|
網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 這時候內容完全不同了,再也收不到剛才那些正常的網絡包,只有DDoS包。大家注意一下,這里所有的Syn Flood攻擊包的源地址都是偽造的,給追查工作帶來很大困難。這時在被攻擊主機上積累了多少Syn的半連接呢?我們用netstat來看一下: # netstat -an | grep SYN … … 192.168.0.183.9 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 192.168.0.183.13 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 192.168.0.183.19 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 192.168.0.183.21 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 192.168.0.183.22 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 192.168.0.183.23 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 192.168.0.183.25 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 192.168.0.183.37 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 192.168.0.183.53 127.0.0.79.1801 0 0 24656 0 SYN_RCVD … … 其中SYN_RCVD表示當前未完成的TCP SYN隊列,統計一下: # netstat -an | grep SYN | wc -l 5273 # netstat -an | grep SYN | wc -l 5154 # netstat -an | grep SYN | wc -l 5267 ….. 共有五千多個Syn的半連接存儲在內存中。這時候被攻擊機已經不能響應新的服務請求了,系統運行非常慢,也無法ping通。 這是在攻擊發起后僅僅70秒鐘左右時的情況。 DDoS的防范 到目前為止,進行DDoS攻擊的防御還是比較困難的。首先,這種攻擊的特點是它利用了TCP/IP協議的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻擊。一位資深的安全專家給了個形象的比喻:DDoS就好象有1,000個人同時給你家里打電話,這時候你的朋友還打得進來嗎? 不過即使它難于防范,也不是說我們就應該逆來順受,實際上防止DDoS并不是絕對不可行的事情。互聯網的使用者是各種各樣的,與DDoS做斗爭,不同的角色有不同的任務。我們以下面幾種角色為例: 企業網管理員 ISP、ICP管理員 骨干網絡運營商 企業網管理員 網管員做為一個企業內部網的管理者,往往也是安全員、守護神。在他維護的網絡中有一些服務器需要向外提供WWW服務,因而不可避免地成為DDoS的攻擊目標,他該如何做呢?可以從主機與網絡設備兩個角度去考慮。 主機上的設置 幾乎所有的主機平臺都有抵御DoS的設置,總結一下,基本的有幾種: 關閉不必要的服務 限制同時打開的Syn半連接數目 縮短Syn半連接的time out 時間 及時更新系統補丁 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(),我們會及時處理.
Copyright © 2018-2020 蘿卜系統 手機站 關于本站
