返回
服务器安全防范拒绝服务攻击妙招

服务器安全防范拒绝服务攻击妙招

ID:37596282

大小:289.87 KB

页数:11页

时间:2019-05-12

服务器安全防范拒绝服务攻击妙招_第1页
服务器安全防范拒绝服务攻击妙招_第2页
服务器安全防范拒绝服务攻击妙招_第3页
服务器安全防范拒绝服务攻击妙招_第4页
服务器安全防范拒绝服务攻击妙招_第5页
资源描述:

《服务器安全防范拒绝服务攻击妙招》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、服务器安全:防范拒绝服务攻击妙招目前网络中有一种攻击让网络管理员最为头疼,那就是拒绝服务攻击,简称DOS和DDOS。它是一种滥用资源性的攻击,目的就是利用自身的资源通过一种放大或不对等的方式来达到消耗对方资源的目的。同一时刻很多不同的IP对服务器进行访问造成服务器的服务失效甚至死机。今天就笔者公司管理服务器的经验为各位读者介绍几个简单有效的防范拒绝服务攻击的方法,虽然不能彻底防护,但在与DDOS的战斗中可以最大限度降低损失。1、如何发现攻击在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当

2、前负载情况,如果发现服务器突然超负载运作,性能突然降低,这就有可能是受攻击的征兆。不过也可能是正常访问网站人数增加的原因。如何区分这两种情况呢?按照下面两个原则即可确定受到了攻击。(1)网站的数据流量突然超出平常的十几倍甚至上百倍,而且同时到达网站的数据包分别来自大量不同的IP。(2)大量到达的数据包(包括TCP包和UDP包)并不是网站服务连接的一部分,往往指向你机器任意的端口。比如你的网站是Web服务器,而数据包却发向你的FTP端口或其它任意的端口。2、BANIP地址法确定自己受到攻击后就可以使用简单

3、的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效,因为DOS往往来自少量IP地址,而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦,需要我们对IP地址分析,将真正攻击的IP地址屏蔽。不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙,然后根据防火墙的日志分析来访者的IP,发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。当然直接在服务器上过滤会耗费服务器的一定系统资源,所以目

4、前比较有效的方法是在服务器上通过防火墙日志定位非法IP段,然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0255.255.0.0,而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。cess-list108denytcp211.153.0.00.0.255.25561.135.5.10.0.0.0,这样就实现了将211.153.0.0255.255.0.0的非法IP过滤的目的。小提示:在访问控制列表中表示子网掩

5、码需要使用反向掩码,也就是说0.0.255.255表示子网掩码为255.255.0.0。3、增加SYN缓存法上面提到的BANIP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能,自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BANIP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。(1)W

6、IN2003下拒绝访问攻击的防范:第一步:“开始->运行->输入regedit”进入注册表编辑器。第二步:找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时,如果系统检测到存在SYN攻击,连接响应的超时时间将更短。第三步:将HKEY_LOCAL_MAC

7、HINESYSTEMCurrentControlSetServices下EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。第四步:将HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的MTU大小,降低服务器总体负荷。第五步:将HKEY_LOCAL_MACHINESYSTEMCurrentCont

8、rolSetServices下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand设置为1。(2)WIN2000下拒绝访问攻击的防范:在WIN2000下拒绝访问攻击的防范方法和2003基本相似,只是在设置数值上有些区别。我们做下简单介绍。第一步:将SynAttackProtect设置为2。第二步:将EnableDeadGWDetect设置为0。第三步:将EnablePMTUDiscovery设置为0

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。