网吧遭到ddos 攻击的最有效的解决办法是什么?
对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点:
1、采用高性能的网络设备
首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用,因为采用此技术会较大降低网络通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的网络带宽保证
网络带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,最好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有网络带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化 TCP/IP 堆栈安全》。
也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN Cookies》。
6、安装专业抗DDOS防火墙
7、其他防御措施
以上几条对抗DDOS建议,适合绝大多数拥有自己主机的用户,但假如采取以上措施后仍然不能解决DDOS问题,就有些麻烦了,可能需要更多投资,增加服务器数量并采用DNS轮巡或负载均衡技术,甚至需要购买七层交换机设备,从而使得抗DDOS攻击能力成倍提高,只要投资足够深入。
网吧怎么应对DDOS攻击
许多黑客专门破坏或窃取数据,还有不少黑客总是愿意破坏对数据的合法访问。后者这种对信息可用性的攻击被称为DoS攻击,这种攻击与窃取信息一样都会给企业带来不可估量的损失。
高级DoS攻击利用受控计算机组成的大型网络(称为僵尸网络),同时从多个不同的地理位置来攻击一个网站。这种攻击称为分布式拒绝服务攻击(DDoS攻击)。这种攻击更阴险,因为我们很难将其通信与正常的网络通信区分开来。DDoS基础
在一个网络接收的数据超过了它的处理能力时,可能就发生了DDoS攻击。执行一次成功的攻击所要求的通信速率依赖于网络的带宽,以及保护设备的能力。其结果总是相同的,机器的互联网连接陷于完全停顿。用户们无法做任何操作,这就像下班高峰时的交通拥塞一样。
并非所有的DDoS攻击都针对网站。有进取心的黑客还会针对其它的基础组件,如企业的DNS控制器等。笔者的一位客户就曾遭受过DNS扩大攻击,攻击者将带有受害者IP地址的DNS请求作为一个虚假的源发动攻击。由于DNS响应可以比请求更强大,被欺骗的IP会收到大量的响应。该客户在高峰时段每隔一段时间就会收到大量的攻击,这严重地影响了该客户继续进行业务的能力。
虽然你企业的网络没有充足的资源来防御DDoS攻击,但你可以寻求ISP的帮助。你可以设置网络过滤器,为攻击网络的通信改变路线。在使用这种方法时要小心,因为ISP的首要责任是向所有的客户提供服务,而不仅仅是某个用户。基本防御
其次,禁止任何未用的服务,目的是将开放端口的数量最小化,从而减少攻击者进入和利用已知漏洞的机会。
第三,为所有的软件打上补丁,保持所有软件的最新有助于漏洞数量的最少化。
第四,不要太依赖防火墙。防火墙只能阻止来自某些端口的洪水攻击,但它却无法防止基于Web的通信进入。
此外,如果禁用了IP广播,就可以阻止基于ICMP的攻击,如死亡之ping攻击。
这些仅是从大体上保护网络,抵御一般DDoS攻击的方法,对于一些高级DDoS攻击,这些措施远远不够。说到专门的DDoS防御,企业不妨使用IP包过滤技术。
包过滤
描述过滤这种技术还是很容易的:判断进入的数据包,看其是来自合法用户,还是来自攻击机器,若来自后者,则丢弃。但实际上实施这种方案并非易事。
企业往往建立能够阻止非法通信的过滤器。但这种做法的困难在于,如何将攻击包与合法请求区分开来,而且因为攻击的目的是摧毁正在扫描通信的设备,数据包的数目如此多,从而造成保护网络的设备无法应对。建议采用阻止假冒IP包的技术,如基于路由器的过滤,它可以跟踪进入通信的源地址,一旦发现异常,就认为是欺诈而丢弃。事实上,很容易阻止欺诈,如今的高级攻击不再使用这种伎俩。现在阻止假冒通信仅是一种简单技术。
抵制僵尸网络的攻击
但新威胁却更为危险:在受感染的计算机作为僵尸网络的一部分而协同动作时,数据包的源地址就不再是假冒的了,而是真实的IP地址。
针对僵尸攻击,有一种更科学的IP过滤方法。这种技术试图先记住曾经访问过网站的善意数据包,然后找出恶意数据包,仅准许来自已知源的数据包进入。此时,边缘路由器参照常用访问者的IP地址数据库,如果在通信源中找不到匹配的IP,就丢弃包。
这种过滤还有一个问题:如果攻击者知道了基于历史的过滤,为了使僵尸计算机的IP地址合法化,僵尸控制系统很容易在真实攻击发生之前将僵尸计算机指引到目标网站。这会欺骗过滤系统,使其信任更多的DDoS包,因为攻击来自熟悉的地址。
虚拟路由器和安全设备
除过滤之外,新的DDoS防御技术还可以使用虚拟路由器和基于设备的系统,以此作为接收通信的基本方式,并应用清洁技术来过滤通信。这种自动化的系统将来势必成为对付DDoS攻击的重要防御工具,因为可以对基于云和基于虚拟化的系统进行调整,以满足海量的通信要求。
根除DDoS之路漫漫而修远,因为互联网上有太多不安全的机器正在被僵尸化。虽然目前对付DDoS攻击的防御已经很强大,但其针对性往往太强,而DDoS攻击采取的是群起而攻之的战术。因而,防御必须依靠综合治理、协同努力。DDoS是IT管理者时刻需要关注的严重威胁。其它方法
还有其它两种技术可用来保护公司网络。首先,可以增加网络带宽,使其可以简单地接收小型DDoS攻击的通信。其次,准备第二个网络连接,你可以将它作为灾难恢复计划的一部分,在遭受攻击期间,仍可以维持互联网访问。
DDoS攻击正在不断演化,变得日益强大、隐密,更具针对性且更复杂,它已成为从事电子商务公司的重大威胁。真正有效地对付这种攻击是一个系统工程,它需要全方位地综合治理、协同努力,如从法律、技术(不限于IT)、ISP、公司、个人用户等角度,多管齐下。特别是加强对个人用户、雇员的教育,养成良好的上网习惯,防止其成为僵尸网络的帮凶。
DDOS攻击网吧敲诈犯什么罪?
DDOS只是一种手段而已犯罪分子利用这种手段达到勒索钱财的目的已构成了敲诈勒索,视数额大小,数额小触犯治安管理处罚法,数额大则触犯刑法,须负刑事责任 犯本罪的,处三年以下有期徒刑、拘役或者管制;数额巨大或者有其他严重情节,处三年以上十年以下有期徒刑。根据有关解释,数额较大是指涉案金额1000元至3000元。数额巨大以10000元至30000元为起点 如果你得手了,那你就要在里面过2012了
确定自己网吧被远程DDOS了,有工具能查看吗
1,直接在网吧的服务器里面装个电脑管家
2,这样一直打开防护,如果被DDOS攻击了可以自动拦截
3,这样就无需担心对电脑产生什么不必要的影响了
什么是DDOS攻击,肉鸡又是什么?什么软件?怎么攻击网吧
ddos是 说简单点是让服务器忙碌的拒绝所有正常的服务 肉鸡是黑客对自己可以控制的电脑的俗称 软件嘛 怎么攻击网吧嘛 这个 呵呵 给你个学习的方向 要知道 这些是违法的事情 但是不是不可以学习 先学习下面这些:
学会基本软件的使用:
这里所说的基本软件是指两个内容:一个是我们日常使用的各种电脑常用命令,例如ftp、ping、net等;另一方面还要学会有关黑客工具的使用,这主要包括端口扫描器、漏洞扫描器、信息截获工具和密码破解工具等。因为这些软件品种多,功能各不相同,所以本书在后面将会介绍几款流行的软件使用方法,学习者在掌握其基本原理以后,既可以选择适合自己的,也可以在“第二部分”中找到有关软件的开发指南,编写自己的黑客工具。
初步了解网络协议和工作原理:
所谓“初步了解”就是“按照自己的理解方式”弄明白网络的工作原理,因为协议涉及的知识多且复杂,所以如果在一开始就进行深入研究,势必会大大挫伤学习积极性。在这里我建议学习者初步了解有关tcp/ip协议,尤其是浏览网页的时候网络是如何传递信息、客户端浏览器如何申请“握手信息”、服务器端如何“应答握手信息”并“接受请求”等内容,此部分内容将会在后面的章节中进行具体介绍。
四、熟悉几种流行的编程语言和脚本:
同上面所述一样,这里也不要求学习者进行深入学习,只要能够看懂有关语言、知道程序执行结果就可以了。建议学习者初步学习C语言、asp和cgi脚本语言,另外对于htm超文本语言和php、java等做基本了解,主要学习这些语言中的“变量”和“数组”部分,因为语言之间存在内在联系,所以只要熟练掌握其中一们,其他语言也可以一脉相同,建议学习C语言和htm超文本语言。
五、熟悉网络应用程序:
网络应用程序包括各种服务器软件后台程序,例如:wuftp、Apache等服务器后台;还有网上流行的各种论坛、电子社区。有条件的学习者最好将自己的电脑做成服务器,然后安装并运行一些论坛代码,经过一番尝试之后,将会感性的弄清楚网络工作原理,这比依靠理论学习要容易许多,能够达到事半功倍的效果!
不同的操作系统配合不同的应用程序就构成了系统环境,例如Linux系统配合Apache软件可以将电脑构设成一台网站服务器,其他使用客户端的电脑可以使用浏览器来获得网站服务器上供浏览者阅读的文本信息;再如Windows2000配合Ftpd软件可以将电脑构设成一台文件服务器,通过远程ftp登陆可以获得系统上的各种文件资源等。
如果这些都不懂 不要说黑客入门了 连电脑都用不好 也有特例 在网吧挂挂木马 盗盗号码 这些不是黑客 而是小混混做的事情 要学习如何挂马这些 不用人教了吧 下载了装上连小学生都会 要会ddos 要有肉鸡也很简单 但这些不是目的 得到人家的电脑又能怎么样 得到了几个账号密码又能怎么样 这不能说明什么 努力从基础学起吧 加油 同路
0条大神的评论