高防服务器(3)
胡经国
介绍几种最常见的攻击也是比较难防护的攻击变种SYN攻击SYN攻击SYN攻击
SYN攻击属于DS攻击的一种它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送SYN包到服务器,并进入SYN_SEND状态,等待服务器确认
SYN_SENT表示请求连接当你要访问其它计算机的服务时首先要发个同步信号给该端口,此时状态为SYN_SENT如果连接成功了就变为ESTABLISHED,此时SYN_SENT状态非常短暂。但如果发现SYN_SENT非常多且在向不同的机器发出,那你的机器可能中了冲击波或震荡波之类的病毒了。这类病毒为了感染别的计算机,它就要扫描别的计算机在扫描的过程中对每个要扫描的计算机都要发出同步请求,这也是出现许多SYN_SENT的原因。
ESTABLISHED的意思是建立连接表示两台机器正在通信。
第二次握手:服务器收到SYN包,必须确认客户的SYN同时自己也发送一个SYNACK包,此时服务器进入SYN_RECV状态
SYN_RECV是指服务端被动打开后接收到了客户端的SYN并且发送了ACK时的状态。再进一步接收到客户端的ACK就进入ESTABLISHED状态。
ACKAcknowledgement),即确认字符,在数据通信中,接收站发给发送站的一种传输类控制字符表示发来的数据已确认接受无误。
第三次握手:客户端收到服务器的SYNACK包,向服务器发送确认包ACK发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
SYN攻击利用TCP协议三次握手的原理,大量发送伪造源IP的SYN包也就是伪造第一次握手数据包服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列如果短时间内接收到的SYN太多,半连接队列就会溢出,操作系统会把这个连接信息丢弃造成不能连接当攻击的SYN包超过半连接队列的最大值时,正常客户发送SYN数据包请求连接就会被服务器丢弃每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢答案是不能每种操作系统都有方法来调整TCP模块的半连接队列最大数,例如Win2000操作系统在注册表
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
里TcpMaxHalfOpen,TcpMaxHalfOpenRetried,Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源indows2000操作系统当物理内存是4的时候核心内存只有不到300M,系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows2003默认安装情况下,WebServer的80端口每秒钟接收5000个SYN数据包分钟后网站就打不开了。标准SYN数据包64字节5000个等于500064×8(换算成bit)1024=2500K,也就是2.5M带宽如此小的带宽就可以让服务器端口瘫痪由于SYN攻击包的源IP是伪造的很难追查到攻击源,这种攻击非常多。变种SYN攻击
变种SYN攻击发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。TCP混乱数据包攻
TCP混乱数据包攻击发送伪造源IP的TCP数据包,TCP头的TCPFlags部分是混乱的可能是synack,syn+ack,syn+rst等等这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。针对UDP协议的攻击
针对UDPUserDatagramProtocol,用户数据报协议的攻击很多聊天室,视频音频软件,都是通过UDP数据包传输的攻击者针对要攻击的网络软件协议,发送和正常数据一样的数据包这种攻击非常难防护一般防墙通过拦截攻击数据包的特征码防护但是这样会造成正常的数据包也会被拦截针对WServer的多连接攻击
针对WServer的多连接攻击通过控制大量的肉鸡同时连接访问网站,造成网站无法处理瘫痪这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍有些防火墙可以通过限制每个连接过来的IP连接数来防护但是这样会造成正常用户稍微多打开几次网站也会被封针对WServer的变种攻击
针对WServer的变种攻击通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU这样通过限制每个连接过来的IP连接数就失效了因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护后面给大家介绍防火墙的解决方案针对WServer的变种攻击针对WServer的变种攻击通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行协议的分析这种攻击不发送GET请求就可以绕过防火墙到达服务器一般服务器都是共享带宽的,带宽不会超过10M所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪这种攻击也非常难防护因为如果只简单的拦截客户端发送过来没有GET字符的数据包,会错误封锁很多正常的数据包造成正常用户无法访问后面给大家介绍防火墙的解决方案针对游戏服务器的攻击
游戏服务器非常多这里介绍最早也是影响最大的传奇游戏传奇游戏分为登陆注册端口7000人物选择端口7100,以及游戏运行端口72007300、7400等
因为游戏协议设计非常复杂,所以攻击也花样出,大概有几十种之多而且还在不断发现新的攻击这里,介绍目前最普遍的假人攻击假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。
以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包,或者有限的分析数据连接建立的状态,防护SYN变种SYNACK攻击效果不错但是不能从根本上分析协议,和针对应用层的协议比如游戏协议,软件视频音频协议新的攻击越来越多都是针对应用层协议漏洞或者分析协议然后发送和正常数据包一样的数据,或者干脆模拟正常的数据流单从数据包层面,分析每个数据包里面有什么数据,根本没办法很好防护新型攻击。拒绝服务攻击的发展
从简单D到D拒绝服务攻击已经有了很的发展。那么什么是D和D呢?
D是一种单台计算机的攻击方式。
D(DistributedDenialofService,分布式拒绝服务)是一种基于D的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式主要瞄准比较大的站,比如一些商业公司、搜索引擎和政府部门的站。D攻击是利用一批受控制的机器向一台机器发起攻击这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗D可以采取过滤IP地址方法的话,那么面对当前D众多伪造出来的地址则显得没有办法。所以说防范D攻击变得更加困难如何采取措施有效应对呢?下面我们从两个方面进行介绍。预防为主保证安全
D攻击是黑客最常用的攻击手段下面列出了对付它的一些常规方法。定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。在骨干节点配置防火墙
防火墙本身能抵御D攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是LinuxUnix等漏洞少和天生防范攻击优秀的系统。用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和中小企业网络实际运行情况不相符。充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程特别是一个公司使用了负载均衡设备这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度削减了D攻击。过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP只开放服务端口成为很多服务器的流行做法例如W服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。检查访问者的来源
使用URPFUnicastReversePathForwarding,单播反向路径转发等通过反向路由器查询的方法检查访问者的IP地址是否是真是假的,将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用URPF可减少假IP地址的出现,有助于提高网络安全性。URPF
URPF(UnicastReversePathForwarding,单播反向路径转发)的主要功能是用于防止基于源地址欺骗的网络攻击行为。
源地址欺骗攻击为入侵者构造出一系列带有伪造源地址的报文,对于使用基于IP地址验证的应用来说,此攻击方可以导致未被授权用户以他人身份获得访问系统的权限,甚至是以管理员权限来访问。即使响应报文不能达到攻击者,同样也会造成对被攻击对象的破坏。过滤所有RFC1918IP地址
RFC1918IP地址是内部网的IP地址,如像10.0.0.0192.168.0.0和172.16.0.0它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤这样也可以减轻D攻击。限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DS攻击的方法虽然该方法对于D效果不太明显了,不过仍然能够起到一定的作用。SYN/ICMP
SYN(Synchronous,直译:同步)是TCP/IP建立连接时使用的握手信号。在客户机和服务器之间建立正常的TCP网络连接时,客户机首先发出一个SYN消息服务器使用SYNACK应答表示接收到了这个消息最后客户机再以ACK消息响应。这样在客户机和服务器之间才能建立起可靠的TCP连接,数据才可以在客户机和服务器之间传递。
ICMPInternetControlMessageProtocol,Internet控制报文协议是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。寻找机会应对攻击
如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。检查攻击来源
通常黑客会通过很多假IP地址发起攻击此时,用户若能够分辨出哪些是真IP哪些是假IP地址然后了解这些IP来自哪些网段再找网管理员将这些机器关闭从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。找出攻击者所经过的路由,把攻击屏蔽掉
若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的D攻击时不太奏效毕竟将出口端口封闭后所有计算机都无法访问internet了。最后还有一种比较折中的方法是在路由器上滤掉ICMP
虽然在攻击时无法完全消除入侵,但是过滤掉ICMP后可以有效防止攻击规模的升级,也可以在一定程度上降低攻击的级别。对于D最有效的防御办法
不知道身为网络管理员是否遇到过服务器因为拒绝服务攻击(DDS攻击)都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDS攻击了。和传统的攻击不同,采取的是仿真多个客户端来连接服务器,造成服务器无法完成如此多的客户端连接,从而无法提供服务。
目前网络安全界对于D最有效的防御办法蜘蛛系统
由全世界各个国家以及地区组成一个庞大的网络系统相当于一个虚幻的网络任何人检测到的只是我们节点服务器并不是您真实数据所在的真实地址每个节点全部采用M独享服务器单机抗2G以上流量攻击金盾软防无视任何攻击
无论是G口发包还是肉鸡攻击使用蜘蛛系统在保障您个人服务器或者数据安全的状态下只影响一个线路一个地区一个省或者一个省的一条线路的用户并且我们会在分钟内更换已瘫痪的节点服务器保证网站处于正常状态还可以把G口发包的服务器或者肉鸡发出的数据包全部返回到发送点使G口发包的服务器与肉鸡全部变成瘫痪状态试想如果没了G口服务器或者肉鸡黑客用什么来攻击您的网站
如果我们按照本文的方法和思路去防范D的话,那么收到的效果还是非常显著的,可以将攻击带来的损失降低到最小。DDoS攻击只能被减弱,无法被彻底消除。独享服务器
独享服务器是单独享有服务器硬件、网络、带宽等资源。接触的独立服务器、VPSVirtualPrivateServer虚拟专用服务器与云服务器都可以称为独享服务器。
其实独享服务器业务属于服务器租用的一种形式企业可以通过具体的挑选因素做具体的分析,并决定租用什么样的服务器。服务器独享对于企业来说在安全方面比共享更具优势这点也得到了很多用户的肯定。CC攻击
CCChallengeCollapsar,直译:挑战黑洞)攻击,是利用不断对网站发送连接请求致使形成拒绝服务的目的
CC攻击是DDS攻击的一种相比其它DDS攻击CC攻击似乎更有技术含量一些。这种攻击你见不到真实源IP,见不到特别大的异常流量,但造成服务器无法进行正常连接。最让站长们忧虑的是这种攻击技术含量低,利用更换IP代理工具和一些IP代理一个初、中级电脑水平的用户就能够实施CC。G口
接入互联网的带宽是1G以上的服务器,被称为G口服务器,服务器的网卡必须在M以上。
1、网站空间的稳定性和速度
高防服务器网站空间的稳定性和速度相当重要这些因素都影响网站的正常运作,对此需要有一定的了解最好在购买前可以试用的用时间不用太长,大概24小时就行一天时间绝对能试验出主机的好。
2、网站空间的价格
大型服务商的虚拟主机产品价格要贵一些,而一些小型公司可能价格比较便宜要根据网站的重要程度来决定选择哪种层次的空间提供商。高防机房专家提醒大家,切记不能贪图便宜,一分钱一分货。
3、虚拟主机的限制
没有限制的空间问题一定会很大一般是、流量、s链接数的限制。这几种限制之中最普遍接受的就是限制s链接数的方式限制s链接数很重要试想下一台高防服务器上你的主机不限制s链接数,别人的也不限制,这样的防攻击服务器很容易挂掉,对网站的正常运行会有很大的影响,到时候你空间莫名其妙被停了。
4、网站空间服务商的专业水平和服务质量
这是高防服务器选择网站空间的又一要素如果选择了质量比较低下的空间服务商,很可能会在网站运营中遇到各种问题,甚至经常出现网站无法正常访问的情况这样都会严重影响网络营销工作的开展。专家建议大家选择随时有QQ或是有400电话的空间这样可以更直接解决遇到的问题。IIS连接数
II连接数指并发连接数分以下几种情况:用户打开你的页面,就算您停留在该页面没有对服务器发出任何请求,那么在用户打开一面以后20分钟内也都要算一在线上面的情况用户继续打开同一个网站的其他页面,那么在线人数按照用户最后一次点击(发出请求)以后的20分钟计算,在这个20分钟内不管用户怎么点击(包括新窗口打开)都还是一人在线。你的页面存在框架Iframe),那么每多一个框架就要多一倍的在线因为这相当于用户同一时间向服务器请求了多个页面。用户打开页面然后正常关闭浏览器,用户的在线人数也会马上清除。Iframe
Iframe,HTML标签,作用是文档中的文档,或者浮动的框架FRAME)。
Iframe也称作嵌入式框架嵌入式框架和框架网页类似,它可以把一个网页的框架和内容嵌入在现有的网页中。
6
|
|
