日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

最不講道理的也最簡(jiǎn)單攻擊形式就是拒絕服務(wù)（DoS）攻擊。

這種攻擊不是為了入侵系統(tǒng)來(lái)獲取敏感信息，它的目的就是讓系統(tǒng)崩潰，從而無(wú)法響應(yīng)正當(dāng)用戶的請(qǐng)求。而且這種攻擊可以非常簡(jiǎn)單，不需要任何技術(shù)功底；它的本質(zhì)思想就是突破設(shè)備有效載荷。不管什么計(jì)算機(jī)系統(tǒng)、Web服務(wù)器、還是網(wǎng)絡(luò)都只能處理有限的載荷，計(jì)算機(jī)系統(tǒng)的工作載荷通常以帶多少用戶、文件系統(tǒng)大小、數(shù)據(jù)傳輸速率、文件存儲(chǔ)量等指標(biāo)來(lái)衡量。一旦超過(guò)了載荷，再執(zhí)行操作就無(wú)法響應(yīng)了。例如，可以向某一網(wǎng)站泛洪，超過(guò)服務(wù)器的處理能力，就無(wú)法響應(yīng)訪問(wèn)請(qǐng)求了。

常見(jiàn)DoS的類型

1、TCP SYN泛洪

對(duì)于TCP協(xié)議，當(dāng)客戶端向服務(wù)器發(fā)起連接請(qǐng)求并初始化時(shí)，服務(wù)器一端的協(xié)議棧會(huì)留一塊緩沖區(qū)來(lái)處理“握手”過(guò)程中的信息交換。請(qǐng)求建立連接時(shí)發(fā)送的數(shù)據(jù)包的包頭SYN位就表明了數(shù)據(jù)包的順序，攻擊者可以利用在短時(shí)間內(nèi)快速發(fā)起大量連接請(qǐng)求，以致服務(wù)器來(lái)不及響應(yīng)。同時(shí)攻擊者還可以偽造源IP地址。也就是說(shuō)攻擊者發(fā)起大量連接請(qǐng)求，然后掛起在半連接狀態(tài)，以此來(lái)占用大量服務(wù)器資源直到拒絕服務(wù)。雖然緩沖區(qū)中的數(shù)據(jù)在一段時(shí)間內(nèi)（通常是三分鐘）都沒(méi)有回應(yīng)的話，就會(huì)被丟棄，但在這段時(shí)間內(nèi)，大量半連接足以耗盡服務(wù)器資源。

防御這種攻擊沒(méi)有好的辦法，所有基于TCP的服務(wù)都有此“弱點(diǎn)”，但對(duì)于Web服務(wù)來(lái)說(shuō)，有三招防御手段：設(shè)置SYN cookie、RST cookie和編輯緩沖區(qū)大小。具體方法可以搜一下，但要注意，三種方法都有局限性。

2、Smurf IP

Smurf IP利用廣播地址發(fā)送ICMP包，一旦廣播出去，就會(huì)被廣播域內(nèi)的所有主機(jī)回應(yīng)，當(dāng)然這些包都回應(yīng)給了偽裝的IP地址（指向被攻擊主機(jī)），偽裝IP地址可以是互聯(lián)網(wǎng)上的任何地址，不一定在本地；假如駭客不停地發(fā)送此種類型的包，就會(huì)造成DoS攻擊。

防御這種攻擊要從內(nèi)網(wǎng)入手，因?yàn)楣羰菑膹V播域內(nèi)發(fā)起的，所以一是防內(nèi)賊，二是防木馬、病毒以防被外控制，再一個(gè)就是利用防火墻隱藏內(nèi)網(wǎng)；最好將這些措施組合起來(lái)。

3、其它

其它還有UDP泛洪、ICMP泛洪、死亡之ping、淚珠攻擊、著陸攻擊、Echo/Chargen攻擊，基本思想都差不多，有興趣的可以查查，篇幅所限這里不多介紹。

4、DDoS攻擊

DDoS是分布式拒絕服務(wù)攻擊，其基本思想與DoS攻擊一樣，只是方法不同。DDoS攻擊一般通過(guò)兩種方式：一是利用大量路由器，一是利用botnet。

DoS的弱點(diǎn)

從攻擊者的角度來(lái)講，DoS攻擊的不足是要求洪水包必須能夠持續(xù)發(fā)送，一旦洪水包停了，系統(tǒng)一般也就恢復(fù)正常了。另外如果直接從本機(jī)發(fā)起攻擊，就有被跟蹤到IP的危險(xiǎn)；而利用Botnet又需要很強(qiáng)的控制力。

如何防御DoS

正如沒(méi)有確定的方法來(lái)防止駭客攻擊一樣，也沒(méi)有確保的方法防止所有DoS攻擊。然而，有一些措施可以減小危險(xiǎn)發(fā)生的可能性。如前面介紹的SNY cookie、RST cookie、編輯緩沖區(qū)大小。下面再介紹一些，這些方法要根據(jù)情況綜合應(yīng)用。

第一利用防火墻阻止外網(wǎng)的ICMP包，幾乎沒(méi)有什么理由讓外網(wǎng)的ICMP包進(jìn)入本地網(wǎng)絡(luò)，有人可能會(huì)對(duì)此有爭(zhēng)論，說(shuō)是沒(méi)有好的理由，但在我看來(lái)都一樣。再一個(gè)利用工具時(shí)常檢查一下網(wǎng)絡(luò)內(nèi)是否SYN_RECEIVED狀態(tài)的半連接，這可能預(yù)示著SYN泛洪，許多網(wǎng)關(guān)型防火墻也是用此方法防御DoS攻擊的。另外如果網(wǎng)絡(luò)比較大，有內(nèi)部路由器，同時(shí)網(wǎng)絡(luò)不向外提供服務(wù)的話，可以考慮配置路由器禁止所有不是由本地發(fā)起的流量，而且考慮禁止直接IP廣播。

若路由器具有包過(guò)濾功能的話，可以檢查數(shù)據(jù)包的源IP地址是否被偽造，來(lái)自外網(wǎng)的數(shù)據(jù)包源IP應(yīng)該是外網(wǎng)IP，來(lái)自內(nèi)網(wǎng)的數(shù)據(jù)包源IP是內(nèi)網(wǎng)IP。最后就是防止網(wǎng)內(nèi)出現(xiàn)Zombie了，沒(méi)什么說(shuō)的，常規(guī)防護(hù)，及時(shí)更新補(bǔ)丁，使用防病毒軟件，制定下載策略，禁止隨意下載。

到此已經(jīng)對(duì)網(wǎng)絡(luò)上基本的威脅形式有所了解，各有各的特點(diǎn)，這里只總結(jié)一下基本的防御措施，常規(guī)動(dòng)作，一定要做好。除此之外，網(wǎng)絡(luò)安全是個(gè)攻防對(duì)抗的動(dòng)態(tài)過(guò)程，新思路新形式隨時(shí)會(huì)出現(xiàn)，需要不斷學(xué)習(xí)，針對(duì)自身網(wǎng)絡(luò)以及威脅的特點(diǎn)，對(duì)癥下藥。再次提醒注意，常規(guī)動(dòng)作一定要做好：

（1）使用防病毒軟件，定期掃描。

（2）及時(shí)更新系統(tǒng)及軟件補(bǔ)丁。

（3）關(guān)閉不需要的服務(wù)。

（4）瀏覽器配置為最高安全級(jí)。

（5）使用防火墻，對(duì)于桌面機(jī)，系統(tǒng)自帶防火墻足夠。

（6）考慮使用反間諜軟件。

（7）不要在互聯(lián)網(wǎng)泄露私人信息，除非十分有必要。

（8）企業(yè)要有相應(yīng)安全策略。

當(dāng)然安全保障是貫穿整個(gè)網(wǎng)絡(luò)運(yùn)維全過(guò)程的，隨網(wǎng)絡(luò)環(huán)境的不同，要求的不同，措施會(huì)有差異，沒(méi)有最好，只有更好，需要不斷修煉。接下來(lái)會(huì)系統(tǒng)地介紹一下如何進(jìn)行安全防護(hù)。方法是自頂而下，由抽象到具體，首先來(lái)看一下都有哪些網(wǎng)絡(luò)安全模型

【編輯推薦】

1. 網(wǎng)絡(luò)如何應(yīng)對(duì)DDoS攻擊
2. 系統(tǒng)漏洞分析:DoS拒絕服務(wù)攻擊來(lái)襲如何應(yīng)對(duì)
3. 應(yīng)對(duì)DoS/DDoS攻擊的十條軍規(guī)(圖)

網(wǎng)頁(yè)題目：保護(hù)好自己的網(wǎng)絡(luò)流量 預(yù)防DDOS攻擊
URL分享：http://m.5511xx.com/article/coshhij.html