的服务性能造成致命的影响。据研究统计,大多数ddos攻击通过tcp洪流攻击实现。
1.2udp 洪流攻击
用户数据报协议(udp)是一个无连接协议。当数据包经由udp协议发送时,发送双方无需通过三次握手建立连接, 接收方必须接收处理该数据包。因此大量的发往受害主机 udp 报文能使网络饱和。在一起udp 洪流攻击中,udp 报文发往受害系统的随机或指定端口。通常,udp洪流攻击设定成指向目标的随机端口。这使得受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据。如果受害系统在某个被攻击端口没有运行服务,它将用 icmp 报文回应一个“目标端口不可达”消息。通常,攻击中的ddos工具会伪造攻击包的源ip地址。这有助于隐藏代理的身份,同时能确保来自受害主机的回应消息不会返回到代理。udp洪流攻击同时也会拥塞受害主机周围的网络带宽(视网络构架和线路速度而定)。因此,有时连接到受害系统周边网络的主机也会遭遇网络连接问题。
1.3 icmp洪流攻击
internet 控制报文协议传递差错报文及其它网络管理消息,它被用于定位网络设备,确定源到端的跳数或往返时间等。
一个典型的运用就是 ping 程序,其使用 icmp_echo reqest 报文,用户可以向目标发送一个请求消息,并收到一个带往返时间的回应消息。icmp 洪流攻击就是通过代理向受害主机发送大量icmp_echo_ reqest)报文。这些报文涌往目标并使其回应报文,两者合起来的流量将使受害主机网络带宽饱和。与udp洪流攻击一样,icmp洪流攻击通常也伪造源ip地址。
2 系统资源消耗攻击
ddos系统资源消耗攻击包括恶意误用 tcp/ip 协议通信和发送畸形报文两种攻击方式。两者都能起到占用系统资源的效果。具体有以下几种:
tcp syn攻击。dos的主要攻击方式,在ddos攻击中仍然是最常见的攻击手段之一。只不过在 ddos 方式下,它的攻击强度得到了成百上千倍的增加。tcp psh+ack 攻击。在 tcp 协议中,到达目的地的报文将进入 tcp栈的缓冲区,直到缓冲区满了,报文才被转送给接收系统。此举是为了使系统清空缓冲区的次数达到最小。然而,发送者可通过发送 psh 标志为 1 的tcp 报文来起强制要求接受系统将缓冲区的内容清除。tcp push+ack 攻击与 tcp syn 攻击一样目的在于耗尽受害系统的资源。当代理向受害主机发送psh和ack标志设为1的tcp报文时, 这些报文将使接收系统清除所有 tcp 缓冲区的数据(不管缓冲区是满的还是非满),并回应一个确认消息。如果这个过程被大量代理重复,系统将无法处理大量的流入报文。畸形报文攻击。顾名思义,畸形报文攻击指的是攻击者指使代理向受害主机发送错误成型的ip报文以使其崩溃。有两种畸形报文攻击方式。
一种是ip 地址攻击,攻击报文拥有相同的源 ip 和目的 ip 地址。它能迷惑受害主机的操作系统,并使其消耗大量的处理能力。另一个是ip报文可选段攻击。攻击报文随机选取ip报文的可选段并将其所有的服务比特值设为1。对此,受害系统不得不花费额外的处理时间来分析数据包。当发动攻击的代理足够多时,受害系统将失去处理能力。
3 应用层攻击
典型如国内流行的传奇假人攻击,这种攻击利用傀儡机,模拟了传奇服务器的数据流,能够完成普通传奇戏服务器的注册、登陆等功能,使得服务器运行的传奇游戏内出现大量的假人,影响了正常玩家的登陆和游戏,严重时完全无法登陆。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
微信二维码
移动版官网