入侵防禦設備顯示半連接什麼意思

『壹』 高分求解。懂routeros的進來！遭遇DDOS！

DOS（Denial of Service）攻擊是一種很簡單但又很有效的進攻方式，能夠利用合理的服務請求來佔用過多的服務資源，從而使合法用戶無法得到服務。DDOS(Distributed Denial of Service)是一種基於DOS的特殊形式的拒絕服務攻擊，攻擊者通過事先控制大批傀儡機，並控制這些設備同時發起對目標的DOS攻擊，具有較大的破壞性。

常見的DOS/DDOS攻擊可以分為兩大類：一類是針對系統漏洞的的攻擊如Ping of Death、TearDrop等，例如淚滴（TearDrop）攻擊利用在 TCP/IP協議棧實現中信任IP碎片中的包的標題頭所包含的信息來實現攻擊，IP 分段含有指示該分段所包含的是原包的哪一段信息，某些 TCP/IP協議棧（例如NT 在service pack 4 以前）在收到含有重疊偏移的偽造分段時將崩潰。另一類是帶寬佔用型攻擊比較典型的如UDP flood 、SYN flood、ICMP flood等，SYN Flood具有典型意義，利用TCP協議建連的特點完成攻擊。通常一次TCP連接的建立包括3個步驟，客戶端發送SYN包給伺服器端，伺服器分配一定的資源給這里連接並返回 SYN/ACK包，並等待連接建立的最後的ACK包，最後客戶端發送ACK報文，這樣兩者之間的連接建立起來，並可以通過連接傳送資料了。而SYN Flood攻擊的過程就是瘋狂發送SYN報文，而不返回ACK報文，伺服器佔用過多資源，而導致系統資源佔用過多，沒有能力響應別的操作，或者不能響應正常的網路請求。

從現在和未來看，防火牆都是抵禦DOS/DDOS攻擊的重要組成部分，這是由防火牆在網路拓撲的位置和扮演的角色決定的，下面以港灣網路有限公司基於NP架構開發的SmartHammer系列防火牆說明其在各種網路環境中對DOS/DDOS攻擊的有效防範。

1、基於狀態的資源控制，保護防火牆資源

港灣網路SmartHammer防火牆支持IP Inspect功能，防火牆會對進入防火牆的資料做嚴格的檢查，各種針對系統漏洞的攻擊包如Ping of Death、TearDrop等，會自動被系統過濾掉，從而保護了網路免受來自於外部的漏洞攻擊。對防火牆產品來說，資源是十分寶貴的，當受到外來的DDOS攻擊時，系統內部的資源全都被攻擊流所佔用，此時正常的資料報文肯定會受到影響。SmartHammer基於狀態的資源控制會自動監視網路內所有的連接狀態，當有連接長時間未得到應答就會處於半連接的狀態，浪費系統資源，當系統內的半連接超過正常的范圍時，就有可能是判斷遭受到了攻擊。SmartHammer防火牆基於狀態的資源控制能有效控制此類情況。

控制連接、與半連的超時時間；必要時，可以縮短半連接的超時時間，加速半連接的老化；

限制系統各個協議的最大連接值，保證協議的連接總數不超過系統限制，在達到連接上限後刪除新建的連接；

限制系統符合條件源/目的主機連接數量；

針對源或目的IP地址做流限制，Inspect可以限制每個IP地址的的資源，用戶在資源控制的范圍內時，使用並不會受到任何影響，但當用戶感染蠕蟲病毒或發送攻擊報文等情況時，針對流的資源控制可以限制每個IP地址發送的連接數目，超過限制的連接將被丟棄，這種做法可以有效抑制病毒產生攻擊的效果，避免其它正常使用的用戶受到影響。

單位時間內如果穿過防火牆的「同類」數據流超過門限值後，可以設定對該種類的數據流進行阻斷，對於防止IP、ICMP、UDP等非連接的flood攻擊具有很好的防禦效果。

2、智能TCP代理有效防範SYN Flood

SYN Flood是DDOS攻擊中危害性最強，也是最難防範的一種。這種攻擊利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡（CPU滿負荷或內存不足）。SmartHammer系列防火牆能夠利用智能TCP代理技術，判斷連接合法性，保護網路資源。如圖http://www.hacker.cn/Files/BeyondPic/2006-5/25/701063.jpg

防火牆工作時，並不會立即開啟TCP代理（以免影響速度），只有當網路中的TCP半連接達到系統設置的TCP代理啟動警戒線時，正常TCP Intercept會自動啟動，並且當系統的TCP半連接超過系統TCP Intercept高警戒線時，系統進入入侵模式，此時新連接會覆蓋舊的TCP連接；此後，系統全連接數增多，半連接數減小，當半連接數降到入侵模式低警戒線時，系統推出入侵模式。如果此時攻擊停止，系統半連接數量逐漸降到TCP代理啟動警戒線以下，智能TCP代理模塊停止工作。通過智能TCP代理可以有效防止SYN Flood攻擊，保證網路資源安全。

3、利用NETFLOW對DOS攻擊和病毒監測

網路監控在抵禦DDOS攻擊中有重要的意義。SmartHammer防火牆支持NetFlow功能，它將網路交換中的資料包識別為流的方式加以記錄，並封裝為UDP資料包發送到分析器上，這樣就為網路管理、流量分析和監控、入侵檢測等提供了豐富的資料來源。可以在不影響轉發性能的同時記錄、發送NetFlow信息，並能夠利用港灣網路安全管理平台對接收到的資料進行分析、處理。

利用NetFlow監視網路流量。防火牆可以有效的抵禦DDOS攻擊，但當攻擊流數量超過一定程度，已經完全占據了帶寬時，雖然防火牆已經通過安全策略把攻擊數據包丟棄，但由於攻擊數據包已經占據了所有的網路帶寬，正常的用戶訪問依然無法完成。此時網路的流量是很大的，SmartHammer防火牆可以利用內置的NetFlow統計分析功能，查找攻擊流的數據源，並上報上級ISP，對數據流分流或導入黑洞路由。通過在防火牆相關介面下開啟NetFlow採集功能，並設置NETFLOW輸出伺服器地址，這樣就可以利用港灣安全管理平台對接收的資料進行分析處理。我們可以用此方法統計出每天流量的TOP TEN或者業務的TOP TEN等，以此做為標准，當發現網路流量異常的時候，就可以利用NetFlow有效的查找、定位DDOS攻擊的來源。

利用NetFlow監視蠕蟲病毒。防止蠕蟲病毒的攻擊，重要的是防止蠕蟲病毒的擴散，只有盡早發現，才可以迅速採取措施有效阻止病毒。各種蠕蟲病毒在感染了系統後，為了傳播自身，會主動向外發送特定的數據包並掃描相關埠。利用這個特性，港灣網路在安全管理平台上建立相關的蠕蟲病毒查詢模板，定期查詢，當發現了匹配的資料時，可以分析該地址是否已經感染病毒，然後採取相應的措施。

值得指出的是，防火牆在網路拓撲中的位置對抵禦攻擊也有很大影響，通常盒式防火牆被設計放置在網路的出口，這種情況下，雖然防火牆能夠抵禦從外部產生的攻擊，但一旦網路內部的PC通過瀏覽網頁、收發Email、下載等方式感染蠕蟲病毒或有人從內部發起的惡意攻擊時，防火牆是沒有防護能力的。

港灣網路的SmartHammer ESP-FW防火牆模塊可以解決此類問題，ESP-FW是港灣網路BigHammer6800系列交換機的一個安全模塊，它繼承了SmartHammer盒式防火牆的相關安全特性內置於交換機中，有效抵禦來自內部網路的攻擊。在插入了防火牆模塊後，交換機可以選擇將相關VLAN加入防火牆中，受防火牆保護。以VLAN做為保護對象的另一大優點是利於網路擴展，當有一個新增部門出現時，我們不需要再增加投資就可以使新增部門得到保護，網路部署異常靈活。這樣當內部網路中出現異常數據流時，防火牆可以有效限制該數據的轉發，保護其他VLAN不受影響。

筆者公司共有10台Web伺服器，使用Redhat Linux 9作為操作系統，分布在全國各大城市，主要為用戶提供HTTP服務。曾經有一段時間不少用戶反映有的伺服器訪問速度緩慢，甚至不能訪問，檢查後發現是受到了DDoS攻擊（分布式拒絕服務攻擊）。由於伺服器分布太散，不能採用硬體防火牆的方案，雖然IPtables功能很強大，足以應付大部分的攻擊，但Linux系統自身對DDoS攻擊的防禦力本來就弱，只好另想辦法了。

一、Freebsd的魅力

發現Freebsd的好處是在一次偶然的測試中，在LAN里虛擬了一個Internet，用一台Windows客戶端分別向一台Windows Server、Linux Server和一台Freebsd在無任何防範措施的情況下發送Syn Flood數據包（常見的DDoS攻擊主要靠向伺服器發送Syn Flood數據完成）。Windows在達到10個包的時候就完全停止響應了，Linux在達到10個數據包的時候開始連接不正常，而Freebsd卻能承受達100個以上的Syn Flood數據包。筆者決定將公司所有的Web伺服器全換為Freebsd平台。

在使用Freebsd後，的確過了一段時間的安穩日子。不過近日又有用戶再次反映網站不能正常訪問，表現症狀為用戶打開網頁速度緩慢，或者直接顯示為找不到網站。用netstat ?Ca查看到來自某IP的連接剛好50個，狀態均為FIN_WAIT 1，這是屬於明顯的DDoS攻擊，看來Freebsd沒有防火牆也不是萬能的啊，於是就想到了裝防火牆。

看了N多資料，了解到Freebsd下最常見的防火牆叫IP FireWall，中文字面意思叫IP防火牆，簡稱IPFW。但如果要使用IPFW則需要編譯Freebsd系統內核。出於安全考慮，在編譯結束後，IPFW是默認拒絕所有網路服務，包括對系統本身都會拒絕，這下我就徹底「寒」了，我放在外地的伺服器可怎麼弄啊？

大家這里一定要小心，配置稍不注意就可能讓你的伺服器拒絕所有的服務。筆者在一台裝了Freebsd 5.0 Release的伺服器上進行了測試。

二、配置IPFW

其實我們完全可以把安裝IPFW看作一次軟體升級的過程，在Windows裡面，如果要升級一款軟體，則需要去下載升級包，然後安裝；在Freebsd中升級軟體過程也是如此，但我們今天升級的這個功能是系統本身已經內置了的，我們只需要利用這個功能即可。打開這個功能之前，我們還要做一些准備工作。

下面開始配置IPFW的基本參數。

Step1：准備工作

在命令提示符下進行如下操作：

#cd /sys/i386/conf

如果提示沒有這個目錄，那說明你的系統沒有安裝ports服務，要記住裝上。

#cp GENERIC ./kernel_IPFW

Step2：內核規則

用編輯器打開kernel_IPFW這個文件，在該文件的末尾加入以下四行內容：

options IPFIREWALL

將包過濾部分的代碼編譯進內核。

options IPFIREWALL_VERBOSE

啟用通過Syslogd記錄的日誌；如果沒有指定這個選項，即使你在過濾規則中指定了記錄包，也不會真的記錄它們。

options IPFIREWALL_VERBOSE_LI

MIT=10

限制通過Syslogd記錄的每項包規則的記錄條數。如果你受到了大量的攻擊，想記錄防火牆的活動，但又不想由於Syslog洪水一般的記錄而導致你的日記寫入失敗，那麼這個選項將會很有用。有了這條規則，當規則鏈中的某一項達到限制數值時，它所對應的日誌將不再記錄。

options IPFIREWALL_DEFAULT_TO

_ACCEPT

這句是最關鍵的。將把默認的規則動作從 「deny」 改為 「allow」。這句命令的作用是，在默認狀態下，IPFW會接受任何的數據，也就是說伺服器看起來像沒有防火牆一樣，如果你需要什麼規則，在安裝完成後直接添加就可以了。

輸入完成後保存kernel_IPFW文件並退出。

『貳』 Web安全問題解答

很多新手都覺得自己的電腦web經常被木馬侵襲，所以下面我為大家帶來電腦基礎知識學習之Web安全問題，讓你了解下如何安全的保護好自己的電腦。

1、什麼叫Web應用系統?

答：Web應用系統就是利用各種動態Web技術開發的，基於B/S(瀏覽器/伺服器)模式的事務處理系統。用戶直接面對的是客戶端瀏覽器，使用Web應用系統時，用戶通過瀏覽器發出的請求，其之後的事務邏輯處理和數據的邏輯運算由伺服器與資料庫系統共同完成，對用戶而言是完全透明的。運算後得到的結果再通過網路傳輸給瀏覽器，返回給用戶。比如：ERP系統、CRM系統以及常見的網站系統(如電子政務網站、企業網站等)都是Web應用系統。

2、為什麼Google把我的網站列為惡意網站

答：Google在對網站內容進行搜索時，同時也會檢查是否含有惡意軟體或代碼(這些惡意軟體或代碼可能威脅該網站的訪問者)。如果該網站存在這樣的惡意軟體或代碼，就會在用戶搜索到該網站時，加上一個標記：“該網站可能含有惡意軟體，有可能會危害您的電腦”。這將會使網站信譽受損，並導致潛在的用戶流失。

3、Web威脅為什麼難以防範

答：針對Web的攻擊已經成為全球安全領域最大的挑戰，主要原因有如下兩點：

1. 企業業務迅速更新，需要大量的Web應用快速上線。而由於資金、進度、意識等方面的影響，這些應用沒有進行充分安全評估。

2. 針對Web的攻擊會隱藏在大量正常的業務行為中，而且使用各種變形偽裝手段，會導致傳統的防火牆和基於特徵的入侵防禦系統無法發現和阻止這種攻擊。

4、黑客為什麼要篡改網站頁面

答：當黑客獲取網站的控制許可權後，往往會更改網站頁面，可能的動機有：

1. 宣稱政治主張;

2. 炫耀技術，建立“聲望”;

3. 宣洩情緒;

4. 經濟利益，通過網站釋放木馬，從而獲取經濟利益。

5、黑客實施網站掛馬的目的是什麼

答：網站掛馬的主要目的是控制訪問該網站的用戶的計算機，從而可以進一步獲取用戶的計算機隱私信息而獲利，或者將這些用戶的計算機作為“肉雞”，對 其它 伺服器或網路進行DDos攻擊。

6、為什麼我網站的資料庫表內容被大量替換?

答：如果排除了管理員誤操作的可能性，則可能是網站伺服器被自動化攻擊工具(如SQL注入工具等)攻擊的結果。目前已經有自動化的工具對網站進行攻擊，如果網站存在漏洞的話，攻擊工具能夠獲得對網站資料庫訪問的許可權。如果發現這種情況，應該仔細核查網站伺服器和資料庫伺服器日誌，找出更改記錄。

7、在Web威脅防禦中防火牆的優點和不足

答：防火牆可以過濾掉非業務埠的數據，防止非Web服務出現的漏洞，目前市場上可選擇的防火牆品牌也較多。但對於目前大量出現在應用層面上的SQL注入和XSS漏洞，防火牆無法過濾，因而無法保護Web伺服器所面臨的應用層威脅。

8、常見發布系統之IIS

答：IIS 是Internet Information Server的縮寫，是由微軟開發的一種Web伺服器(Web server)產品，用以支持HTTP、FTP和SMTP服務發布。 它主要運行在微軟的 操作系統 之上，是最流行的Web伺服器軟體之一。

9、常見Web伺服器之Apache

答：Apache是Web伺服器軟體。它可以運行在幾乎所有廣泛使用的計算機平台上。Apache源於NCSAhttpd伺服器，經過多次修改，已成為世界上最流行的Web伺服器軟體之一。

10、Apache是不是比IIS要安全

答：早期的IIS在安全性方面存在著很大的問題，如果使用默認設置，黑客可以輕松趁虛而入。不過在IIS6中，微軟公司對其安全方面進行了大幅改進。只要保證操作系統補丁更新及時，就可以將網站安全系數盡可能地提高。

Apache在安全方面一直做得比較好，更主要的原因是很多用戶都是在linux系統下使用Apache。相對於微軟的操作系統，Linux系統被發布的安全按漏洞更少一些。

從技術角度講，兩個Web伺服器的安全性沒有本質區別，一個完整的Web系統的安全性更取決於Web程序的安全性以及Web伺服器配置的正確性。

11、什麼叫應用防火牆

答：應用防火牆的概念在上個世紀九十年代就已經被提出，但在最近幾年才真正走向成熟和應用。應用防火牆的概念與網路防火牆相對，網路防火牆關注網路層的訪問控制，應用防火牆則關注應用層數據的過濾與控制。

12、什麼叫網站防篡改系統

答：網站防篡改系統通過實時監控來保證Web系統的完整性，當監控到Web頁面被異常修改後能夠自動恢復頁面。網站放篡改系統由於其設計理念的限制，對靜態頁面的防護能力比較好，對動態頁面的防護則先天不足。

13、我的Web伺服器被訪問速度變慢，經常出現連接失敗的現象，可能是什麼原因造成的呢?

答：這可能有兩個方面的情況，一種是網路方面的原因，如運營商的線路故障，或帶寬消耗型的DDOS攻擊;另外一種情況是伺服器方面的原因，如感染病毒，或資源消耗型的拒絕服務攻擊。

14、我的Web伺服器部署了木馬查殺軟體，為什麼還被掛了木馬?

答：所謂的網頁被掛馬，很多情況下並不是有木馬程序或代碼被放到了Web伺服器上，而是有一段跳轉代碼(本身不包含攻擊信息)被放在了Web伺服器上網頁中。當遠程用戶訪問帶有跳轉代碼的頁面時，將會執行這段代碼，從另外一個地址下載並執行木馬。所以，即使在Web伺服器上部署了木馬查殺軟體，也會由於木馬本身並不存在於伺服器上，而無法避免網站被掛馬。

15、我的Web伺服器前端部署了入侵防禦產品設備，入侵防禦產品設備中包含了幾百條的SQL注入攻擊防禦特徵庫，為什麼我的Web系統還是被SQL注入攻擊成功了呢?

答：SQL注入是一種沒有固定特徵的攻擊行為，對安全設備來說，就是屬於變種極多的攻擊行為。所以，基於數據特徵的SQL注入檢測 方法 是沒有辦法窮盡所有組合的，會存在大量的誤報、漏報可能。如果採用的入侵防禦產品設備採用的是基於數據特徵的檢測方法，即使包含了數百條SQL注入特徵庫，也會有漏報出現。

16、黑客為什麼喜歡攻擊網站?

答：Web業務已經成為當前互聯網最為流行的業務，大量的在線應用業務都依託於Web服務進行。並且一些大型網站的日訪問量可達百萬之巨，不論是直接攻擊網站(如網路銀行，在線游戲伺服器)還是通過網站掛馬竊取訪問者信息，都可以使黑客獲得直接的經濟利益。另外一方面，網站是機構的網路形象，通過攻擊篡改網站頁面，也可以得到最大范圍的名聲傳播。對於那些企圖出名的黑客，攻擊網站是一項不錯的選擇。

17、如何判斷自己的Web伺服器是否已經成為肉雞?

答：如果發現自己的Web伺服器上開啟了一些奇怪的進程，發現Web伺服器總是有大量從內往外的連接，發現Web伺服器不定時系統緩慢，諸如此類的現象，可使用木馬清除軟體進行檢查和查殺。

細分攻擊形式：

18、目前國內Web應用系統存在哪些最突出的安全問題?

答：Web應用程序的漏洞是很難避免的，系統的安全隱患主要在三方面：

首先是網路運維人員或安全管理人員對Web系統的安全狀況不清楚。哪些頁面存在漏洞，哪些頁面已經被掛馬，他們不能夠清晰的掌握，從而及時採取改正 措施 ;

其次，在安全設備的部署方面，沒有選用專業的、針對Web業務攻擊的防禦產品對網站進行保護，而是寄託於防火牆這種訪問控制類的網關安全設備;

另外，從安全響應來看，Web安全事件發生後的應急與處理也存在欠缺。沒有相應的頁面恢復系統，也沒有處理Web安全事件的專業安全服務團隊。很多單位沒有制定實時監控的網站安全管理制度。

19、什麼叫SQL注入

答：SQL注入就是利用現有應用程序，將惡意的SQL命令注入到網站後台資料庫引擎執行的能力。SQL注入利用的是正常的HTTP服務埠，表面上看來和正常的Web訪問沒有區別，隱蔽性極強，不易被發現。

20、SQL注入有哪些危害

答：SQL注入的主要危害包括：

 未經授權狀況下操作資料庫中的數據;

 惡意篡改網頁內容;

 私自添加系統帳號或者是資料庫使用者帳號;

 網頁掛木馬;

21、什麼叫XSS

答：跨站腳本攻擊(XSS)是攻擊者將惡意腳本提交到網站的網頁中，使得原本安全的網頁存在惡意腳本;或者是直接添加有惡意腳本的網頁並誘使用戶打開，用戶訪問網頁後，惡意腳本就會將用戶與網站的會話COOKIE及其它會話信息全部截留發送給攻擊者，攻擊者就可以利用用戶的COOKIE正常訪問網站。攻擊者有時還會將這些惡意腳本以話題的方式提交到論壇中，誘使網站管理員打開這個話題，從而獲得管理員許可權，控制整個網站。跨站腳本漏洞主要是由於沒有對所有用戶的輸入進行有效的驗證所造成的，它影響所有的Web應用程序框架。

22、XSS有哪些危害

答：XSS攻擊的危害包括：

 盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號;

 控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力;

 盜竊企業重要的具有商業價值的資料;

 非法轉賬;

 強制發送電子郵件;

 網站掛馬;

 控制受害者機器向其它網站發起攻擊。

23、什麼叫Shellcode

答：Shellcode實際是一段代碼(也可以是填充數據)，可以用來發送到伺服器，利用已存在的特定漏洞造成溢出，通稱“緩沖區溢出攻擊”中植入進程的代碼。這段代碼可以是導致常見的惡作劇目的的彈出一個消息框彈出，也可以用來刪改重要文件、竊取數據、上傳木馬病毒並運行，甚至是出於破壞目的的格式化硬碟等等。

24、什麼叫網站漏洞

答：隨著B/S模式被廣泛的應用，用這種模式編寫Web應用程序的程序員也越來越多。但由於開發人員的水平和 經驗 參差不齊，相當一部分的開發人員在編寫代碼的時候，沒有對用戶的輸入數據或者是頁面中所攜帶的信息(如Cookie)進行必要的合法性判斷，導致了攻擊者可以利用這個編程漏洞來入侵資料庫或者攻擊Web應用程序的使用者，由此獲得一些重要的數據和利益。

25、什麼叫木馬

答：木馬(Trojan)這個名字來源於古希臘 傳說 ，在互聯網時代它通常是指通過一段特定的程序(木馬程序)來控制另一台計算機。木馬通常有兩個可執行程序：一個是客戶端，即控制端，另一個是服務端，即被控制端。木馬的設計者為了防止木馬被發現，而採用多種手段隱藏木馬。木馬的服務一旦運行並被控制端連接，其控制端將享有服務端的大部分操作許可權，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。

26、什麼叫網站掛馬

答：“掛馬” 就是黑客入侵了一些網站後，將自己編寫的網頁木馬嵌入被黑網站的主頁中。當訪問者瀏覽被掛馬頁面時，自己的計算機將會被植入木馬，黑客便可通過遠程式控制制他們的計算機來實現不可告人的目的。網頁木馬就是將木馬和網頁結合在一起，打開網頁的同時也會運行木馬。最初的網頁木馬原理是利用IE瀏覽器的ActiveX控制項，運行網頁木馬後會彈出一個控制項下載提示，只有點擊確認後才會運行其中的木馬。這種網頁木馬在當時網路安全意識普遍不高的情況下還是有一點威脅的，但是其缺點顯而易見，就是會出現ActiveX控制項下載提示。現在很少會有人去點擊那莫名其妙的ActiveX控制項下載確認窗口了。在這種情況下，新的網頁木馬誕生了。這類網頁木馬通常利用IE瀏覽器的漏洞，在運行的時候沒有絲毫提示，因此隱蔽性極高。

27、什麼叫DOS./DDOS攻擊?

答：DoS即Denial Of Service，拒絕服務的縮寫。DoS是指利用網路協議實現的缺陷來耗盡被攻擊對象的資源，目的是讓目標計算機或網路無法提供正常的服務或資源訪問，使目標系統服務系統停止響應甚至崩潰。在此攻擊中並不包括侵入目標伺服器或目標網路設備。這些被大量消耗的服務資源包括網路帶寬、文件系統空間容量、開放的進程或者允許的連接。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內存容量多大、網路帶寬有多高，都無法避免這種攻擊帶來的後果。

DDoS(Distributed Denial Of Service)又把DoS又向前發展了一大步，這種分布式拒絕服務攻擊是黑客利用在已經被侵入並已被控制的、不同的高帶寬主機(可能是數百，甚至成千上萬台)上安裝大量的DoS服務程序，它們等待來自中央攻擊控制中心的命令。中央攻擊控制中心再適時啟動全體受控主機的DoS服務進程，讓它們對一個特定目標發送盡可能多的網路訪問請求，形成一股DoS洪流沖擊目標系統，猛烈地DoS攻擊同一個網站。被攻擊的目標網站會很快失去反應而不能及時處理正常的訪問甚至系統癱瘓崩潰。

28、什麼叫網路釣魚

答：網路釣魚(Phishing‎，又名釣魚法或釣魚式攻擊)是通過傳播“聲稱來自於銀行或其他知名機構”的欺騙信息，意圖引誘受害者泄漏出敏感信息(如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息)的一種攻擊方式。最典型的網路釣魚攻擊將受害者引誘到一個與其目標網站非常相似的釣魚網站上，並獲取受害者在此網站上輸入的個人敏感信息。通常這個攻擊過程不會讓受害者警覺。它是“社會工程攻擊”的一種形式。

29、什麼叫網路蠕蟲

答：一般認為：蠕蟲病毒是一種通過網路傳播的惡性病毒，它除具有病毒的一些共性外，同時具有自己的一些特徵。如：不利用文件寄生(有的只存在於內存中)、對網路造成拒絕服務，以及與黑客技術相結合，等等。蠕蟲病毒主要的破壞方式是大量的復制自身，然後在網路中傳播，嚴重佔用有限的網路資源，最終引起整個網路的癱瘓，使用戶不能通過網路進行正常的工作。每一次蠕蟲病毒的爆發都會給全球經濟造成巨大損失，因此它的危害性是十分巨大的。有一些蠕蟲病毒還具有更改用戶文件、將用戶文件自動當附件轉發的功能，更是嚴重的地危害到用戶的 系統安全 。

30、什麼叫僵屍網路

答：僵屍網路(英文名稱叫BotNet)，是互聯網上受到黑客集中控制的一群計算機，往往被黑客用來發起大規模的網路攻擊。如：分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等。同時，黑客控制的這些計算機所保存的信息也都可以被黑客隨意“取用”。因此，不論是對網路安全運行還是用戶數據安全的保護，僵屍網路都是極具威脅的隱患。然而，發現一個僵屍網路是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網路上的“僵屍主機”，這些主機的用戶往往並不知情。因此，僵屍網路是目前互聯網上最受黑客青睞的作案工具。

31、什麼是ARP攻擊

答：ARP是地址解析協議，是一種將IP地址轉化為MAC地址的協議。在網路中，當A主機需要向B主機發送報文時，會先查詢本地的ARP緩存表，找到與B主機IP地址對應的MAC地址後，進行數據傳輸。如果未找到，則會發送一個廣播ARP請求報文，請求對應B主機IP的B回應MAC地址。這個廣播包會被整個廣播域中所有主機收到，但只有B主機會發現IP地址對應自己，才會將MAC地址回應給A。此時A收到這個回應並更新自己的ARP緩存，進行下一步的數據傳輸。ARP攻擊應當叫做ARP欺騙，就是冒充網關地址對網路中主機給出ARP查詢回應，使得本來是A->網關的數據走向，變成A->攻擊者->網關。

32、ARP攻擊的危害有哪些?

答：ARP攻擊的危害主要有兩個方面。從ARP攻擊的原理來看，這種攻擊使得受害主機的所有網路數據都將通過攻擊者進行轉發。這樣一來，要竊取信息或控制流量就變得輕而易舉。另一方面，由於ARP緩存會不斷刷新，有的時候，真正的網關會偶爾“清醒”。當真正的網關參與到數據包轉發中來時，由於做了一個切換動作，可能會有頻繁的短暫掉線現象。所以，如果Web伺服器所在網路中發生了ARP攻擊，將導致Web伺服器不可訪問。

細分攻擊介質：

33、WEB應用系統(網站)會面臨來自哪些方面的安全問題

答：網站面臨的安全問題是方方面面的，主要可概括為以下四個方面：

1)操作系統、後台資料庫的安全問題

這里指操作系統和後台資料庫的漏洞，配置不當，如弱口令等等，導致黑客、病毒可以利用這些缺陷對網站進行攻擊。

2)Web發布系統的漏洞

Web業務常用的發布系統(即Web伺服器)，如IIS、Apache等，這些系統存在的安全漏洞，會給入侵者可乘之機。

3)Web應用程序的漏洞

主要指Web應用程序的編寫人員，在編程的過程中沒有考慮到安全的因素，使得黑客能夠利用這些漏洞發起對網站的攻擊，比如SQL注入、跨站腳本攻擊等等。

4)自身網路的安全狀況

網站伺服器所處的網路安全狀況也影響著網站的安全，比如網路中存在的DoS攻擊等，也會影響到網站的正常運營。

34、Web程序漏洞是怎麼形成的

答：Web站點之所以存在如此眾多的安全漏洞，是由下列所示的這些原因造成的：

1、 大部分的中小型網站都是使用某個建站模塊建設的，而這些通用的建站模塊不僅本身存在各種安全漏洞，同時一些使用它們的建站人員根本沒有在建站完成後對站點進行安全加固。

2、 Web站點開發人員對安全不夠重視，在編寫網頁時，沒有對用戶的輸入進行驗證，沒有對數據的大小、類型和字元串進行規范，沒有限制API函數對系統資源的使用，以及對Web伺服器沒有進行相應的資源限制，引起拒絕服務攻擊。

3、 管理員對Web伺服器主機系統及Web應用程序本身配置不當，一些中小企業自己管理的Web站點根本沒有足夠的技術人員來管理它們的安全。

4、 當Web站點是託管在某個電信機房時，對它們進行的遠程管理存在安全風險。

5、 Web站點管理員本身技術水平的限制，對各種針對Web站點的安全攻擊不了解，也沒有端正工作態度，沒能對站點進行認真的安全加固，以及進行日常的安全檢查。

6、 Web站點所處網路大環境的安全設計不合理，以及沒有將安全防範工作融入到站點整個生命周期的各個階段。

7、 企業領導不夠重視，在Web站點的安全防範方面投入的資金太少或不合理，沒有制定一個有效的Web站點安全防範策略，明確Web站點日常管理流程，也沒有對Web站點的管理人員和工作人員進行不斷的安全培訓。

35、黑客主要利用哪些方法對網站進行數據竊取和修改

答：黑客需要使用擁有一定許可權的用戶帳戶才能對網站進行數據竊取和修改，所以可能造成用戶許可權泄漏或提升的漏洞，都可以被黑客利用來進行攻擊，如SQL注入，溢出漏洞、暴力猜解等。

36、目前對Web伺服器威脅較大的SQL注入工具有哪些?

答：網上常見的SQL注入工具有“啊D SQL注入工具”、pangolin、NBSI、HDSI、“管中窺豹注入工具”等。

37、目前對Web伺服器威脅較大的XSS攻擊工具有哪些?

答：網上常見的XSS攻擊工具有sessionIE、Webscan、XSS Inject Scanner 等。

38、怎樣應對Web業務安全事件

答：應對Web業務安全事件，從根本上的解決辦法就是對Web應用程序源代碼進行代碼檢查和漏洞修復，但是這會影響正常Web業務運行，而且費用較高。比較有效的解決方案是通過專業的Web業務安全檢查工具或服務來檢查網站安全狀況，部署專業的Web安全產品。比如基於行為檢測的入侵防禦產品。同時在管理上，要求網管人員實時對網站進行監測，一旦發現網頁被篡改等問題立刻進行頁面恢復、刪除惡意腳本等工作。

39、如何防禦SQL注入

答：要想從根本上解決XSS攻擊，就要對Web應用程序源代碼進行檢查，發現安全漏洞進行修改。但是這種方法在實際中給用戶帶來了不便，如：需要花費大量的人力財力、可能無法找到當時的網站開發人員、需要網站下線等。對代碼進行修改後，由於增加了過濾條件和功能，同時也給伺服器帶來了計算壓力。通常的解決方法是在資料庫伺服器前端部署入侵防禦產品。SQL注入攻擊具有變種多、隱蔽性強等特點，傳統的特徵匹配檢測方式不能有效地進行防禦，需要採用“基於攻擊手法的行為監測”的入侵防禦產品才能夠精確地檢測到SQL注入攻擊。

40、如何防禦XSS

答：要想從根本上解決XSS攻擊，就要對Web應用程序源代碼進行檢查，發現安全漏洞進行修改。但是這種方法在實際中給用戶帶來了不便，如：需要花費大量的人力財力;可能無法找到當時的網站開發人員、需要網站下線等。對代碼進行修改後，由於增加了過濾條件和功能，同時也給伺服器帶來了計算壓力。通常的解決方法是在資料庫伺服器前端部署入侵防禦產品。XSS攻擊具有變種多、隱蔽性強等特點，傳統的特徵匹配檢測方式不能有效地進行防禦，需要採用基於攻擊手法的行為監測的入侵防禦產品產品才能夠精確地檢測到XSS攻擊。

41、如何發現網站掛馬

答：伺服器被掛馬，通常情況下，若出現諸如“彈出頁面”，則可以比較容易發現，發現防病毒軟體告警之類，則可以發現伺服器被掛馬;由於漏洞不斷更新，掛馬種類時刻都在變換，通過客戶端的反映來發現伺服器是否被掛馬往往疏漏較大;正確的做法是經常性的檢查伺服器日誌，發現異常信息;經常檢查網站代碼，藉助於專業的檢測工具來發現網頁木馬會大大提高工作效率和准確度。

『叄』 現在很多IDC服務商說的雲防禦是什麼意思

高防CDN架構，雲端防護，商城站和游戲的首選，雲盾高防CDN,網站在頭像
。
游戲行業一直競爭非常激烈，其中棋牌行業是競爭、攻擊最復雜的一個「江湖」。
很多公司對這個行業不了解，貿然進行進入，對自身的系統、業務安全沒有很好的認知，被攻擊了就會束手無策，尤其是DDoS攻擊是什麼，怎麼防護都不了解。
黑客的主要攻擊方式：
1、DDoS 它使用UDP報文、TCP報文攻擊游戲伺服器的帶寬，這一類攻擊十分暴力，現象就是伺服器帶寬異常升高，攻擊流量遠遠大於伺服器能承受的最大帶寬，導致伺服器造成擁塞，正常玩家的請求到達不了伺服器。
2、BotAttack（TCP協議類CC攻擊） 這種攻擊比DDoS更難防禦，黑客通過TCP協議的漏洞，利用海量真實肉雞向伺服器發起TCP請求，正常伺服器能接受的請求數在3000個／秒左右，黑客通過每秒十幾萬的速度向伺服器發起TCP請求，導致伺服器TCP隊列滿，CPU升高、內存過載，造成伺服器宕機，會嚴重影響客戶的業務，這種攻擊的流量很小，在真實的業務流量中隱藏，難以發現又很難防禦。
3、業務的模擬（深度業務模擬類CC攻擊） 棋牌類的游戲通信協議比較簡單，黑客進行協議破解幾乎沒什麼難度，目前我們已經發現有黑客會針對棋牌客戶的登陸、注冊、房間創建、充值等多種業務介面進行協議模擬型的攻擊，這種流量相當於正常業務流量，比BotAttck模擬程度更高，防禦難度更高！
4、其他針對性手段 除了傳統的網路攻擊，很多棋牌客戶還被有針對性的攻擊，例如：資料庫數據泄漏、微信惡意舉報封域名等非常有針對性的攻擊，出現問題會直接影響業務的發展。 游戲公司如何判斷自己被攻擊呢？ 假設可以確實不是線路和硬體故障，連接伺服器突然變得困難，在游戲中的用戶掉線等現象，則很有可能是遭受了DDoS攻擊。 目前，游戲行業的IT基礎設施有兩種部署模式：一是採用雲計算或託管IDC模式，二是自拉網路專線。由於費用的考慮，絕大多數採用前者。 不管是前者還是後者接入，正常游戲用戶可以自由的進入伺服器娛樂。如果突然出現這幾種現象，就可以判斷是「被攻擊」狀態。
（1）主機的IN/OUT流量較平時有顯著的增長。
（2）主機的CPU或者內存利用率出現無預期的暴漲。
（3）通過查看當前主機的連接狀態，發現有很多半開連接，或者是很多外部IP地址，都與本機的服務埠建立幾十個以上ESTABLISHED狀態的連接，就是遭到了TCP多連接攻擊。
（4）游戲客戶端連接游戲伺服器失敗或登錄過程非常緩慢。
（5）正在游戲的用戶突然無法操作或者總是斷線。 如何針對這些攻擊做好防禦呢？ 可以通過高防cdn進行防護。YUNDUN-CDN就是高防cdn的良性服務商。它的節點擁有極大的帶寬，各節點承受流量能力很強，網路突發流量增加時能有效應對。YUNDUN-CDN在節點之間建立了智能冗餘和動態加速機制，訪問流量能實時分配到多個節點上，智能分流。當網站遭受ddos攻擊時，加速系統會將攻擊流量分散到多個節點，節點與站點伺服器壓力得到有效分擔，網路黑客攻擊難度變得很高，伺服器管理人員擁有更多的應對時間，可以有效的預防黑客入侵，降低各種ddos攻擊對網站帶來的影響。YUNDUN-CDN可隱藏伺服器源IP，可以有效提升源站伺服器的安全系數。如果想通過高防cdn防禦ddos攻擊，YUNDUN-CDN一定可以幫助到您。

『肆』 伺服器如何防禦ddos攻擊

一、確保伺服器系統安全

雲霸天下IDC高防IP

1、隱藏伺服器真實IP

2、關閉不必要的服務或埠

3、購買高防提高承受能力

4、限制SYN/ICMP流量

5、網站請求IP過濾

6、部署DNS智能解析

7、提供餘量帶寬

目前而言，DDOS攻擊並沒有最好的根治之法，做不到徹底防禦，只能採取各種手段在一定程度上減緩攻擊傷害。所以平時伺服器的運維工作還是要做好基本的保障。

『伍』 什麼是埠的SYN(半連接)掃描技術

TCP
SYN
掃描是使用最為廣泛的掃描方式，其原理就是像帶掃描埠發送SYN
數據包，如果能夠收到SYN+ACK
數據包，則代表此埠開放，如收到RST
數據包，則證明此埠關閉，如未收到任何數據包，且確定該主機存在，則證明該埠被防火牆等安全設備過濾。由於SYN
掃描並不會完成TCP
連接的三次握手過程，所以SYN
掃描又叫做半開放掃描。
SYN
掃描的最大優點就是速度，在Internet
上，如果不存在防火牆，SYN
掃描每秒鍾可以掃描數千個埠，但是SYN
掃描由於其掃描行為較為明顯，容易被入侵檢測系統發現，也容易被防火牆屏蔽，且構造原始數據包需要較高系統許可權。

『陸』 入侵防護系統(IPS)的原理

通過全面的數據包偵測，TippingPoint的入侵防禦系統提供吉比特速率上的應用、網路架構和性能保護功能。應用保護能力針對來自內部和外部的攻擊提供快速、精準、可靠的防護。由於具有網路架構保護能力，TippingPoint的入侵防禦系統保護VOIP系統、路由器、交換機、DNS和其他網路基礎免遭惡意攻擊和防止流量異動。TippingPoint的入侵防禦系統的性能保護能力幫助客戶來遏制非關鍵業務搶奪寶貴的帶寬和IT資源，從而確保網路資源的合理配置並保證關鍵業務的性能。

『柒』 什麼是IPS（入侵防禦系統）

14px; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px">IPS（Intrusion Prevention System 入侵防禦系統）對於初始者來說，IPS位於防火牆和網路的設備之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。
IDS只是存在於你的網路之外起到報警的作用，而不是在你的網路前面起到防禦的作用。
目前有很多種IPS系統
，它們使用的技術都不相同。但是，一般來說，IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包，確定這種數據包的真正用途，然後決定是否允許這種數據包進入你的網路。
IPS 的關鍵技術成份包括所合並的全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟體和支持全球訪問並用於管理 IPS 的控制台。如同 IDS 中一樣，IPS 中也需要降低假陽性或假陰性，它通常使用更為先進的侵入檢測技術，如試探式掃描、內容檢查、狀態和行為分析，同時還結合常規的侵入檢測技術如基於簽名的檢測和異常檢測。
同侵入檢測系統（IDS）一樣，IPS 系統分為基於主機和網路兩種類型。
基於主機的 IPS
基於主機的 IPS 依靠在被保護的系統中所直接安裝的代理。它與操作系統內核和服務緊密地捆綁在一起，監視並截取對內核或 API 的系統調用，以便達到阻止並記錄攻擊的作用。它也可以監視數據流和特定應用的環境（如網頁伺服器的文件位置和注冊條目），以便能夠保護該應用程序使之能夠避免那些還不存在簽名的、普通的攻擊。
基於網路的 IPS
基於網路的 IPS 綜合了標准 IDS 的功能，IDS 是 IPS 與防火牆的混合體，並可被稱為嵌入式 IDS 或網關 IDS（GIDS）。基於網路的 IPS 設備只能阻止通過該設備的惡意信息流。為了提高 IPS 設備的使用效率，必須採用強迫信息流通過該設備的方式。更為具體的來說，受保護的信息流必須代表著向聯網計算機系統或從中發出的數據，且在其中：
指定的網路領域中，需要高度的安全和保護。
該網路領域中存在極可能發生的內部爆發配置地址能夠有效地將網路劃分成最小的保護區域，並能夠提供最大范圍的有效覆蓋率。

『捌』 怎麼防禦DDOS攻擊和埠入侵

DDOS的產生
DDOS 最早可追述到1996年最初,在中國2002年開始頻繁出現,2003年已經初具規模。近幾年由於寬頻的普及，很多網站開始盈利，其中很多非法網站利潤巨大,造成同行之間互相攻擊，還有一部分人利用網路攻擊來敲詐錢財。同時windows 平台的漏洞大量的被公布， 流氓軟體，病毒，木馬大量充斥著網路,有些技術的人可以很容易非法入侵控制大量的個人計算機來發起DDOS攻擊從中謀利。攻擊已經成為互聯網上的一種最直接的競爭方式，而且收入非常高，利益的驅使下，攻擊已經演變成非常完善的產業鏈。通過在大流量網站的網頁里注入病毒木馬，木馬可以通過windows平台的漏洞感染瀏覽網站的人，一旦中了木馬，這台計算機就會被後台操作的人控制，這台計算機也就成了所謂的肉雞，每天都有人專門收集肉雞然後以幾毛到幾塊的一隻的價格出售，因為利益需要攻擊的人就會購買，然後遙控這些肉雞攻擊伺服器。

被DDoS攻擊時的現象
被攻擊主機上有大量等待的TCP連接

網路中充斥著大量的無用的數據包，源地址為假

製造高流量無用數據，造成網路擁塞，使受害主機無法正常和外界通訊

利用受害主機提供的服務或傳輸協議上的缺陷，反復高速的發出特定的服務請求，使受害主機無法及時處理所有正常請求

嚴重時會造成系統死機

大級別攻擊運行原理
一個比較完善的DDoS攻擊體系分成四大部分，先來看一下最重要的第2和第3部分：它們分別用做控制和實際發起攻擊。請注意控制機與攻擊機的區別，對第4部分的受害者來說，DDoS的實際攻擊包是從第3部分攻擊傀儡機上發出的，第2部分的控制機只發布命令而不參與實際的攻擊。對第2和第3部分計算機，黑客有控制權或者是部分的控制權，並把相應的DDoS程序上傳到這些平台上，這些程序與正常的程序一樣運行並等待來自黑客的指令，通常它還會利用各種手段隱藏自己不被別人發現。在平時，這些傀儡機器並沒有什麼異常，只是一旦黑客連接到它們進行控制，並發出指令的時候，攻擊傀儡機就成為害人者去發起攻擊了。

有的朋友也許會問道："為什麼黑客不直接去控制攻擊傀儡機，而要從控制傀儡機上轉一下呢？"。這就是導致DDoS攻擊難以追查的原因之一了。做為攻擊者的角度來說，肯定不願意被捉到，而攻擊者使用的傀儡機越多，他實際上提供給受害者的分析依據就越多。在佔領一台機器後，高水平的攻擊者會首先做兩件事：1. 考慮如何留好後門！2. 如何清理日誌。這就是擦掉腳印，不讓自己做的事被別人查覺到。比較不敬業的黑客會不管三七二十一把日誌全都刪掉，但這樣的話網管員發現日誌都沒了就會知道有人幹了壞事了，頂多無法再從日誌發現是誰乾的而已。相反，真正的好手會挑有關自己的日誌項目刪掉，讓人看不到異常的情況。這樣可以長時間地利用傀儡機。

但是在第3部分攻擊傀儡機上清理日誌實在是一項龐大的工程，即使在有很好的日誌清理工具的幫助下，黑客也是對這個任務很頭痛的。這就導致了有些攻擊機弄得不是很乾凈，通過它上面的線索找到了控制它的上一級計算機，這上級的計算機如果是黑客自己的機器，那麼他就會被揪出來了。但如果這是控制用的傀儡機的話，黑客自身還是安全的。控制傀儡機的數目相對很少，一般一台就可以控制幾十台攻擊機，清理一台計算機的日誌對黑客來講就輕松多了，這樣從控制機再找到黑客的可能性也大大降低。

DDOS的主要幾個攻擊
SYN變種攻擊
發送偽造源IP的SYN數據包但是數據包不是64位元組而是上千位元組這種攻擊會造成一些防火牆處理錯誤鎖死，消耗伺服器CPU內存的同時還會堵塞帶寬。
TCP混亂數據包攻擊
發送偽造源IP的 TCP數據包，TCP頭的TCP Flags 部分是混亂的可能是syn ,ack ,syn+ack ,syn+rst等等，會造成一些防火牆處理錯誤鎖死，消耗伺服器CPU內存的同時還會堵塞帶寬。
針對用UDP協議的攻擊
很多聊天室，視頻音頻軟體，都是通過UDP數據包傳輸的，攻擊者針對分析要攻擊的網路軟體協議，發送和正常數據一樣的數據包，這種攻擊非常難防護，一般防護牆通過攔截攻擊數據包的特徵碼防護，但是這樣會造成正常的數據包也會被攔截，
針對WEB Server的多連接攻擊
通過控制大量肉雞同時連接訪問網站，造成網站無法處理癱瘓，這種攻擊和正常訪問網站是一樣的，只是瞬間訪問量增加幾十倍甚至上百倍，有些防火牆可以通過限制每個連接過來的IP連接數來防護，但是這樣會造成正常用戶稍微多打開幾次網站也會被封，
針對WEB Server的變種攻擊
通過控制大量肉雞同時連接訪問網站，一點連接建立就不斷開，一直發送發送一些特殊的GET訪問請求造成網站資料庫或者某些頁面耗費大量的CPU,這樣通過限制每個連接過來的IP連接數就失效了，因為每個肉雞可能只建立一個或者只建立少量的連接。這種攻擊非常難防護，後面給大家介紹防火牆的解決方案
針對WEB Server的變種攻擊
通過控制大量肉雞同時連接網站埠，但是不發送GET請求而是亂七八糟的字元，大部分防火牆分析攻擊數據包前三個位元組是GET字元然後來進行http協議的分析，這種攻擊，不發送GET請求就可以繞過防火牆到達伺服器，一般伺服器都是共享帶寬的，帶寬不會超過10M 所以大量的肉雞攻擊數據包就會把這台伺服器的共享帶寬堵塞造成伺服器癱瘓，這種攻擊也非常難防護，因為如果只簡單的攔截客戶端發送過來沒有GET字元的數據包，會錯誤的封鎖很多正常的數據包造成正常用戶無法訪問，後面給大家介紹防火牆的解決方案
針對游戲伺服器的攻擊
因為游戲伺服器非常多，這里介紹最早也是影響最大的傳奇游戲，傳奇游戲分為登陸注冊埠7000,人物選擇埠7100，以及游戲運行埠7200,7300,7400等,因為游戲自己的協議設計的非常復雜，所以攻擊的種類也花樣倍出，大概有幾十種之多，而且還在不斷的發現新的攻擊種類，這里介紹目前最普遍的假人攻擊，假人攻擊是通過肉雞模擬游戲客戶端進行自動注冊、登陸、建立人物、進入游戲活動從數據協議層面模擬正常的游戲玩家，很難從游戲數據包來分析出哪些是攻擊哪些是正常玩家。

以上介紹的幾種最常見的攻擊也是比較難防護的攻擊。一般基於包過濾的防火牆只能分析每個數據包，或者有限的分析數據連接建立的狀態，防護SYN,或者變種的SYN,ACK攻擊效果不錯,但是不能從根本上來分析tcp，udp協議，和針對應用層的協議,比如http,游戲協議，軟體視頻音頻協議，現在的新的攻擊越來越多的都是針對應用層協議漏洞,或者分析協議然後發送和正常數據包一樣的數據，或者乾脆模擬正常的數據流，單從數據包層面，分析每個數據包裡面有什麼數據，根本沒辦法很好的防護新型的攻擊。

SYN攻擊解析
SYN攻擊屬於DOS攻擊的一種，它利用TCP協議缺陷，通過發送大量的半連接請求，耗費CPU和內存資源。TCP協議建立連接的時候需要雙方相互確認信息,來防止連接被偽造和精確控制整個數據傳輸過程數據完整有效。所以TCP協議採用三次握手建立一個連接。

第一次握手：建立連接時，客戶端發送syn包到伺服器，並進入SYN_SEND狀態，等待伺服器確認；

第二次握手：伺服器收到syn包，必須確認客戶的SYN 同時自己也發送一個SYN包 即SYN+ACK包，此時伺服器進入SYN_RECV狀態；

第三次握手：客戶端收到伺服器的SYN＋ACK包，向伺服器發送確認包ACK此包發送完畢，客戶端和伺服器進入ESTABLISHED狀態，完成三次握手。

SYN攻擊利用TCP協議三次握手的原理，大量發送偽造源IP的SYN包也就是偽造第一次握手數據包，伺服器每接收到一個SYN包就會為這個連接信息分配核心內存並放入半連接隊列，如果短時間內接收到的SYN太多，半連接隊列就會溢出，操作系統會把這個連接信息丟棄造成不能連接，當攻擊的SYN包超過半連接隊列的最大值時，正常的客戶發送SYN數據包請求連接就會被伺服器丟棄, 每種操作系統半連接隊列大小不一樣所以抵禦SYN攻擊的能力也不一樣。那麼能不能把半連接隊列增加到足夠大來保證不會溢出呢，答案是不能，每種操作系統都有方法來調整TCP模塊的半連接隊列最大數，例如Win2000操作系統在注冊表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen，TcpMaxHalfOpenRetried ，Linux操作系統用變數tcp_max_syn_backlog來定義半連接隊列的最大數。但是每建立一個半連接資源就會耗費系統的核心內存，操作系統的核心內存是專門提供給系統內核使用的內存不能進行虛擬內存轉換是非常緊缺的資源windows2000 系統當物理內存是4g的時候 核心內存只有不到300M，系統所有核心模塊都要使用核心內存所以能給半連接隊列用的核心內存非常少。Windows 2003 默認安裝情況下，WEB SERVER的80埠每秒鍾接收5000個SYN數據包一分鍾後網站就打不開了。標准SYN數據包64位元組 5000個等於 5000*64 *8(換算成bit)/1024=2500K也就是 2.5M帶寬 ，如此小的帶寬就可以讓伺服器的埠癱瘓，由於攻擊包的源IP是偽造的很難追查到攻擊源,，所以這種攻擊非常多。

如何防止和減少DDOS攻擊的危害
拒絕服務攻擊的發展
從拒絕服務攻擊誕生到現在已經有了很多的發展，從最初的簡單Dos到現在的DdoS。那麼什麼是Dos和DdoS呢？DoS是一種利用單台計算機的攻擊方式。而DdoS（Distributed Denial of Service，分布式拒絕服務）是一種基於DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，比如一些商業公司、搜索引擎和政府部門的站點。DdoS攻擊是利用一批受控制的機器向一台機器發起攻擊，這樣來勢迅猛的攻擊令人難以防備，因此具有較大的破壞性。如果說以前網路管理員對抗Dos可以採取過濾IP地址方法的話，那麼面對當前DdoS眾多偽造出來的地址則顯得沒有辦法。所以說防範DdoS攻擊變得更加困難，如何採取措施有效的應對呢？下面我們從兩個方面進行介紹。
預防為主保證安全
DdoS攻擊是黑客最常用的攻擊手段，下面列出了對付它的一些常規方法。

（1）定期掃描

要定期掃描現有的網路主節點，清查可能存在的安全漏洞，對新出現的漏洞及時進行清理。骨幹節點的計算機因為具有較高的帶寬，是黑客利用的最佳位置，因此對這些主機本身加強主機安全是非常重要的。而且連接到網路主節點的都是伺服器級別的計算機，所以定期掃描漏洞就變得更加重要了。

（2）在骨幹節點配置防火牆

防火牆本身能抵禦DdoS攻擊和其他一些攻擊。在發現受到攻擊的時候，可以將攻擊導向一些犧牲主機，這樣可以保護真正的主機不被攻擊。當然導向的這些犧牲主機可以選擇不重要的，或者是linux以及unix等漏洞少和天生防範攻擊優秀的系統。

（3）用足夠的機器承受黑客攻擊

這是一種較為理想的應對策略。如果用戶擁有足夠的容量和足夠的資源給黑客攻擊，在它不斷訪問用戶、奪取用戶資源之時，自己的能量也在逐漸耗失，或許未等用戶被攻死，黑客已無力支招兒了。不過此方法需要投入的資金比較多，平時大多數設備處於空閑狀態，和目前中小企業網路實際運行情況不相符。

（4）充分利用網路設備保護網路資源

所謂網路設備是指路由器、防火牆等負載均衡設備，它們可將網路有效地保護起來。當網路被攻擊時最先死掉的是路由器，但其他機器沒有死。死掉的路由器經重啟後會恢復正常，而且啟動起來還很快，沒有什麼損失。若其他伺服器死掉，其中的數據會丟失，而且重啟伺服器又是一個漫長的過程。特別是一個公司使用了負載均衡設備，這樣當一台路由器被攻擊死機時，另一台將馬上工作。從而最大程度的削減了DdoS的攻擊。

（5）過濾不必要的服務和埠

過濾不必要的服務和埠，即在路由器上過濾假IP……只開放服務埠成為目前很多伺服器的流行做法，例如WWW伺服器那麼只開放80而將其他所有埠關閉或在防火牆上做阻止策略。

（6）檢查訪問者的來源

使用Unicast Reverse Path Forwarding等通過反向路由器查詢的方法檢查訪問者的IP地址是否是真，如果是假的，它將予以屏蔽。許多黑客攻擊常採用假IP地址方式迷惑用戶，很難查出它來自何處。因此，利用Unicast Reverse Path Forwarding可減少假IP地址的出現，有助於提高網路安全性。

（7）過濾所有RFC1918 IP地址

RFC1918 IP地址是內部網的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它們不是某個網段的固定的IP地址，而是Internet內部保留的區域性IP地址，應該把它們過濾掉。此方法並不是過濾內部員工的訪問，而是將攻擊時偽造的大量虛假內部IP過濾，這樣也可以減輕DdoS的攻擊。

（8）限制SYN/ICMP流量

用戶應在路由器上配置SYN/ICMP的最大流量來限制SYN/ICMP封包所能佔有的最高頻寬，這樣，當出現大量的超過所限定的SYN/ICMP流量時，說明不是正常的網路訪問，而是有黑客入侵。早期通過限制SYN/ICMP流量是最好的防範DOS的方法，雖然目前該方法對於DdoS效果不太明顯了，不過仍然能夠起到一定的作用。
尋找機會應對攻擊
如果用戶正在遭受攻擊，他所能做的抵禦工作將是非常有限的。因為在原本沒有準備好的情況下有大流量的災難性攻擊沖向用戶，很可能在用戶還沒回過神之際，網路已經癱瘓。但是，用戶還是可以抓住機會尋求一線希望的。

（1）檢查攻擊來源，通常黑客會通過很多假IP地址發起攻擊，此時，用戶若能夠分辨出哪些是真IP哪些是假IP地址，然後了解這些IP來自哪些網段，再找網網管理員將這些機器關閉，從而在第一時間消除攻擊。如果發現這些IP地址是來自外面的而不是公司內部的IP的話，可以採取臨時過濾的方法，將這些IP地址在伺服器或路由器上過濾掉。

（2）找出攻擊者所經過的路由，把攻擊屏蔽掉。若黑客從某些埠發動攻擊，用戶可把這些埠屏蔽掉，以阻止入侵。不過此方法對於公司網路出口只有一個，而又遭受到來自外部的DdoS攻擊時不太奏效，畢竟將出口埠封閉後所有計算機都無法訪問internet了。

（3）最後還有一種比較折中的方法是在路由器上濾掉ICMP。雖然在攻擊時他無法完全消除入侵，但是過濾掉ICMP後可以有效的防止攻擊規模的升級，也可以在一定程度上降低攻擊的級別。

不知道身為網路管理員的你是否遇到過伺服器因為拒絕服務攻擊（DDOS攻擊）都癱瘓的情況呢？就網路安全而言目前最讓人擔心和害怕的入侵攻擊就要算是DDOS攻擊了。他和傳統的攻擊不同，採取的是模擬多個客戶端來連接伺服器，造成伺服器無法完成如此多的客戶端連接，從而無法提供服務。

目前網路安全界對於DdoS的防範有效的防禦辦法:
可以採用因爾特網路數據中心推出的TNT防禦防攻擊系統:本系統對於攻擊採用智能識別實時進行攻擊流量的轉移，讓攻擊者的流量作用在伺服器上的流量控制在最小的程度從而到達防禦防攻擊的目的，無論是G口發包還是肉雞攻擊,使用我們TNT防禦防攻擊系統在保障您個人伺服器或者數據安全的狀態下,隻影響瞬間某個地區某部分用戶的使用，保證其他用戶的正常使用。並且系統會在較短時間內恢復已經癱瘓的用戶訪問.還可以讓G口發包的伺服器或者肉雞發出的數據包全部浪費與耗盡完.試想如果攻擊的流量在白白浪費和消耗掉，黑客也不能真實把流量作用在你的網站或伺服器上，那黑客用什麼來攻擊您的網站呢？

如果按照系統的方法和思路去防範DdoS的話，收到的效果還是非常明顯的，可以將攻擊帶來的損失降低到最小。
你了解下,希望對你有幫助.

『玖』 ddos攻擊是什麼怎麼阻止伺服器被ddos

DDoS攻擊是由DoS攻擊轉化的，這項攻擊的原理以及表現形式是怎樣的呢？要如何的進行防禦呢？本文中將會有詳細的介紹，需要的朋友不妨閱讀本文進行參考.

DDoS攻擊原理是什麼?隨著網路時代的到來，網路安全變得越來越重要。在互聯網的安全領域，DDoS(Distributed

DenialofService)攻擊技術因為它的隱蔽性，高效性一直是網路攻擊者最青睞的攻擊方式，它嚴重威脅著互聯網的安全。接下來的文章中小編將會介紹DDoS攻擊原理、表現形式以及防禦策略。希望對您有所幫助。

DDoS攻擊原理及防護措施介紹

一、DDoS攻擊的工作原理

1.1 DDoS的定義

DDos的前身 DoS
(DenialofService)攻擊，其含義是拒絕服務攻擊，這種攻擊行為使網站伺服器充斥大量的要求回復的信息，消耗網路帶寬或系統資源，導致網路或系統不勝負荷而停止提供正常的網路服務。而DDoS分布式拒絕服務，則主要利用

Internet上現有機器及系統的漏洞，攻佔大量聯網主機，使其成為攻擊者的代理。當被控制的機器達到一定數量後，攻擊者通過發送指令操縱這些攻擊機同時向目標主機或網路發起DoS攻擊，大量消耗其網路帶和系統資源，導致該網路或系統癱瘓或停止提供正常的網路服務。由於DDos的分布式特徵，它具有了比Dos遠為強大的攻擊力和破壞性。

1.2 DDoS的攻擊原理

如圖1所示，一個比較完善的DDos攻擊體系分成四大部分，分別是攻擊者( attacker也可以稱為master)、控制傀儡機(
handler)、攻擊傀儡機( demon，又可稱agent)和受害著(
victim)。第2和第3部分，分別用做控制和實際發起攻擊。第2部分的控制機只發布令而不參與實際的攻擊，第3部分攻擊傀儡機上發出DDoS的實際攻擊包。對第2和第3部分計算機，攻擊者有控制權或者是部分的控制權，並把相應的DDoS程序上傳到這些平台上，這些程序與正常的程序一樣運行並等待來自攻擊者的指令，通常它還會利用各種手段隱藏自己不被別人發現。在平時，這些傀儡機器並沒有什麼異常，只是一旦攻擊者連接到它們進行控制，並發出指令的時候，攻擊愧儡機就成為攻擊者去發起攻擊了。

圖2 SYN Flooding攻擊流程

3.2 TCP全連接攻擊

這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾
TearDrop、Land等DOS攻擊的能力，但對於正常的TCP連接是放過的，殊不知很多網路服務程序(如：IIS、
Apache等Web伺服器)能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接，直到伺服器的內存等資源被耗盡面被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多僵屍主機，並且由於僵屍主機的IP是暴露的，因此此種DDOs攻擊方容易被追蹤。

3.3 TCP刷 Script腳本攻擊

這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用 MSSQL Server、My SQL Server、
Oracle等資料庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連接，不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的資料庫伺服器很少能支持數百個查詢指令同時執行，而這對於客戶端來說卻是輕而易舉的，因此攻擊者只需通過

Proxy代理向主機伺服器大量遞交查詢指令，只需數分鍾就會把伺服器資源消耗掉而導致拒絕服務，常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護，輕松找一些Poxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些代理會暴露DDOS攻擊者的IP地址。

四、DDoS的防護策略

DDoS的防護是個系統工程，想僅僅依靠某種系統或產品防住DDoS是不現實的，可以肯定的說，完全杜絕DDoS目前是不可能的，但通過適當的措施抵禦大多數的DDoS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDoS的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了DDoS攻擊。

4.1 採用高性能的網路設備

抗DDoS攻擊首先要保證網路設備不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDoS攻擊是非常有效的。

4.2 盡量避免NAT的使用

無論是路由器還是硬體防護牆設備都要盡量避免採用網路地址轉換NAT的使用，除了必須使用NAT，因為採用此技術會較大降低網路通信能力，原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網路包的校驗和進行計算，因此浪費了很多CPU的時間。

4.3 充足的網路帶寬保證

網路帶寬直接決定了能抗受攻擊的能力，假若僅有10M帶寬，無論採取何種措施都很難對抗現在的
SYNFlood攻擊，當前至少要選擇100M的共享帶寬,1000M的帶寬會更好，但需要注意的是，主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，因為網路服務商很可能會在交換機上限制實際帶寬為10M。

4.4 升級主機伺服器硬體

在有網路帶寬保證的前提下，盡量提升硬體配置，要有效對抗每秒10萬個SYN攻擊包，伺服器的配置至少應該為：P4
2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，內存一定要選擇DDR的高速內存，硬碟要盡量選擇SCSI的，要保障硬體性能高並且穩定，否則會付出高昂的性能代價。

4.5 把網站做成靜態頁面

大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，到現在為止還沒有出現關於HTML的溢出的情況，新浪、搜狐、網易等門戶網站主要都是靜態頁面。

此外，最好在需要調用資料庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問我們網站的80%屬於惡意行為。

五、總結

DDoS攻擊正在不斷演化，變得日益強大、隱密，更具針對性且更復雜，它已成為互聯網安全的重大威脅，同時隨著系統的更新換代，新的系統漏洞不斷地出現，DDoS的攻擊技巧的提高，也給DDoS防護增加了難度，有效地對付這種攻擊是一個系統工程，不僅需要技術人員去探索防護的手段，網路的使用者也要具備網路攻擊基本的防護意識和手段，只有將技術手段和人員素質結合到一起才能最大限度的發揮網路防護的效能。相關鏈接

『拾』 入侵防禦系統(IPS)和應用控制網關(ACG)區別

IPS是網路安全設備，而ACG是網路應用設備，它們幾乎沒有重疊的功能。