DDOS(Denial of Service)攻擊是一種很簡(jiǎn)單但又很有效的進(jìn)攻方式,能夠利用合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使合法用戶無(wú)法得到服務(wù)。DDOS(Distributed Denial of Service)是一種基于DOS的特殊形式的拒絕服務(wù)攻擊,攻擊者通過(guò)事先控制大批傀儡機(jī),并控制這些設(shè)備同時(shí)發(fā)起對(duì)目標(biāo)的DOS攻擊,具有較大的破壞性。
常見(jiàn)的DOS/DDOS攻擊可以分為兩大類:一類是針對(duì)系統(tǒng)漏洞的的攻擊如Ping of Death、TearDrop等,例如淚滴(TearDrop)攻擊利用在 TCP/IP協(xié)議棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)攻擊,IP 分段含有指示該分段所包含的是原包的哪一段信息,某些 TCP/IP協(xié)議棧(例如NT 在service pack 4 以前)在收到含有重疊偏移的偽造分段時(shí)將崩潰。另一類是帶寬占用型攻擊比較典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意義,利用TCP協(xié)議建連的特點(diǎn)完成攻擊。通常一次TCP連接的建立包括3個(gè)步驟,客戶端發(fā)送SYN包給服務(wù)器端,服務(wù)器分配一定的資源給這里連接并返回 SYN/ACK包,并等待連接建立的最后的ACK包,最后客戶端發(fā)送ACK報(bào)文,這樣兩者之間的連接建立起來(lái),并可以通過(guò)連接傳送資料了。而SYN Flood攻擊的過(guò)程就是瘋狂發(fā)送SYN報(bào)文,而不返回ACK報(bào)文,服務(wù)器占用過(guò)多資源,而導(dǎo)致系統(tǒng)資源占用過(guò)多,沒(méi)有能力響應(yīng)別的操作,或者不能響應(yīng)正常的網(wǎng)絡(luò)請(qǐng)求。
很多企業(yè)網(wǎng)站和個(gè)人網(wǎng)站都不止一次地遭遇過(guò)DoS/DDoS攻擊,由此也積累了一些“亡羊補(bǔ)牢”的經(jīng)驗(yàn)。前車之鑒能夠提醒我們注意:“為什么我們這樣容易受到攻擊?如何才能防患于未然降低受攻擊的風(fēng)險(xiǎn)?”下面列出的就是我收集的十個(gè)預(yù)防、應(yīng)對(duì)DoS/DDoS攻擊的有效方法:
1. 保留并定期查看各種日志以助分析各種情況。
日志看起來(lái)很枯燥,而且絕大多數(shù)時(shí)候沒(méi)什么作用;可一旦意外發(fā)生,它就能為你提供很重要的信息參考,每天下班前看一眼日志吧。
2. 預(yù)先建立標(biāo)準(zhǔn)操作規(guī)程和應(yīng)急操作規(guī)程。
前者簡(jiǎn)稱SOPs,后者是EOPs,預(yù)先建立好規(guī)程并且處變不驚是一個(gè)合格網(wǎng)管員的基本素養(yǎng)。
3. 要有居安思危的思想準(zhǔn)備。
遭遇攻擊往往沒(méi)有先兆,有備無(wú)患才是長(zhǎng)治久安之計(jì)。
4. 網(wǎng)管員必須熟悉所有的配置細(xì)節(jié)。
如果你是半路接手工作,一定要向前任咨詢、核對(duì)清楚所有的工作細(xì)節(jié)。
5. 在本地和外網(wǎng)分別進(jìn)行安全性測(cè)試。
“自測(cè)”不僅是演習(xí),多給自己出一些安全性測(cè)試的難題能起到知己知彼的效用。
6. 提防錯(cuò)誤配置造成的隱患。
錯(cuò)誤配置通常發(fā)生在硬件搭配、服務(wù)器系統(tǒng)或者應(yīng)用程序中,有時(shí)候問(wèn)題還很隱蔽。通過(guò)反復(fù)檢查來(lái)確保路由器、交換機(jī)等網(wǎng)絡(luò)連接設(shè)備和服務(wù)器系統(tǒng)都進(jìn)行了正確的配置,這樣才會(huì)減小各種錯(cuò)誤和入侵、攻擊發(fā)生的可能性。
7. 要熟悉過(guò)去的一些配置細(xì)節(jié)。
8. 一旦發(fā)現(xiàn)異常,要時(shí)刻警惕。
網(wǎng)管員最要不得的就是麻痹大意,凡事將就。
9. 把握好網(wǎng)絡(luò)架構(gòu)的繁簡(jiǎn)程度和系統(tǒng)開(kāi)銷、安全風(fēng)險(xiǎn)之間的平衡。
一味地添加設(shè)備并不等同于提高防護(hù)機(jī)制,網(wǎng)絡(luò)系統(tǒng)一樣是因簡(jiǎn)就奢易,因奢就簡(jiǎn)難。
10. 通過(guò)安全防護(hù)來(lái)降低黑客攻擊的風(fēng)險(xiǎn),比如安裝防火墻等安全設(shè)備。
解決方案:
中了DDOS它會(huì)開(kāi)一個(gè)端口,與第一代木馬一樣,它是被動(dòng)連接型的,開(kāi)的端口是8535,所以說(shuō),
只要你看到你的機(jī)子開(kāi)了這個(gè)端口,就該小心一下了,不是你就成為攻擊者了都不知,搞不好哪
天別人找上門來(lái),你還不知為何呢,它的服務(wù)端為server.exe客戶端為Client,要是你要看看你中
了沒(méi)有的話,一就是看端口,二是就下載一下客服端,自己連127.0.0.1這個(gè)IP也就是你的,若出再
這個(gè):
----------------------------------------------------------------------------
127.0.0.1 連接成功,發(fā)送登陸信息
127.0.0.1 - Autocrat DDoS Server ready...Login@billgates
-----------------------------------------------------------------------------
那就恭喜你,你中了,哈哈!不信你自己試試,還能自己給自己發(fā)消息呢!
1.找個(gè)查看端口的工具,同時(shí)主要是要求能殺掉進(jìn)程的,其實(shí)在你的CMD下你也可用
netstat -an這個(gè)命令也可看到開(kāi)了8535這個(gè)端口的,然后我們用aproman(我提供了附件)
這個(gè)工具找到該進(jìn)程的進(jìn)程命令是: aproman -a;停止進(jìn)程命令是:aproman -t id
2.在開(kāi)始---》運(yùn)行,輸入regedit進(jìn)入注冊(cè)表,查找到SERVER 我導(dǎo)出時(shí)的用記事本
打開(kāi)時(shí)內(nèi)容為:
-----------------------------------------------------------------------------
Windows Registry Editor Version 5.00
[HKEY_USERSS-1-5-21-1645522239-1993962763-1708537768-1006SoftwareMicrosoft
Search AssistantACMru5603]
"000"="myddos"
"001"="wsock32p.dll"
"002"="wsock32l.dll"
"003"="wsock32s.dll"
------------------------------------------------------------------------------
我的是在XP下把并把SERVER改名為MYDDOS了的,所以看到的是這個(gè),然后我們把這幾個(gè)值都 把它刪了。
3.打開(kāi)開(kāi)始----》搜索查找這幾個(gè)文件:
C:WINNTsystem32wsock32s.dll
C:WINNTsystem32wsock32l.dll
C:WINNTsystem32wsock32p.dll
把它們也刪了,你可以看一下它們的屬性,看看時(shí)間你就知是什么時(shí)候中的了。
4.打開(kāi)在開(kāi)始---》運(yùn)行,輸入MSCONFIG找到服務(wù)那個(gè)SERVER,禁止該服務(wù)。
