网络攻击小结【1】【DDos】.docVIP

现在网络技术日新月异 ，不断有新技术被不同类型软件所使用。在提高开发软件各个方面性能同时，也增加了系统安全隐患。例如：云技术能够为我们带来了一个更加有效地利用网络资源和整合网络数据模式；不过，这个新技术引出了安全的担心。 网络安全是涉及到网络各个方面内容，现在最为突出问题就是网络攻击。根据近年来接触到问题，总结了下面几个现在比较常用网络攻击手法和一些防御测试。 DDos--分布式拒绝服务攻击 DDos 是 Distributed Denial of service , 这种攻击起源于1996年；此攻击主要利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。有以下主要几种具体攻击手段： （1）SYN 洪水攻击 原理：SYN 洪水攻击主要是利用TCP协议缺陷，通过“肉鸡”伪造地址和发送大量的半连接请求，使得主机一直等待半连接请求的回复。通过此方法不断耗费主机有限的CPU资源和内存资源。 攻击手段：一般都是开发专门制造洪水攻击程序；程序核心主要是伪造一个TCP协议信息头和IP协议的信息头 防御手段： 1）使用硬防火墙过滤；硬件防火墙明显提高防御性能，基本能拦截95%~99%的攻击信息包；服务器依然会接受到攻击的信息包。缺点：只能被动提高防御性能 2）使用门户代理过滤；防御效果非常明显，曾经试过被20G数据攻击。经过美国某防御门户过滤后，大概只有几十K有效数据发送到服务器上。缺点：在使用了防御门户后，服务端与客户端之交互延时非常严重（1000MS）。 3）修改服务器一些网络安全参数设定;如：Window 可以修改下面一些配置SynAttackProtect，TcpMaxPortsExhausted，TcpMaxHalfOpen和 TcpMaxHalfOpenRetried等；更加详细相关配置设定介绍可以到网上搜索一下,应该不少。系统的防御性能提高有限，但无需要任何投入。 4）机器群集均衡负载；这个方法是一个最有效和成本最高的方法。这里我就不多讲最后这个方法啦。 总结：SYN洪水攻击主要是攻击方与防御方比拼硬件资源和防御策略。 （2）流量攻击 原理：流量攻击主要是“肉鸡”通过对目的主机的服务端口发送大量的垃圾数据，导致目的主机的网络堵塞。在网络上很多文章都会将SYN洪水攻击和流量攻击视作为相同手段。从监控软件来看，被这两种攻击时候都会表现为网络流量暴涨导致网络堵塞。其实，这两种攻击的网络堵塞原因是有本质上区别的。流量攻击导致网络堵塞是某些IP机器实际发送大量垃圾信息去耗尽主机带宽；SYN洪水攻击导致网络堵塞是目标主机本身所有资源被伪造半连接请求耗尽了，使得机器根本不能继续接受新连接。 攻击手段：最简单流量攻击程序都是将简单Socket 程序中的sendBuf 修改为大于64K数据块就可以了。 1. // 一般都是将sendBuf 设定到64K以上随机的垃圾数据 2. sendto(sock,sendBuf,dataSize,0,(struct sockaddr*) sockAddr,sizeof(sockAddr)); // 一般都是将sendBuf 设定到64K以上随机的垃圾数据 sendto(sock,sendBuf,dataSize,0,(struct sockaddr*) sockAddr,sizeof(sockAddr)); 防御手段： 1）使用硬防火墙过滤；根据服务程序现状设定合适策略，基本拦截95~99%的垃圾信息；流量攻击拦截非常依靠硬件防火墙设定策略，有效策略会大大提高系统防御性能。 2）使用门户代理过滤；参照【SYN洪水攻击】相应描述. 3）优化服务端程序解密算法 现在一般网络上C/S 或者B/S 架构模式的程序，在系统互相通信指令上基本都是密文。当系统服务端程序受到攻击时候，服务的解密算法就会受到巨大压力，很容易导致服务器资源耗尽。所以，为了提高系统在高压力下生存率，选择高效解密方法是很有必要。 4）增加服务端程序网络异常处理 在一定高压力情况下，除了需要确保服务端的”稳定性“；还需要确保系统的”准确性“。对一些网络异常中断的情况，制定一些补救性措施和机制。特别是一些实时性系统特别重要，按过往经验在一定压力情况下会出现