`
Ryee
  • 浏览: 281755 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

7种Dos攻击和防范方法

    博客分类:
  • ARD
阅读更多
网商除了做好产品,打通网络营销,提供优质的服务外,还应该了解和防范这种潜在的网络风险。服务器攻击在今天已经如同垃圾信息一样普遍。其中不乏有很多入门的练习者,所以下面介绍几种攻击方法和避免方法。

     7种DoS攻击方法简述

     Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。

     Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。

     Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。

     Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。

     Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。

     PingSweep:使用ICMP Echo轮询多个主机。

     Pingflood: 该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。

     防DDoS攻击11招

     1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。

     2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。

     3.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统——甚至是受防火墙保护的系统。

     4.确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。

     5.禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据。

     6.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!

     7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。

     8.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。

     9.在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。

     10.检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。

     11.利用DDoS设备提供商的设备。
分享到:
评论

相关推荐

    DOS攻击及其防范

    DOS攻击是一种常见的有效而简单的网络攻击...本文介绍了DOS攻击的概念、原理和分类,阐述了DOS攻击的技术扩展和防范技术,提出了针对整个系统的DOS攻击防范策略建议,并展望了未来DOS攻击技术和防范技术的发展趋势。

    一种Linux环境下的DoS攻击防范策略.pdf

    Linux 环境下的 DoS 攻击防范策略 Linux 操作系统作为当前最流行的开源操作系统之一,随着网络技术和应用的发展,计算机网络的安全问题日益引起人们的关注。特别是在 Internet 上为广大用户提供服务的服务器的安全...

    常用shell 脚本,dos攻击防范,

    Dos攻击防范(自动屏蔽攻击IP).sh 一键部署等等 Linux系统发送告警脚本.sh MySQL数据库备份单循环.sh MySQL数据库备份多循环.sh nginx 访问访问日志按天切割.sh nginx.conf nginx访问日志分析脚本.sh shell....

    DoS攻击防范介绍与防御

    Dos攻击在众多网络攻击技术中是一种简单有效并且具有很大危害性的攻击方法。文档详细的给出了因对DoS攻击的方法

    实验拒绝服务攻击与防范

    在这篇实验报告中,我们将学习拒绝服务攻击(DoS)和分布式拒绝服务攻击(DDoS)的原理和防范方法。我们将通过一个 SYN Flood 的拒绝服务程序,探索 DoS 攻击的机理和防范方法,并了解 DDoS 攻击的原理和防范方法。 ...

    实战DOS攻击介绍与防御

    一、DOS攻击介绍 二、常见DOS攻击特点 三、常见DOS攻击防御 四、主动防御方法介绍和测试 ...五、DOS攻击检查方法 1.使用Sniffer等工具抓包分析 2.通过Cisco工具 show ip cach flow查看流量 3.通过查看NAT设备SESSION

    Linux下DoS和DDoS攻击的防范.pdf

    "Linux 下 DoS 和 DDoS 攻击的防范" setTitle:Linux 下 DoS 和 DDoS 攻击的防范 DoS(Denial of Service)是一种拒绝服务攻击,指故意攻击网络协议实现的缺陷或直接通过野蛮手段耗尽被攻击对象的资源。目的是让...

    建立全局安全体系防范DoS攻击

    将最先进的三层交换技术和多层安全防范体系结合起来,是认真考虑抵抗DoS攻击的用户的最佳选择。 在设计网络时,需要从局域网层面和网络传输层面进行合理的布置。在局域网层面上,可以采取大量的预防措施,防止DoS...

    DoS与DDoS攻击原理及其防范

    这文档主要讲解DoS与DDoS攻击原理以及对于安全人员如何来进行防范这种攻击

    拒绝服务攻击DOS与防范研究

    本科论文 拒绝服务攻击DOS与防范研究

    针对SIP的DoS攻击与防御研究

    针对SIP的DoS攻击与防御研究,介绍的比较详细。

    如何利用路由器做到防止DoS洪水攻击

    1. DoS攻击的类型:DoS攻击主要分为Smurf、SYN Flood和Fraggle三种,Smurf攻击使用ICMP数据包阻塞服务器和其他网络资源,SYN Flood攻击使用数量巨大的TCP半连接来占用网络资源,Fraggle攻击与Smurf攻击原理类似,...

    网络攻击与防范 拒绝服务攻击实验.docx

    网络攻击与防范 拒绝服务攻击实验 本文档对拒绝服务攻击(Denial of Service,DoS)进行了实验和...本文档对拒绝服务攻击的原理和过程进行了实验和分析,并对防范措施进行了讨论,为防止DoS攻击提供了有价值的参考。

    ip攻击 与防范

    ip攻击 与防范

    分布式拒绝服务攻击(DDoS)原理及防范

    然而,随着计算机硬件性能的提升以及网络带宽的增大,单一DoS攻击的效果逐渐减弱。为了应对这种情况,攻击者开始采用DDoS攻击策略,即利用多台被控制的计算机(称为“僵尸网络”或“傀儡机”)同时对目标发起攻击,...

    论文研究-一种基于网络行为特征的分布式低速率DoS攻击 .pdf

    传统的DoS攻击容易被检测到,因为它们往往会产生明显的流量异常,比如突发的高流量。然而,低速率拒绝服务攻击(LDoS)却因为其低流量速率和非周期性的攻击方式,使得检测和防范变得更为困难。 LDoS攻击由...

    锐捷交换机设备对网络攻击的防范

    为了对抗这些攻击,锐捷交换机内置了包括防SYN、Smurf攻击、DOS攻击、源IP地址欺骗攻击、检测源地址检查等多种防护措施。其中,BPDU Guard功能防止对生成树协议的攻击,而基于802.1x/RADIUS的身份验证、SSH、源IP...

Global site tag (gtag.js) - Google Analytics