高分求解。懂routeros的进来!遭遇DDOS!
中毒后的机器会自动攻击某IP,但是我的陆游器承受不了那么高的流量,所以,一旦有一个机器中毒就会全网吧吊线!
有什么办法能防范。要求必须还用ROS2822其他的怎么改都可以!
有效的另外还有加分!!!
我问的是ROS2822如何防范DDOS攻击,应该如何设置。这是主要问题!!
软陆游已经限制了内网的速度。
提示:前4楼的答案没有任何价值!!!
�
�
�
�
最新回答
恰好心动
2025-02-24 10:56:24
常见的DOS/DDOS攻击可以分为两大类:一类是针对系统漏洞的的攻击如Ping of Death、TearDrop等,例如泪滴(TearDrop)攻击利用在 TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击,IP 分段含有指示该分段所包含的是原包的哪一段信息,某些 TCP/IP协议栈(例如NT 在service pack 4 以前)在收到含有重叠偏移的伪造分段时将崩溃。另一类是带宽占用型攻击比较典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意义,利用TCP协议建连的特点完成攻击。通常一次TCP连接的建立包括3个步骤,客户端发送SYN包给服务器端,服务器分配一定的资源给这里连接并返回 SYN/ACK包,并等待连接建立的最后的ACK包,最后客户端发送ACK报文,这样两者之间的连接建立起来,并可以通过连接传送资料了。而SYN Flood攻击的过程就是疯狂发送SYN报文,而不返回ACK报文,服务器占用过多资源,而导致系统资源占用过多,没有能力响应别的操作,或者不能响应正常的网络请求。
从现在和未来看,防火墙都是抵御DOS/DDOS攻击的重要组成部分,这是由防火墙在网络拓扑的位置和扮演的角色决定的,下面以港湾网络有限公司基于NP架构开发的SmartHammer系列防火墙说明其在各种网络环境中对DOS/DDOS攻击的有效防范。
1、基于状态的资源控制,保护防火墙资源
港湾网络SmartHammer防火墙支持IP Inspect功能,防火墙会对进入防火墙的资料做严格的检查,各种针对系统漏洞的攻击包如Ping of Death、TearDrop等,会自动被系统过滤掉,从而保护了网络免受来自于外部的漏洞攻击。对防火墙产品来说,资源是十分宝贵的,当受到外来的DDOS攻击时,系统内部的资源全都被攻击流所占用,此时正常的资料报文肯定会受到影响。SmartHammer基于状态的资源控制会自动监视网络内所有的连接状态,当有连接长时间未得到应答就会处于半连接的状态,浪费系统资源,当系统内的半连接超过正常的范围时,就有可能是判断遭受到了攻击。SmartHammer防火墙基于状态的资源控制能有效控制此类情况。
控制连接、与半连的超时时间;必要时,可以缩短半连接的超时时间,加速半连接的老化;
限制系统各个协议的最大连接值,保证协议的连接总数不超过系统限制,在达到连接上限后删除新建的连接;
限制系统符合条件源/目的主机连接数量;
针对源或目的IP地址做流限制,Inspect可以限制每个IP地址的的资源,用户在资源控制的范围内时,使用并不会受到任何影响,但当用户感染蠕虫病毒或发送攻击报文等情况时,针对流的资源控制可以限制每个IP地址发送的连接数目,超过限制的连接将被丢弃,这种做法可以有效抑制病毒产生攻击的效果,避免其它正常使用的用户受到影响。
单位时间内如果穿过防火墙的“同类”数据流超过门限值后,可以设定对该种类的数据流进行阻断,对于防止IP、ICMP、UDP等非连接的flood攻击具有很好的防御效果。
2、智能TCP代理有效防范SYN Flood
SYN Flood是DDOS攻击中危害性最强,也是最难防范的一种。这种攻击利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)。SmartHammer系列防火墙能够利用智能TCP代理技术,判断连接合法性,保护网络资源。如图
http://www.hacker.cn/Files/BeyondPic/2006-5/25/701063.jpg
防火墙工作时,并不会立即开启TCP代理(以免影响速度),只有当网络中的TCP半连接达到系统设置的TCP代理启动警戒线时,正常TCP Intercept会自动启动,并且当系统的TCP半连接超过系统TCP Intercept高警戒线时,系统进入入侵模式,此时新连接会覆盖旧的TCP连接;此后,系统全连接数增多,半连接数减小,当半连接数降到入侵模式低警戒线时,系统推出入侵模式。如果此时攻击停止,系统半连接数量逐渐降到TCP代理启动警戒线以下,智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYN Flood攻击,保证网络资源安全。
3、利用NETFLOW对DOS攻击和病毒监测
网络监控在抵御DDOS攻击中有重要的意义。SmartHammer防火墙支持NetFlow功能,它将网络交换中的资料包识别为流的方式加以记录,并封装为UDP资料包发送到分析器上,这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源。可以在不影响转发性能的同时记录、发送NetFlow信息,并能够利用港湾网络安全管理平台对接收到的资料进行分析、处理。
利用NetFlow监视网络流量。防火墙可以有效的抵御DDOS攻击,但当攻击流数量超过一定程度,已经完全占据了带宽时,虽然防火墙已经通过安全策略把攻击数据包丢弃,但由于攻击数据包已经占据了所有的网络带宽,正常的用户访问依然无法完成。此时网络的流量是很大的,SmartHammer防火墙可以利用内置的NetFlow统计分析功能,查找攻击流的数据源,并上报上级ISP,对数据流分流或导入黑洞路由。通过在防火墙相关接口下开启NetFlow采集功能,并设置NETFLOW输出服务器地址,这样就可以利用港湾安全管理平台对接收的资料进行分析处理。我们可以用此方法统计出每天流量的TOP TEN或者业务的TOP TEN等,以此做为标准,当发现网络流量异常的时候,就可以利用NetFlow有效的查找、定位DDOS攻击的来源。
利用NetFlow监视蠕虫病毒。防止蠕虫病毒的攻击,重要的是防止蠕虫病毒的扩散,只有尽早发现,才可以迅速采取措施有效阻止病毒。各种蠕虫病毒在感染了系统后,为了传播自身,会主动向外发送特定的数据包并扫描相关端口。利用这个特性,港湾网络在安全管理平台上建立相关的蠕虫病毒查询模板,定期查询,当发现了匹配的资料时,可以分析该地址是否已经感染病毒,然后采取相应的措施。
值得指出的是,防火墙在网络拓扑中的位置对抵御攻击也有很大影响,通常盒式防火墙被设计放置在网络的出口,这种情况下,虽然防火墙能够抵御从外部产生的攻击,但一旦网络内部的PC通过浏览网页、收发Email、下载等方式感染蠕虫病毒或有人从内部发起的恶意攻击时,防火墙是没有防护能力的。
港湾网络的SmartHammer ESP-FW防火墙模块可以解决此类问题,ESP-FW是港湾网络BigHammer6800系列交换机的一个安全模块,它继承了SmartHammer盒式防火墙的相关安全特性内置于交换机中,有效抵御来自内部网络的攻击。在插入了防火墙模块后,交换机可以选择将相关VLAN加入防火墙中,受防火墙保护。以VLAN做为保护对象的另一大优点是利于网络扩展,当有一个新增部门出现时,我们不需要再增加投资就可以使新增部门得到保护,网络部署异常灵活。这样当内部网络中出现异常数据流时,防火墙可以有效限制该数据的转发,保护其他VLAN不受影响。
笔者公司共有10台Web服务器,使用Redhat Linux 9作为操作系统,分布在全国各大城市,主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢,甚至不能访问,检查后发现是受到了DDoS攻击(分布式拒绝服务攻击)。由于服务器分布太散,不能采用硬件防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了。
一、Freebsd的魅力
发现Freebsd的好处是在一次偶然的测试中,在LAN里虚拟了一个Internet,用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成)。Windows在达到10个包的时候就完全停止响应了,Linux在达到10个数据包的时候开始连接不正常,而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。
在使用Freebsd后,的确过了一段时间的安稳日子。不过近日又有用户再次反映网站不能正常访问,表现症状为用户打开网页速度缓慢,或者直接显示为找不到网站。用netstat ?Ca查看到来自某IP的连接刚好50个,状态均为FIN_WAIT 1,这是属于明显的DDoS攻击,看来Freebsd没有防火墙也不是万能的啊,于是就想到了装防火墙。
看了N多资料,了解到Freebsd下最常见的防火墙叫IP FireWall,中文字面意思叫IP防火墙,简称IPFW。但如果要使用IPFW则需要编译Freebsd系统内核。出于安全考虑,在编译结束后,IPFW是默认拒绝所有网络服务,包括对系统本身都会拒绝,这下我就彻底“寒”了,我放在外地的服务器可怎么弄啊?
大家这里一定要小心,配置稍不注意就可能让你的服务器拒绝所有的服务。笔者在一台装了Freebsd 5.0 Release的服务器上进行了测试。
二、配置IPFW
其实我们完全可以把安装IPFW看作一次软件升级的过程,在Windows里面,如果要升级一款软件,则需要去下载升级包,然后安装;在Freebsd中升级软件过程也是如此,但我们今天升级的这个功能是系统本身已经内置了的,我们只需要利用这个功能即可。打开这个功能之前,我们还要做一些准备工作。
下面开始配置IPFW的基本参数。
Step1:准备工作
在命令提示符下进行如下操作:
#cd /sys/i386/conf
如果提示没有这个目录,那说明你的系统没有安装ports服务,要记住装上。
#cp GENERIC ./kernel_IPFW
Step2:内核规则
用编辑器打开kernel_IPFW这个文件,在该文件的末尾加入以下四行内容:
options IPFIREWALL
将包过滤部分的代码编译进内核。
options IPFIREWALL_VERBOSE
启用通过Syslogd记录的日志;如果没有指定这个选项,即使你在过滤规则中指定了记录包,也不会真的记录它们。
options IPFIREWALL_VERBOSE_LI
MIT=10
限制通过Syslogd记录的每项包规则的记录条数。如果你受到了大量的攻击,想记录防火墙的活动,但又不想由于Syslog洪水一般的记录而导致你的日记写入失败,那么这个选项将会很有用。有了这条规则,当规则链中的某一项达到限制数值时,它所对应的日志将不再记录。
options IPFIREWALL_DEFAULT_TO
_ACCEPT
这句是最关键的。将把默认的规则动作从 “deny” 改为 “allow”。这句命令的作用是,在默认状态下,IPFW会接受任何的数据,也就是说服务器看起来像没有防火墙一样,如果你需要什么规则,在安装完成后直接添加就可以了。
输入完成后保存kernel_IPFW文件并退出。
轮回亦思伊人
2025-02-24 16:52:58
对于此类隐蔽性极好的DDoS攻击,目前还没什么有效的解决手段,唯一能做的只是预防和把损失降到最低。
专家建议可以采取的安全防御措施有以下几种。
六大绝招
1.及早发现系统存在的攻击漏洞,及时安装系统补丁程序。对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。
2.在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志。
3.利用网络安全设备(例如:防火墙)来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。
4.与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。
5.当用户发现自己正在遭受DDoS攻击时,应当启动自己的应付策略,尽可能快地追踪攻击包,并且及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点,从而阻挡从已知攻击节点的流量。
6.如果用户是潜在的DDoS攻击受害者,并且用户发现自己的计算机被攻击者用作主控端和代理端时,用户不能因为自己的系统暂时没有受到损害而掉以轻心。攻击者一旦发现用户系统的漏洞,这对用户的系统是一个很大的威胁。所以用户只要发现系统中存在DDoS攻击的工具软件要及时把它清除,以免留下后患。
11种方法
1.确保所有服务器采用最新系统,并打上安全补丁。计算机紧急响应协调中心发现,几乎每个受到DDoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在 运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的
目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞,黑客通过根攻击就能获得访问特权系统的权限,并能访问其他系统——甚至是受防火墙保护的系统。
4.确保运行在Unix上的所有服务都有TCP封装程序,限制对主机的访问权限。
5.禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,即刻就能访问极为机密的数据。
6.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问!
7.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
8.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
9.在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
10.检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。
11.利用DDoS设备提供商的设备。
遗憾的是,目前没有哪个网络可以免受DDoS攻击,但如果采取上述几项措施,能起到一定的预防作用。
个人认为以上的办法只能治膘但不治本,最好的方法就是购买硬件防火墙
(前提银子够多)。
网盾
http://www.qqread.com/net-saft/x211497.html
再就是安装专业的DDOS防火墙
http://www.bingdun.com/
本人已死,有事烧纸
2025-02-24 09:56:37
2、彻底杀毒
3、做好ARP绑定,
4、在防火墙设置限制包的数量,或是将被攻击的IP的连接全部DROP!!!
5、有个很经典的限速设置,不知道你会不会,例如:连续30秒超过300KB(设置),限速到100KB每秒。
元嘉草草
2025-02-24 04:18:38
重温那逝去的记忆
2025-02-24 12:41:37
你可以在客户机上装限制的软件 例如装一个小程序 禁止带有DDOS名字字符 发现后立即关掉,我就是这么做.
主要的是 你可以考虑在客户机上下手 解决这个问题
热门标签
