网络安全浅析-20020412-C资料

网络安全浅析
华为技术有限公司版权所有侵权必究
目录
第1章概述 (1)
1.1 背景 (1)
1.2 安全的重要性 (1)
1.3 我们的敌人 (2)
1.4 敌人会做些什么 (2)
第2章黑客攻略 (5)
2.1 拒绝服务攻击（ Denial Of Service） (5)
2.1.1 原因解析 (5)
2.1.2 DOS攻击类型 (6)
2.1.3 DDOS(分布式拒绝服务） (8)
2.1.4 DOS对策与探索 (11)
2.2 SNIFF (13)
2.2.1 原理 (13)
2.2.2 如何防止SNIFF (14)
2.3 扫描 (14)
2.3.1 扫描攻击 (15)
2.3.2 安全扫描 (15)
2.4 路由协议的安全问题 (16)
2.4.1 路由欺骗：对RIP协议的攻击 (16)
2.4.2 路由欺骗：对BGP协议的攻击 (16)
2.4.3 路由欺骗：对OSPF协议的攻击 (17)
2.5 缓冲区溢出 (17)
2.5.1 缓冲区溢出的漏洞和攻击 (17)
2.5.2 缓冲区溢出的保护方法 (19)
第3章协议的安全问题 (21)
3.1 IP层 (21)
3.1.1 IP 源地址欺骗 (21)
3.1.2 重组IP分段包超长及其解决方法 (22)
3.2 传输层的安全性 (23)
3.3 应用层的安全性 (24)
第4章安全策略 (28)
4.1 什么是安全 (28)
4.2 安全服务、机制与技术 (28)
4.3 网络安全体系 (29)
第5章安全技术 (30)
5.1 CallBack技术 (30)
5.2 AAA（Authentication, Authorization, Accounting） (31)
5.3 CA技术 (31)
5.4 包过滤技术 (33)
5.5 地址转换 (34)
5.6 数据压缩技术 (35)
5.6.1 IPComp介绍 (35)
5.6.2 IPCA (36)
5.7 加密与密钥交换技术 (37)
5.7.1 IPSec (37)
5.7.2 IKE (38)
5.8 ASPF ( Application Specific Packet Filter) (39)
5.8.1 ASPF原理 (39)
5.8.2 ASPF工作流程 (40)
5.8.3 对DOS的检测及防范 (40)
5.9 防火墙介绍 (41)
5.9.1 什么是防火墙 (41)
5.9.2 防火墙能做什么 (41)
5.9.3 防火墙的种类 (43)
5.9.4 防火墙操作系统 (44)
5.9.5 防火墙的抗攻击能力 (44)
5.9.6 防火墙的局限性 (44)
关键词：
拒绝服务攻击（ Denial Of Service）分布式拒绝服务 SNIFF 扫描路由欺骗缓冲区溢出地址欺骗网络安全体系安全技术
摘要：
本文简要介绍了网络安全的一些基本概念及常见的网络攻击方法以及部分网络安全技术。

第一章简要介绍了目前网络安全现状及常见的网络安全问题。

第二章就dos、sniff、扫描等常见的网络攻击分析了其表现形式和原因；第三章介绍了目前协议存在的一些安全问题；第四章简要介绍安全概念及安全体系构架；第五章介绍了目前常用的一些安全技术.。

缩略语清单：
DOS:Denial Of Service AAA（Authentication, Authorization, Accounting）
ASPF ( Application Specific Packet Filter)
参考资料清单：
无
第1章概述
1.1 背景
Internet给全世界的人们带来了无限的生机，真正实现了无国界的全球村。

但
是还有很多困扰我们的因素，象IP地址的短缺，大量带宽的损耗，以及政府
规章的限制和编程技术的不足。

现在，由于多年来网络系统累积下了无数的
漏洞，我们将面临着更大的威胁，网络中潜伏的好事者将会以此作为缺口来
对系统进行攻击，我们也不得不为以前的疏忽付出更大的努力。

虽然大多的
网络系统产品都标榜着安全的旗号，但就我们现在的网络协议和残缺的技术
来看，好像危险无处不在。

1.2 安全的重要性
毫无疑问 Internet 将成为最大的公共数据网络，它实现并促进了世界范围内的
私人和商务通讯。

Internet 上的流量每天都在迅猛的增长，越来越多的通讯是
通过 E-MAIL 来完成；移动办公、家庭办公也需要使用 Internet 实现远程访问；
商业交易甚至一些税收也通过 WWW 来完成。

在 Internet 飞速改变和提高我们进行商务往来的模式时，这个庞大的网络和与
它相关的技术也给日益增加的网络安全方面的威胁打开了门户。

尽管潜在的
安全漏洞会造成巨大的风险，但是在引导操作电子商务方面 Internet 仍然是非
常安全的。

例如，你在酒店里消费时，把信用卡信息通过电话或者服务员送
到电子市场管理员所带来的风险远远大于通过网上带来的风险，因为通常电
子商业交易通常已使用安全技术来保障，而酒店侍者和电子市场管理员并不
总是处于监视之下或总是可信。

然而，人们在安全问题上的担心对于网上商
业运作来说，就如同网上确是存在的安全隐患一样是十分不利的。

通常对计
算机的担心和怀疑也使得人们对 Internet 不信任，这种不信任使许多公司失去
了大量的商业机会，特别是那些刚刚完成 Web 基础设施的公司。

因此，必须
切实行动起来改善安全状况，不但要保证安全措施的有效性，而且还要使人
们相信它确是有效。

当然，充分的宣传如何保护客户的安全隐私也是必不可
少的。

此外，为了保护客户，一个公司必须保护它的员工和合作伙伴免受安
全问题的影响。

因为，员工和合作伙伴的通讯可能因网络攻击而受到影响。

网络攻击可以使雇员长达几个小时无法工作，网络也为了避免遭到破坏而被
关闭。

很明显，宝贵时间、数据的浪费和丢失使员工的工作效率和士气受到
很大打击。

1.3 我们的敌人
♦ 黑客
这是给喜欢得到他人计算机或网络访问权限的计算机狂热爱好者的一个普通
并且过分浪漫的名字。

许多黑客满足于简单的非法闯入，并在别人计算机桌
面上留下他们的“足迹”。

另一类黑客热衷于解密，这更加的危险。

他们攻
击所有的计算机系统，盗窃或破坏机密数据，修改网页，最终使商业运作限
于混乱。

还有一些比较业余的黑客，他们仅仅从网上寻找一些黑客工具来使
用，而并不关心或了解这些工具的实现原理以及影响。

♦ 无法觉察的群体
公司的员工关注的只是他们特定的工作职责，而经常忽视网络安全规则。

例
如，他们为了容易记忆而选择十分简单的单词作为密码，而这些密码很容易
被黑客猜中，或者使用一些有效的解密软件解密。

员工也可能在无意中造成
安全隐患，例如计算机病毒的传播。

最常见的病毒传播方式是通过软盘或从
Internet 上下载文件。

员工在使用软盘传递数据时可能会使他们的网络感染上
病毒，甚至他们都不知道自己的计算机感染上了病毒。

当员工从网上下载文
件时也会给网络带来危险。

人为错误也需要关注，不论是电脑初学者或是高
手，在安装防病毒软件时都会出现差错，这也是安全隐患的一个方面。

♦ 不满的群体
比操作失误带来的危害更为恼人的是那些怀有不满或报复心理的人员对网络
的破坏活动。

这些被投诉、解雇或退休的怀有不满情绪的员工可能会报复性
的使他们的网络受到病毒感染，恶意删除重要文件。

这个群体相当危险，因
为他们通常知道有价值信息在网络中的什么地方，以及安全设施怎样。

♦ 偷窥者
一些员工可能是出于好奇或者恶作剧，他们扮演了一个偷窥者的角色，为了
向其他人证明自己的能力，而非法获得机密数据的访问权限并取得不该访问
的信息。

还有些人仅仅因为好奇而访问私人信息，例如经济数据，私人邮件，
员工薪酬等。

这些行为可能危害性不大，但另一些行为如偷窥私人经济问题，
病情等，这就可能诋毁别人的名誉，造成恶劣影响
1.4 敌人会做些什么
♦ 病毒
病毒是最为人知的安全问题，因为它们经常能在很大范围内产生影响。

病毒程序被设计成一旦特定的事件被触发，它们就会传播自己并感染其它的计算机。

例如宏病毒本身附在包含宏结构的文件中，每次宏运行的时候它们就被激活。

一些病毒发作时会产生一些恼人的中断，例如弹出一个滑稽的消息等。

另一些病毒的影响是破坏性的，它们可能会删除文件或者降低系统运行速度。

一个网络被病毒感染通常是从软盘或者从 Internet 下载文件时发生的。

当网络中的一台计算机被感染病毒后，其它的计算机被传染的可能性就会大大增加。

♦ 特诺依木马程序
特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。

一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。

特诺依木马程序是其它破坏性代码的传输工具，它们通常表现为无害甚至有用的程序，例如电脑游戏，但是这只是一种伪装而已。

特诺依病毒可能会删除文件，自我复制并发送给邮件地址列表中的所有地址，还能够为进行其它攻击作准备。

恶意程序包括：NetBus、BackOrifice和BO2k，良性程序如：netcat、VNC、pcAnywhere。

♦ Vandals
随着 ActiveX 和 Java Applets 等应用软件的发展，Web 站点变得越来越生动，它们能生成特殊的效果使的站点更具有交互性和更加吸引人。

然而这也使得这些应用程序的下载和运行变得更加容易，从而为破坏行为提供新的途径。

Vandal 是一种能够引起不同程度破坏的应用软件或 applet （Jave 应用程序）。

Vandal 能破坏文件或系统的分区。

♦ 网络攻击
由于构成Internet的TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。

网络上存在着各种类型的攻击方式，主要包括：
窃听报文——攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。

通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据不受窃听，基本是不可能的。

IP地址欺骗——攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。

源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。

端口扫描—－通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。

然后利用这些漏洞对路由器进行攻击，使得路由器被控制或无法正常运行。

拒绝服务攻击——攻击者的目的是阻止合法用户对资源的访问。

比如通过发送大量报文使得网络带宽资源被消耗。

Mellisa宏病毒所达到的效果就是拒绝服务攻击。

许多大型网站都曾被分布式拒绝服务（Distributed Denial Of Service，简称DDOS）攻击而造成很大的损失。

♦ 数据截获
通过网络发送的数据很可能被未授权的人员截获，这些罪犯可以偷听甚至修改数据的内容。

被用来截获数据的方法很多，IP 地址盗用就是其中的一种。

♦ 社会工程
社会工程是一种正在增长的通过非技术方式获取机密网络安全信息的方法。

例如一个社会工程师可以冒充技术支援代表打电话给职员而获取密码。

另一类人员通过行贿也可以达到同样的目的。

♦ Spam
Spam 通常是指主动发送 E-mail 或通过 E-mail 主动广播广告信息。

它虽然无害但却相当烦人，消耗了我们大量的时间和存储空间。

第2章黑客攻略
2.1 拒绝服务攻击（ Denial Of Service）
拒绝服务攻击是一种遍布全球的系统漏洞，黑客们正醉心于对它的研究，而
无数的网络用户将成为这种攻击的受害者。

Tribe Flood Network,tfn2k,
smurf,targa…还有许多的程序都在被不断的开发出来。

这些程序象瘟疫一
样在网络中散布开来，使得我们的村落更为薄弱，我们不得不找出一套简单
易用的安全解决方案来应付黑暗中的攻击。

DoS的攻击方式有很多种。

最基本的DoS攻击就是利用合理的服务请求来占
用过多的服务资源，致使服务超载，无法响应其他的请求。

这些服务资源包
括网络带宽，文件系统空间容量，开放的进程或者向内的连接。

这种攻击会
导致资源的匮乏，无论计算机的处理速度多么快，内存容量多么大，互连网
的速度多么快都无法避免这种攻击带来的后果。

因为任何事都有一个极限，
所以，总能找到一个方法使请求的值大于该极限值，因此就会使所提供的服
务资源匮乏，千万不要自认为自己拥有了足够宽的带宽就会有一个高效率的
网站，拒绝服务攻击会使所有的资源变得非常渺小
典型的拒绝服务攻击有如下两种形式：资源耗尽和资源过载。

当一个对资源
的合理请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已
经满载的Web服务器进行过多的请求。

）拒绝服务攻击还有可能是由于软件
的弱点或者对程序的错误配置造成的。

区分恶意的拒绝服务攻击和非恶意的
服务超载依赖于请求发起者对资源的请求是否过份，从而使得其他的用户无
法享用该服务资源。

2.1.1 原因解析
软件弱点
拒绝服务攻击大多是由于者软件弱点或错误配置导致的。

软件弱点是包含在
操作系统或应用程序中与安全相关的系统缺陷，这些缺陷大多是由于错误的
程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。

根据错误信息所带来的对系统无限制或者未经许可的访问程度，这些漏洞可
以被分为不同的等级。

某些DoS攻击是由于开发协议固有的缺陷导致的，某
些DoS攻击可以通过简单的补丁来解决，还有一些导致攻击的系统缺陷很难
被弥补。

♦错误配置
错误配置也会成为系统的安全隐患。

这些错误配置通常发生在硬件装置，系
统或者应用程序中。

如果对网络中的路由器，防火墙，交换机以及其他网络
连接设备都进行正确的配置会减小这些错误发生的可能性。

如果换个角度，
也可以说是如下原因造成的：错误配置。

错误配置大多是由于一些没经验的，
无责任员工或者错误的理论所导致的。

♦资源瓶颈
最后，还有一些非恶意的拒绝服务攻击的情况，这些情况一般是由于带宽或
者资源过载产生瓶颈导致的，对于这种问题没有一个固定的解决方案
2.1.2 DOS攻击类型
传统上，攻击者所面临的主要问题是网络带宽，由较小的网络规模和较慢的
网络速度，无法使攻击者发出过多的请求，然而，类似"the ping of death"
的攻击类型仅需要很少量的包就可以摧毁一个没有打过补丁的UNIX系统。

当
然，多数的DoS攻击还是需要相当大的带宽的，但是高带宽是大公司所拥有
的，而以个人为主的黑客很难享用。

为了克服这个缺点，恶意的攻击者开发
了分布式的攻击。

这样，攻击者就可以利用工具集合许多的网络带宽来对同
一个目标发送大量的请求。

下面是我们较为常见的基于网络的拒绝服务攻击：
♦ PING大包
通过大量PING包，占满所有带宽，使正常业务的数据无法到达或无法被处理。

如果使用的PING包很大，发送时将会分片，这样在对设备攻击时增加了设备
的处理负担；对主机攻击时，由于一些设备的防火墙无法过滤分片报文，使
得这些分片报文穿过了防火墙，仍然到达了主机，达到使其拒绝服务的目的。

♦ Smurf (directedBroadcast)
广播信息可以通过一定的手段（通过广播地址或其他机制）发送到整个网络
中的机器。

当某台机器使用广播地址发送一个ICMP echo请求包时（例如
PING），一些系统会回应一个ICMP echo回应包，也就是说，发送一个包
会收到许多的响应包。

Smurf攻击就是使用这个原理来进行的，当然，它还需
要一个假冒的源地址。

也就是说在网络中发送源地址为要攻击主机的地址，
目的地址为广播地址的包，会使许多的系统响应发送大量的信息给被攻击主
机（因为他的地址被攻击者假冒了）。

使用网络发送一个包而引出大量回应
的方式也被叫做"放大器"，这些smurf放大器可以在网站上
获得，一些无能的且不负责任的网站仍有很多的这种漏洞。

♦ Fraggle攻击
Fraggle攻击类似Smurf攻击，作了简单的改进，使用的是UDP应答消息而非ICMP，利用主机上提供的某些基于UDP的服务，产生大量应答报文，攻击受害网络或者受害主机。

♦ SYNFlooding
一台机器在网络中通讯时首先需要建立TCP握手，标准的TCP握手需要三次包交换来建立。

一台服务器一旦接收到客户机的SYN包后必须回应一个SYN/ACK包，然后等待该客户机回应给它一个ACK包来确认，才真正建立连接。

然而，如果只发送初始化的SYN包，而不发送确认服务器的ACK包会导致服务器一直等待ACK包。

一些TCP/IP栈只有有限的内存缓冲区用于创建TCP连接，因此只能等待有限数量的ACK消息。

如果这一缓冲区充满了虚假连接的初始信息，该TCP/IP协议栈就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。

即使创建TCP连接不受限制，TCP SYN 洪水仍然能消耗被害系统大量的系统资源。

♦ Slashdot Effect
这种攻击手法使web服务器或其他类型的服务器由于大量的网络传输而过载，一般这些网络流量是针对某一个页面或一个链接而产生的。

当然这种现象也会在访问量较大的网站上正常发生，但我们一定要把这些正常现象和拒绝服务攻击区分开来。

如果您的服务器突然变得拥挤不堪，甚至无法响应再多的请求时，您应当仔细检查一下这个资源匮乏的现象，确认在10000次点击里全都是合法用户进行的，还是由5000个合法用户和一个点击了5000次的攻击者进行的。

♦ UDP洪水（UDP flood）
各种各样的假冒攻击利用简单的TCP/IP服务，如Chargen和Echo来传送毫无用处的占满带宽的数据。

通过伪造与某一主机的Chargen服务之间的一次的UDP连接，回复地址指向开着Echo服务的一台主机，这样就生成在两台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。

♦ Land攻击
把TCP SYN包的员源地址和目标地址都设置成某一个受害者的IP地址，这将导致受害者向它自己的地址发送SYN-ACK消息，结果这个地址又发回ACK 消息并创建一个空连接，每一个这样的连接都将保留直到超时掉。

各种受害者对Land攻击反应不同，许多UNIX主机将崩溃，NT主机会变的极其缓慢（大约持续五分钟）。

♦ 泪滴（teardrop）
泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含
的信息来实现自己的攻击。

IP分段含有指示该分段所包含的是原包的哪一段
的信息，某些TCP/IP（包括service pack 4以前的NT）在收到含有重叠偏移
的伪造分段时将崩溃。

防御：服务器应用最新的服务包，或者在设置防火墙时对分段进行重组，而
不是转发它们。

♦ 电子邮件炸弹
概览：电子邮件炸弹是最古老的匿名攻击之一，通过设置一台机器不断的大
量的向同一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。

♦ 死亡之ping （ping of death）
由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对TCP/IP
栈的实现在ICMP包上都是规定64KB，并且在对包的标题头进行读取之后，
要根据该标题头里包含的信息来为有效载荷生成缓冲区，当产生畸形的，声
称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时，就会
出现内存分配错误，导致TCP/IP堆栈崩溃，致使接受方当机。

防御：现在所
有的标准TCP/IP实现都已实现对付超大尺寸的包，并且大多数防火墙能够自
动过滤这些攻击。

拒绝服务攻击的发展。

由于我们防范手段的加强，拒绝服务攻击手法也在不
断的发展。

Tribe Flood Network(tfn)和tfn2k引入了一个新概念：分
布式。

这些程序可以使得分散在互联网各处的机器共同完成对一台主机攻击
的操作，从而使主机看起来好象是遭到了不同位置的许多主机的攻击。

这些
分散的机器由几台主控制机操作进行多种类型的攻击，如UDP flood,SYN
flood等。

2.1.3 DDOS(分布式拒绝服务）
DDoS（分布式拒绝服务），它的英文全称为Distributed Denial of Service，
它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模
攻击方式，主要瞄准比较大的站点，象商业公司，搜索引擎和政府部门的站
点。

我们知道DoS攻击只要一台单机就可实现，与之不同的是DDoS攻击是
利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以
防备，因此具有较大的破坏性。

DDoS的攻击原理如图所示。

图1 DDoS攻击原理
从图1可以看出，DDoS攻击分为3层：攻击者、主控端、代理端，三者在攻击中扮演着不同的角色。

攻击者：攻击者所用的计算机是攻击主控台，可以是网络上的任何一台主机，甚至可以是一个活动的便携机。

攻击者操纵整个攻击过程，它向主控端发送攻击命令。

主控端：主控端是攻击者非法侵入并控制的一些主机，这些主机还分别控制大量的代理主机。

主控端主机的上面安装了特定的程序，因此它们可以接受攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。

代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击器程序，接受和运行主控端发来的命令。

代理端主机是攻击的执行者，真正向受害者主机发送攻击。

攻击者发起DDoS攻击的第一步，就是寻找在Internet上有漏洞的主机，进入系统后在其上面安装后门程序，攻击者入侵的主机越多，他的攻击队伍就越壮大。

第二步在入侵主机上安装攻击程序，其中一部分主机充当攻击的主控端，一部分主机充当攻击的代理端。

最后各部分主机各司其职，在攻击者的调遣下对攻击对象发起攻击。

由于攻击者在幕后操纵，所以在攻击时不会受到监控系统的跟踪，身份不容易被发现。

DDoS攻击使用的常用工具
DDoS攻击实施起来有一定的难度，它要求攻击者必须具备入侵他人计算机的能力。

但是很不幸的是一些傻瓜式的黑客程序的出现，这些程序可以在几秒钟内完成入侵和攻击程序的安装，使发动DDoS攻击变成一件轻而易举的事情。

下面我们来分析一下这些常用的黑客程序。

Trinoo
Trinoo的攻击方法是向被攻击目标主机的随机端口发出全零的4字节UDP 包，在处理这些超出其处理能力的垃圾数据包的过程中，被攻击主机的网络性能不断下降，直到不能提供正常服务，乃至崩溃。

它对IP地址不做假，采用的通讯端口是：
攻击者主机到主控端主机：27665/TCP;主控端主机到代理端主机：27444/UDP;代理端主机到主服务器主机：31335/UDP。

TFN
TFN由主控端程序和代理端程序两部分组成，它主要采取的攻击方法为：SYN 风暴、Ping风暴、UDP炸弹等，具有伪造数据包的能力。

TFN2K
TFN2K是由TFN发展而来的，在TFN所具有的特性上，TFN2K又新增一些特性，它的主控端和代理端的网络通讯是经过加密的，中间还可能混杂了许多虚假数据包，而TFN对ICMP的通讯没有加密。

攻击方法增加了Mix和Targa3。

并且TFN2K可配置的代理端进程端口。

Stacheldraht
Stacheldraht也是从TFN派生出来的，因此它具有TFN的特性。

此外它增加了主控端与代理端的加密通讯能力，它对命令源作假，可以防范一些路由器的RFC2267过滤。

Stacheldrah中有一个内嵌的代理升级模块，可以自动下载并安装最新的代理程序。

DDoS的监测
现在网上采用DDoS方式进行攻击的攻击者日益增多，我们只有及早发现自己受到攻击才能避免遭受惨重的损失。

检测DDoS攻击的主要方法有以下几种：
根据异常情况分析
当网络的通讯量突然急剧增长，超过平常的极限值时，你可一定要提高警惕，检测此时的通讯；当网站的某一特定服务总是失败时，你也要多加注意；当发现有特大型的ICP和UDP数据包通过或数据包内容可疑时都要留神。

总之，当你的机器出现异常情况时，你最好分析这些情况，防患于未然。

使用DDoS检测工具。