服务器安全防范拒绝服务攻击妙招
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
•
服务器安全:防范拒绝服务攻击 妙招
• 目前网络中有一种攻击让网络管理员最为 头疼,那就是拒绝服务攻击,简称DOS和 DDOS。它是一种滥用资源性的攻击,目的 就是利用自身的资源通过一种放大或不对 等的方式来达到消耗对方资源的目的。同 一时刻很多不同
• 的IP对服务器进行访问造成服务器的服 务失效甚至死机。
第五步:将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下 KeepAliveTime设置为300,000。将NoNameReleaseOnDemand
•
• • • wk.baidu.com •
设置为1。 (2)WIN2000下拒绝访问攻击的防范: 在WIN2000下拒绝访问攻击的防范方法和2003基本相似,只是在设置数 值上有些区别。我们做下简单介绍。 第一步:将SynAttackProtect设置为2。 第二步:将EnableDeadGWDetect设置为0。
• 小提示:在访问控制列表中表示子网掩码需要使用反向掩码,也就是说 0.0.255.255表示子网掩码为255.255.0.0 。 • • 3、增加SYN缓存法 上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击 但由于使用了屏蔽IP功能,自然会误将某些正常访问的IP也过滤掉。 所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可 以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在 笔者所在公司收效显著。 修改SY缓存大小是通过注册表的相关键值完成的。我们将为各 位读者介绍在WINDOWS2003和2000中的修改方法。
•
• (1)WIN2003下拒绝访问攻击的防范: • 第一步:“开始->运行->输入regedit”进入注册表编辑 器。 第二步:找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services,在其下的有个SynAttackProtect键值。默认为0 将其修改为1可更有效地防御SYN攻击。 小提示:该参数可使TCP调整SYN-ACKS的重新传输。 将SynAttackProtect设置为1时,如果系统检测到存在 SYN攻击,连接响应的超时时间将更短。
• 当然直接在服务器上过滤会耗费服务器的一定系统资源, 所以目前比较有效的方法是在服务器上通过防火墙日志定 位非法IP段,然后将过滤条目添加到路由器上。例如我们 发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0,而服务器的地址为61.153.5.1。那么可以登 录公司核心路由器添加如下语句的访问控制列表进行过滤。 • cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。
•
•
• 第三步:将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下 EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击 服务器后强迫服务器修改网关从而使服务暂停。
•
第四步:将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下 EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的 MTU大小,降低服务器总体负荷。
• 2、BAN IP地址法 • 确定自己受到攻击后就可以使用简单的屏蔽IP的方法 将DOS攻击化解。对于DOS攻击来说这种方法非常有效, 因为DOS往往来自少量IP地址,而且这些IP地址都是虚构 的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有 效的防范DOS的攻击。不过对于DDOS来说则比较麻烦, 需要我们对IP地址分析,将真正攻击的IP地址屏蔽。 • 不论是对付DOS还是DDOS都需要我们在服务器上安 装相应的防火墙,然后根据防火墙的日志分析来访者的IP, 发现访问量大的异常IP段就可以添加相应的规则到防火墙 中实施过滤了。
•
• •
第三步:将EnablePMTUDiscovery设置为0。
第四步:将KeepAliveTime设置为300000。 第五步:将NoNameReleaseOnDemand设置为1。
• 总结:经过上面介绍的察觉攻击法,BAN IP法和最 后的修改注册表法可以有效的防范DOS与DDOS 的攻击。不过由于DDOS攻击的特点,实际上没 有一台服务器能够彻底防范它,即使安装了专业 的防范DDOS的硬件防火墙也不能百分之百的避 免损失。今天介绍的几个方法只是免费的防范手 段,实际中能起到一定的效果。台湾服务器 http://www.hao1783.com/
• 今天就笔者公司管理服务器的经验为各位读者介绍几个简 单有效的防范拒绝服务攻击的方法,虽然不能彻底防护, 但在与DDOS的战斗中可以最大限度降低损失。
•
•
1、如何发现攻击
在服务器上可以通过CPU使用率和内存利用率简单有 效的查看服务器当前负载情况,如果发现服务器突然超负 载运作,性能突然降低,这就有可能是受攻击的征兆。不 过也可能是正常访问网站人数增加的原因。如何区分这两 种情况呢?按照下面两个原则即可确定受到了攻击。
• (1)网站的数据流量突然超出平常的十几倍 甚至上百倍,而且同时到达网站的数据包 分别来自大量不同的IP。 • (2)大量到达的数据包(包括TCP包和 UDP包)并不是网站服务连接的一部分,往 往指向你机器任意的端口。比如你的网站 是Web服务器,而数据包却发向你的FTP端 口或其它任意的端口。
服务器安全:防范拒绝服务攻击 妙招
• 目前网络中有一种攻击让网络管理员最为 头疼,那就是拒绝服务攻击,简称DOS和 DDOS。它是一种滥用资源性的攻击,目的 就是利用自身的资源通过一种放大或不对 等的方式来达到消耗对方资源的目的。同 一时刻很多不同
• 的IP对服务器进行访问造成服务器的服 务失效甚至死机。
第五步:将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下 KeepAliveTime设置为300,000。将NoNameReleaseOnDemand
•
• • • wk.baidu.com •
设置为1。 (2)WIN2000下拒绝访问攻击的防范: 在WIN2000下拒绝访问攻击的防范方法和2003基本相似,只是在设置数 值上有些区别。我们做下简单介绍。 第一步:将SynAttackProtect设置为2。 第二步:将EnableDeadGWDetect设置为0。
• 小提示:在访问控制列表中表示子网掩码需要使用反向掩码,也就是说 0.0.255.255表示子网掩码为255.255.0.0 。 • • 3、增加SYN缓存法 上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击 但由于使用了屏蔽IP功能,自然会误将某些正常访问的IP也过滤掉。 所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可 以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在 笔者所在公司收效显著。 修改SY缓存大小是通过注册表的相关键值完成的。我们将为各 位读者介绍在WINDOWS2003和2000中的修改方法。
•
• (1)WIN2003下拒绝访问攻击的防范: • 第一步:“开始->运行->输入regedit”进入注册表编辑 器。 第二步:找到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services,在其下的有个SynAttackProtect键值。默认为0 将其修改为1可更有效地防御SYN攻击。 小提示:该参数可使TCP调整SYN-ACKS的重新传输。 将SynAttackProtect设置为1时,如果系统检测到存在 SYN攻击,连接响应的超时时间将更短。
• 当然直接在服务器上过滤会耗费服务器的一定系统资源, 所以目前比较有效的方法是在服务器上通过防火墙日志定 位非法IP段,然后将过滤条目添加到路由器上。例如我们 发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0,而服务器的地址为61.153.5.1。那么可以登 录公司核心路由器添加如下语句的访问控制列表进行过滤。 • cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。
•
•
• 第三步:将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下 EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击 服务器后强迫服务器修改网关从而使服务暂停。
•
第四步:将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下 EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的 MTU大小,降低服务器总体负荷。
• 2、BAN IP地址法 • 确定自己受到攻击后就可以使用简单的屏蔽IP的方法 将DOS攻击化解。对于DOS攻击来说这种方法非常有效, 因为DOS往往来自少量IP地址,而且这些IP地址都是虚构 的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有 效的防范DOS的攻击。不过对于DDOS来说则比较麻烦, 需要我们对IP地址分析,将真正攻击的IP地址屏蔽。 • 不论是对付DOS还是DDOS都需要我们在服务器上安 装相应的防火墙,然后根据防火墙的日志分析来访者的IP, 发现访问量大的异常IP段就可以添加相应的规则到防火墙 中实施过滤了。
•
• •
第三步:将EnablePMTUDiscovery设置为0。
第四步:将KeepAliveTime设置为300000。 第五步:将NoNameReleaseOnDemand设置为1。
• 总结:经过上面介绍的察觉攻击法,BAN IP法和最 后的修改注册表法可以有效的防范DOS与DDOS 的攻击。不过由于DDOS攻击的特点,实际上没 有一台服务器能够彻底防范它,即使安装了专业 的防范DDOS的硬件防火墙也不能百分之百的避 免损失。今天介绍的几个方法只是免费的防范手 段,实际中能起到一定的效果。台湾服务器 http://www.hao1783.com/
• 今天就笔者公司管理服务器的经验为各位读者介绍几个简 单有效的防范拒绝服务攻击的方法,虽然不能彻底防护, 但在与DDOS的战斗中可以最大限度降低损失。
•
•
1、如何发现攻击
在服务器上可以通过CPU使用率和内存利用率简单有 效的查看服务器当前负载情况,如果发现服务器突然超负 载运作,性能突然降低,这就有可能是受攻击的征兆。不 过也可能是正常访问网站人数增加的原因。如何区分这两 种情况呢?按照下面两个原则即可确定受到了攻击。
• (1)网站的数据流量突然超出平常的十几倍 甚至上百倍,而且同时到达网站的数据包 分别来自大量不同的IP。 • (2)大量到达的数据包(包括TCP包和 UDP包)并不是网站服务连接的一部分,往 往指向你机器任意的端口。比如你的网站 是Web服务器,而数据包却发向你的FTP端 口或其它任意的端口。