服务器安全：防范拒尽服务攻击妙招

核心提示：目前网络中有1种攻击让网络治理员最为头疼，那就是拒尽服务攻击，简称DOS和DDOS。

目前网络中有1种攻击让网络治理员最为头疼，那就是拒尽服务攻击，简称DOS和DDOS。它是1种滥用资源性的攻击，目的就是利用本身的资源通过1种放大或不对等的方式来到达消耗对方资源的目的。同1时刻很多不同的IP对服务器进行访问造成服务器的服务失效乃至死机。

今天就笔者公司治理服务器的经验为各位读者先容几个简单有效的防范拒尽服务攻击的方法，固然不能完全防护，但在与DDOS的战役中可以最大限度下降损失。

1、如何发现攻击

在服务器上可以通过CPU使用率和内存利用率简单有效的查看服务器当前负载情况，假设发现服务器忽然超负载运作，性能忽然下降，这就有多是受攻击的征象。不过也多是正常访问网站人数增加的缘由。如何辨别这两种情况呢?依照下面两个原则即可肯定遭到了攻击。

(1)网站的数据流量忽然超出平常的10几倍乃至上百倍，而且同时到达网站的数据包分别来自大量不同的IP。

(2)大量到达的数据包(包括TCP包和UDP包)其实不是网站服务连接的1部份，常常指向你机器任意的端口。比如你的网站是Web服务器，而数据包却发向你的FTP端口或其它任意的端口。

2、BAN IP地址法

肯定自己遭到攻击后便可以够使用简单的屏蔽IP的方法将DOS攻击化解。对DOS攻击来讲这类方法非常有效，由于DOS常常来自少许IP地址，而且这些IP地址都是虚构的假装的。在服务器或路由器上屏蔽攻击者IP后便可以够有效的防范DOS的攻击。不过对DDOS来讲则比较麻烦，需要我们对IP地址分析，将真正攻击的IP地址屏蔽。

不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙，然后根据防火墙的日志分析来访者的IP，发现访问量大的异常IP段便可以够添加相应的规则到防火墙中实行过滤了。

固然直接在服务器上过滤会耗费服务器的1定系统资源，所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段，然后将过滤条目添加到路由器上。例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0，而服务器的地址为61.153.5.1。那末可以登录公司核心路由器添加以下语句的访问控制列表进行过滤。

cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0，这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。

小提示:在访问控制列表中表示子网掩码需要使用反向掩码，也就是说0.0.255.255表示子网掩码为255.255.0.0 。

3、增加SYN缓存法

上面提到的BAN IP法固然可以有效的避免DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在碰到小型攻击时不建议大家使用上面先容的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效明显。

修改SY缓存大小是通过注册表的相干键值完成的。我们将为各位读者先容在WINDOWS2003和2000中的修改方法。

(1)WIN2003下拒尽访问攻击的防范：

第1步：“开始->运行->输进regedit”进进注册表编辑器。

第2步:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，在其下的有个SynAttackProtect键值。默以为0将其修改成1可更有效地防御SYN攻击。

小提示:该参数可使TCP调剂SYN-ACKS的重新传输。将SynAttackProtect设置为1时，假设系统检测到存在SYN攻击，连接响应的超时时间将更短。

第3步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnableDeadGWDetect键值，将其修改成0。该设置将制止SYN攻击服务器后逼迫服务器修改网关从而使服务暂停。

第4步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下EnablePMTUDiscovery键值，将其修改成0。这样可以限定攻击者的MTU大小，下降服务器整体负荷。

第5步:将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand设置为1。　

(2)WIN2000下拒尽访问攻击的防范：

在WIN2000下拒尽访问攻击的防范方法和2003基本类似，只是在设置数值上有些辨别。我们做下简单先容。

第1步：将SynAttackProtect设置为2。

第2步：将EnableDeadGWDetect设置为0。

第3步：将EnablePMTUDiscovery设置为0。

第4步：将KeepAliveTime设置为300000。

第5步：将NoNameReleaseOnDemand设置为1。

总结:经过上面先容的发觉攻击法，BAN IP法和最后的修改注册表法可以有效的防范DOS与DDOS的攻击。不过由于DDOS攻击的特点，实际上没有1台服务器能够完全防范它，即使安装了专业的防范DDOS的硬件防火墙也不能百分之百的避免损失。今天先容的几个方法只是免费的防范手段，实际中能起到1定的效果。

评论加载中... 内容： 评论者： 验证码：