DDOS攻击器是干什么的
展开全部 DDoS攻击概念DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。
随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。
你理解了DoS攻击的话,它的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。
在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。
而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
攻击运行原理http://www-128.ibm.com/developerworks/cn/security/se-ddos/fig1.gif如果是自己DDOS攻击那么一般会没有效果,有专门的DDOS攻击组织,不过是要花钱滴。
...
DDOS攻击器的攻击种类
受害主机在 DDoS 攻击下,明显特征就是大量的不明数据报文流向受害主机,受害主机的网络接入带宽被耗尽,或者受害主机的系统资源(存储资源和计算资源)被大量占用,甚至发生死机。
前者可称为带宽消耗攻击,后者称为系统资源消耗攻击。
两者可能单独发生,也可能同时发生。
1 带宽消耗攻击DDoS带宽消耗攻击主要为直接洪流攻击。
直接洪流攻击采取了简单自然的攻击方式,它利用了攻击方的资源优势,当大量代理发出的攻击流汇聚于目标时,足以耗尽其 Internet 接入带宽。
通常用于发送的攻击报文类型有:TCP报文(可含TCP SYN报文),UDP报文,ICMP报文,三者可以单独使用,也可同时使用。
1.1 TCP洪流攻击在早期的DoS攻击中,攻击者只发送TCP SYN报文,以消耗目标的系统资源。
而在 DDoS 攻击中,由于攻击者拥有更多的攻击资源,所以攻击者在大量发送TCP SYN报文的同时,还发送ACK, FIN, RST报文以及其他 TCP 普通数据报文,这称为 TCP 洪流攻击。
该攻击在消耗系统资源(主要由 SYN,RST 报文导致)的同时,还能拥塞受害者的网络接入带宽。
由于TCP协议为TCP/IP协议中的基础协议,是许多重要应用层服务(如WEB 服务,FTP 服务等)的基础,所以TCP洪流攻击能对服务器的服务性能造成致命的影响。
据研究统计,大多数DDoS攻击通过TCP洪流攻击实现。
1.2UDP 洪流攻击用户数据报协议(UDP)是一个无连接协议。
当数据包经由UDP协议发送时,发送双方无需通过三次握手建立连接, 接收方必须接收处理该数据包。
因此大量的发往受害主机 UDP 报文能使网络饱和。
在一起UDP 洪流攻击中,UDP 报文发往受害系统的随机或指定端口。
通常,UDP洪流攻击设定成指向目标的随机端口。
这使得受害系统必须对流入数据进行分析以确定哪个应用服务请求了数据。
如果受害系统在某个被攻击端口没有运行服务,它将用 ICMP 报文回应一个“目标端口不可达”消息。
通常,攻击中的DDoS工具会伪造攻击包的源IP地址。
这有助于隐藏代理的身份,同时能确保来自受害主机的回应消息不会返回到代理。
UDP洪流攻击同时也会拥塞受害主机周围的网络带宽(视网络构架和线路速度而定)。
因此,有时连接到受害系统周边网络的主机也会遭遇网络连接问题。
1.3 ICMP洪流攻击Internet 控制报文协议传递差错报文及其它网络管理消息,它被用于定位网络设备,确定源到端的跳数或往返时间等。
一个典型的运用就是 Ping 程序,其使用 ICMP_ECHO REQEST 报文,用户可以向目标发送一个请求消息,并收到一个带往返时间的回应消息。
ICMP 洪流攻击就是通过代理向受害主机发送大量ICMP_ECHO_ REQEST)报文。
这些报文涌往目标并使其回应报文,两者合起来的流量将使受害主机网络带宽饱和。
与UDP洪流攻击一样,ICMP洪流攻击通常也伪造源IP地址。
2 系统资源消耗攻击DDoS系统资源消耗攻击包括恶意误用 TCP/IP 协议通信和发送畸形报文两种攻击方式。
两者都能起到占用系统资源的效果。
具体有以下几种:TCP SYN攻击。
DoS的主要攻击方式,在DDoS攻击中仍然是最常见的攻击手段之一。
只不过在 DDoS 方式下,它的攻击强度得到了成百上千倍的增加。
TCP PSH+ACK 攻击。
在 TCP 协议中,到达目的地的报文将进入 TCP栈的缓冲区,直到缓冲区满了,报文才被转送给接收系统。
此举是为了使系统清空缓冲区的次数达到最小。
然而,发送者可通过发送 PSH 标志为 1 的TCP 报文来起强制要求接受系统将缓冲区的内容清除。
TCP PUSH+ACK 攻击与 TCP SYN 攻击一样目的在于耗尽受害系统的资源。
当代理向受害主机发送PSH和ACK标志设为1的TCP报文时, 这些报文将使接收系统清除所有 TCP 缓冲区的数据(不管缓冲区是满的还是非满),并回应一个确认消息。
如果这个过程被大量代理重复,系统将无法处理大量的流入报文。
畸形报文攻击。
顾名思义,畸形报文攻击指的是攻击者指使代理向受害主机发送错误成型的IP报文以使其崩溃。
有两种畸形报文攻击方式。
一种是IP 地址攻击,攻击报文拥有相同的源 IP 和目的 IP 地址。
它能迷惑受害主机的操作系统,并使其消耗大量的处理能力。
另一个是IP报文可选段攻击。
攻击报文随机选取IP报文的可选段并将其所有的服务比特值设为1。
对此,受害系统不得不花费额外的处理时间来分析数据包。
当发动攻击的代理足够多时,受害系统将失去处理能力。
3 应用层攻击典型如国内流行的传奇假人攻击,这种攻击利用傀儡机,模拟了传奇服务器的数据流,能够完成普通传奇戏服务器的注册、登陆等功能,使得服务器运行的传奇游戏内出现大量的假人,影响了正常玩家的登陆和游戏,严重时完全无法登陆。
DDOS攻击器是干什么的
DDoS攻击概念DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。
单一的DoS攻击一般是采用一对一方式的,当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。
随着计算机与网络技术的发展,计算机的处理能力迅速增长,内存大大增加,同时也出现了千兆级别的网络,这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少,例如你的攻击软件每秒钟可以发送3,000个攻击包,但我的主机与网络带宽每秒钟可以处理10,000个攻击包,这样一来攻击就不会产生什么效果。
这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。
你理解了DoS攻击的话,它的原理就很简单。
如果说计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用的话,攻击者使用10台攻击机同时攻击呢?用100台呢?DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。
高速广泛连接的网络给大家带来了方便,也为DDoS攻击创造了极为有利的条件。
在低速网络时代时,黑客占领攻击用的傀儡机时,总是会优先考虑离目标网络距离近的机器,因为经过路由器的跳数少,效果好。
而现在电信骨干节点之间的连接都是以G为级别的,大城市之间更可以达到2.5G的连接,这使得攻击可以从更远的地方或者其他城市发起,攻击者的傀儡机位置可以在分布在更大的范围,选择起来更灵活了。
攻击运行原理http://www-128.ibm.com/developerworks/cn/security/se-ddos/fig1.gif如果是自己DDOS攻击那么一般会没有效果,有专门的DDOS攻击组织,不过是要花钱滴。
那个有DDOS攻击软件,求免费无毒的。
官僚主义体制地区会写这个的不到100,比付锅级及以上数量还少。
通常这样的软件他们要卖几千一个的终生版,但是他们不会卖给你捉鸡软件,这是他们赚取盲拧的利器。
通常是一毛或两毛一鸡,大约1000只鸡能打瘫一台/次小型服务器(例如网游私服)。
5000-1W只鸡能打瘫一台/次中型服务器(例如大型的网游页游)5W-10W只鸡能打瘫一次大型服务器,例如搜胡,疼讯等上市网站公司。
500W-1000W只鸡能打瘫一次南信北通的云计算服务器,造成敌方损失上E。
所以楼主的要求属于空想主义,想要技术主义为你服务,就得付出您所积累的奴隶的血汗。
DDOS网站攻击软件
DoS攻击、DDoS攻击和DRDoS攻击相信大家已经早有耳闻了吧!DoS是Denial of Service的简写就是拒绝服务,而DDoS就是Distributed Denial of Service的简写就是分布式拒绝服务,而DRDoS就是Distributed Reflection Denial of Service的简写,这是分布反射式拒绝服务的意思。
不过这3中攻击方法最厉害的还是DDoS,那个DRDoS攻击虽然是新近出的一种攻击方法,但它只是DDoS攻击的变形,它的唯一不同就是不用占领大量的“肉鸡”。
这三种方法都是利用TCP三次握手的漏洞进行攻击的,所以对它们的防御办法都是差不多的。
DoS攻击是最早出现的,它的攻击方法说白了就是单挑,是比谁的机器性能好、速度快。
但是现在的科技飞速发展,一般的网站主机都有十几台主机,而且各个主机的处理能力、内存大小和网络速度都有飞速的发展,有的网络带宽甚至超过了千兆级别。
这样我们的一对一单挑式攻击就没有什么作用了,搞不好自己的机子就会死掉。
举个这样的攻击例子,假如你的机器每秒能够发送10个攻击用的数据包,而被你攻击的机器(性能、网络带宽都是顶尖的)每秒能够接受并处理100攻击数据包,那样的话,你的攻击就什么用处都没有了,而且非常有死机的可能。
要知道,你若是发送这种1Vs1的攻击,你的机器的CPU占用率是90%以上的,你的机器要是配置不够高的话,那你就死定了。
不过,科技在发展,黑客的技术也在发展。
正所谓道高一尺,魔高一仗。
经过无数次当机,黑客们终于又找到一种新的DoS攻击方法,这就是DDoS攻击。
它的原理说白了就是群殴,用好多的机器对目标机器一起发动DoS攻击,但这不是很多黑客一起参与的,这种攻击只是由一名黑客来操作的。
这名黑客不是拥有很多机器,他是通过他的机器在网络上占领很多的“肉鸡”,并且控制这些“肉鸡”来发动DDoS攻击,要不然怎么叫做分布式呢。
还是刚才的那个例子,你的机器每秒能发送10攻击数据包,而被攻击的机器每秒能够接受100的数据包,这样你的攻击肯定不会起作用,而你再用10台或更多的机器来对被攻击目标的机器进行攻击的话,嘿嘿!结果我就不说了。
DRDoS分布反射式拒绝服务攻击这是DDoS攻击的变形,它与DDoS的不同之处就是DrDoS不需要在攻击之前占领大量的“肉鸡”。
它的攻击原理和Smurf攻击原理相近,不过DRDoS是可以在广域网上进行的,而Smurf攻击是在局域网进行的。
它的作用原理是基于广播地址与回应请求的。
一台计算机向另一台计算机发送一些特殊的数据包如ping请求时,会接到它的回应;如果向本网络的广播地址发送请求包,实际上会到达网络上所有的计算机,这时就会得到所有计算机的回应。
这些回应是需要被接收的计算机处理的,每处理一个就要占用一份系统资源,如果同时接到网络上所有计算机的回应,接收方的系统是有可能吃不消的,就象遭到了DDoS攻击一样。
不过是没有人笨到自己攻击自己,不过这种方法被黑客加以改进就具有很大的威力了。
黑客向广播地址发送请求包,所有的计算机得到请求后,却不会把回应发到黑客那里,而是发到被攻击主机。
这是因为黑客冒充了被攻击主机。
黑客发送请求包所用的软件是可以伪造源地址的,接到伪造数据包的主机会根据源地址把回应发出去,这当然就是被攻击主机的地址。
黑客同时还会把发送请求包的时间间隔减小,这样在短时间能发出大量的请求包,使被攻击主机接到从被欺骗计算机那里传来的洪水般的回应,就像遭到了DDoS攻击导致系统崩溃。
骇客借助了网络中所有计算机来攻击受害者,而不需要事先去占领这些被欺骗的主机,这就是Smurf攻击。
而DRDoS攻击正是这个原理,黑客同样利用特殊的发包工具,首先把伪造了源地址的SYN连接请求包发送到那些被欺骗的计算机上,根据TCP三次握手的规则,这些计算机会向源IP发出SYN+ACK或RST包来响应这个请求。
同Smurf攻击一样,黑客所发送的请求包的源IP地址是被攻击主机的地址,这样受欺骗的主机就都会把回应发到被攻击主机处,造成被攻击主机忙于处理这些回应而瘫痪。
通过 TCP 进行的内部蠕虫传播连接表安全漏洞利用蠕虫传播期间的未决域名系统 (DNS) 安全漏洞利用淹没攻击期间的连续 TCP 连接使用现有连接的超文本传输协议 (HTTP) DDoS
DDOS攻击 流量攻击
DDOS的产生 DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。
近几年由于宽带的普及,很多网站开始盈利,其中很多非法网站利润巨大,造成同行之间互相攻击,还有一部分人利用网络攻击来敲诈钱财。
同时windows 平台的漏洞大量的被公布, 流氓软件,病毒,木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。
攻击已经成为互联网上的一种最直接的竞争方式,而且收入非常高,利益的驱使下,攻击已经演变成非常完善的产业链。
通过在大流量网站的网页里注入病毒木马,木马可以通过windows平台的漏洞感染浏览网站的人,一旦中了木马,这台计算机就会被后台操作的人控制,这台计算机也就成了所谓的肉鸡,每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售,因为利益需要攻击的人就会购买,然后遥控这些肉鸡攻击服务器。
被DDoS攻击时的现象 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包,源地址为假 制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求 严重时会造成系统死机 大级别攻击运行原理 一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。
请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。
对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。
在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
有的朋友也许会问道:"为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?"。
这就是导致DDoS攻击难以追查的原因之一了。
做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。
在占领一台机器后,高水平的攻击者会首先做两件事:1. 考虑如何留好后门!2. 如何清理日志。
这就是擦掉脚印,不让自己做的事被别人查觉到。
比较不敬业的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。
相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。
这样可以长时间地利用傀儡机。
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。
这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。
但如果这是控制用的傀儡机的话,黑客自身还是安全的。
控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
DDOS的主要几个攻击 SYN变种攻击 发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。
TCP混乱数据包攻击 发送伪造源IP的 TCP数据包,TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等,会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。
针对用UDP协议的攻击 很多聊天室,视频音频软件,都是通过UDP数据包传输的,攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截, 针对WEB Server的多连接攻击 通过控制大量肉鸡同时连接访问网站,造成网站无法处理瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封, 针对WEB Server的变种攻击 通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了,因为每个肉鸡可能只建立一个或者只建立少量的连接。
这种攻击非常难防护,后面给大家介绍防火墙的解决方案 针对WEB Server的变种攻击 通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析,这种攻击,不发送GET请求就可以绕过防火墙...
谁有DDoS攻击软件 急!!!
购买防火墙无疑是最为常规的防御措施,但是由于带宽有限的,传统的防火墙当遇到大流量的Ddos攻击的时候就会大大降低其推土量,网络很快就会被堵死,防火墙接入的带宽就耗尽了,最后网络还是会被攻击瘫痪,若另外购买千兆级带宽,用户将会负担高额的防护费用。
中国网域网与上海电信-在线电子商务、金盾防火墙三家巨头合力打造Ddos攻击防护区,此次建立的Ddos攻击防护区域,目前是上海电信最大的Ddos攻击防护区域,其主要由上海电信提供带宽、上海网域提供网络设备、技术支持、实时动态监控,中新软件提供金盾防火墙,共同打造上海Ddos攻击安全区。
相对其它同样的DDos防火墙来说,该防护区域拥有网络运营商所提供的充足网络资源,可为防火墙提供足够的千兆以上的带宽,最终有效地彻底的防御大部分已知的Ddos攻击。
从成本来考虑该DDos防护区域由网络运营商提供充足的抗攻击带宽,由专业的抗DDos防火墙厂商提供专业的防火墙,由国内知名IDC运营商提供7x24的技术支持。
成本将是传统抗DDos防御解决方案的1/10。
效果则要远远优于传统的DDos防火墙。
怎样防御DDOS攻击?
一、拒绝服务攻击的发展 从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS。
那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。
而DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。
DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。
如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。
所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。
二、预防为主保证安全 DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。
(1)定期扫描 要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。
骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。
而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置专业的抗拒绝服务设备 抗拒绝服务设备针对目前广泛存在的DOS、DDOS等攻击而设计,为您的网站、信息平台、基于Internet的服务等提供完善的保护,使其免受别有用心之人的攻击、破坏。
这类产品在国内应用较为广泛的有绿盟、中新金盾。
(3)用足够的机器承受黑客攻击 这是一种较为理想的应对策略。
如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。
不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源 所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。
当网络被攻击时最先死掉的是路由器,但其他机器没有死。
死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。
若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。
特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。
从而最大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口 可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口,即在路由器上过滤假IP。
比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较,并加以过滤。
只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源 使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。
许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。
因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(7)过滤所有RFC1918 IP地址 RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。
此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
(8)限制SYN/ICMP流量 用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。
早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
三、寻找机会应对攻击 如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。
因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。
但是,用户还是可以抓住机会寻求一线希望的。
(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。
如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把攻击屏蔽掉。
若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。
不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。
虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规...
转载请注明出处51数据库 » ddos攻击软件botnet