国产精品毛片久久,99热国内精品永久免费观看,老司机2019福利精品视频导航

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來的新技術(shù)，它把互聯(lián)網(wǎng)上分散的資源融為有機整體，實現(xiàn)資源的全面共享和有機協(xié)作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數(shù)據(jù)資源、信息資源、知識資源、專家資源、大型數(shù)據(jù)庫、網(wǎng)絡(luò)、傳感器等。當前的互聯(lián)網(wǎng)只限于信息共享，網(wǎng)絡(luò)則被認為是互聯(lián)網(wǎng)發(fā)展的第三階段。

目前網(wǎng)絡(luò)中有一種攻擊讓網(wǎng)絡(luò)管理員最為頭疼，那就是拒絕服務(wù)攻擊，簡稱DOS和DDOS。它是一種濫用資源性的攻擊，目的就是利用自身的資源通過一種放大或不對等的方式來達到消耗對方資源的目的。同一時刻很多不同的IP對服務(wù)器進行訪問造成服務(wù)器的服務(wù)失效甚至死機。

今天就筆者公司管理服務(wù)器的經(jīng)驗為各位讀者介紹幾個簡單有效的防范拒絕服務(wù)攻擊的方法，雖然不能徹底防護，但在與DDOS的戰(zhàn)斗中可以最大限度降低損失。

1、如何發(fā)現(xiàn)攻擊

在服務(wù)器上可以通過CPU使用率和內(nèi)存利用率簡單有效的查看服務(wù)器當前負載情況，如果發(fā)現(xiàn)服務(wù)器突然超負載運作，性能突然降低，這就有可能是受攻擊的征兆。不過也可能是正常訪問網(wǎng)站人數(shù)增加的原因。如何區(qū)分這兩種情況呢？按照下面兩個原則即可確定受到了攻擊。

（1）網(wǎng)站的數(shù)據(jù)流量突然超出平常的十幾倍甚至上百倍，而且同時到達網(wǎng)站的數(shù)據(jù)包分別來自大量不同的IP。

（2）大量到達的數(shù)據(jù)包(包括TCP包和UDP包)并不是網(wǎng)站服務(wù)連接的一部分，往往指向你機器任意的端口。比如你的網(wǎng)站是Web服務(wù)器，而數(shù)據(jù)包卻發(fā)向你的FTP端口或其它任意的端口。

2、BAN IP地址法

確定自己受到攻擊后就可以使用簡單的屏蔽IP的方法將DOS攻擊化解。對于DOS攻擊來說這種方法非常有效，因為DOS往往來自少量IP地址，而且這些IP地址都是虛構(gòu)的偽裝的。在服務(wù)器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩，需要我們對IP地址分析，將真正攻擊的IP地址屏蔽。

不論是對付DOS還是DDOS都需要我們在服務(wù)器上安裝相應的防火墻，然后根據(jù)防火墻的日志分析來訪者的IP，發(fā)現(xiàn)訪問量大的異常IP段就可以添加相應的規(guī)則到防火墻中實施過濾了。

當然直接在服務(wù)器上過濾會耗費服務(wù)器的一定系統(tǒng)資源，所以目前比較有效的方法是在服務(wù)器上通過防火墻日志定位非法IP段，然后將過濾條目添加到路由器上。例如我們發(fā)現(xiàn)進行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0，而服務(wù)器的地址為61.153.5.1。那么可以登錄公司核心路由器添加如下語句的訪問控制列表進行過濾。

cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0，這樣就實現(xiàn)了將211.153.0.0 255.255.0.0的非法IP過濾的目的。（如圖）

點擊看大圖

小提示：在訪問控制列表中表示子網(wǎng)掩碼需要使用反向掩碼，也就是說0.0.255.255表示子網(wǎng)掩碼為255.255.0.0 。

3、增加SYN緩存法

上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊但由于使用了屏蔽IP功能，自然會誤將某些正常訪問的IP也過濾掉。所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。我們可以通過修改SYN緩存的方法防御小型DOS與DDOS的攻擊。該方法在筆者所在公司收效顯著。

修改SY緩存大小是通過注冊表的相關(guān)鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。

（1）WIN2003下拒絕訪問攻擊的防范：

第一步：“開始->運行->輸入regedit”進入注冊表編輯器。

第二步：找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在其下的有個SynAttackProtect鍵值。默認為0將其修改為1可更有效地防御SYN攻擊。

小提示：該參數(shù)可使TCP調(diào)整SYN-ACKS的重新傳輸。將SynAttackProtect設(shè)置為1時，如果系統(tǒng)檢測到存在SYN攻擊，連接響應的超時時間將更短。

第三步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect鍵值，將其修改為0。該設(shè)置將禁止SYN攻擊服務(wù)器后強迫服務(wù)器修改網(wǎng)關(guān)從而使服務(wù)暫停。

第四步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery鍵值，將其修改為0。這樣可以限定攻擊者的MTU大小，降低服務(wù)器總體負荷。

第五步：將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime設(shè)置為300,000。將NoNameReleaseOnDemand
設(shè)置為1。

（2）WIN2000下拒絕訪問攻擊的防范：

在WIN2000下拒絕訪問攻擊的防范方法和2003基本相似，只是在設(shè)置數(shù)值上有些區(qū)別。我們做下簡單介紹。

第一步：將SynAttackProtect設(shè)置為2。

第二步：將EnableDeadGWDetect設(shè)置為0。

第三步：將EnablePMTUDiscovery設(shè)置為0。

第四步：將KeepAliveTime設(shè)置為300000。

第五步：將NoNameReleaseOnDemand設(shè)置為1。

總結(jié)：經(jīng)過上面介紹的察覺攻擊法，BAN IP法和最后的修改注冊表法可以有效的防范DOS與DDOS的攻擊。不過由于DDOS攻擊的特點，實際上沒有一臺服務(wù)器能夠徹底防范它，即使安裝了專業(yè)的防范DDOS的硬件防火墻也不能百分之百的避免損失。今天介紹的幾個方法只是免費的防范手段，實際中能起到一定的效果。

網(wǎng)絡(luò)的神奇作用吸引著越來越多的用戶加入其中，正因如此，網(wǎng)絡(luò)的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術(shù)都需要適時應勢，對應發(fā)展，這正是網(wǎng)絡(luò)迅速走向進步的催化劑。

溫馨提示：喜歡本站的話，請收藏一下本站！

人人做人人澡人人爽欧美,国产主播一区二区,久久久精品五月天,羞羞视频在线观看免费

當前位置:蘿卜系統(tǒng) > 網(wǎng)絡(luò)技術(shù)教程 > 詳細頁面

服務(wù)器防范拒絕服務(wù)攻擊妙招

本類教程下載

系統(tǒng)下載排行