» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 防火墙 » DoS(拒绝服务)攻防简明问答   作者: 标题: DoS(拒绝服务)攻防简明问答 tangcheng 新手上路 积分 9 发帖 7 注册 2006-9-25 #1  DoS(拒绝服务)攻防简明问答 什么是DoS？什么是DDoS？它们的危害是什么？怎样有效预防它们？我想这是每一个网络管理人员都关心的问题。下面，我就以问答的形式，从DoS的概念、行为以及预防手段几个方面详细地论述DoS攻防。 　　 Q:何为拒绝服务攻击？ 　　 AoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为 DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。例如，2000年2月6日那个星期对Yahoo网站发生的主要是带宽攻击。 　　 Q:何为分布式拒绝服务攻击？ 　　 A:分布式拒绝服务(DDoSistributed Denial of Service)攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。通常，攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上，在一个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在Internet上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术，主控程序能在几秒钟内激活成百上千次代理程序的运行。 　　 QDoS攻击怎样影响Web站点？ 　　 当对一个Web站点执行 DDoS 攻击时，这个站点的一个或多个Web服务会接到非常多的请求，最终使它无法再正常使用。在一个DDoS攻击期间，如果有一个不知情的用户发出了正常的页面请求，这个请求会完全失败，或者是页面下载速度变得极其缓慢，看起来就是站点无法使用。典型的DDoS攻击利用许多计算机同时对目标站点发出成千上万个请求。为了避免被追踪，攻击者会闯进网上的一些无保护的计算机内，在这些计算机上藏匿DDoS程序，将它们作为同谋和跳板，最后联合起来发动匿名攻击。 　　 Q:有没有远离DDoS攻击危险的快速而简便的方法？ 　　 A:没有。但是有一个简单的基本原则:防止计算机被黑客劫持后成为攻击的平台，这样就在攻击发生前将问题彻底排除了。 　　 攻击者很喜欢把非商业计算机作为攻击平台，因为这些计算机更容易被攻陷。比如，大学系统经常是攻击者选择的目标，因为它们经常是人手不足，或者是为了便于学生使用而将安全设置到最低等级。但这并不是一个国家的问题，世界上任何一个Internet服务器都可用被用来作为攻击的平台。 　　 所以，我们必须"团结成一个整体"，通过全球合作来保护Internet。最起码要从自己做起，检查自己的上网计算机，确保它们不会成为DDoS的攻击平台。这不仅仅是为了做一个Internet好公民，更是为在发生了DDoS 攻击时，有证据能表明:我的计算机是无罪的。 　　 Q:政府能对防范DoS攻击起很大的作用吗？ 　　 A:毫无疑问，政府通过在Internet 上施加多种限制规定，就能极大地控制DoS类型的攻击，至少是那些来自本国的攻击。例如，可以对上网要求相当于驾驶执照那样的许可证，对站点要求相当于"工商许可"的许可证，对所有的 ISP进行严格规范，就象对许多公共设施(如水、气等)的要求一样。 　　 但是请注意:限制犯罪活动和限制经济增长、教育、信息资源以及一般人身自由之间只是一线之隔，政府对此很难掌握，因此许多政府正在寻求一些非干预性的方法。例如，美国前总统Clinton曾提出在大学毕业生中发展一个信息安全计算机联合会，培养所谓"计算机警察"，以反抗DDoS和其它类型的计算机犯罪。 　　 Q:如何检测我的服务器是否存在DDoS攻击程序？ 　　 要检测DDoS攻击程序的存在，可以有2种方法: 　　 1、通常，我们可以使用文件系统扫描工具来确定在服务器文件系统上是否存在已知的DDoS攻击程序。 　　 同病毒软件一样，每当有新的DDoS发明出来，当前的DDoS工具就将过时，或者它对现存的DDoS进行修改而避开检查。所以，要选择最近更新的扫描工具才能检测到最新的DDoS攻击程序。 　　 FBI提供了一个工具叫做"find_ddos"，用于检测一些已知的拒绝服务工具，包括trinoo进程、trinoo主人、加强的tfn进程、tfn客户程序、tfn2k客户程序和tfn-rush客户程序。Find_ddos可以从以下地址下载: 　　 http://www.jintaigroup.com.cn/index2/refuse/n2.htm。 　　 请注意，FBI的这个工具并不能保证捕获所有的DDoS工具。如果侵入者安装了一个根文件包，那么find_ddos程序就有可能无法处理它。 　　 另外，http://www.nessus.org站点也提供一个免费的扫描工具。当然还有一些商务工具也可以使用。 　　2、还可使用手工方法对起源于本地网络中的DDoS活动进行双重检查。 　　在Web服务器与Internet或者上游ISP连接之间的防火墙上建立一个滤波器，以寻找spoofed (哄骗)信息包，也就是那些不是从你自己的网络上生成的信息包。这就是所谓的出口过滤。如果在你的网络上正在生成spoofed信息包，那么这很可能是一个DDoS程序生成的。然后跟踪这些spoofed信息的源头，将计算机离线开始清理工作。 ※ ※ ※ 本文纯属【tangcheng】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-10-8 23:26 tangcheng 新手上路 积分 9 发帖 7 注册 2006-9-25 #2  安装防火墙的十二个注意事项 防火墙是保护我们网络的第一道屏障，如果这一道防线失守了，那么我们的网络就危险了！所以我们有必要把注意一下安装防火墙的注意事项！     1. 防火墙实现了你的安全政策。     防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话，那么现在就是制定的时候了。它可以不被写成书面形式，但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话，安装防火墙就是你能做的最好的保护你的站点的事情，并且要随时维护它也是很不容易的事情。要想有一个好的防火墙，你需要好的安全策略——写成书面的并且被大家所接受。     2. 一个防火墙在许多时候并不是一个单一的设备。     除非在特别简单的案例中，防火墙很少是单一的设备，而是一组设备。就算你购买的是一个商用的“all-in-one”防火墙应用程序，你同样得配置其他机器（例如你的网络服务器）来与之一同运行。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的配置和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙”的设备却期望其担负所有安全责任。     3. 防火墙并不是现成的随时获得的产品。     选择防火墙更像买房子而不是选择去哪里度假。防火墙和房子很相似，你必须每天和它待在一起，你使用它的期限也不止一两个星期那么多。都需要维护否则都会崩溃掉。建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求，然后不断的去维护它。需要做很多的决定，对一个站点是正确的解决方案往往对另外站点来说是错误的。     4. 防火墙并不会解决你所有的问题。     并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁，人们尝试从外部直接攻击内部。但是却不能防止从LAN内部的攻击，它甚至不能保护你免首所有那些它能检测到的攻击。     5. 使用默认的策略。     正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。     6. 有条件的妥协，而不是轻易的。     人们都喜欢做不安全的事情。如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式，虽然这些方式会带来一定量的风险。     7. 使用分层手段。     并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。     8. 只安装你所需要的。     防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。     9. 使用可以获得的所有资源。     不要建立基于单一来源的信息的防火墙，特别是该资源不是来自厂商。有许多可以利用的资源：例如厂商信息，我们所编写的书，邮件组，和网站。     10. 只相信你能确定的。     不要相信图形界面的手工和对话框或是厂商关于某些东西如何运行的声明，检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。     11. 不断的重新评价决定。     你五年前买的房子今天可能已经不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。     12. 要对失败有心理准备。     做好最坏的心理准备。机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难。 ※ ※ ※ 本文纯属【tangcheng】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2006-10-8 23:32 微点专家 版主 Weizi 积分 11554 发帖 11458 注册 2006-8-27 来自 贵阳 #3   增加知识，谢了啊！！！！！！！！！！1 ※ ※ ※ 本文纯属【微点专家】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 做个性的自己 2006-10-9 17:47 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号