服務器防dos攻擊軟件,服務器防止ddos

  網絡滲透測試     |      2023-03-29 19:49

4、

dos攻擊的防范

DoS攻擊幾乎是從互聯網絡的誕生以來,就伴隨著互聯網絡的發展而一直存在也不斷發展和升級。值得一提的是,要找DoS的工具一點不難,黑客群居的網絡社區都有共享黑客軟件的傳統,并會在一起交流攻擊的心得經驗,你可以很輕松的從Internet上獲得這些工具,像以上提到的這些DoS攻擊軟件都是可以從網上隨意找到的公開軟件。所以任何一個上網者都可能構成網絡安全的潛在威脅。DoS攻擊給飛速發展的互聯網絡安全帶來重大的威脅。

要避免系統免受DoS攻擊,從前兩點來看,網絡管理員要積極謹慎地維護系統,確保無安全隱患和漏洞;而針對第三點的惡意攻擊方式則需要安裝防火墻等安全設備過濾DoS攻擊,同時強烈建議網絡管理員應當定期查看安全設備的日志,及時發現對系統的安全威脅行為。

Internet支持工具就是其中的主要解決方案之一,包括SuperStack3Firewall、WebCache以及ServerLoadBalancer。不但作為安全網關設備的3ComSuperStack3防火墻在缺省預配置下可探測和防止“拒絕服務”(DoS)以及“分布式拒絕服務”(DDoS)等黑客侵襲,強有力的保護您的網絡,使您免遭未經授權訪問和其他來自Internet的外部威脅和侵襲;而且3ComSuperStack3ServerLoadBalancer在為多服務器提供硬件線速的4-7層負載均衡的同時,還能保護所有服務器免受“拒絕服務”(DoS)攻擊;同樣3ComSuperStack3WebCache在為企業提供高效的本地緩存的同時,也能保證自身免受“拒絕服務”(DoS)攻擊。

常見攻擊與防范 原理:攻擊時,攻擊者巧妙的利用了反彈服務器群來將洪水數據包反彈給目標主機 反彈服務是指某些服務器在收到一個請求數據報后就會產生一個回應數據報。所有的 Web 服務器、DNS 服務器及路 由器都是反彈服務器,他們會對 SYN 報文或其他 TCP 報文回應 SYNACKs 或 RST 報文, 以及對一些 IP 報文回應 ICMP 數據報超時或目的地不可達消息的數據 報。任何用于普通目的 TCP 連 接許可的網絡服務器都可以用做數據包反射服務器

配置路由器、防火墻和入侵檢測系統來抵御常見DDoS攻擊

Smurf

·確定你是否成為了攻擊平臺:對不是來自于你的內部網絡的信息包進行監控;監控大容量的回音請求和回音應答信息包。

·避免被當做一個攻擊平臺:在所有路由器上禁止IP廣播功能;將不是來自于內部網絡的信息包過濾掉。

·減輕攻擊的危害:在邊界路由器對回音應答信息包進行過濾,并丟棄;對于Cisco路由器,使用CAR來規定回音應答信息包可以使用的帶寬最大值。

trinoo

·確定你是否成為攻擊平臺:在master程序和代理程序之間的通訊都是使用UDP協議,因此對使用UDP協議(類別17)進行過濾;攻擊者用TCP端口27655與master程序連接,因此對使用TCP(類別6)端口27655連接的流進行過濾;master與代理之間的通訊必須要包含字符串“l44”,并被引導到代理的UDP端口27444,因此對與UDP端口27444連接且包含字符串l44的數據流進行過濾。

·避免被用作攻擊平臺:將不是來自于你的內部網絡的信息包過濾掉。

·減輕攻擊的危害:從理論上說,可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾,并丟棄它們。

TFN

·確定你是否成為攻擊平臺:對不是來自于內部網絡的信息包進行監控。

·避免被用作攻擊平臺:不允許一切到你的網絡上的ICMP回音和回音應答信息包,當然這會影響所有要使用這些功能的Internet程序;將不是來源于內部網絡的信息包過濾掉。

Stacheldraht

·確定你是否成為攻擊平臺:對ID域中包含值666、數據域中包含字符串“skillz”或ID域中包含值667、數據域中包含字符串“ficken”的ICMP回音應答信息包進行過濾;對源地址為“3.3.3.3”的ICMP信息包和ICMP信息包數據域中包含字符串“spoofworks”的數據流進行過濾。

·手工防護

一般而言手工方式防護DDOS主要通過兩種形式:

系統優化――主要通過優化被攻擊系統的核心參數,提高系統本身對DDoS攻擊的響應能力。但是這種做法只能針對小規模的DDOS進行防護。

網絡追查――遭受DDoS攻擊的系統的管理人員一般第一反應是詢問上一級網絡運營商,這有可能是ISP、IDC等,目的就是為了弄清楚攻擊源頭。 防火墻幾乎是最常用的安全產品,但是防火墻設計原理中并沒有考慮針對DDOS攻擊的防護,在某些情況下,防火墻甚至成為DDOS攻擊的目標而導致整個網絡的拒絕服務。

首先是防火墻缺乏DDOS攻擊檢測的能力。通常,防火墻作為三層包轉發設備部署在網絡中,一方面在保護內部網絡的同時,它也為內部需要提供外部Internet服務的設備提供了通路,如果DDOS攻擊采用了這些服務器允許的合法協議對內部系統進行攻擊,防火墻對此就無能為力,無法精確的從背景流量中區分出攻擊流量。雖然有些防火墻內置了某些模塊能夠對攻擊進行檢測,但是這些檢測機制一般都是基于特征規則,DDOS攻擊者只要對攻擊數據包稍加變化,防火墻就無法應對,對DDOS攻擊的檢測必須依賴于行為模式的算法。