防dos攻擊(防dos攻擊原理)

防范dos攻擊的方法主要有哪些

(1)定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點，清查可能存在的安全漏洞，對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡主節(jié)點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。
(2)在骨干節(jié)點配置防火墻
防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。

(3)用足夠的機器承受黑客攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數(shù)設備處于空閑狀態(tài)，和中小企業(yè)網(wǎng)絡實際運行情況不相符。

(4)充分利用網(wǎng)絡設備保護網(wǎng)絡資源
所謂網(wǎng)絡設備是指路由器、防火墻等負載均衡設備，它們可將網(wǎng)絡有效地保護起來。當網(wǎng)絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務器死掉，其中的數(shù)據(jù)會丟失，而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一臺路由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。

(5)過濾不必要的服務和端口
過濾不必要的服務和端口，即在路由器上過濾假IP ……只開放服務端口成為很多服務器的流行做法，例如WWW服務器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

用路由器防止DoS拒絕服務瘋狂攻擊的方法

　　拒絕服務(DoS)攻擊是目前黑客廣泛使用的一種攻擊手段，它通過獨占網(wǎng)絡資源、使其他主機不能進行正常訪問，從而導致宕機或網(wǎng)絡癱瘓。

　　DoS攻擊主要分為Smurf、SYNFlood和Fraggle三種，在Smurf攻擊中，攻擊者使用ICMP數(shù)據(jù)包阻塞服務器和其他網(wǎng)絡資源;SYNFlood攻擊使用數(shù)量巨大的TCP半連接來占用網(wǎng)絡資源;Fraggle攻擊與Smurf攻擊原理類似，使用UDPecho請求而不是ICMPecho請求發(fā)起攻擊。

　　盡管網(wǎng)絡安全專家都在著力開發(fā)阻止DoS攻擊的設備，但收效不大，因為DoS攻擊利用了TCP協(xié)議本身的弱點。正確配置路由器能夠有效防止DoS攻擊。以Cisco路由器為例，Cisco路由器中的IOS軟件具有許多防止DoS攻擊的特性，保護路由器自身和內(nèi)部網(wǎng)絡的安全。

　　 使用擴展訪問列表

　　擴展訪問列表是防止DoS攻擊的有效工具。它既可以用來探測DoS攻擊的類型，也可以阻止DoS攻擊。ShowIPaccess-list命令能夠顯示每個擴展訪問列表的匹配數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的類型，用戶就可以確定DoS攻擊的種類。如果網(wǎng)絡中出現(xiàn)了大量建立TCP連接的請求，這表明網(wǎng)絡受到了SYNFlood攻擊，這時用戶就可以改變訪問列表的配置，阻止DoS攻擊。

　　 使用QoS

　　使用服務質(zhì)量優(yōu)化(QoS)特征，如加權(quán)公平隊列(WFQ)、承諾訪問速率(CAR)、一般流量整形(GTS)以及定制隊列(CQ)等，都可以有效阻止DoS攻擊。需要注意的是，不同的QoS策略對付不同DoS攻擊的效果是有差別的。例如，WFQ對付PingFlood攻擊要比防止SYNFlood攻擊更有效，這是因為PingFlood通常會在WFQ中表現(xiàn)為一個單獨的傳輸隊列，而SYNFlood攻擊中的每一個數(shù)據(jù)包都會表現(xiàn)為一個單獨的數(shù)據(jù)流。此外，人們可以利用CAR來限制ICMP數(shù)據(jù)包流量的速度，防止Smurf攻擊，也可以用來限制SYN數(shù)據(jù)包的流量速度，防止SYNFlood攻擊。使用QoS防止DoS攻擊，需要用戶弄清楚QoS以及DoS攻擊的原理，這樣才能針對DoS攻擊的不同類型采取相應的'防范措施。

　　 使用單一地址逆向轉(zhuǎn)發(fā)

　　逆向轉(zhuǎn)發(fā)(RPF)是路由器的一個輸入功能，該功能用來檢查路由器接口所接收的每一個數(shù)據(jù)包。如果路由器接收到一個源IP地址為10.10.10.1的數(shù)據(jù)包，但是CEF(CiscoExpressForwarding)路由表中沒有為該IP地址提供任何路由信息，路由器就會丟棄該數(shù)據(jù)包，因此逆向轉(zhuǎn)發(fā)能夠阻止Smurf攻擊和其他基于IP地址偽裝的攻擊。

　　使用RPF功能需要將路由器設為快速轉(zhuǎn)發(fā)模式(CEFswitching)，并且不能將啟用RPF功能的接口配置為CEF交換。RPF在防止IP地址欺騙方面比訪問列表具有優(yōu)勢，首先它能動態(tài)地接受動態(tài)和靜態(tài)路由表中的變化;第二RPF所需要的操作維護較少;第三RPF作為一個反欺騙的工具，對路由器本身產(chǎn)生的性能沖擊，要比使用訪問列表小得多。

　　 使用TCP攔截

　　Cisco在IOS11.3版以后，引入了TCP攔截功能，這項功能可以有效防止SYNFlood攻擊內(nèi)部主機。

　　在TCP連接請求到達目標主機之前，TCP攔截通過攔截和驗證來阻止這種攻擊。TCP攔截可以在攔截和監(jiān)視兩種模式下工作。在攔截模式下，路由器攔截到達的TCP同步請求，并代表服務器建立與客戶機的連接，如果連接成功，則代表客戶機建立與服務器的連接，并將兩個連接進行透明合并。在整個連接期間，路由器會一直攔截和發(fā)送數(shù)據(jù)包。對于非法的連接請求，路由器提供更為嚴格的對于half-open的超時限制，以防止自身的資源被SYN攻擊耗盡。在監(jiān)視模式下，路由器被動地觀察流經(jīng)路由器的連接請求，如果連接超過了所配置的建立時間，路由器就會關(guān)閉此連接。

　　在Cisco路由器上開啟TCP攔截功能需要兩個步驟：一是配置擴展訪問列表，以確定需要保護的IP地址;二是開啟TCP攔截。配置訪問列表是為了定義需要進行TCP攔截的源地址和目的地址，保護內(nèi)部目標主機或網(wǎng)絡。在配置時，用戶通常需要將源地址設為any，并且指定具體的目標網(wǎng)絡或主機。如果不配置訪問列表，路由器將會允許所有的請求經(jīng)過。

　　 使用基于內(nèi)容的訪問控制

　　基于內(nèi)容的訪問控制(CBAC)是對Cisco傳統(tǒng)訪問列表的擴展，它基于應用層會話信息，智能化地過濾TCP和UDP數(shù)據(jù)包，防止DoS攻擊。

　　CBAC通過設置超時時限值和會話門限值來決定會話的維持時間以及何時刪除半連接。對TCP而言，半連接是指一個沒有完成三階段握手過程的會話。對UDP而言，半連接是指路由器沒有檢測到返回流量的會話。

　　CBAC正是通過監(jiān)視半連接的數(shù)量和產(chǎn)生的頻率來防止洪水攻擊。每當有不正常的半連接建立或者在短時間內(nèi)出現(xiàn)大量半連接的時候，用戶可以判斷是遭受了洪水攻擊。CBAC每分鐘檢測一次已經(jīng)存在的半連接數(shù)量和試圖建立連接的頻率，當已經(jīng)存在的半連接數(shù)量超過了門限值，路由器就會刪除一些半連接，以保證新建立連接的需求，路由器持續(xù)刪除半連接，直到存在的半連接數(shù)量低于另一個門限值;同樣，當試圖建立連接的頻率超過門限值，路由器就會采取相同的措施，刪除一部分連接請求，并持續(xù)到請求連接的數(shù)量低于另一個門限值。通過這種連續(xù)不斷的監(jiān)視和刪除，CBAC可以有效防止SYNFlood和Fraggle攻擊。

　　路由器是企業(yè)內(nèi)部網(wǎng)絡的第一道防護屏障，也是黑客攻擊的一個重要目標，如果路由器很容易被攻破，那么企業(yè)內(nèi)部網(wǎng)絡的安全也就無從談起，因此在路由器上采取適當措施，防止各種DoS攻擊是非常必要的。用戶需要注意的是，以上介紹的幾種方法，對付不同類型的DoS攻擊的能力是不同的，對路由器CPU和內(nèi)存資源的占用也有很大差別，在實際環(huán)境中，用戶需要根據(jù)自身情況和路由器的性能來選擇使用適當?shù)姆绞健?/p>

怎樣可以防御dos攻擊，大家給我支支招呀？

什么是Dos和DdoS呢?DoS是一種利用單臺計算機的攻擊方式。而DdoS(Distributed Denial of Service，分布式拒絕服務)是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式，主要瞄準比較大的站點，比如一些商業(yè)公司、搜索引擎和政府部門的站點。DdoS攻擊是利用一批受控制的機器向一臺機器發(fā)起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。如果說以前網(wǎng)絡管理員對抗Dos可以采取過濾IP地址方法的話，那么面對當前DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防范DdoS攻擊變得更加困難，如何采取措施有效的應對呢?下面從兩個方面進行介紹。預防為主保證安全DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規(guī)方法。
(1)定期掃描
要定期掃描現(xiàn)有的網(wǎng)絡主節(jié)點，清查可能存在的安全漏洞，對新出現(xiàn)的漏洞及時進行清理。骨干節(jié)點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網(wǎng)絡主節(jié)點的都是服務器級別的計算機，所以定期掃描漏洞就變得更加重要了。
(2)在骨干節(jié)點配置防火墻
防火墻本身能抵御DdoS攻擊和其他一些攻擊。在發(fā)現(xiàn)受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防范攻擊優(yōu)秀的系統(tǒng)。
(3)用足夠的機器承受黑客攻擊
這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數(shù)設備處于空閑狀態(tài)，和中小企業(yè)網(wǎng)絡實際運行情況不相符。
(4)充分利用網(wǎng)絡設備保護網(wǎng)絡資源
所謂網(wǎng)絡設備是指路由器、防火墻等負載均衡設備，它們可將網(wǎng)絡有效地保護起來。當網(wǎng)絡被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經(jīng)重啟后會恢復正常，而且啟動起來還很快，沒有什么損失。若其他服務器死掉，其中的數(shù)據(jù)會丟失，而且重啟服務器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一臺路由器被攻擊死機時，另一臺將馬上工作。從而最大程度的削減了DdoS的攻擊。
(5)過濾不必要的服務和端口
過濾不必要的服務和端口，即在路由器上過濾假IP ……只開放服務端口成為很多服務器的流行做法，例如WWW服務器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。
無論是G口發(fā)包還是肉雞攻擊,使用蜘蛛系統(tǒng)在保障您個人服務器或者數(shù)據(jù)安全的狀態(tài)下,只影響一個線路,一個地區(qū),一個省或者一個省的一條線路的用戶.并且會在一分鐘內(nèi)更換已經(jīng)癱瘓的節(jié)點服務器保證網(wǎng)站正常狀態(tài).還可以把G口發(fā)包的服務器或者肉雞發(fā)出的數(shù)據(jù)包全部返回到發(fā)送點,使G口發(fā)包的服務器與肉雞全部變成癱瘓狀態(tài).試想如果沒了G口服務器或者肉雞黑客用什么來攻擊您的網(wǎng)站？
想要解決這個問題就要用到高防服務器，如果租用高防服務器的話，它的防御能力、訪問速度、穩(wěn)定與否都是首要考慮因素，鼎立網(wǎng)絡高防服務器具有防御強，訪問速度快，穩(wěn)定性高等優(yōu)勢，讓您放心搭建網(wǎng)站，是企業(yè)選擇高防服務器的首選。

dos攻擊的防范

DoS攻擊幾乎是從互聯(lián)網(wǎng)絡的誕生以來，就伴隨著互聯(lián)網(wǎng)絡的發(fā)展而一直存在也不斷發(fā)展和升級。值得一提的是，要找DoS的工具一點不難，黑客群居的網(wǎng)絡社區(qū)都有共享黑客軟件的傳統(tǒng)，并會在一起交流攻擊的心得經(jīng)驗，你可以很輕松的從Internet上獲得這些工具，像以上提到的這些DoS攻擊軟件都是可以從網(wǎng)上隨意找到的公開軟件。所以任何一個上網(wǎng)者都可能構(gòu)成網(wǎng)絡安全的潛在威脅。DoS攻擊給飛速發(fā)展的互聯(lián)網(wǎng)絡安全帶來重大的威脅。
要避免系統(tǒng)免受DoS攻擊，從前兩點來看，網(wǎng)絡管理員要積極謹慎地維護系統(tǒng)，確保無安全隱患和漏洞；而針對第三點的惡意攻擊方式則需要安裝防火墻等安全設備過濾DoS攻擊，同時強烈建議網(wǎng)絡管理員應當定期查看安全設備的日志，及時發(fā)現(xiàn)對系統(tǒng)的安全威脅行為。
Internet支持工具就是其中的主要解決方案之一，包括SuperStack3Firewall、WebCache以及ServerLoadBalancer。不但作為安全網(wǎng)關(guān)設備的3ComSuperStack3防火墻在缺省預配置下可探測和防止“拒絕服務”（DoS）以及“分布式拒絕服務”（DDoS）等黑客侵襲，強有力的保護您的網(wǎng)絡，使您免遭未經(jīng)授權(quán)訪問和其他來自Internet的外部威脅和侵襲；而且3ComSuperStack3ServerLoadBalancer在為多服務器提供硬件線速的4-7層負載均衡的同時，還能保護所有服務器免受“拒絕服務”（DoS）攻擊；同樣3ComSuperStack3WebCache在為企業(yè)提供高效的本地緩存的同時，也能保證自身免受“拒絕服務”（DoS）攻擊。
常見攻擊與防范 　　原理：　　攻擊時，攻擊者巧妙的利用了反彈服務器群來將洪水數(shù)據(jù)包反彈給目標主機 反彈服務是指某些服務器在收到一個請求數(shù)據(jù)報后就會產(chǎn)生一個回應數(shù)據(jù)報。所有的 Web 服務器、DNS 服務器及路 由器都是反彈服務器，他們會對 SYN 報文或其他 TCP 報文回應 SYNACKs 或 RST 報文， 以及對一些 IP 報文回應 ICMP 數(shù)據(jù)報超時或目的地不可達消息的數(shù)據(jù) 報。任何用于普通目的 TCP 連 接許可的網(wǎng)絡服務器都可以用做數(shù)據(jù)包反射服務器
配置路由器、防火墻和入侵檢測系統(tǒng)來抵御常見DDoS攻擊
Smurf
·確定你是否成為了攻擊平臺：對不是來自于你的內(nèi)部網(wǎng)絡的信息包進行監(jiān)控；監(jiān)控大容量的回音請求和回音應答信息包。
·避免被當做一個攻擊平臺：在所有路由器上禁止IP廣播功能；將不是來自于內(nèi)部網(wǎng)絡的信息包過濾掉。
·減輕攻擊的危害：在邊界路由器對回音應答信息包進行過濾，并丟棄；對于Cisco路由器，使用CAR來規(guī)定回音應答信息包可以使用的帶寬最大值。
trinoo
·確定你是否成為攻擊平臺：在master程序和代理程序之間的通訊都是使用UDP協(xié)議，因此對使用UDP協(xié)議（類別17）進行過濾；攻擊者用TCP端口27655與master程序連接，因此對使用TCP（類別6）端口27655連接的流進行過濾；master與代理之間的通訊必須要包含字符串“l(fā)44”，并被引導到代理的UDP端口27444，因此對與UDP端口27444連接且包含字符串l44的數(shù)據(jù)流進行過濾。
·避免被用作攻擊平臺：將不是來自于你的內(nèi)部網(wǎng)絡的信息包過濾掉。
·減輕攻擊的危害：從理論上說，可以對有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列進行過濾，并丟棄它們。
TFN
·確定你是否成為攻擊平臺：對不是來自于內(nèi)部網(wǎng)絡的信息包進行監(jiān)控。
·避免被用作攻擊平臺：不允許一切到你的網(wǎng)絡上的ICMP回音和回音應答信息包，當然這會影響所有要使用這些功能的Internet程序；將不是來源于內(nèi)部網(wǎng)絡的信息包過濾掉。
Stacheldraht
·確定你是否成為攻擊平臺：對ID域中包含值666、數(shù)據(jù)域中包含字符串“skillz”或ID域中包含值667、數(shù)據(jù)域中包含字符串“ficken”的ICMP回音應答信息包進行過濾；對源地址為“3.3.3.3”的ICMP信息包和ICMP信息包數(shù)據(jù)域中包含字符串“spoofworks”的數(shù)據(jù)流進行過濾。
·手工防護
一般而言手工方式防護DDOS主要通過兩種形式：
系統(tǒng)優(yōu)化――主要通過優(yōu)化被攻擊系統(tǒng)的核心參數(shù)，提高系統(tǒng)本身對DDoS攻擊的響應能力。但是這種做法只能針對小規(guī)模的DDOS進行防護。
網(wǎng)絡追查――遭受DDoS攻擊的系統(tǒng)的管理人員一般第一反應是詢問上一級網(wǎng)絡運營商，這有可能是ISP、IDC等，目的就是為了弄清楚攻擊源頭。 防火墻幾乎是最常用的安全產(chǎn)品，但是防火墻設計原理中并沒有考慮針對DDOS攻擊的防護，在某些情況下，防火墻甚至成為DDOS攻擊的目標而導致整個網(wǎng)絡的拒絕服務。
首先是防火墻缺乏DDOS攻擊檢測的能力。通常，防火墻作為三層包轉(zhuǎn)發(fā)設備部署在網(wǎng)絡中，一方面在保護內(nèi)部網(wǎng)絡的同時，它也為內(nèi)部需要提供外部Internet服務的設備提供了通路，如果DDOS攻擊采用了這些服務器允許的合法協(xié)議對內(nèi)部系統(tǒng)進行攻擊，防火墻對此就無能為力，無法精確的從背景流量中區(qū)分出攻擊流量。雖然有些防火墻內(nèi)置了某些模塊能夠?qū)暨M行檢測，但是這些檢測機制一般都是基于特征規(guī)則，DDOS攻擊者只要對攻擊數(shù)據(jù)包稍加變化，防火墻就無法應對，對DDOS攻擊的檢測必須依賴于行為模式的算法。
第二個原因就是傳統(tǒng)防火墻計算能力的限制，傳統(tǒng)的防火墻是以高強度的檢查為代價，檢查的強度越高，計算的代價越大。而DDOS攻擊中的海量流量會造成防火墻性能急劇下降，不能有效地完成包轉(zhuǎn)發(fā)的任務。最好防火墻的部署位置也影響了其防護DDOS攻擊的能力。傳統(tǒng)防火墻一般都是部署在網(wǎng)絡入口位置，雖然某種意義上保護了網(wǎng)絡內(nèi)部的所有資源，但是其往往也成為DDOS攻擊的目標，攻擊者一旦發(fā)起DDOS攻擊，往往造成網(wǎng)絡性能的整體下降，導致用戶正常請求被拒絕。

路由器上防DOS攻擊中的設置，

1、連接好路由器，在網(wǎng)址欄輸入192.168.1.1進入路由器的登錄界面。

2、輸入好登錄名和密碼。

3、進入路由器的管理頁面后，點擊右上角的高級設置。

4、進入高級設置后就會看到“安全設置”。

5、 在安全設置里就會看到DOS攻擊防范。開啟DOS攻擊防范，點擊下方的保存按鈕即可。

常見WEB攻擊之DoS 攻擊

DoS 攻擊（Denial of Service attack）是一種讓運行中的服務呈停止狀 態(tài)的攻擊。有時也叫做服務停止攻擊或拒絕服務攻擊。DoS 攻擊的對 象不僅限于 Web 網(wǎng)站，還包括網(wǎng)絡設備及服務器等。

主要有以下兩種 DoS 攻擊方式。

其中，集中利用訪問請求的 DoS 攻擊，單純來講就是發(fā)送大量的合 法請求。服務器很難分辨何為正常請求，何為攻擊請求，因此很難防止 DoS 攻擊。

多臺計算機發(fā)起的 DoS 攻擊稱為 DDoS 攻擊（Distributed Denial of Service attack）。DDoS 攻擊通常利用那些感染病毒的計算機作為攻者的攻擊跳板。