从游戏论坛被攻击事件看DDoS防范〜教育资源库
据近日媒体报道知名的游戏讨论社群游戏基地与巴哈姆特分别遭到DDoS 分布式阻断服务攻击其攻击者甚至要求网站配合宣传否则将继续攻击行径令业者咋舌。
拥有众多用户的巴哈姆特与游戏基地网站自4月27日起分别传出因同时涌现大量联机要求导致首页主机当机事件其中巴哈姆特甚至收到来自网名为aster;在代理端上安装守护程序daemon□代理端主机上的守护程序在指定端口上监听来自主控端主机发送的攻击命令而主控端主机接受从攻击者计算机发送的指令。为了安全起见,黑客要傀儡机上安装ROOT KIT程序,使主控制软件和守护程序本身不被傀儡机的管理员发现。
第四个阶段是实际攻击阶段黑客命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包使得目标无法处理大量的数据或者频宽被占满。
到目前为止进行DDoS攻击的防御还是比较困难的。这种攻击的特点是它利用了TCP/IP协议的漏洞除非不用TCP/IP,才有可能完全抵御住DDoS攻击。
即使难于防范也不是完全没有办法我们必须在以下几个方面防范DDoS
1 、主机上防范
使用网络和主机扫描工具检测脆弱性DDoS能够成功的关键是在Inter上寻找到大量安全防御措施薄弱的计算机。因此经常使用安全检测工具检测网络和主机找出目前存在的安全隐患并给出相应的应对措施可以减少甚至避免主机被黑客利用成为傀儡机的可能性。安全扫描工具能够检测并删除主机上被黑客安装的进行DDoS攻击的软件。安全扫描工具应该随着攻击方式的演变而升级。
采用NID S和嗅探器当系统收到未知地址的可疑流量时
NIDS Nets,网络入侵检测系统会发出报警信号提醒系统管理员及时采取应对措施如切断连接或反向跟踪等。NID S的安全策略或规则应该是最新的并包含当前最新攻击技术的特征描述。
嗅探器sniffer可用来在网络级识别网络攻击行为并成为NID S原始检测信息的。例如当黑客修改IP包的数据部分使其包含某些隐蔽信息嗅探器就可以探测到这些信息并将此信息提供给有关人员进行分析成为采取阻断、分流恶意流量或追查黑客的依据。
及时更新系统补丁现有的操作系统都有很多漏洞这很容易让黑
客找到后门所以及时下载和更新系统补丁也是抵御黑客很重要的一点。
2 、网络设备上防范
单机上防御主要是减少被作为傀儡机的可能在路由器上采取防范措施才是抵御DDoS的关键这里以Cisco路由器为例分析一下阻止攻击的方法
检查每一个经过路由器的数据包在路由器的CEF(Cisco ExpressForwarding)表里某数据包所到达网络接口的所有路由项中如果没有该数据包源IP地址的路由路由器将丢弃该数据包。例如路由器接收到一个源IP地址为a.b.c.d的数据包如果C EF路由表中没有为IP地址a.b.c.d提供任何路由(即反向数据包传输时所需的路由) 则路由器会丢弃它。
设置SYN数据包流量速率许多DDoS攻击采用S YN洪水攻击的形式所以有必要在路由器上限制S YN数据包流量速率。采用这种方法时必须在进行测量时确保网络的正常工作以避免出现较大误差。
[t ab l e=95%][tr][t d]
12下一页友情提醒 特别 rate-limit output access-gro叩15345000000 100000 100000 conform-actiontransmit exceed-action droprate-limit output access-group 152 1000000 100000 100000confor m・ actiontransmit exceed-action dropaccess-list 152 permit tcp any host eqaccess-list 153 permit tcp any host eqestablished[/td] [/tr] [/table]
在边界路由器上部署策略网络管理员可以在边界路由器上部署过滤策略如下
ISP端边界路由器应该只接受源地址属于客户端网络的通信而客户端网络则应该只接受源地址未被客户端网络过滤的通信。
ISP端边界路由器的访问控制列表:
access-list 190 permit ip客户端网络客户端网络掩码any access-list190 deny ip any any[log]interface内部网络接口网络接口号ip access-group 190 in
客户端边界路由器的访问控制列表access-list 187 deny ip客户端网络客户端网络掩码any access-list 187permit ip any anyaccess-list 188 permit ip客户端网络客户端网络掩码any access-list188 deny ip any anyinterface外部网络接口网络接口号ip access-group 187 inip access-group 188 out
使用CAR 限制 ICMP数据包流量速率CAR(C ontrol AccessRate),可以用来限制包的流量速率是实现QoS(Quality of Service,服务质量)一种工具。可以用它来限制ICMP包来防止DDoSorate-limit output access-group 2020 3000000 512000 786000conform・actiontransmit exceed-action dropaccess-list 2020 permit icmp any any echo-reply
用ACL过滤RFC 1918中列出的所有地址ACL(Acess Control List,访问控制列表) 是路由器过滤特定目标地址、源地址、协议的包的工具可以用它来过滤掉RFC 1918中列出的所有地址即私有IP地址
(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16) 。ip access-group 101 inaccess-list 101 deny ip 10.0.0.00.255.255.255 anyaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 deny ip 172.16.0.0 0.15.255.255 anyaccess-list 101 permit ip any any
搜集证据可以为路itl器建立log server,建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为tcpdump・ i interface ・s 1500 ・w capture_file
snoop-d interface-o capture_file -s 1500上一页12友情提醒 特别!
我们先普及一下常识吧,每年9月的第一个星期一是美国劳工节。于是,有一些服务商会基于这些节日推出吸引用户的促销活动,比如RackNerd有推出四款洛杉矶和犹他州独立服务器,1G带宽、5个独立IP地址,可以配置Windows和Linux系统,如果有需要独立服务器的可以看看。第一、劳工节促销套餐这里有提供2个套餐。两个方案是选择犹他州的,有2个方案是可以选择洛杉矶机房的。CPU内存SSD硬盘配置流量价格...
Contabo是一家运营了20多年的欧洲老牌主机商,之前主要是运营德国数据中心,Contabo在今年4月份增设新加坡数据中心,近期同时新增了美国纽约和西雅图数据中心。全球布局基本完成,目前可选的数据中心包括:德国本土、美国东部(纽约)、美国西部(西雅图)、美国中部(圣路易斯)和亚洲的新加坡数据中心。Contabo的之前国外主机测评网站有多次介绍,他们家的特点就是性价比高,而且这个高不是一般的高,是...
每年的7月的最后一个周五是全球性质的“系统管理员日”,据说是为了感谢系统管理员的辛苦工作....friendhosting决定从现在开始一直到9月8日对其全球9个数据中心的VPS进行4.5折(优惠55%)大促销。所有VPS基于KVM虚拟,给100M带宽,不限制流量,允许自定义上传ISO...官方网站:https://friendhosting.net比特币、信用卡、PayPal、支付宝、微信、we...