WIN技巧：网管经验服务器防范拒绝服务攻击妙招

WIN技巧：网管经验服务器防范拒绝服务攻击妙招（精选2篇）

篇1：WIN技巧：网管经验服务器防范拒绝服务攻击妙招

目前网络中有一种攻击让网络管理员最为头疼，那就是拒绝服务攻击，简称DOS和DDOS ，它是一种滥用资源性的攻击，目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。

今天就笔者公司管理服务器的经验为各位读者介绍几个简单有效的防范拒绝服务攻击的方法，虽然不能彻底防护，但在与DDOS的战斗中可以最大限度降低损失。

1、如何发现攻击

在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况，如果发现服务器突然超负载运作，性能突然降低，这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况呢?按照下面两个原则即可确定受到了攻击。

(1)网站的数据流量突然超出平常的十几倍甚至上百倍，而且同时到达网站的数据包分别来自大量不同的IP。

(2)大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分，往往指向你机器任意的端口。比如你的网站是Web服务器，而数据包却发向你的FTP端口或其它任意的端口。

2、BAN IP地址法

确定自己受到攻击后就可以使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效，因为DOS往往来自少量IP地址，而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦，需要我们对IP地址分析，将真正攻击的IP地址屏蔽。

不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙，然后根据防火墙的日志分析来访者的IP，发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。

当然直接在服务器上过滤会耗费服务器的一定系统资源，所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段，然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0，而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。

cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0，这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。

小提示:在访问控制列表中表示子网掩码需要使用反向掩码，也就是说0.0.255.255表示子网掩码为255.255.0.0 。

3、增加SYN缓存法

上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉，

所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。

修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS和中的修改方法。

(1)WIN2003下拒绝访问攻击的防范:

第一步:“开始->运行->输入regedit”进入注册表编辑器。

第二步:找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices，在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时，如果系统检测到存在SYN攻击，连接响应的超时时间将更短。

第三步:将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnableDeadGWDetect键值，将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

第四步:将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery键值，将其修改为0。这样可以限定攻击者的MTU大小，降低服务器总体负荷。

第五步:将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand

设置为1。

(2)WIN2000下拒绝访问攻击的防范:

在WIN2000下拒绝访问攻击的防范方法和2003基本相似，只是在设置数值上有些区别。我们做下简单介绍。

第一步:将SynAttackProtect设置为2。

第二步:将EnableDeadGWDetect设置为0。

第三步:将EnablePMTUDiscovery设置为0。

第四步:将KeepAliveTime设置为300000。

第五步:将NoNameReleaseOnDemand设置为1。

总结:经过上面介绍的察觉攻击法，BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点，实际上没有一台服务器能够彻底防范它，即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天介绍的几个方法只是免费的防范手段，实际中能起到一定的效果。

篇2：拒绝服务攻击的实现及防范

正因为拒绝服务 (Denial 0f Service, D0S) 攻击的严重性, 所导致的危害非常巨大, 所以本人在此对此攻击发表下自己的一些见解。先来简单解释下这个会令无数网站服务器管理者头痛的东西到底有着什么神力。拒绝服务并不是一个攻击的名字, 而是在网络上一种攻击类型的总称, (因为这种攻击的变种模式很多) , 它的目的非常明确, 就是要使被攻击的对象 (计算机或服务器网络) 在短时间内无法继续为用户提供正常的网络服务, 就好比高速公路上堵车一样。在此类攻击里, 最常用的是网络联通性攻击和网络带宽的攻击。两者分工明确, 一个主要负责攻击工作于网络上的电脑, 向它们提出大量的连接请求;另一个就是发送巨量的无效通信数据, 使得正常网络吞吐量消耗殆尽, 而真正需要网络流量的合法用户请求不到连接, 这种就像有人恶意霸占公共服务窗口。

正因为这个攻击实施太过于简便, 破坏性也非常明显。所以导致DOS攻击会在网络上会如此蔓延开来, 只要是会使用电脑上网, 再使用一个傻瓜式的软件, 在电脑屏幕前鼠标轻轻一按, 攻击就开始了, 正因为这个缘故才会给网络造成巨大的威胁。

较早期的攻击方式是针对协议的缺陷, 把早期的拒绝服务攻击是利用了TCP/IP协议的缺陷, 将提供正常服务的网络服务商的资源耗尽。正因为这类攻击形态太过繁多, 而且都是利用较早存在的协议漏洞, 所以至今工程师对此也是非常头痛, 没有完美的解决方法。

从拒绝服务攻击产生到现今, 我总结了下主要有这4个攻击形式:消耗网络带宽、网络设备的CPU、网络设备的内存、网络设备 (计算机) 系统崩溃。

另外依据攻击原理来区分, 又可将它分为两大类。一类是基于漏洞攻击, 也可以叫做

逻辑攻击 (L0GIC ATTACK) 。此类攻击的特点就在于在攻击前会首选会找出存在于软件中的漏洞 (有些操作系统有缓冲区溢出这个漏洞) , 找到漏洞后, 向攻击目标系统发送设计好的带破坏性的数据包, 这样接收到此数据包的系统轻则性能下降, 重则马上崩溃无法再正常运作。另一类既是基于网络流量攻击, 别称洪水攻击 (FLOODING ATTACK OR BANDWIDTH ATTACK) 。看着字面意思就可以联想到这个攻击就如同自然界的洪灾一样。就是可以在极短的时间里, 向要攻击的目标对象传送巨量的数据包, 导致其接收端网络带宽或资源被一下子消耗完毕。

拒绝服务攻击刚产生的时候, 其攻击能力只能自一个攻击源去攻击某一个单独目标而已。但随着科学技术的突飞猛进, 摩尔定律的原理是芯片集成度每18个月翻一番, 但在这个软件过度里我估计是每18天更新一次。演变至今日, 拒绝服务攻击已经从当初单一的攻击目标, 发展到可以协作、分布、大范围攻击方式。我们把这种集中多方面攻击源去攻击某一固定目标的攻击方式叫做分布式拒绝服务攻击 (Distributed Deny of Service, DD0S) 。这类攻击的强度和威力已经远远超越了它的前辈, 通常是公司网络系统或大型在线商务网站是首要攻击目标。

2. 攻击实现

当前黑客比较喜欢使用的SYN FLOOD (是DoS与DDoS攻击方式之一) , 网络上存在的其他形式几乎都是这种攻击的变种, 或者原理与此相似。根据网络通信的定义, TCP协议是基于连接的, 言下之意, 为能在服务端和客户端两者间方便传送TCP数据, 必须要先建立一个TCP连接, 然后才能传输数据, 否则接收一端就只能一直处于等待状态。其中, 建立TCP连接的过程在TCP协议中被称为三次握手 (Three-way handshake) , 其过程如下图所示:

如图1所示, 首先H0ST A会向H0ST B发出请求链接, 在此图可先认定H0ST A为客户端, H0ST B为服务器端, 其三次流程如下:

(1) 客户端向服务器端发送一个TCP报文 (同步报文或称SYN报文) , 该报文包含SYN (同步) 标志, SYN报文中同时指明了客户端使用的端口以及TCP连接的初始序号 (seq=X) ;

服务器端在收到客户端的SYN报文后, 将返回一个SYN (同步) +ACK (确认) 标志的报文给客户端, 表示客户端的请求被服务器端接受;此处seq=1, ACK=x+1;

(2) 客户端收到服务器端的SYN (同步) +ACK (确认) 标志的报文之后, 也返回一个含有ACK标志 (ack=y+1) 的报文给服务器端, 到此一个TCP连接完成。

我们无法保证网络的稳定性, 如果由于网络原因, 无法保证三次握手能够正常完成, 在TCP协议中, 发生这种情况下, 服务器端一般会再次发生SYN+ACK客户端, 经过一段时间, 如果还是没有响应, 则将该连接视为无效的连接, 并且丢弃;通俗地说, 就是服务器等待, 超过一定时间, 放弃连接。一般来说, 服务器等待的这个时间为30秒到2分钟, 该时间也称为SYN TIME0UT时间。

攻击者就是利用这个缺陷存在的间隙, 对服务器进行攻击。因为当单个客户端连接服务器时出现异常, 导致服务器的一个线程等待一段时间, 不会造成服务器的崩溃;但如果大量的客户端连接服务器出现异常, 导致服务器的多个线程都要等待一段时间, 服务器就很难承受攻击的压力了。

3. 分析与对策

从开发角度来讲, 要防御此种攻击, 有几种简单的解决方法:

(1) 缩短SYN Timeout时间。SYN Flood攻击的本质在于向服务器端请求大量未完成连接别小看这些连接数, 它们直接影响到攻击的最终效果。因此, 如果可以做到SYN Timeout时间, 就有可能在一段时间内让某些恶意链接被断开, 从而降低服务器负担。

(2) 设置黑名单。一般采用Cookie方法, 也称为SYN Cookie。该方法是当有一个请求到达请求点, 给该请求连接的IP地址分配个Cookie, 如在短时间之内, 该IP地址重复发送SYN报文, 就可以判定出这个IP地址就时一个恶意攻击者, 马上把它加入到黑名单, 只要被加入到黑名单中, 其IP地址传送的数据包都会被直接被丢弃。

(3) 使用相应软件 (如防火墙) , 遮蔽掉些可疑的客户端。业能从一定程度上降低被攻击系统的负荷量。

此外, 操作者可以使用netstat-an命令在服务器端执行, 来检查系统中是否有大量的SYN_RECV连接状态, 如果有很多, 或者超过一定比例了, 就说明系统可能遭受了拒绝服务攻击。就要全面检测系统安全了。

4. 网络安全防范策略的建议措施

哪里有网络, 哪里就有管理。正由于网络的便利, 也导致许多未经授权的用户在其他人的网络上截听通信和偷偷活动。虽然针对这些存在的隐患, 专家们已经在隐藏TCP/IP通信方面取得了很大进展, 许多单位也都实行一套网络管理策略来限制某些类型的网络通信, 从而在一定程度上使得入侵无法在网络上获得私密信息。但是道高一尺, 魔高一丈, 我认为企业还应在以下方面加强防护。

安装防火墙应用:防火墙的作用是通过在内网和外网之间、专网与公网之间的边界上构造一个保护屏障, 保护内部网络免遭非法用户的侵入。防火墙是企业网络安全领域的必备。

安装系统补丁:正由于系统是人开发, 协议是人定义的, 所以并不是百分百完美的, 有漏洞是在所难免, 尤其各种漏洞不断被公布, 不停被黑客利用, 所以堵住源泉是十分必要的。堵住系统漏洞要比其他安全相关的任何策略更能确保网络安全。及时安全补丁是很好的维护网络安全的方法。

运用主动防御技术:除了协议漏洞外, 病毒对系统的危害也变得日益严重。普通用户一般都是用杀毒软件来防御病毒的侵入, 但现在每日都有成百上千的新病毒及变异品种诞生, 传统的病毒库已经跟不上病毒的步伐。因此, 使用主动防御, 当病毒入侵系统后, 主动防御对病毒的行为进行准确判断, 抢在它产生破坏前对其进行拦截。

提高自身安全防范观念:安全隐患已是社会问题, 不仅仅是技术人员、安全人员和管理人员的问题, 同时也是每个使用者的问题。但只要我们可以提高自身安全观念, 平时注意安全, 很多的网络安全问题都是可以避免的。要养成良好的上网习惯。

5. 结论

网络的安全是一项动态工程, 它的安全程度会随着时间的推移而产生变化。本文通过探讨TCP/IP协议在网络安全方面存在的漏洞, 理论上浅析了可能出现各种的安全隐患。网络安全是广大网络用户普遍关心的一个重要问题。不断完善网络协议的安全性, 才能使网络真正成为有效工具。尽管利用协议中存在的安全缺口来实施攻击技术性强、难度大, 但突破率高、危害性。TCP/IP对于网络安全的重要性是毋庸置疑的, 可以相信, 随着网络的发展和安全技术应用的深入, TCP/IP将不断地改进和完善, 从而更显示出其旺盛的生命力。保证计算机网络的安全, 不是一时半会的工作, 而是需要长期研究和努力的。

摘要：本文着重通过探讨目前世界范围内使用最广泛的网络协议族──TCP/IP协议族, 针对其在各层的工作形式及存在的安全隐患, 进行较周全的分析, 并通过现今影响最大的攻击模式──拒绝服务攻击, 来说明保障网络安全性的重要性和一些日常保护措施, 希望对未来的信息化安全的发展提供一些帮助。

关键词：安全性隐患,TCP/IP协议,拒绝服务,防范策略

参考文献

[1]孙云, 罗军勇, 刘炎.一种防火墙规则配置异常分析方法[J], 计算机工程, 2009年2期

[2]雷震甲.网络工程师教程[M]北京:清华大学出版社, 2004年

[3]武新华、段玲华、秦连清.计算机网络典型系统安装案例精选[M]北京:中国铁道出版社, 2006年.

[4]郑新.网络信息的安全问题及应对措施[J].商业研究, 2001, (10) :44-46

[5]王国伟, 贾宗璞.基于防火墙的网络入侵检测研究与设计[J].计算机与数字工程, 2005年12期

[6]胡琼凯, 黄建华.基于协议分析和决策树的入侵检测研究[J], 计算机技术与发展, 2009年6期

[7]贾丽, 王悦.基于windows平台入侵检测系统的应用研究[J].内蒙古科技与经济, 2007, 7 (14)