目前網(wǎng)絡(luò)中有一種攻擊讓網(wǎng)絡(luò)管理員為頭疼，那就是拒絕服務(wù)攻擊，簡(jiǎn)稱DOS和DDOS。它是一種濫用資源性的攻擊，目的就是利用自身的資源通過(guò)一種放大或不對(duì)等的方式來(lái)達(dá)到消耗對(duì)方資源的目的。同一時(shí)刻很多不同的IP對(duì)服務(wù)器進(jìn)行訪問(wèn)造成服務(wù)器的服務(wù)失效甚至死機(jī)。

今天就創(chuàng)新互聯(lián)成都網(wǎng)絡(luò)公司管理服務(wù)器的經(jīng)驗(yàn)為各位讀者介紹2個(gè)簡(jiǎn)單有效的防范拒絕服務(wù)攻擊的方法，雖然不能徹底防護(hù)，但在與DDOS的戰(zhàn)斗中可以大限度降低損失。

如何發(fā)現(xiàn)攻擊
在服務(wù)器上可以通過(guò)CPU使用率和內(nèi)存利用率簡(jiǎn)單有效的查看服務(wù)器當(dāng)前負(fù)載情況，如果發(fā)現(xiàn)服務(wù)器突然超負(fù)載運(yùn)作，性能突然降低，這就有可能是受攻擊的征兆。不過(guò)也可能是正常訪問(wèn)網(wǎng)站人數(shù)增加的原因。如何區(qū)分這兩種情況呢？按照下面兩個(gè)原則即可確定受到了攻擊。
（1）網(wǎng)站的數(shù)據(jù)流量突然超出平常的十幾倍甚至上百倍，而且同時(shí)到達(dá)網(wǎng)站的數(shù)據(jù)包分別來(lái)自大量不同的IP。
（2）大量到達(dá)的數(shù)據(jù)包(包括TCP包和UDP包)并不是網(wǎng)站服務(wù)連接的一部分，往往指向你機(jī)器任意的端口。比如你的網(wǎng)站是Web服務(wù)器，而數(shù)據(jù)包卻發(fā)向你的FTP端口或其它任意的端口。

1、增加SYN緩存法
上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊但由于使用了屏蔽IP功能，自然會(huì)誤將某些正常訪問(wèn)的IP也過(guò)濾掉。所以在遇到小型攻擊時(shí)不建議大家使用上面介紹的BAN IP法。我們可以通過(guò)修改SYN緩存的方法防御小型DOS與DDOS的攻擊。該方法在筆者所在公司收效顯著。
修改SY緩存大小是通過(guò)注冊(cè)表的相關(guān)鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。
（1）WIN2003下拒絕訪問(wèn)攻擊的防范：
先進(jìn)步：“開(kāi)始->運(yùn)行->輸入regedit”進(jìn)入注冊(cè)表編輯器。
第二步：找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices，在其下的有個(gè)SynAttackProtect鍵值。默認(rèn)為0將其修改為1可更有效地防御SYN攻擊。
小提示：該參數(shù)可使TCP調(diào)整SYN-ACKS的重新傳輸。將SynAttackProtect設(shè)置為1時(shí)，如果系統(tǒng)檢測(cè)到存在SYN攻擊，連接響應(yīng)的超時(shí)時(shí)間將更短。
第三步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnableDeadGWDetect鍵值，將其修改為0。該設(shè)置將禁止SYN攻擊服務(wù)器后強(qiáng)迫服務(wù)器修改網(wǎng)關(guān)從而使服務(wù)暫停。
第四步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery鍵值，將其修改為0。這樣可以限定攻擊者的MTU大小，降低服務(wù)器總體負(fù)荷。
第五步：將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下KeepAliveTime設(shè)置為300,000。將NoNameReleaseOnDemand
設(shè)置為1。
（2）WIN2000下拒絕訪問(wèn)攻擊的防范：
在WIN2000下拒絕訪問(wèn)攻擊的防范方法和2003基本相似，只是在設(shè)置數(shù)值上有些區(qū)別。我們做下簡(jiǎn)單介紹。
先進(jìn)步：將SynAttackProtect設(shè)置為2。
第二步：將EnableDeadGWDetect設(shè)置為0。
第三步：將EnablePMTUDiscovery設(shè)置為0。
第四步：將KeepAliveTime設(shè)置為300000。
第五步：將NoNameReleaseOnDemand設(shè)置為1。

2、BAN IP地址法
確定自己受到攻擊后就可以使用簡(jiǎn)單的屏蔽IP的方法將DOS攻擊化解。對(duì)于DOS攻擊來(lái)說(shuō)這種方法非常有效，因?yàn)镈OS往往來(lái)自少量IP地址，而且這些IP地址都是虛構(gòu)的偽裝的。在服務(wù)器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過(guò)對(duì)于DDOS來(lái)說(shuō)則比較麻煩，需要我們對(duì)IP地址分析，將真正攻擊的IP地址屏蔽。
不論是對(duì)付DOS還是DDOS都需要我們?cè)诜?wù)器上安裝相應(yīng)的防火墻，然后根據(jù)防火墻的日志分析來(lái)訪者的IP，發(fā)現(xiàn)訪問(wèn)量大的異常IP段就可以添加相應(yīng)的規(guī)則到防火墻中實(shí)施過(guò)濾了。
當(dāng)然直接在服務(wù)器上過(guò)濾會(huì)耗費(fèi)服務(wù)器的一定系統(tǒng)資源，所以目前比較有效的方法是在服務(wù)器上通過(guò)防火墻日志定位非法IP段，然后將過(guò)濾條目添加到路由器上。例如我們發(fā)現(xiàn)進(jìn)行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0，而服務(wù)器的地址為61.153.5.1。那么可以登錄公司核心路由器添加如下語(yǔ)句的訪問(wèn)控制列表進(jìn)行過(guò)濾。
cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0，這樣就實(shí)現(xiàn)了將211.153.0.0 255.255.0.0的非法IP過(guò)濾的目的。
小提示：在訪問(wèn)控制列表中表示子網(wǎng)掩碼需要使用反向掩碼，也就是說(shuō)0.0.255.255表示子網(wǎng)掩碼為255.255.0.0 。

總結(jié)：經(jīng)過(guò)上面介紹的察覺(jué)攻擊法，BAN IP法和后的修改注冊(cè)表法可以有效的防范DOS與DDOS的攻擊。不過(guò)由于DDOS攻擊的特點(diǎn)，實(shí)際上沒(méi)有一臺(tái)服務(wù)器能夠徹底防范它，即使安裝了專業(yè)的防范DDOS的硬件防火墻也不能百分之百的避免損失。今天介紹的幾個(gè)方法只是免費(fèi)的防范手段，實(shí)際中能起到一定的效果。 　　

當(dāng)前文章：簡(jiǎn)單有效的防范拒絕服務(wù)攻擊的方法
轉(zhuǎn)載來(lái)于：http://m.rwnh.cn/news/260039.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供面包屑導(dǎo)航、網(wǎng)站內(nèi)鏈、網(wǎng)站建設(shè)、ChatGPT、標(biāo)簽優(yōu)化、動(dòng)態(tài)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)