qq3250845

端口就像一所房子（服务器）的几个门一样，不同的门通向不同的房间（服务器提供的不同服务）。我们常用的FTP默认端口为21，而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务，比如139等；还有一些木马程序，比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么，只要我们把自己用不到的端口全部封锁起来，不就杜绝了这两种非法入侵吗？

这里举例关闭的端口有，135，137，138，139，445，1025，2475，3127，6129，3389，593，还有TCP，其他我就不一一指出了。??? 具体操作如下:?? ??默认情况下，Windows有很多端口是开放的，在你上网的时候，网络病毒和黑客可以通过这些端口连上你的电脑。为了让你的系统变为铜墙铁壁，应该封闭这些端口，主要有：TCP?135、139、445、593、1025?端口和?UDP?135、137、138、445?端口，一些流行病毒的后门端口（如?TCP?2745、3127、6129?端口），以及远程服务访问端口3389。下面介绍如何在WinXP/2000/2003下关闭这些网络端口。

第一步，点击“开始”菜单/设置/控制面板/管理工具，双击打开“本地安全策略”，选中“IP?安全策略，在本地计算机”，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择“创建?IP?安全策略”，于是弹出一个向导。在向导中点击“下一步”按钮，为新的安全策略命名；再按“下一步”，则显示“安全通信请求”画面，在画面上把“激活默认相应规则”左边的钩去掉，点击“完成”按钮就创建了一个新的IP?安全策略。

第二步，右击该IP安全策略，在“属性”对话框中，把“使用添加向导”左边的钩去掉，然后单击“添加”按钮添加新的规则，随后弹出“新规则属性”对话框，在画面上点击“添加”按钮，弹出IP筛选器列表窗口；在列表中，首先把“使用添加向导”左边的钩去掉，然后再点击右边的“添加”按钮添加新的筛选器。

第三步，进入“筛选器属性”对话框，首先看到的是寻址，源地址选“任何?IP?地址”，目标地址选“我的?IP?地址”；点击“协议”选项卡，在“选择协议类型”的下拉列表中选择“TCP”，然后在“到此端口”下的文本框中输入“135”，点击“确定”按钮，这样就添加了一个屏蔽?TCP?135（RPC）端口的筛选器，它可以防止外界通过135端口连上你的电脑。?? ??点击“确定”后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加?TCP?137、139、445、593?端口和?UDP?135、139、445?端口，为它们建立相应的筛选器。?? 再重复以上步骤添加TCP?1025、2745、3127、6129、3389?端口的屏蔽策略，建立好上述端口的筛选器，最后点击“确定”按钮。

第四步，在“新规则属性”对话框中，选择“新?IP?筛选器列表”，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中，把“使用添加向导”左边的钩去掉，点击“添加”按钮，添加“阻止”操作：在“新筛选器操作属性”的“安全措施”选项卡中，选择“阻止”，然后点击“确定”按钮。

第五步、进入“新规则属性”对话框，点击“新筛选器操作”，其左边的圆圈会加了一个点，表示已经激活，点击“关闭”按钮，关闭对话框；最后回到“新IP安全策略属性”对话框，在“新的IP筛选器列表”左边打钩，按“确定”按钮关闭对话框。在“本地安全策略”窗口，用鼠标右击新添加的?IP?安全策略，4? 然后选择“指派”。??? ??这时候你就可以电脑了，重新启动后，电脑中上述网络端口就被关闭了，在这时候病毒和黑客应该是已经不能连上这些端口了，从而保护了你的电脑

qq3250845

UDP（User Datagram Protocal）就是用户数据报协议，是一个无连接协议，主要用来支持需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使用UDP协议。


图片来源网络，如有侵权请联系删除
当网站遭受到UDP攻击的时候，大量的发网受害主机UDP报文会使网络达到饱和状态，攻击中的DDOS工具会伪装攻击包的源IP地址，造成UDP进程无法通信，量大的时候还会使网络瘫痪。同时，UDP洪流攻击也会阻塞受害主机周围的网络带宽（视网络构架和线路速度而定），有时连接到受害系统周边网络的主机也会遭遇网络连接问题。

那么，当网站遭受到UDP攻击的时候，我们要怎么办呢？

1、判断攻击包大小，如果是大包攻击就采用防止UDP碎片方法：可以根据攻击包大小设定包碎片重组大小，一般不小于1500。特殊极端情况下，可以丢弃所有UDP碎片；

2、判断网站服务器是否被黑，找出网站存在的黑链，做好安全防御；

3、如果攻击端口为业务端口，根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量；如果攻击端口为非业务端口，可以丢弃所有UDP包，也可以建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持；

4、选择安全靠谱的防御平台进行防御。恒欣网络一直致力于互联网安全产品的研发，是值得信赖的智能云安全管理服务商










更多精彩文章请登录：https://www.sdi23.com/news.asp

qq3250845

基本原理编辑
UDPFlood是日渐猖厥的流量型DoS攻击，原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k bps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。由于UDP协议是一种无连接的服务，在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。
正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDPFlood的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。
主要防护编辑
UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDPFlood的防护非常困难。其防护要根据具体情况对待：
判断包大小，如果是大包攻击则使用防止UDP碎片方法：根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。
攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。
攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务；一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。
UDP攻击是一种消耗对方资源，同时也消耗攻击者本身的资源的攻击方式，现在已经没人使用这种过时的东西了。说白了这种攻击方式仅仅就是拼资源而已，看谁的带宽大，看谁能坚持到最后，这种攻击方式没有技术含量，引用别人的话，不要以为洪水无所不能，攻击程序在消耗对方资源同时也在消耗攻击者的资源。













更多精彩文章请登录：https://www.sdi23.com/news.asp

qq3250845

反射攻击的防范措施

　　上述协议安装后由于有关服务默认处于开启状态，是其被利用的一个重要因素。因此，防范可以从配置主机服务选项和访问控制权限（ACL）入手。具体建议如下：

　　Chargen攻击防范配置方法

　　关闭Chargen服务，具体的操作方法：

　　1.Linux系统：在/etc/inetd.conf文件中注释掉‘chargen’服务，或者在/etc/xinetd.d/目录下将chargen服务对应的文件中的“disable” 属性改为 “yes”。

　　2. 在Window 系统下：Chargen服务属于Windows系统中的SimpTCP服务，一般情况下Windows系统缺省不会安装该服务，如已安装该服务，可以通过如下几种方式关闭服务：

　　（1）通过控制面板中的Service管理程序，关闭SimpTCP服务；

　　（2）通过修改注册表：通过注册表编辑器将以下两项表项的值设为0HKLM\System\CurrentControlSet\Services

　　\SimpTCP\Parameters\EnableTcpChargenHKLM\System\

　　CurrentControlSet\Services\SimpTCP\Parameters\EnableUdpChargen

　　（3）通过命令行执行net 程序：netstop simptcp；net start simptcp。

　　NTP攻击防范配置方法

　　1.升级版本Linux 系统中的ntpd 4.2.7p26及之后的版本关闭了monlist请求功能。升级到ntpd 4.2.7p26或更高版本可以避免针对该漏洞的攻击。

　　2. 禁用或限制状态查询

　　（1）在Linux系统下，如果monlist功能开放，可尝试通过修改ntp.conf配置文件解决问题，具体操作建议是在上述文件中增加下面的配置：

　　IPV4：restrict default kodnomodifynotrapnopeernoquery

　　IPv6：restrict-6 default kodnomodifynotrapnopeernoquery

　　另外，还可以配置限制访问命令，如：restrict default noquery。

　　（2）Windows Server系统的设置方法较为简单：在ntp.conf配置文件中增加（或修改）“disable monitor”选项，可以关闭现有NTP服务的monlist 功能。

　　修改并保存配置文件之后，请重启ntpd服务。

　　DNS攻击防范配置方法

　　1. 关闭递归查询

　　（1）在UNIX系统的DNS服务器下：在全局配置选项中加入如下限制以关闭递归查询：

　　options {allow-query-cache {none}；recursion no；}；

　　（2）在Windows系统的DNS 服务器下，采取如下步骤：a.打开DNS（“开始”-“程序”-“管理工具”-单击“DNS”）；b. 在控制列表树中，单击“适用的DNS服务器”；c.在“操作”菜单上，单击“属性”；d.点击“高级”；e.在“服务器选项”中，选中“禁用递归”复选框，然后确定。

　　2. 授权特定用户进行递归查询

　　在特定组织或者ISP中部署的DNS服务器，域名解析应当配置成对授权的客户机提供递归查询。这些递归查询请求应当只来源于该组织内的客户机地址。建议所有的服务器管理员只允许内部客户机的递归查询请求。

　　在UNIX系统的DNS 服务器配置下，在全局配置选项中做如下设置：

　　acl corpnets{192.168.1.0/24；192.168.2.0/24；}；options {allow-query {any；}；

　　allow-recursion {corpnets；}；}；

　　SSDP攻击防范配置方法

　　1. 关闭系统服务

　　（1）在Windows下以管理员身份运行cmd.exe，并执行以下命令：scconfigSSDPSRV start=DISABLED；（2）在桌面上右击“计算机”，在“服务和应用程序”中点击“服务”，找到“SSDP Discovery”服务，双击后该服务后选择“禁用”选项。

　　2. 防火墙拦截

　　（1）在Windows 系统操作如下：在“开始”-“控制面板”-“Windows防火墙”-“高级设置”中，分别在“入站规则”和“出站规则”中加入一条新的规则，新建规则操作如下：点击“新建规则”，选择“端口”和“下一步”，选择“UDP”，并在“特定远程端口中”输入“1900”，点击“下一步”，选择“阻止连接”和“下一步”，选择“域”、“专业（P）”、“公用（U）”和“下一步”，在名称中输入“SSDPDiscovery”，并点击“完成”。

　　（2）在Linux系统操作如下：

　　a.打开/etc/sysconfig/iptables文件（操作以CENTOS 为例），在文件中加入如下规则：

　　-A INPUT -p udp -m udp --sport 1900 -j DROP

　　-A INPUT -p udp -m udp --dport 1900 -j DROP

　　-A OUTPUT -p udp -m udp --sport 1900 -j DROP

　　-A OUTPUT -p udp -m udp --dport 1900 -j DROP

　　b.最后重启防火墙：#service iptablesrestart

　　需要另外说明的，Chargen、NTP、DNS协议也可以在路由器或防火墙配置过滤条件，拦截目的或者源端口为相应服务端口（19 号、123 号、53 号端口等）的所有UDP报文，配置规则可参考上述1900端口的规则格式。

　　SNMP攻击防范配置方法

　　SNMP服务通常用于远程监控网络设备状态，例如路由器、交互机、网络打印机、以及其它联网的嵌入式设备，不同类似的设备SNMP服务配置方式存在差异，有些具备ACL功能，有些缺少相应的访问控制。因此通用的解决方法是在边界防火墙上拦截目的或者源端口为161的UDP报文，具体方式和SSDP等类似。

　　本文针对主机服务配置的防范讨论大致如上。限于篇幅，针对单个协议的防护技术（如应用于DNS 反射攻击防范的Anycast流清洗技术）等相关内容不再详细列出。

　　本文分析了反射DDoS攻击的原理、攻击特点和常见的攻击协议，包括Chargen、NTP、DNS、SNMP 和SSDP 协议，并对攻击相关协议的漏洞进行了详细描述。协议本身的设计缺陷以及配置不当是造成攻击的主要原因。文章最后从不同角度提出了应对该类攻击的防范措施。虽然不能从根本上杜绝攻击的发生，但是强化网络管理的意识和对设备的有效配置可以在一定程度上降低发生反射攻击的可能。



更多精彩文章请登录：https://www.sdi23.com/news.asp

js123077004

千云网络高防服务器
高配置+100G防御 449元/月
-------------------------------
江苏电信/机房
16H/16G/1T SSD  G口 6999元/月
16H/16G/1T 20M 299元/月
16H/16G/120G SSD 20M  399元/月
16H/16G/120G SSD 50M  499元/月
16H/16G/120G SSD 100M 599元/月
-------------------------------
江苏移动机房
16H/16G/1T SSD 1000M  3999元/月
16H/16G/120G SSD 20M  299元/月
16H/16G/120G SSD 50M  399元/月
16H/16G/120G SSD 100M 499元/月
--------------------------------
江苏双线
16H/16G/1T SSD  G口   双线 8999元/月
16H/16G/120G SSD 20M  双线 499元/月  
16H/16G/120G SSD 50M  双线 599元/月  
16H/16G/120G SSD 100M 双线 699元/月  

--------------------------------
江苏BGP云主机/（天翼云（官方价格打折）
1H/1G/80G     48元/月
2H/2G/180G    79元/月
2H/3G/200G   119元/月
4H/3G/220G   149元/月
4H/4G/260G   229元/月
--------------------------------
江苏/电信/联通/移动骨干级线路 不定期特价资源
高配E5/千M/万M/机柜、优惠资源/欢迎咨询：123077004（微信/QQ）电话17766113999徐

qq3250845

DoS（Denial of Service拒绝服务）和DDoS（Distributed Denial of Service分布式拒绝服务）攻击是大型网站和网络服务器的安全威胁之一。2000年2月，Yahoo、亚马逊、CNN被攻击等事例，曾被刻在重大安全事件的历史中。SYN Flood由于其攻击效果好，已经成为目前最流行的DoS和DDoS攻击手段。

　　SYN Flood利用TCP协议缺陷，发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求。一个正常的TCP连接需要三次握手，首先客户端发送一个包含SYN标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓存队列中；如果大量的SYN包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。

　　防火墙通常用于保护内部网络不受外部网络的非授权访问，它位于客户端和服务器之间，因此利用防火墙来阻止DoS攻击能有效地保护内部的服务器。针对SYN Flood，防火墙通常有三种防护方式：SYN网关、被动式SYN网关和SYN中继。

SYN网关 防火墙收到客户端的SYN包时，直接转发给服务器；防火墙收到服务器的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手，让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器能承受连接状态要比半连接状态高得多，所以这种方法能有效地减轻对服务器的攻击。

　　被动式SYN网关 设置防火墙的SYN请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的SYN包，服务器发往客户端的SYN/ACK包、以及客户端发往服务器的ACK包。这样，如果客户端在防火墙计时器到期时还没发送ACK包，防火墙则往服务器发送RST包，以使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此这样能有效防止SYN Flood攻击。

SYN中继 防火墙在收到客户端的SYN包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK包，如果收到客户端的ACK包，表明是正常访问，由防火墙向服务器发送SYN包并完成三次握手。这样由防火墙做为代理来实现客户端和服务器端的连接，可以完全过滤不可用连接发往服务器。

转载：ICMP flood(ICMP洪水攻击)

一、什么是ICMP协议？
ICMP全称Internet Control Message Protocol（网际控制信息协议）。提起ICMP，一些人可能会感到陌生，实际上，ICMP与我们息息相关。在网络体系结构的各层次中，都需要控制，而不同的层次有不同的分工和控制内容，IP层的控制功能是最复杂的，主要负责差错控制、拥塞控制等，任何控制都是建立在信息的基础之上的，在基于IP数据 报的网络体系中，网关必须自己处理数据报的传输工作，而IP协议自身没有内在机制来获取差错信息并处理。为了处理这些错误，TCP/IP设计了ICMP协 议，当某个网关发现传输错误时，立即向信源主机发送ICMP报文，报告出错信息，让信源主机采取相应处理措施，它是一种差错和控制报文协议，不仅用于传输 差错报文，还传输控制报文。

二、ICMP报文格式
ICMP报文包含在IP数据报中，属于IP的一个用户，IP头部就在ICMP报文的前面，所以一个ICMP报文包括IP头部、ICMP头部和ICMP报文（见图表，ICMP报文的结构和几种常见的ICMP报文格式），IP头部的Protocol值为1就说明这是一个ICMP报文，ICMP头部中的类型 （Type）域用于说明ICMP报文的作用及格式，此外还有一个代码（Code）域用于详细说明某种ICMP报文的类型，所有数据都在ICMP头部后面。 RFC定义了13种ICMP报文格式，具体如下：

类型代码   类型描述
0    响应应答（ECHO-REPLY）
3    不可到达
4    源抑制
5    重定向
8    响应请求（ECHO-REQUEST）
11    超时
12    参数失灵
13    时间戳请求
14    时间戳应答
15    信息请求（*已作废）
16    信息应答（*已作废）
17    地址掩码请求
18    地址掩码应答

其中代码为15、16的信息报文已经作废。

下面是几种常见的ICMP报文：
1.响应请求
我们日常使用最多的ping，就是响应请求（Type=8）和应答（Type=0），一台主机向一个节点发送一个Type=8的ICMP报文，如果途中没 有异常（例如被路由器丢弃、目标不回应ICMP或传输失败），则目标返回Type=0的ICMP报文，说明这台主机存在，更详细的tracert通过计算 ICMP报文通过的节点来确定主机与目标之间的网络距离。

2.目标不可到达、源抑制和超时报文
这三种报文的格式是一样的，目标不可到达报文（Type=3）在路由器或主机不能传递数据报时使用，例如我们要连接对方一个不存在的系统端口（端口号小于 1024）时，将返回Type=3、Code=3的ICMP报文，它要告诉我们：“嘿，别连接了，我不在家的！”，常见的不可到达类型还有网络不可到达 （Code=0）、主机不可到达（Code=1）、协议不可到达（Code=2）等。源抑制则充当一个控制流量的角色，它通知主机减少数据报流量，由于ICMP没有恢复传输的报文，所以只要停止该报文，主机就会逐渐恢复传输速率。最后，无连接方式网络的问题就是数据报会丢失，或者长时间在网络游荡而找不到目标，或者拥塞导致主机在规定时间内无法重组数据报分段，这时就要触发ICMP超时报文的产生。超时报文的代码域有两种取值：Code=0表示传输超 时，Code=1表示重组分段超时。

3.时间戳
时间戳请求报文（Type=13）和时间戳应答报文（Type=14）用于测试两台主机之间数据报来回一次的传输时间。传输时，主机填充原始时间戳，接收方收到请求后填充接收时间戳后以Type=14的报文格式返回，发送方计算这个时间差。一些系统不响应这种报文。

三、回到正题：这样的攻击有效吗？
在前面讲过了，ping使用的是ECHO应答，不知道大家注意过没有，ping的返回很慢，用NetXRAY抓包仅为1--5包/秒，这是为什么呢？事实 上，ICMP本身并不慢（由于ICMP是SOCK_RAW产生的原始报文，速度比SOCK_STREAM的SYN和SOCK_DGRAM的UDP要快几乎 10倍！），这样的速度是ping程序故意延迟的（为什么？M$可不想每个人都能用ping来干坏事），同样，我测试过一些号称“ping洪水”的程序， 发现它们的效率和ping.exe没什么两样，经过Dependency Walker查看程序调用的函数发现，他们用的是icmp.dll提供的IcmpSendEcho这个API，这个函数是计算ECHO时间的，速度当然 慢！而那两个“高手”号召的ping攻击实际上就是为了实现ICMP洪水攻击，但是他们用的方法……想想洪水的速度和山涧小溪的速度相差多少吧！就用ping.exe和IcmpSendEcho这种小溪慢慢流淌的速度能做什么？还不是让人家看笑话！这种攻击根本就是浪费自己的时间！（如今还经常有人问 ping -l 65500 -t的攻击威力如何……哎，悲哀啊悲哀……）

四、什么是ICMP洪水？
1.ICMP洪水的成因
ping.exe和IcmpSendEcho速度慢的另一个原因是它们必须等待目标主机返回REPLY信息，这个过程需要花费大量时间，而Flood—— 洪水，顾名思义，是速度极快的，当一个程序发送数据包的速度达到了每秒1000个以上，它的性质就成了洪水产生器，洪水数据是从洪水产生器里出来的，但这 样还不够，没有足够的带宽，再猛的洪水也只能像公路塞车那样慢慢移动，成了鸡肋。要做真正的洪水，就需要有一条足够宽的高速公路才可以。极慢的发送速度+56Kbps小猫等于什么？等于一个未关紧的水龙头，根本没用。
由于ping.exe无法提速，这就需要专门的工具来做洪水了。足够快的数据包速度+足够的带宽，这才是洪水。

2.实现ICMP洪水的前提
最大的前提是攻击者的速度！如果你要用56K拨号去攻击一个512KbpsADSL用户，后果和一只蚂蚁伸腿想绊倒大象的天方夜谭是一样的！其次是你的机器运行速度和数据吞吐量，由于涉及IP校验和的计算（先设置头校验和域的数值为0，然后对整个数据报头按每16位求异或，再把结果取反，就得到了校验和），如果数据处理能力不够，在这步就慢了一个级别，效果当然大打折扣。最后就是目标机器的带宽！如果对方比你大很多（例如你2M ADSL，别人用DDN或T1），那么任何Flood都是无病呻吟，挠痒都不够！（希望不要再问“小金，你的R-Series怎么不好用啊”、“我用小金 的AnGryPing攻击别人半天都没事！”、“独裁者的攻击怎么无效啊？”这样的问题了，天啊，我头都大了！）
还有许多人都忽略的问题：发送的速度与数据包大小成反比，而且太大的数据包会被路由器等设备过滤掉！找到一个合适的数据包大小，对提高Flood的效率有很大帮助！

3.洪水——两败俱伤的攻击方式
别以为洪水无所不能，实际上，你展开洪水攻击时，攻击程序在消耗对方带宽和资源时，也在消耗你的带宽和资源。这只是个看谁撑得住的攻击而已。实际上，有经验的攻击者都是用被控制的服务器（肉鸡）来代替自己的机器发动攻击的，不到万不得已或者你对自己的机器网速有自信，否则尽量少用自己的机器来拼搏！

五、不同方式的ICMP洪水
1.直接Flood
要做这个的首要条件是你的带宽够，然后就是要一个好用的ICMP Flooder，别用ping.exe那种探路用的垃圾，例如我以前发布的AnGryPing，发包速度达到6000---9000包/秒（512Kbps ADSL），默认是32bytes的ECHO报文洪水，用它即使不能flood别人下去，防火墙也叫得够惨的了。直接攻击会暴露自己IP（如果对方没有还击能力那还无所谓，固定IP用户不推荐使用这种Flood），直接Flood主要是为了顾及Win9x/Me不能伪造IP的缺陷，否则一般还是别用为妙。

简单示意图：
                                   ICMP
攻击者[IP=211.97.54.3]--------------------------------->受害者[截获攻击者IP=211.97.54.3]==>换IP回来反击，嘿嘿

2.伪造IP的Flood
如果你是Win2000/XP并且是Administrator权限，可以试试看FakePing，它能随意伪造一个IP来Flood，让对方摸不到头脑，属于比较隐蔽阴险的Flood。

简单示意图：
                            伪造IP=1.1.1.1的ICMP
攻击者[IP=211.97.54.3]--------------------------------->受害者[截获攻击者IP=1.1.1.1]==>倒死

3.反射
用采取这种方式的第一个工具的名称来命名的“Smurf”洪水攻击，把隐蔽性又提高了一个档次，这种攻击模式里，最终淹没目标的洪水不是由攻击者发出的，也不是伪造IP发出的，而是正常通讯的服务器发出的！
实现的原理也不算复杂，Smurf方式把源IP设置为受害者IP，然后向多台服务器发送ICMP报文（通常是ECHO请求），这些接收报文的服务器被报文欺骗，向受害者返回ECHO应答（Type=0），导致垃圾阻塞受害者的门口……
从示意图可以看出，它比上面两种方法多了一级路径——受骗的主机（称为“反射源”），所以，一个反射源是否有效或者效率低下，都会对Flood效果造成影响！

简单示意图：
                            伪造受害者的ICMP                    应答
攻击者[IP=211.97.54.3]-------------------------->正常的主机--------------->受害者[截获攻击者IP=……网易？！]==>哭啊……

以上是几种常见的Flood方式，在测试中，我发现一个有趣的现象：一些防火墙（如天网）只能拦截ECHO请求（Ping）的ICMP报文，对于其他 ICMP报文一概睁只眼闭只眼，不知道其他防火墙有没有这个情况。所以想神不知鬼不觉对付你的敌人时，请尽量避开直接ECHO Flood，换用Type=0的ECHO应答或Type=14的时间戳应答最好，其他类型的ICMP报文没有详细测试过，大家可以试试看Type=3、 4、11的特殊报文会不会有更大效果。

六、ICMP Flood能防吗？
先反问你一个问题：洪水迅猛的冲来时，你能否拿着一个脸盆来抵挡？（坐上脸盆做现代鲁宾逊倒是个不错的主意，没准能漂到MM身边呢）
软件的网络防火墙能对付一些漏洞、溢出、OOB、IGMP攻击，但是对于洪水类型的攻击，它们根本无能为力，我通常对此的解释是“倾倒垃圾”：“有蟑螂或老鼠在你家门前逗留，你可以把它们赶走，但如果有人把一车垃圾倾倒在你家门口呢？”前几天看到mikespook大哥对此有更体面的解释，转载过来——“香蕉皮原理：如果有人给你一个香蕉和一个香蕉皮你能区分，并把没有用的香蕉皮扔掉。（一般软件防火墙就是这么判断并丢弃数据包的。）但是如果有人在同一时 间内在你身上倒一车香蕉皮，你再能区分有用没用也没啥作用了~~因为你被香蕉皮淹没了~~~~（所以就算防火墙能区分是DoS的攻击数据包，也只能识别， 根本来不及丢弃~~死了，死了，死了~~）”
所以，洪水没法防！能做的只有提高自己的带宽和预防洪水的发生（虽然硬件防火墙和分流技术能做到，但那价格是太昂贵的，而且一般人也没必要这样做）。
如果你正在被攻击，最好的方法是抓取攻击者IP（除非对方用第一种，否则抓了没用——假的IP）后，立即下线换IP！（什么？你是固定IP？没辙了，打电话找警察叔叔吧）

七、被ICMP Flood攻击的特征
如何发现ICMP Flood？
当你出现以下症状时，就要注意是否正被洪水攻击：
1.传输状态里，代表远程数据接收的计算机图标一直亮着，而你没有浏览网页或下载
2.防火墙一直提示有人试图ping你
3.网络速度奇慢无比
4.严重时系统几乎失去响应，鼠标呈跳跃状行走

如果出现这些情况，先不要慌张，冷静观察防火墙报警的频率及IP来确认是否普通的Ping或是洪水，做出相应措施（其实大多数情况也只能换IP了）。
1.普通ping
这种“攻击”一般是对方扫描网络或用ping -t发起的，没多大杀伤力（这个时候，防火墙起的作用就是延迟攻击者的数据报发送间隔时间，请别关闭防火墙！否则后果是严重的！），通常表现如下：
==============================================================
[13:09:20] 61.151.252.106 尝试用Ping 来探测本机，
            该操作被拒绝。

[13:09:24]61.151.252.106 尝试用Ping 来探测本机，
            该操作被拒绝。

qq3250845

CC攻击原理及防范新思路

qq3250845

近年来，大量由僵尸网络驱动的DDoS攻击利用了成千上万的被感染的物联网，通过向受害者网站发起大量的流量为攻击手段，最终造成严重后果。常年以来的顽疾DDoS似乎难以根治，那到底是否存在一些有效的遏制方法呢？

DDoS攻击

恒欣网络预计，到2020年全球将有超过200亿的物联网设备产生联接，并且日均还会有约550万台设备加入到网络环境，届时有超过半数的商业系统内置物联网组件。对此，传统的桌面安全和本地防火墙是难以抵御新型网络攻击的，黑客只需要截获某一个连接工具就能切入到设备端。

越来越多的物联网设备正沦为DDoS的盘中餐，隐私逐渐成为网络交互的重要组成部分，在勒索软件和各种流氓软件随处可见的今天，很多攻击手段却变得难以被探测，因此物联网的加密措施至关重要。

考虑到物联网的设备形态和功能千奇百怪，从终端、无线接入、网关，再到云平台，涉及的环节众多，要知道不少设备使用的操作系统也是不统一的，不是定制的就是非标准的，无形中为运维人员增加了负担。

一些支持物联网的对象拥有动态特性，例如汽车和车辆，或其他控制关键系统的设备。赛门铁克预计，针对控制关键基础设施的物联网设备的攻击数量将不断增加，如配电与通信网络。

随着更多的员工以个人为单位使用智能音箱、穿戴设备、智能家居等产品，安全风险的入口也越来越多，而且像工业类企业用到的传感器也越来越细分，包括具有WiFi功能的恒温器控制的采暖通风和HVAC系统等等，这些传感器在接入核心网的时候很可能没有经过IT运维团队的授权。一项调查显示，大多数企业并没有觉察到物联网或工业物联网的无线网络，与企业基础设施是分离的。

当然，敲诈勒索对DDoS世界来说并不陌生，但要看看攻击者是如何利用敲诈勒索的也很有意思。早期的勒索程序像DD4BC，会发送不知名的电子邮件，包括攻击和支付信息，日期和截止日期，以及小型攻击，同时威胁更大的攻击和更大的支出，如果受害者合作不能令人满意，就可能会遭殃了。

像DDoS世界中的Memcached，攻击者广泛而迅速地采用了各种规模的跨组织和行业攻击，并且不久就能想出将威胁转化为商机的方法。

另一个趋势是，2019年，越来越多的攻击者将试图访问家庭路由器与其他物联网中心，以捕获经过这些路由器或中心的数据。例如，入侵这些路由器中的恶意软件可以窃取银行凭证、捕获信用卡号或向用户显示用于**敏感信息的虚假恶意网页。也就是说，攻击者通过新的方式利用家庭Wi-Fi路由器，以及其他安全性较差的物联网设备来进行攻击。

由此，引伸出来的重要问题是，到底怎样才能有效抵御或者说有效遏制DDoS攻击呢？首先，用户要去尝试了解攻击来自于何处，原因是黑客在攻击时所调用的IP地址并不一定是真实的，一旦掌握了真实的地址段，可以找到相应的码段进行隔离，或者临时过滤。同时，如果连接核心网的端口数量有限，也可以将端口进行屏蔽。

相较被攻击之后的疲于应对，有完善的安全机制无疑要更好。有些人可能会选择大规模部署网络基础设施，但这种办法只能拖延黑客的攻击进度，并不能解决问题。与之相比的话，还不如去“屏蔽”那些区域性或者说临时性的地址段，减少受攻击的风险面。

此外，还可以在骨干网、核心网的节点设置防护墙，这样在遇到大规模攻击时可以让主机减少被直接攻击的可能。考虑到核心节点的带宽通常较高，容易成为黑客重点“关照”的位置，所以定期扫描现有的主节点，发现可能导致风险的漏洞，就变得非常重要。

根据此前与从安全厂商了解到的消息，多层防护DDoS攻击的方法仍然适用。例如，驻地端防护设备必须24小时全天候主动侦测各类型DDoS攻击，包括流量攻击、状态耗尽攻击与应用层攻击；为了避免出现上述防火墙等设备存在的弊端，用户应该选择无状态表架构的防护设备利用云平台、大数据分析，积累并迅速察觉攻击特征码，建立指纹知识库，以协助企业及时侦测并阻挡恶意流量攻击。

像以上的抵御方法还有一些， 如 限制SYN/ICMP流量、过滤所有RFC1918 IP地址等等，但归根结底，还是要从根源上进行有效遏制，不要等出了问题再去想办法，这也是DDoS攻击“不绝于耳”的原因。



更多精彩文章请登录：https://www.sdi23.com/news.asp

qq3250845

分布式拒绝服务(DDoS)攻击已经进入了1 Tbps的DDoS攻击时代。然而，Radware研究显示，DDoS攻击不仅规模越来越大；也越来越复杂。黑客们不断提出新的可以绕过传统DDoS防护措施的创新方法，损害企业的服务可用性。

在线安全提供商正在加快脚步，推出新技术来阻止攻击者。然而，并不是所有的DDoS防护措施都是生来平等的。DDoS防护服务的质量和所能提供的的防护措施有很大差别。

为了确保能够防御最新和最强大的DDoS攻击，企业必须确定其安全提供商可以提供应对这些最新威胁的最佳工具和技术。

DDoS防护技术

以下是企业现代DDoS防护措施中的5项必备功能：

必备功能1：应用层DDoS防护

应用层(L7) DDoS攻击已经超过网络层(L3/4)攻击，成为了最广泛的攻击矢量。据Radware 2017-2018年ERT报告称，64%的企业都面临着应用层攻击，相比之下，面临网络层攻击的企业仅为51%。

事实上，据ERT报告称，在所有攻击类型中(包括网络层和应用层)，HTTP洪水是排名第一的攻击矢量。此外，SSL、DNS和SMTP攻击也是常见的应用层攻击类型。

许多在线安全服务都承诺可以通过WAF实现L7层DDoS防护。然而，这通常需要在DDoS防护机制的基础之上订阅昂贵的附加WAF服务。

这些趋势暗示了，现代DDoS防护已经不只是为了防御网络层DDoS攻击。为了让企业得到充分保护，现代DDoS防护措施必须包含可以防御应用层(L7)攻击的内置防御措施。

必备功能2：SSL DDoS洪水防护

目前，加密流量占了互联网流量的一大部分。根据Mozilla的Let’s Encrypt项目，全球70%以上的网站都是通过HTTPS传输的，这一比例在美国和德国等市场中更高。这些发现在Radware最新的ERT报告中都有所体现，目前，96%的企业都在一定程度上采用了SSL，其中60%的企业证实了，他们的大部分流量都是经过加密的。

然而，这种增长也带来了重大的安全挑战：与常规请求相比，加密请求可能需要高达15倍以上的服务器资源。这就意味着，复杂的攻击者即使利用少量流量也可以击垮一个网站。

由于越来越多的流量都是经过加密的，SSL DDoS洪水成为了黑客越来越常用的攻击矢量。据Radware最新的ERT报告称，过去一年间，30%的企业都声称遭受了基于SSL的攻击。

鉴于基于SSL的DDoS攻击的威力，对希望得到充分保护的企业而言，可以防御SSL DDoS洪水的高水平防护措施是必不可少的。

必备功能3：零日防护

攻击者在不断寻找新的方法，绕过传统的安全机制，并利用前所未见的攻击方法攻击企业。即使对攻击特征码做一些微小修改，黑客也能创造出手动特征码无法识别的攻击。这类攻击通常被称为“零日”攻击。

例如，一种常见的零日攻击就是脉冲式DDoS攻击，在切换到另一个攻击矢量之前，该攻击会利用高容量攻击的短时脉冲。这些攻击通常会结合许多不同的攻击矢量，依赖需要手动优化的传统安全解决方案的企业在面对这些打了就跑的战术时往往会陷入困境。

另一类零日攻击是放大攻击。放大攻击通常会采用请求和响应包大小严重不对称的通信协议。此类攻击会将流量从不参与攻击的第三方服务器上反射出来，放大攻击流量，进而击垮攻击目标。

据Radware 2017-2018年ERT报告称，42%的企业都遭受了脉冲式攻击，40%的企业声称遭受了放大DDoS攻击。这些趋势说明了零日攻击防护功能在现代DDoS防护机制中的必要性。

必备功能4：行为防护

由于DDoS攻击变得越来越复杂，区分合法流量和恶意流量也随之变得越来越困难。对于可以模仿合法用户行为的应用层(L7) DDoS攻击而言尤为如此。

许多安全厂商采用的常见机制就是基于流量阈值来检测攻击，并使用速率限制来限制流量峰值。然而，这是一种非常粗糙的攻击拦截方式，因为此方法无法区分合法流量和恶意流量。在流量显著增加的购物季等活动高峰期，这是一个非常严重的问题。速率限制等单一的防护机制无法区分合法流量和攻击流量，最终会拦截合法用户。

然而，一种可以更有效检测并拦截攻击的方法就是采用了解什么是正常用户行为的行为分析技术，并拦截所有不符合这种行为的流量。这不仅可以提供更高水平的防护，而且可以实现更低的误报率，并且不会在流量高峰期拦截合法用户。

因此，采用了基于行为分析的检测(和缓解)的DDoS防护措施确实是有效的DDoS防护中的必备功能。

必备功能5：详尽的SLA

企业服务水平协议(SLA)是企业安全提供商承诺为其提供的保障。毫不夸张的说，企业安全完全取决于企业的SLA。许多安全厂商都大肆宣扬自己的能力，但一旦到了要做出实际承诺的时候，他们的宣扬就会化为泡影。

为了确保企业能获得安全厂商宣传手册上描述的所有服务，企业需要告诉安全厂商要采取切实措施，并提供详细的SLA，其中包括对检测、缓解和可用性指标的具体承诺。SLA必须涵盖整个DDoS攻击生命周期，以便确保企业在任何场景下都能得到充分的保护。

如果企业的安全提供商无法提供此类承诺，企业就应该对该厂商能否提供高质量的DDoS攻击防护产生怀疑。这也是细粒度SLA能成为现代DDoS防护措施中必备功能的原因。