日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

《黃帝內(nèi)經(jīng)》載：“經(jīng)脈者，人之所以生，病之所以成，人之所以治，病之所以起”，其作者為“決生死，處百病，調(diào)虛實(shí)，不可不通”，誠(chéng)為人體最為重要一個(gè)組成部分。經(jīng)脈一旦不通，各種疾病就會(huì)紛至沓來(lái)。拒絕服務(wù)/分布式拒絕服務(wù)從其影響來(lái)看，和經(jīng)脈不通有異曲同工的表現(xiàn)形式：整個(gè)網(wǎng)站系統(tǒng)對(duì)外服務(wù)不可用，幾乎就可以認(rèn)為網(wǎng)站“死了”。

下面是一則示例：

某省移動(dòng)公司信息技術(shù)部總經(jīng)理D先生在近日就遇到拒絕服務(wù)攻擊的麻煩：用戶投訴說(shuō)網(wǎng)站訪問(wèn)太慢，動(dòng)不動(dòng)就超時(shí)斷開(kāi)連接。這個(gè)問(wèn)題該如何處理呢？

說(shuō)到拒絕服務(wù)攻擊，相信大家都不陌生。在所有的駭客攻擊行為中，這種攻擊顯得頗為特立獨(dú)行：因?yàn)樗且环N損人不利己的攻擊行為。

典型的拒絕服務(wù)表現(xiàn)：正常服務(wù)請(qǐng)求無(wú)法得到滿足，比如訪問(wèn)緩慢，無(wú)響應(yīng)等，嚴(yán)重情況下甚至?xí)蟹?wù)器死機(jī)現(xiàn)象。

除了常說(shuō)的拒絕服務(wù)之外，還有另外一種防范更為困難的分布式拒絕服務(wù)。分布式拒絕服務(wù)是指借助客戶端/服務(wù)器技術(shù)，聯(lián)合多個(gè)（常?？蛇_(dá)數(shù)萬(wàn)個(gè)）計(jì)算機(jī)作為一個(gè)攻擊平臺(tái)，對(duì)目標(biāo)發(fā)起拒絕服務(wù)攻擊，由于受控的攻擊機(jī)器（就是我們通常所謂的傀儡機(jī)）數(shù)量龐大，極端情況下即使每臺(tái)傀儡機(jī)都只發(fā)送正常服務(wù)請(qǐng)求，目標(biāo)機(jī)器也有可能由于資源過(guò)載而無(wú)法正常提供服務(wù)。

有人認(rèn)為，拒絕服務(wù)絕對(duì)無(wú)法避免，其實(shí)不盡然，根據(jù)觸發(fā)原因的不同，某些拒絕服務(wù)是可以避免的，有一種情況是由于錯(cuò)誤配置或系統(tǒng)BUG導(dǎo)致的。錯(cuò)誤配置造成的拒絕服務(wù)攻擊可以通過(guò)修正配置來(lái)避免，系統(tǒng)BUG造成的拒絕服務(wù)攻擊可以通過(guò)打修正BUG的補(bǔ)丁來(lái)避免。

注意：

1. 錯(cuò)誤配置：某服務(wù)器系統(tǒng)配置支持1000個(gè)用戶同時(shí)連接，但在該服務(wù)器上的系統(tǒng)軟件上，并未對(duì)用戶連接數(shù)上限做限制，導(dǎo)致同時(shí)連接用戶數(shù)量過(guò)多，服務(wù)器響應(yīng)緩慢。

2. 系統(tǒng)BUG：這里的系統(tǒng)可能是軟件可能是協(xié)議，最著名的導(dǎo)致拒絕服務(wù)攻擊的系統(tǒng)BUG就是TCP的三次握手，攻擊者可以偽造大量源地址進(jìn)行持續(xù)的TCP的SYN請(qǐng)求，在接受到服務(wù)器端ACK回應(yīng)時(shí)不做任何響應(yīng)，使得服務(wù)器需要保持大量的端口監(jiān)聽(tīng)狀況，從而造成拒絕服務(wù)。

根據(jù)拒絕服務(wù)類型的不同，大致有以下常見(jiàn)類型：

網(wǎng)絡(luò)寬帶消耗型攻擊：由于大量的網(wǎng)絡(luò)服務(wù)請(qǐng)求占用和耗盡了帶寬資源，導(dǎo)致的拒絕服務(wù)攻擊。通過(guò)抓包可以看到網(wǎng)絡(luò)中存在大量數(shù)據(jù)包，達(dá)到網(wǎng)絡(luò)通訊量的上限。一般來(lái)說(shuō)可以通過(guò)修改服務(wù)器配置或使用QoS設(shè)備來(lái)降低此類攻擊危害。

一般來(lái)說(shuō)，在服務(wù)器上做的配置包括：

·關(guān)閉不必要的服務(wù)

·限制同時(shí)打開(kāi)的Syn半連接數(shù)

·縮短Syn半連接的time out時(shí)間

在網(wǎng)關(guān)設(shè)備上做的配置包括：

防火墻

·禁止對(duì)主機(jī)的非開(kāi)放服務(wù)的訪問(wèn)

·限制同時(shí)打開(kāi)的Syn最大連接數(shù)

·限制特定IP地址的訪問(wèn)

·啟用防火墻的防DDoS的屬性

·嚴(yán)格限制對(duì)外開(kāi)放的服務(wù)器的向外訪問(wèn)

路由器

·Cisco Express Forwarding（CEF）

·使用unicast reverse-path

·訪問(wèn)控制列表（ACL）過(guò)濾

·設(shè)置Syn數(shù)據(jù)包流量速率

·升級(jí)版本過(guò)低的ISO

·為路由器建立log server

通常情況下，針對(duì)帶寬消耗型拒絕服務(wù)/分布式拒絕服務(wù)的最佳防御位置是在運(yùn)營(yíng)商處，通過(guò)在路由器上對(duì)數(shù)據(jù)包源IP地址進(jìn)行驗(yàn)證，如未找到匹配項(xiàng)就予以丟棄，這樣可以最大限度保證偽造的數(shù)據(jù)包不會(huì)通過(guò)Internet傳到用戶網(wǎng)絡(luò)中。但這種方法將極大降低路由器的處理性能，故應(yīng)用不多。

資源耗盡型攻擊：利用處理缺陷，通過(guò)發(fā)送數(shù)據(jù)包耗盡CPU等處理資源，導(dǎo)致無(wú)法正常提供服務(wù)。網(wǎng)絡(luò)流量并不大，但服務(wù)器的資源占用率極高，如CPU時(shí)間100%。Jolt2.c就是這樣的一種攻擊行為。

資源消耗型的攻擊相對(duì)來(lái)說(shuō)易于防御，串接在網(wǎng)絡(luò)中的設(shè)備只要能對(duì)畸形數(shù)據(jù)包進(jìn)行分析和丟棄，就可以避免此類攻擊。入侵防御產(chǎn)品，甚至是防火墻產(chǎn)品都具備此項(xiàng)功能。

一些重要網(wǎng)站，或是在一些重大事件期間，網(wǎng)站無(wú)法訪問(wèn)將會(huì)帶來(lái)非常嚴(yán)重的影響。帶寬消耗型拒絕服務(wù)，尤其是那些利用大規(guī)模僵尸網(wǎng)絡(luò)進(jìn)行的攻擊行為，幾乎無(wú)法從“直接防御”這個(gè)角度進(jìn)行防護(hù)，這種情況下，較好的應(yīng)對(duì)措施就是增加服務(wù)的提供能力，如采用增加寬帶、提高計(jì)算性能、冗余備份、負(fù)載均衡手段，常見(jiàn)的大型門(mén)戶網(wǎng)站基本都是采用這種方法來(lái)應(yīng)對(duì)拒絕服務(wù)威脅。

保持經(jīng)絡(luò)暢通，是一種養(yǎng)生學(xué)態(tài)度，需要常運(yùn)動(dòng)，保持心情愉悅，練氣功，使用活血理氣的食物，發(fā)現(xiàn)有異常及時(shí)處理；而保持網(wǎng)站不被拒絕服務(wù)，也需要從多個(gè)角度出發(fā)：增加帶寬、調(diào)整網(wǎng)絡(luò)設(shè)備策略。

【編輯推薦】

1. DDOS拒絕服務(wù)攻擊終極防御導(dǎo)航器
2. 對(duì)拒絕服務(wù)攻擊現(xiàn)狀的深入解析
3. 對(duì)IIS Newdsn.exe 拒絕服務(wù)攻擊漏洞的詳細(xì)介紹
4. 當(dāng)拒絕服務(wù)攻擊遇到云：4個(gè)教訓(xùn)

當(dāng)前文章：通經(jīng)絡(luò)拒絕服務(wù)不可怕
本文網(wǎng)址：http://m.5511xx.com/article/coidpis.html