qq3250845

如果你的服务器主机中运行了DNS服务，那么一定要小心DdoS这个很现实的攻击行为。而如果你的DNS服务遭受到了DdoS攻击，那么可以想象，最低的损失也是丢失电子邮件和暂停Web服务。而如果你的DNS服务主机位于企业内部，并且与企业用户的网络浏览等服务共用网络连接，那么一旦遭受DdoS攻击，就意味着整个企业的网络服务暂停了。就算你的DNS服务只是用于测试或其它有限的目的，一旦被攻击，所波及的范围也会很广。

其它会威胁到DNS的情况还包括对外网开启FTP服务，这个服务本来不应该从企业内部对外开放的。因为管理员都明白，一旦你这样做了，黑客和各种机器人程序会通过各种手段，包括暴力破解方式，来取得FTP的账户和密码。就算你采用了很复杂的密码，当多个暴力破解程序运行时，由此产生的失败的FTP访问流量就足以耗光网络资源。

总之，企业自己搭建和管理DNS总会存在一定程度的安全风险。换句话说，目前公认的较好的解决方案就是DNS服务托管。对于那些还没有为自己管理DNS服务做好**准备的企业来说，唯一的建议就是找个信任ISP或其它专业的托管机构，将这个事儿交给他们去做。

DDoS攻击亲身体验

之所以撰写这篇文章，也是因为我经历了一场真实的DdoS攻击。当时的受害者是位于北美的一个小办公室，拥有一个DSL路由器和一个静态IP地址。办公室的服务器对外开启了DNS。被攻击的早期征兆有两点，一是接收到的电子邮件数量比平时有所下降，二是Web浏览速度下降。在经过几天的不良症状后，该办公室再也收不到来自外界的电子邮件了，同时也无法进行网络浏览了。使用最简单的ping命令到互联网大型网站地址，得到的结果要么是失败，要么就是超过1000ms的响应时间，这也基本算是无法连接了。

很明显此时有某个网络进程充斥在DSL连接中。办公室中的每台电脑都关机重启了，并没有解决问题。重启DSL也没有解决问题。但是在重启DNS服务器后，会有短暂的时间恢复到正常的互联网连接状态，几分钟后，这种正常的连接速度再次变得不正常，并很快无法连接任何网站。考虑到可能是电子邮件系统或基于Web的进程出现故障，便先后将服务器中的Exchange服务和Web服务关停，但是没有效果。在接下来的逐项尝试中，我们发现关闭DNS服务会产生明显的效果，于是我们最终将问题锁定在DNS服务上。

但是DNS服务的日志中并没有任何警告事件，而且服务器本身也安装了最新的补丁，包括DNS服务补丁和DoS溢出补丁。另一个找寻线索的位置就是防火墙的日志文件。虽然这个办公室的防火墙没有历史日志文件，但是我们可以查看选定网络协议的实时日志。从实时的防火墙日志可以观察到，有两个互联网上的IP地址在不断向办公室的服务器发送DNS请求数据。这两个IP地址所代表的服务器都位于欧洲，分别属于两个不同的国家，但是它们都在向这个相同的DNS服务地址发送大量的数据。如果有两个或两个以上的远程地址在进行DoS攻击，就可以将其归类为DDoS攻击，即分布式DoS攻击。。

在DDoS攻击下保护DNS

一旦你知道了攻击方的IP地址，就可以简单在防火墙中设置一个IP规则，阻止来自该IP地址的任何数据通过防火墙。在我们阻止了一个IP地址后，ping主流网站的结果已经达到300ms了。当我们将第二个IP地址阻挡后，ping主流网站的结果已经恢复到正常水平，大概30ms，并且所有网络功能恢复了正常。这个办公室很幸运，所遭受的DDoS攻击只有两个攻击源，两个固定IP地址。如果攻击源有几十甚至上百个(或者攻击源IP地址是变化的)，该办公室的处境就艰难的多了，同时对日常业务的冲击也会更大。

正如我前面提到的，防止DNS服务器遭遇DDoS攻击的最佳方案是将DNS服务交给DNS服务供应商去实现，比如你的ISP或知名的DNS注册机构，或者可靠的托管机构。虽然这种做法无法从根本上杜绝黑客对于供应商展开DoS攻击的威胁，但是起码能够防止在发生DoS攻击时，你企业的各种网络功能会不受影响。

如果出于某种原因，你必须要在企业内部建立DNS服务，那么一定要制定一个针对DNSDoS攻击的应对策略。比如在不同地点建立多个DNS服务器,使用强化或专用的DNS服务器或应用程序并采用独立的互联网连接线路。Verisign在2011年5月发布了一份DNS可用性状态报告，确认就算是最顶级的电子商务网站，其DNS的可用性也面临潜在风险，尤其是那些自己建立和管理DNS服务的企业。





更多技术文章请登录：http://www.sdi23.com/style/info/listnews.asp

qq3250845

分层纵深防御，一切黑客入侵都是浮云

qq3250845

网络管理人员应认真分析各种可能的入侵和攻击形式，制定符合实际需要的网络安全策略，防止可能从网络和系统内部或外部发起的攻击行为，重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。 　　防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。 　　一、访问控制技术 　　访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛，包括网络登录控制、网络使用权限控制、目录级安全控制，以及属性安全控制等多种手段。 　　1.网络登录控制 　　网络登录控制是网络访问控制的第一道防线。通过网络登录控制可以限制用户对网络服务器的访问，或禁止用户登录，或限制用户只能在指定的工作站上进行登录，或限制用户登录到指定的服务器上，或限制用户只能在指定的时间登录网络等。 　　网络登录控制一般需要经过三个环节，一是验证用户身份，识别用户名；二是验证用户口令，确认用户身份；三是核查该用户账号的默认权限。在这三个环节中，只要其中一个环节出现异常，该用户就不能登录网络。其中，前两个环节是用户的身份认证过程，是较为重要的环节，用户应加强这个过程的安全保密性，特别是增强用户口令的保密性。用户可以使用一次性口令，或使用IC卡等安全方式来证明自己的身份。 　　网络登录控制是由网络管理员依据网络安全策略实施的。网络管理员可以随时建立或删除普通用户账号，可以控制和限制普通用户账号的活动范围、访问网络的时间和访问方式，并对登录过程进行必要的审计。对于试图非法登录网络的用户，一经发现立即报警。 　　2.网络使用权限控制 　　当用户成功登录网络后，就可以使用其所拥有的权限对网络资源(如目录、文件和相应设备等)进行访问。如果网络对用户的使用权限不能进行有效的控制，则可能导致用户的非法操作或误操作。网络使用权限控制就是针对可能出现的非法操作或误操作提出来的一种安全保护措施。通过网络使用权限控制可以规范和限制用户对网络资源的访问，允许用户访问的资源就开放给用户，不允许用户访问的资源一律加以控制和保护。 　　网络使用权限控制是通过访问控制表来实现的。在这个访问控制表中，规定了用户可以访问的网络资源，以及能够对这些资源进行的操作。根据网络使用权限，可以将网络用户分为三大类：一是系统管理员用户，负责网络系统的配置和管理；二是审计用户，负责网络系统的安全控制和资源使用情况的审计；三是普通用户，这是由系统管理员创建的用户，其网络使用权限是由系统管理员根据他们的实际需要授予的。系统管理员可随时更改普通用户的权限，或将其删除。 　　3.目录级安全控制 　　用户获得网络使用权限后，即可对相应的目录、文件或设备进行规定的访问。系统管理员为用户在目录级指定的权限对该目录下的所有文件、所有子目录及其子目录下的所有文件均有效。如果用户滥用权限，则会对这些目录、文件或设备等网络资源构成严重威胁。这时目录级安全控制和属性安全控制就可以防止用户滥用权限。 　　一般情况下，对目录和文件的访问权限包括系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限和访问控制权限。目录级安全控制可以限制用户对目录和文件的访问权限，进而保护目录和文件的安全，防止权限滥用。 　　4.属性安全控制 　　属性安全控制是通过给网络资源设置安全属性标记来实现的。当系统管理员给文件、目录和网络设备等资源设置访问属性后，用户对这些资源的访问将会受到一定的限制。 　　通常，属性安全控制可以限制用户对指定文件进行读、写、删除和执行等操作，可以限制用户查看目录或文件，可以将目录或文件隐藏、共享和设置成系统特性等。 　　5.服务器安全控制 　　网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等。网络服务器的安全控制包括设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。 　　二、防火墙技术 　　防火墙是用来保护内部网络免受外部网络的恶意攻击和入侵，为防止计算机犯罪，将入侵者拒之门外的网络安全技术。防火墙是内部网络与外部网络的边界，它能够严密监视进出边界的数据包信息，能够阻挡入侵者，严格限制外部网络对内部网络的访问，也可有效地监视内部网络对外部网络的访问。 　　三、入侵检测技术 　　入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域，当这些区域受到攻击时，能够及时检测和立即响应。 　　入侵检测有动态和静态之分，动态检测用于预防和审计，静态检测用于恢复和评估。 　　四、安全扫描 　　安全扫描是对计算机系统或其他网络设备进行相关安全检测，以查找安全隐患和可能被攻击者利用的漏洞。从安全扫描的作用来看，它既是保证计算机系统和网络安全必不可少的技术方法，也是攻击者攻击系统的技术手段之一，系统管理员运用安全扫描技术可以排除隐患，防止攻击者入侵，而攻击者则利用安全扫描来寻找入侵系统和网络的机会。 　　安全扫描分主动式和被动式两种。主动式安全扫描是基于网络的，主要通过模拟攻击行为记录系统反应来发现网络中存在的漏洞，这种扫描称为网络安全扫描；而被动式安全扫描是基于主机的，主要通过检查系统中不合适的设置、脆弱性口令，以及其他同安全规则相抵触的对象来发现系统中存在的安全隐患，这种扫描称为系统安全扫描。 　　安全扫描所涉及的检测技术主要有以下四种： 　　(1)基于应用的检测技术。它采用被动的、非破坏性的办法检查应用软件包的设置，发现安全漏洞。 　　(2)基于主机的检测技术。它采用被动的、非破坏性的办法对系统进行检测。通常，它涉及系统的内核，文件的属性，操作系统的补丁等问题。 　　这种技术还包括口令解密，把一些简单的口令剔除。因此，这种技术可以非常准确地定位系统的问题，发现系统的漏洞。它的缺点是与平台相关，升级复杂。 　　(3)基于目标的漏洞检测技术。它采用被动的、非破坏性的办法检查系统属性和文件属性，如数据库、注册号等。通过消息摘要算法，对文件的加密数进行检验。这种技术的实现是运行在一个闭环上，不断地处理文件、系统目标、系统目标属性，然后产生检验数，把这些检验数同原来的检验数相比较。一旦发现改变就通知管理员。 　　(4)基于网络的检测技术，它采用积极的、非破坏性的办法来检验系统是否有可能被攻击而崩溃。它利用了一系列的脚本模拟对系统进行攻击的行为，然后对结果进行分析。它还针对已知的网络漏洞进行检验。网络检测技术常被用来进行穿透实验和安全审计。这种技术可以发现一系列平台的漏洞，也容易安装。但是，它可能会影响网络的性能。 　　安全扫描技术正逐渐向模块化和专家系统两个方向发展。 　　在模块化方面，整个安全扫描系统由若干个插件组成，每个插件封装一个或多个漏洞扫描方法，主扫描过程通过调用插件的方法来执行扫描任务。系统更新时，只需添加新的插件就可增加新的扫描功能。另外，由于插件的规范化和标准化，使得安全扫描系统具有较强的灵活性、扩展性和可维护性。 　　在专家系统方面，安全扫描能够对扫描结果进行整理，形成报表，同时可针对具体漏洞提出相应的解决办法。随着安全扫描技术的发展，希望安全扫描系统能够对网络状况进行整体评估，并提出针对整个网络的安全解决方案。未来的系统，不仅仅是一个漏洞扫描工具，还应该是一个安全评估专家。


更多技术文章请登录：http://www.sdi23.com/style/info/listnews.asp

qq3250845

必读：如何防御黑客用Metasploit发起的攻击

UDHOSTING

不錯

qq3250845

一、边际设备保护 网关是内外网通信的必经之路，是外网联入内网的咽喉。相对来说，内网的木马病毒都是比较少的，但是缺乏隔离机制的内网，一旦有一台计算机被病毒木马所感染，其它的也就都陷入了非常危险的境地。 建议在网络内部使用代理网关。 使用代理网关的好处在于，网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关，进而才能访问到Internet，这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。 在代理服务器两端采用不同协议标准，也可以阻止外界非法访问的入侵。还有，代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。 所以对于一个局域网络来说，在边际处至少应当有一个初具安全防范功能的路由器或是防火墙，以建立第一道防线。防火墙的选择应该适当，对于微小型的企业网络，可从BlackICE、LockDown2000、ZoneAlarm、NortonInternetSecuritv2001、PCcillin2001、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。 而对于具有内部网络的企业来说，最好选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言，都可以通过内置的IOS防火墙防范部分的攻击，而硬件防火墙的应用，可以使安全性得到进一步加强。对于拥有数十台、上百台甚至以上的企业，添加域控制器进行管理是一个十分有效的方法。企业一般通过代理或者路由上网，那么可以使用“网盾IPtrust内网安全管理系统”对内部计算机的操作行为进行监控，他可以对终端操作、网站浏览和各类即时信息软件进行监控，并且也可以限制或禁止游戏、多媒体、股票软件等非工作用的软件，还能进行网站的过滤，限制色情、政治或是其它各类网站。 二、口令安全 现在大部分人都认识到口令安全的重要性了，不过还是要重申一下:口令的位数要尽可能的长;不要选用生日、门牌号码、电话号码等容易猜测的密码作为口令;不要在每个系统上都使用同一种口令;最好使用大小写的字母和数字混合和没有规律的密码作为口令，并定期改变各系统的口令。另外，个人私用密码最好与工作时使用的密码分开。 为了保障网络的安全，也可以利用网络操作系统所提供的保密措施。以Windows为例，进行用户名登录注册，设置登录密码，设置目录和文件访问权限和密码，以控制用户只能操作什么样的目录和文件，或设置用户级访问控制，以及通过主机访问Internet等。为了安全起见，还可对主机的网络属性进行设置，去掉TCP/IP协议和其他协议中的“Microsoft网络上的文件与打印机共享”和“Microsoft网络用户”的绑定，其他计算机也可进行同样的设置，且可去掉TCP/IP协议中的绑定。若使用Windows2000，可使用其自带的一个Routingamp;RemoteAccess工具，设定输入ICMP代码255丢弃可防ICMP的风暴攻击和碎片攻击。 同时，可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性，现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密需采取另外的方法。针对计算机及其外部设备和网络部件的泄密渠道，可以采取相应的保密措施。 电子邮件是企业传递信息的主要途径，因此，必须对电子邮件进行加密处理，可安装网盾或手写的数码签名onSign2.0等工具软件。 三、终端计算机防护 一般来说，终端计算机上必然需要安装的防护软件就是杀毒软件了，基本要求就是能实时防护(特别在上外网的时候)、数据库更新快，以及占用系统资源小。个人强烈推荐使用kaspersky，技术实力没的说，俄国技术，病毒数据库每天更新两次，并承诺对新病毒的响应时间为30分钟，使用起来也比较方便，又有汉化版，好处说不完(唯一缺点就是不是国产的，使用它不能算支持民族企业了)。 操作系统绝大多数人用的是微软的windows系列，主要受影响的就是在安装软件时不小心装上的那些如同“牛皮癣”一般的各类插件了，不仅占用了大量的系统资源和窗口空间，影响开机速度，有时还会引起不知名的错误。值得注意的是系统补丁也要及时打上。 定期备份重要数据也是非常重要的。一方面，硬盘数据恢复的价格一般要高于购买硬盘的价格，而且未必能够恢复出来;另一方面，若误操作将重要数据删除，这时候备份的重要性就体现出来了。 四、防范外部攻击 目前，计算机网络系统的安全威胁有很大一部分来自拒绝服务(DoS)攻击和计算机病毒攻击。为了保护网络安全，也可以从这几个方面进行。对付“拒绝服务”攻击有效的方法，是只允许跟整个Web站台有关的网络流量进入，就可以预防此类的黑客攻击，尤其对于ICMP封包，包括ping指令等，应当进行阻绝处理。 通过安装非法入侵侦测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时可以立刻有效终止服务，以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限，以防止从外界对网络设备配置的非法修改。公务员之家 最后，网管人员还应经常到有关网站下载最新的补丁程序，以便进行网络维护，同时经常扫描整个内部网络，以发现任何安全漏洞并及时补上，才能做到有备无患。 五、重要资料及时进行备份 为了维护企业局域网的安全，必须对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。 对数据的保护来说，选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的，例如ARCServe、CA的InocuLAN等，配合CA的灾难恢复软件，可以较为全面地保护数据的安全。 六、外部环境安全 这里指的是各种PC、路由器、交换机、工作站等硬件设备和通信链路的安全，主要应当注意重要设备如对外提供服务的服务器的供电以及防止水灾、火灾、雷击等自然灾害，人为破坏和误操作、外界的电磁干扰等，物理安全的威胁可直接造成设备的损坏和数据的丢失。为防止这类事故要建立机房的管理制度，并严格执行，在基建阶段就要做好机房、电源的防雷工作。 需要定制原创文章的朋友请点击>>> 需要快速发表文章的朋友请点击>>> 公务员之家办的非常成功，极具口碑。在这里，你可以找到最具时事性的文章和最具代表性的各类文章。当然，因为免费和开源，大家都可以学习、借鉴和共同使用，如果你需要专属于个人的原创文章，请点击以上链接获得专业文秘写作服务，点击以下图标可以分享到你自己空间。




更多技术文章请登录：http://www.sdi23.com/style/info/listnews.asp

qq3250845

..................................

qq3250845

Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。 　　当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 　　Sniffer程序长时间以来一直以两种方式存在着：商业的包监听被用于维护网络，秘密的包监听被用于侵入计算机。 　　(1)Sniffer被用于维护网络安全时，其典型应用为： 　　将数据转换为人们可读的格式，因此人们能读出通信，这样可以进行基于内容的网络通信的检查。 　　为了发现网络上的问题而进行错误的分析，例如为什么计算机A不能和计算机B进行通信。 　　为了发现网络通信中的瓶颈进行的性能分析。 　　为了发现黑客而进行的网络入侵侦测。 　　为了生成很可不能侵入和破坏的日志而进行的网络通信的日志。 　　(2)而对于黑客而言，使用Sniffer时所关心的内容可以分成这样几类： 　　口令 　　这是绝大多数非法使用Sniffer的理由，Sniffer可以记录到明文传送的userid和passwd。就算你在网络传送过程中使用了加密的数据，Sniffer记录的数据一样有可能使入侵者轻松算出你的算法。 　　金融账号 　　Sniffer可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码、截止日期、账号和pin。 　　偷窥机密或敏感的信息数据： 　　通过拦截数据包，入侵者可以很方便地记录别人之间敏感的信息传送，或者拦截整个的E-mail会话过程。 　　窥探低级的协议信息： 　　Sniffer可以用来窥探对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口IP地址、IP路由信息和TCP连接的字节顺序号码等。这些信息由入侵者掌握后将对网络安全构成极大的危害。



更多技术文章请登录：http://www.sdi23.com/style/info/listnews.asp

qq3250845

qq3250845

黑客攻击方法概要之 拒绝服务攻击法\r\n\r\n时间：2002年08月11日 19:04　来源：曹政 教程\r\n\r\n\r\n前言：限于笔者认识水平，以下所介绍的技术并不能涵盖所有的黑客攻击手段，甚至只能说掀开了冰山一角而已，所以不敢叫做“大全”，“揭密”这样唬人的字眼，只好称之为概要，不过绝大部分黑客行为都是以下几种方式实现或衍生的，就好比全球的语言有几百种，但是真正流通广泛的不过寥寥几种而已。\r\n\r\n正文：\r\n\r\n拒绝服务攻击法：（Deny of Service ，简称D.o.s）\r\n\r\n原理：\r\n系统的资源，操作能力是有限的，通常限度的建立是在正确的评估正常的，合理的请求调用基础上，比如sina首页，他们会评估每天到访的访客数量，并依据该评估决定用多少台服务器并采用怎样的系统优化手段，同时他们会有所谓的冗余设置保证应付突然增高的并发情况，比如世界杯期间的网络直播。但是如果系统承受了超过其所能承受的请求或者资源调用，就会导致服务阻塞，从而影响进一步对客户请求的处理。在正常情况下临界值是很难被突破的，但是有些别有用心的人就会通过人为的方式，象目标主机发送大量的伪造请求，从而阻塞系统资源，使系统无法为其他正常的请求继续提供服务，从而造成攻击效果。\r\n拒绝服务攻击本身也可以细分，比如从阻塞对象看，可能是CPU（大量频繁调用比较耗费CPU的程序），内存（大量频繁调用内存开销很大的程序），存储介质（导致大量的大文件生成），I/O（造成I/O被占满），带宽（占满所有可用带宽），或者系统参数（冲破系统设置的某些参数限制，造成系统不能打开新文件或接收新请求）。从攻击对象看，可能是伺服程序（如web Server，甚至打印服务应用程序），CGI程序，路由设备，或者其他任何可在远程调用的请求应答程序。\r\n\r\n攻击方法：\r\n1.伪造数据包，使之让系统认为是正常的数据包\r\n2.建立多线程（进程）的数据包发送工具\r\n3.选择一台或多台（多台攻击性更强）能够与网络有高速连接的主机作为攻击源\r\n4.执行程序，实施攻击\r\n当然对于大部分初级黑客而言，实际上他们利用了现成的工具，只做了第三步和第四步操作\r\n\r\n防护手段：\r\nD.o.s是最容易实现，却最难防护的攻击手段，因为你很难分辨哪些是正确的请求，哪些是伪造的请求。\r\n作好防护工作，需要苦练内功:\r\n第一，熟悉自己系统各种公开的服务所采用的软件，了解他们处理请求的资源耗费和时间耗费。\r\n第二，减少和停止不必要的服务，防止别人有隙可乘。\r\n第三，修改有关服务的配置参数，保证其对资源的耗费处于可控制的状态下。\r\n第四，按照IP过滤和报文过滤软件，并针对系统日志对具有攻击企图的行为设置过滤。\r\n第五，及时阅读有关安全方面的信息，并随时更新自己的服务应用系统。\r\n\r\n典型案例\r\n\r\n1.Ping炸弹：当年中国集体攻击美国白宫就是通过该技术，通过黑客团体组织，以大量的ping报文同时发送到白宫网站，导致该服务器连接数超过限制，从而拒绝服务，实现攻击效果。对付ping炸弹的方法其实很简单，通过对路由，防火墙等设施进行合理的配置屏蔽掉对ping报文的接收和处理即可。有些朋友知道，有些站点虽然可以访问，但是不能ping通，就是基于这样的原理。\r\n\r\n2.SYN Flood攻击：TCP协议是面向连接的协议，和UDP协议不同（tencent的QQ采用UDP协议），需要确认连接后才进行数据传输，因此正常情况下，用户端软件（比如IE浏览器）发送一个连接请求，服务器端软件（比如Apache或IIS）要返回一个确认信息，并提示用户可以连接，然后用户端再发送一个确认信息，表示已经建立了连接，并告之要发送的对象，然后服务端再确认...，换言之，正常情况下用户提交一个网络上的应用请求，需要和服务端进行三次连接，其中第一次连接确认我们称为SYN(中文称为握手信号)信号。以上描述的是正常步骤，那么非正常的是怎样的呢？当该连接请求是用户刻意伪造的，样子很象正常的，但是地址却是虚假的，服务端接收到后会发现反馈不到，然后服务端会重复发送请求，直到指定次数，这代表什么呢？\r\n举个例子，一个花店有若干个外送员工，按照正常的处理能力，可以每天发送几百到几千束花。但是有人搞恶作剧，打电话订花，却留下虚假的地址，如果地址不存在也就罢了，员工将花送到地方发现查无此人，也就不再浪费这个时间了，但是这个地址“假”的却很真，员工发现该地方存在，只是暂时没人，偏偏花店要信誉，于是只好择期再来......，SYN Flood攻击，就类似这样的行为，他使得系统大量的资源空费在无用的连接上，通常对于标准配置而言，当服务端发现SYN信号没有响应时，他会在30秒内重复发送大约10次反馈信号，直到得到相应反馈为止，而伪造的连接请求，就是白白的让服务器多做了这么多事情。\r\n通常攻击者会发送大量的类似的伪造的连接请求，这样系统将很快被这些连接请求所阻塞，从而使正常的请求无法应答。\r\n对付SYN FLood攻击，可以采取以下几种方式进行缓解，第一，减少系统SYN等待时间（只能缓解攻击），第二，对攻击源地址进行过滤（但是对于伪造精细的报文无效），第三，修改系统SYN_back_log上限（只能缓解攻击），第四，将系统SYN的重发次数降低（可以缓解攻击），第五，如果是linux系统，可以升级内核并设置Syn_cookies（极大缓解攻击）。如果需要根治这种攻击，就必须在要保护的主机或网段前添加专门的防攻击的过滤设备了，而且通常的防火墙，很可能也无法抵御这种行为。\r\n笔者服务器流量非常高，正常情况下（每秒种100个连接请求）SYN连接数字一直在二位数，当遭受攻击时，SYN连接数一直上升到了4000多！造成服务器阻塞，彻底失去对web的响应。是对这种行为深有体会的。\r\n\r\n总结，拒绝服务攻击法是原理和实施都非常容易，防护却非常麻烦的一种攻击方法，而且实在损人不利己；攻击者得不到任何诸如帐号，密码以及关键数据等信息，所图的唯一目的就是让对方服务器当机，据说Donews就饱受其害。就算以笔者这样在网络安全领域不入流的水准，也敢夸下海口，能在半个小时让新浪服务器拒绝服务，可是这又能证明什么呢？所以，拒绝服务攻击，是一种不入流的手段，类似于武侠小说中常说的“下三滥”，一个精通“下三滥”的高手，再高，还是“下三滥”。\r\n\r\n下文中，我将介绍“特洛伊木马”方法\r\n\r\n




更多技术文章请登录：http://www.sdi23.com/style/info/listnews.asp