全球第一免费源码下载基地!
 首 页文章中心下载中心繁體中文
首页 ASP源码 | PHP源码 | CGI源码 | JSP源码 | .NET源码 | flash源码 | 其它源码 | 网页模板 | 常用软件 | 字体下载 | 视频教程
站长学院 | 网络编程 | 网页设计 | 图形图像 | 操作系统 | 数据库 | 多媒体 | 黑客攻防 | 编程开发 | Seo专区 | 小说连载
您当前的位置:中文源码之家 -> 黑客攻防 -> 基础知识 -> 文章内容 退出登录 用户管理
栏目导航
· 基础知识 · 安全防范
· 其他相关 · 防 火 墙
· 破解学院
热门文章
· [推荐] 卡巴斯基v6.0..
· [新闻] 超级解霸3500..
· [推荐] 冰点还原精灵..
· [组图] 一键GHOST硬盘..
· [组图] PQMagic──硬..
· [新闻] 2006年世界顶..
· [图文] 一键GHOST 优..
· [推荐] 征途小宝外挂..
· [新闻] 下载:IE 7 简..
· ASP自动解压RAR文件..
相关文章
· 用asp自动解析网页中..
· [组图] ASP编程入门进..
· 如何防止ASP木马在服..
· ASP在服务器自动解压..
· 架设基于LINUX的服务..
· 部分网络DNS服务器全..
· [新闻] Q号Q币频频被..
· [图文] 升级服务忙中..
· 站长手册:WIN2003下..
· [图文] 架设基于Linu..
精彩激情游戏推荐
服务器防范拒绝服务攻击妙招
作者:佚名  来源:转载  发布时间:2005-8-4 16:55:13  发布人:hncj

减小字体 增大字体

目前网络中有一种攻击让网络管理员最为头疼,那就是拒绝服务攻击,简称DOS和DDOS。它是一种滥用资源性的攻击,目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。

今天就笔者公司管理服务器的经验为各位读者介绍几个简单有效的防范拒绝服务攻击的方法,虽然不能彻底防护,但在与DDOS的战斗中可以最大限度降低损失。

1、如何发现攻击

在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况,如果发现服务器突然超负载运作,性能突然降低,这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况呢?按照下面两个原则即可确定受到了攻击。

(1)网站的数据流量突然超出平常的十几倍甚至上百倍,而且同时到达网站的数据包分别来自大量不同的IP。

(2)大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分,往往指向你机器任意的端口。比如你的网站是Web服务器,而数据包却发向你的FTP端口或其它任意的端口。

2、BAN IP地址法

确定自己受到攻击后就可以使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效,因为DOS往往来自少量IP地址,而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦,需要我们对IP地址分析,将真正攻击的IP地址屏蔽。

不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙,然后根据防火墙的日志分析来访者的IP,发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。

当然直接在服务器上过滤会耗费服务器的一定系统资源,所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段,然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0,而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。

cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。(如图)

点击看大图

小提示:在访问控制列表中表示子网掩码需要使用反向掩码,也就是说0.0.255.255表示子网掩码为255.255.0.0 。

3、增加SYN缓存法

上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能,自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。

修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。

(1)WIN2003下拒绝访问攻击的防范:

第一步:“开始->运行->输入regedit”进入注册表编辑器。

第二步:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时,如果系统检测到存在SYN攻击,连接响应的超时时间将更短。

第三步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

第四步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的MTU大小,降低服务器总体负荷。

第五步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand
设置为1。


(2)WIN2000下拒绝访问攻击的防范:

在WIN2000下拒绝访问攻击的防范方法和2003基本相似,只是在设置数值上有些区别。我们做下简单介绍。

第一步:将SynAttackProtect设置为2。

第二步:将EnableDeadGWDetect设置为0。

第三步:将EnablePMTUDiscovery设置为0。

第四步:将KeepAliveTime设置为300000。

第五步:将NoNameReleaseOnDemand设置为1。

总结:经过上面介绍的察觉攻击法,BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点,实际上没有一台服务器能够彻底防范它,即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天介绍的几个方法只是免费的防范手段,实际中能起到一定的效果。

[] [返回上一页] [打 印] [收 藏]
上一篇文章:防病毒的8点常识
下一篇文章:Cisco IOS 基本命令集
∷相关文章评论∷    (评论内容只代表网友观点,与本站立场无关!) [更多评论...]
关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图
Copyright 2005-2006 Chcodes.Com.中文源码之家 All Rights Reserved .
Powered by:NewAsp SiteManageSystem Version 2.1 SP1 1030