第一篇:網絡管理員拒絕服務攻擊
網絡管理員拒絕服務攻擊--防范措施
網管們對網絡攻擊并不陌生,就是網吧拒絕服務攻擊,這個網絡攻擊技術對網吧電腦系統產生的作用是很大的。是一種濫用資源性的攻擊,本篇主要談到的是網吧拒絕服務攻擊防范措施。
1,增加SYN緩存法
修改SY緩存大小是通過注冊表的相關鍵值完成的。我們將為各位讀者介紹在WINDOWS2003和2000中的修改方法。
第一步:“開始->運行->輸入regedit”進入注冊表編輯器。
第二步:找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,在其下的有個
SynAttackProtect鍵值。默認為0將其修改為1可更有效地防御SYN攻擊。
第三步:將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnableDeadGWDetect鍵值,將其修改為0。該設置將禁止SYN攻擊服務器后強迫服務器修改網關從而使服務暫停。
第四步:將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下EnablePMTUDiscovery鍵值,將其修改為0。這樣可以限定攻擊者的MTU大小,降低服務器總體負荷。
第五步:將HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices下的KeepAliveTime設置為300,000,將NoNameReleaseOnDemand設置為1。
2,BANIP地址法
于DOS攻擊來說這種方法非常有效,因為DOS往往來自少量IP地址,而且這些IP地址都是虛構的偽裝的。在服務器或路由器上屏蔽攻擊者IP后就可以有效的防范DOS的攻擊。不過對于DDOS來說則比較麻煩,需要我們對IP地址分析,將真正攻擊的IP地址屏蔽。
網吧拒絕服務攻擊,目的就是利用自身的資源通過一種放大或不對等的方式,來達到消耗對方資源的目的。以上分享的防范措施,小編就介紹到這里,希望對你們有幫助。
第二篇:綠盟抗拒絕服務攻擊典型方案
抗拒絕服務攻擊典型方案 應 用 摘 要
用戶在考慮業務網絡的安全問題時主要的關注點在于識別信息資產所面臨的安全風險并采取有效的技術、管理手段來降低、消除安全風險。信息資產可以以多種形態存在,主要包括:硬件、軟件、數據、服務、文檔等。當信息資產面臨安全威脅,而資產自身相應的脆弱性又暴露出來的時候,威脅對信息資產就有產生影響的可能,這是,信息資產的安全風險就自然產生了。假如用戶的重要網絡與外部網絡相連,且重要網絡內部有對外提供服務的主機設備,因此就可能面對外部黑客拒絕服務攻擊的威脅。DoS(Denial of Service 拒絕服務)攻擊由于攻擊簡單、容易達到目的、難于防止和追查越來越成為常見的攻擊方式。拒絕服務攻擊可以有各種分類方法,如果按照攻擊方式來分可以分為:資源消耗、服務中止和物理破壞。資源消耗指攻擊者試圖消耗目標的合法資源,例如網絡帶寬、內存和磁盤空間、CPU使用率等等;服務中止則是指攻擊者利用服務中的某些缺陷導致服務崩潰或中止;物理破壞則是指雷擊、電流、水火等物理接觸的方式導致的拒絕服務攻擊;拒絕服務攻擊,特別是分布式網絡拒絕服務攻擊造成的危害是相當嚴重的,可能造成網絡服務無法訪問,甚至數據損壞和丟失,從而給被攻擊的用戶帶來大量金錢、人力、時間上的巨大損失。方 案 內 容
網絡層的拒絕服務攻擊有的利用了網絡協議的漏洞,有的則搶占網絡或者設備有限的處理能力,使得對拒絕服務攻擊的防治,成為了一個令管理員非常頭痛的問題。尤其是目前在大多數的網絡環境骨干線路上普遍使用的防火墻、負載均衡等設備,在發生DDoS(分布式拒絕服務)攻擊的時候往往成為整個網絡的瓶頸,造成全網的癱瘓。因此,對骨干設備的防護也是整個網絡環境的關鍵。由于通用操作系統和網絡設備需要更多的從功能和網絡效率方面進行設計和實現,通過簡單的系統或者設備配置無法降低拒絕服務攻擊的危害。因此,只有專業的抗拒絕服務產品才能比較有效的抵御拒絕服務的攻擊,保障用戶業務網絡的可用性。
綠盟科技的“黑洞”產品能夠防護SYN-FLOOD、UDP-FLOOD、ICMP-FLOOD等大規模分布式拒絕服務的大流量攻擊(性能卓越的“黑洞”百兆產品可抵抗64 Byte小包70M攻擊流量)。
綠盟科技的“黑洞”產品對旨在通過耗盡server連接數、利用各種畸形數據包進行的網絡攻擊能夠進行有效的安全防護。綠盟科技的“黑洞”使用非常方便:整個系統為網橋模式設計,能夠透明的部署在網絡中。支持10M/100M/1000M以太網的多種光/電接口。內置了常見網絡環境下的最優參數設置,部署非常方便。而B/S結構的管理界面能直觀的監控當前攻擊和網絡流量,記錄攻擊來源和類型。在應急情況下可以在數分鐘內部署完畢并恢復網絡運行。
技術架構
在示意網絡結構圖中我們看到,綠盟科技的一臺高端抗拒絕服務攻擊設備“黑洞”部署在重要網段的上行端口,保護整個重要網段的防火墻、重要服務器免遭大流量拒絕服務攻擊的侵害。
綠盟科技的一臺低端的抗拒絕服務攻擊設備“黑洞”部署在某個網段對外提供服務的重要服務器前面,保護該重要服務器免遭拒絕服務攻擊的侵害。
第三篇:四招教你打敗僵尸網絡的拒絕服務攻擊
也許很多人還沒有注意到,據Arbor Networks的統計,2008年僵尸網絡的拒絕服務攻擊超過了每秒40GB的限度。這也就是說,當前的僵尸網絡的攻擊規模已經達到一個僵尸網絡有190萬臺僵尸電腦的程度,而僵尸網絡的拒絕服務攻擊是最難防御的攻擊之一。因此,這也是拒絕服務攻擊成為勒索者試圖把在線商家作為人質獲取贖金的常用手段的原因。這對于犯罪分子來說是一筆大買賣,而且這個生意很興隆。
下面這種情況就很常見:犯罪分子利用一個僵尸網絡大軍滲透和消除對于你有價值的服務。攻擊目標的范圍包括僅用一個拒絕服務攻擊使你的一臺重要服務器達到飽和或者使你的互聯網連接達到飽和,有效地中斷你的全部互聯網服務。在某些情況下,這些壞蛋首先發起攻擊,中斷網絡服務,然后要求支付贖金。有時候,這些壞蛋僅僅發出贖金的要求,并且威脅說如果不在某日之前滿足他們的要求,他們將中斷攻擊目標的網站。
當然,這些可能對我們來說已經不是什么新鮮事了。但是,如果你遭到過僵尸網絡的拒絕服務攻擊或者遭到過多次這種攻擊,你是否想過你和你的公司應該采取什么措施嗎?你如何準備應對這種類型的攻擊?許多公司(包括大企業和小企業)都這樣對待這個問題,他們解釋說“我們沒有黑客要的東西”或者“我們是小目標,不值得這樣麻煩”。在某些情況下,這種事情是非常真實的,就是拒絕服務攻擊的風險不值得安全投資。但是,在許多情況下,這種想法是一種危險的錯誤。這種風險實際上比想象的要大。如果我從一個壞蛋的角度考慮這個問題,我在追求一二樣東西,金錢或者名譽。如果你能夠提供其中任何一樣東西,你就有機會成為攻擊目標。
因此,現在我們就來解決這個問題。你如何能夠打敗一個僵尸網絡的拒絕服務攻擊?這個答案取決于你遇到的拒絕服務攻擊的類型、你的網絡基礎設施、你擁有的安全工具和其它變量。盡管在你的獨特的環境中你如何防御拒絕服務攻擊有許多變量,但是,強調一些最流行的策略是有價值的。
下面是打敗拒絕服務攻擊的一些技巧。其中有些方法過去在防御拒絕服務攻擊中取得了成功。有些方法是全新的,但是,提供了一種非常令人心動的解決方案。
由ISP提供的拒絕服務攻擊防御產品或者拒絕服務攻擊服務這種防御策略是通常是最有效的,當然也是最昂貴的。許多ISP(互聯網服務提供商)為你的互聯網鏈路提供某種方式的云計算拒絕服務攻擊保護。這個想法是ISP在允許通訊進入你的互聯網線路之前先清理你的通訊。由于這種防御是在云計算中完成的,你的互聯網鏈路不會被拒絕服務攻擊阻塞。不被阻塞至少是這個防御的目標。再說一次,沒有一勞永逸的高明辦法。這種服務也可以由第三方在云計算拒絕服務攻擊防御服務中提供。在發生拒絕服務攻擊時,他們把你的通訊轉移到他們那里。他們清理你的通訊然后再把這些通訊發回給你。這一切都是在云計算中發生的,因此,你的互聯網線路不會被阻塞。ISP提供的拒絕服務攻擊服務的例子包括AT&T的互聯網保護服務和Verizon Business提供的拒絕服務攻擊防御減輕服務。
RFC3704過濾
基本的訪問控制列表(ACL)過濾器。RFC3704的主要前提是數據包應該來自于合法的、分配的地址段、與結構和空間分配一致。要達到這個目的,有一個全部沒有使用的或者保留的IP地址的列表。這些地址是你從互聯網中永遠看不到的。如果你確實看到了這些地址,那么,它肯定是一個欺騙的源IP地址,應該丟棄。這個列表的名稱是Bogon列表,你應該咨詢一下你的ISP,看他們是否能在這個欺騙的通訊進入你的互聯網鏈路之前在云計算中為你管理這種過濾。Bogon列表大約每個月修改一次。因此,如果ISP沒有為你做這個事情,那么,你必須自己管理你的Bogon訪問控制列表規則(或者找另一家ISP)。黑洞過濾
這是一個非常有效的常見的技術。一般來說,這需要與你的ISP一起做。RTBH(遠程觸發黑洞)過濾是一種能夠提供在不理想的通訊進入一個保護的網絡之前放棄這種通訊的能
力的技術。這種技術使用 BGP(邊界網關協議)主機路由把發往受害者服務器的通訊轉接到下一跳的一個null0接口。RTBH有許多變體,但是,其中一個變態值得特別關注。與你的ISP一起試試RTBH過濾,讓他們為你在云計算中放棄那種通訊,從而防止拒絕服務攻擊進入你的通訊線路。
思科IPS 7.0源IP聲譽過濾
思科最近發布了IPS 7.0代碼更新。這個升級包括一個名為全球關聯的功能。簡言之,全球關聯功能檢查它看到的每一個源IP地址的聲譽得分。如果這個來源的聲譽不好,入侵防御系統(IPS)的傳感器就可以放棄這個通訊或者提高一個點擊的風險級別值。下面是思科對全球關聯功能的解釋:IPS 7.0包含一個名為“思科全球關聯”的新的安全功能。這個功能利用了我們在過去的許多年里收集的大量的安全情報。思科IPS將定期從思科SensorBase網絡接收威脅更新信息。這個更新的信息包括互聯網上已知的威脅的詳細信息,包括連續攻擊者、僵尸網絡收獲者、惡意爆發和黑網(dark nets)等。IPS使用這個信息在惡意攻擊者有機會攻擊重要資產之前過濾掉這些攻擊者。IPS然后把全球威脅數據結合到自己的系統中以便更早地檢測和防御惡意活動。
當然,你可以設置全球關聯,這樣的話,你的傳感器就能夠知道有惡意活動聲譽的網絡設備,并且能夠對這種設備采取行動。
思科調整SensorBase的方法之一是接收來自思科7.0 IPS傳感器的信息。企業可以選擇使用這個程序,也可以選擇不適用這個程序。思科IPS使用的SensorBase有不同的威脅種類。其中兩種是僵尸網絡收獲者和以前的拒絕服務攻擊實施者。因此,當你遭到僵尸網絡拒絕服務攻擊的時候,這個傳感器將放棄所有的來至聲譽不良的來源的通訊。這個過程在使用這種特征之前就開始了,對于傳感器資源(處理器、背板等)來說是非常便宜的。這使它成為在拒絕服務攻擊期間使用的一個理想的方法。這也是思科IPS在處理IPS特征之前檢查SensorBase的原因。
許多僵尸網絡拒絕服務攻擊使用通向你的網絡服務器的SSL(安全套接字層)。這有助于攻擊者隱藏其負載,防止你可能擁有的檢測引擎的檢查。然而,考慮到全球關聯僅使用源IP地址的聲譽得分做出決定,防御SSL分布式拒絕服務攻擊是沒有問題的。沒有任何其它廠商為自己的IPS解決方案增加基于聲譽的檢查功能,因此,它們不能防御任何形式的SSL分布式拒絕服務攻擊。一些IPS廠商確實能夠能通過解密傳輸中的數據打開和查看SSL數據包內部。然而,這個過程在IPS資源(處理器、背板、內存等)方面太昂貴,不能用于分布式拒絕服務攻擊。它會迅速消除傳感器本身的通訊瓶頸。
當然,如果這個分布式拒絕服務攻擊阻塞了你的鏈路,這個策略可能就不起作用。但是,如果分布式拒絕服務攻擊僅僅阻塞了部分服務器,而沒有阻塞整個網絡,那就表明這個防御措施的作用很好。全球關聯不是一個妙方,而是你的工具箱中的另一個工具。
IP源防護
這個問題不是五大主要問題的一部分,不過,這個問題仍然值得一提。這個技巧是打開你的交換機中的IP源防護功能。這個功能可以阻止主機在變成僵尸電腦的時候發出欺騙性的數據包。這不是一個防御工具,而是一個守法公民工具,盡管它能夠阻止內部的欺騙性的分布式拒絕服務攻擊。如果每一家公司都打開IP源防護功能,它就能夠幫助減少我們遇到的欺騙性分布式拒絕服務攻擊的數量。啟用IP源防護功能的一項增加的好處是能夠幫助你找到你的網絡中已經成為僵尸網絡一部分的主機。當這個惡意軟件發動欺騙性攻擊的時候,這個交換機端口能夠自動鎖死,并且向你的安全監視站點報告這個事件。或者你報告這個事件并且保持打開這個端口,但是,除了真正的IP地址源通訊之外,放棄所有的通訊。本文由我的電腦http://整理,歡迎收藏
第四篇:DMZ 區域遭受DOS拒絕服務攻擊后的處理流程
DMZ 區遭受DOS 拒絕服務攻擊后的處理流程
現象:
DMZ 區域通常都是放置企業對內/對外提供服務的服務器,如郵件服務器、WWW 網站、DNS域名解析服務器等,DMZ區域的服務器在遭受 DOS 拒絕服務攻擊后,會出現如下現象:
? 服務器的 CPU 持續在比較高的百分比,甚至達到 100%;服務器在處理正常網絡訪問請求時,明顯遲鈍,甚至停滯。
處理步驟:
1.服務器系統管理員(設備管理員)首先必須在第一時間將此安全問題報告給安全主管部門以及安全管理員。由安全管理員組織成立應急響應小組,其成員至少包括:安全管理員、服務器系統管理員、網絡管理員。
2.系統管理員配合安全管理員找到企業相關的應急事件處理流程文檔,按照文檔中“DMZ 區域遭受 DOS 拒絕服務攻擊后的處理流程”章節所描述的行動計劃,處理此類安全事件。
3.系統管理員在被攻擊主機利用 NETSTAT 等命令確認攻擊者采用的是何種攻擊數據包。
4.網絡管理員利用SNIFFER PRO在被攻擊主機或者是核心交換設備上進行數據報的截獲分析,分析攻擊者的攻擊行為和來源 IP 地址。
5.網絡管理員配合安全管理員利用 SNIFFER PRO 分析攻擊現象,如果攻擊者采
用的是分布式拒絕服務攻擊的話,確認攻擊采用的那種類型的攻擊數據包。
6.如果采用的是不常用協議例如 UDP、IGMP 等行為數據包,網絡管理員可以在上層路由設備中設置禁止訪問行為,將所有相關訪問全部禁止,對于路由設備來說,處理禁止訪問的速度都是非常快的,其處理能力遠遠超過普通的高端服務器的網絡處理極限。
7.如果攻擊者采用的惡意的 SYN 洪水攻擊的話,網絡管理員配合安全管理員確認攻擊量最大的幾個源 IP 地址,雖然 SYN 攻擊理論上可以做到隨意偽造原始 IP地址,但在目前國內網絡環境中真實實現并不容易,因為大部分電信運營商的路由器都做了防止偽造源 IP 地址的控制措施。所以首先確認幾個數據量最大的源 IP 地址,然后及時在路由器/交換機的訪問列表中禁止這些源 IP 地址訪問,就可以達到快速抑制攻擊的效果。
第五篇:網絡管理員
網管
崗位職責:
1、日常辦公電腦、服務器和附屬設備的維護工作
2、電視、電話、背景音樂等弱電基本線路及設備維護工作;
3、協助行政部內部文檔提報及分類管理工作;
4、汽車銷售管理系統維護;
任職要求:
1、計算機或IT相關專業,兩年以上網絡及計算機行業運維工作經驗;
2、熟悉相關網絡安全產品,如防火墻、IDS、防病毒,漏洞評估工具等;
3、熟悉局域網基本知識,包括交換機、路由器、防火墻等的使用和維護,熟悉無線網絡
4、熟悉Windows XP/2003系統安裝和維護,熟悉域操作;以及 Windows平臺下的各種應用系統的使用、管理和維護工作;
5、良好的溝通能力和合作精神、工作主動性強、耐心細致、責任心強,具有吃苦耐勞精神
點擊咨詢 