网络安全专题不断更新~~

隐藏在背后的阴谋 浏览器劫持的攻与防 EA|*|o4)  
9TBkVbq
V  
“浏览器劫持”，通俗点说就是故意误导浏览器的行进路线的一种现象，常见的浏览器劫持现象有:访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等，不少用户都深受其害。那么，这类现象是如何引起的呢?用户又该如何防范应对呢?这就是本文要介绍的内容。 Bab`wfUve  
M9HM:  
　　一、“攻”之解说 O&V}T#8n  
G`
9Ud  
　　1、整体认识。 *?Nrx=O*  
MzL^u8  
　　浏览器劫持(Browser Hijack)是一种恶意程序软件，通过恶意修改用户个人电脑的浏览器默认设置，以引导用户登录被其修改的或并非用户本意要浏览的网页。大多数浏览器劫持者是在用户访问其网站时，通过修改其浏览器默认首页或搜索结果页，达到劫持网民浏览器的目的。这些载体可以直接寄生于浏览器的模块里，成为浏览器的一部分，进而直接操纵浏览器的行为。“浏览器劫持”的后果非常严重，用户只有在受到劫持后才会发现异常情况;目前，浏览器劫持已经成为Internet用户最大的威胁之一。 |)* K#%j  
f)l:^/WP+  
　　2、现象分析。 8s-y+M@.  
 msM  
　　“浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”，即是说大部分浏览器劫持的发起者，都是通过一种被称为“BHO”(Browser Helper Object，浏览器辅助对象)的技术手段来植入系统。 "6 |j 0?Q  
S3EY9:^C  
　　而BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准，它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”， 由于BHO的交互特性，程序员还可以使用代码去控制浏览器的行为，比如常见的修改替换浏览器工具栏、在浏览器界面上添加自己的程序按钮等操作，这些操作都被系统视为“合法”，这就是“浏览器劫持”现象赖以存在的根源。 _?M34&.X  
tisSj?+  
　　二、“防”之细谈 P{i\x#  
M' e<\wqm  
m.pB]yq&  
　　这类现象确实难以防范，用户永远处于被动地位。我们只能通过一些设置与软件的应用，让这种影响减至最低。以下办法可供大家参考。 jB!p,fqcb  

%B}Q.'  
　　个别劫持现象的手动修正。 ~ P"@^cq  
C=IT`iom1C  
　　Windows登录窗口被劫持。 &YGd!Q  
?OW 4J0B'  
　　在注册表中打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon分支，然后将其下的“LegalNoticeCaption”和“LegalNoticeText”主键删除即可解决问题。 \,ARYwd  
i#Io;  
　　在网页中单击鼠标右键，在弹出的菜单里显示网页广告。 +%7v#CY &  
Q[kbEhv;  
　　在注册表中打开HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt分支，IE浏览器中显示的附加右键菜单都在这里设置，常见的网际快车单击右键下载的信息也存放在这里，只需找到显示广告的主键条目删除即可。 NQz*P.q  
X0Y1I
}gD  
　　 ,Md8A`7x~  
　　三、总结 ]W~\%`#8?  
.T 6NMIp*  
　　浏览器一旦被劫持，就意味这你无法决定自己的电脑里将被存放进什么资料，这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱，单凭普通用户被动的事后修正无异于亡羊补牢;更多的需要全世界互联网使用者把好公众舆论和道德走向一关。

的确好帖子，推荐加精华 _;
!7:'J  
{,NGxqhE  
JJ_b{ao<  
G%^jgr)  
*o.f<OwOz  
SQ
8xfD*  
]<L(r,@,  
d-c<dS+R  
/N= }w
C  
零之使魔F http://www.weiguan.cc/detail/55027.html 百度影音

LZ辛苦了，支持一下！ \4Uhc3  
$inlI_  
fwQVxJe  
5.
ibH  
,]`|2j  
~_Q~AOFM  
=~zsah6N  
hr$Wt?B  
}
`KK  
祝大家新年快乐！ 5~D(jHY;  
娱乐网x.zsjdc.com

不错不错，很好很好，谢谢分享 wE[gp+X~  
(1EtC{ m  
ZnKjU ]m  
IG+g7kDCY  
ziDvDu=  
R + ~b@  
= N&5]Z  
SzP`(}AU  
uMx6:  
性吧最新网站地址：3yy8.com pf
Be24q  
oyB gF\  
性吧最新网站网址：3yy8.com [Dhqyjq  
CvHE7H|-{  
国内最为掩蔽的一夜站地址：3yy8.com fmq''1u  
)J*M{Gm6i  
现在开放免费注册, 史上最强的集合!!所有门事放 件大 送!!!! [800M] 44NMof8N  
Gv[s86AP,  
松岛枫.苍井空.av种子全集打包下载.. [AVI/89m] 1=Z!ZY}}e  
3Ccy %;  
“美空门”上海美空模特徐莹自拍艳照347P高清完整版,免费下载 InI>So%e|<  
3v@h&7<E  
性吧春暖花开,入口地址：3yy8.com }u9#S  
?g\emhG  

真的谢谢了！ +Xp1=2Mq  
Sn S$5o  
dz?On\66  
M8Vc
5  
h!@7'Q  
Jd^Lnp6?  
T|8:_4/l  
@@j:z;^|  
"OwK-  
]5K+W  

谢谢楼主  。。。。。。 GeDI\-  
&<x.D]FA]  
KF6C=,Yc%  
~o#mX?'7  
NT0n[o^  
]J[d8S5  
S)g:+P  
Fgi`g{N  
}K8e(i6z  
LPBa!fq  

好多啊，哈哈，谢谢您 ) [?xT  
DI8<0.L  
VP>*J`'H  
[zBi*%5O  
a_+?#m  
]+46r!r|  
(:qc[,m  
r88De=*  
`<yQ`Y_X  
banjiagz.com 广州大众搬家公司

今天没事来逛逛 hiBsksZRnk  
Lj(cCtb)  
|mE;HvQF  
?"r=08  
0W}qp?  
9M;t4Um  
RSe4lw  
Go)g}#.&  
^t5My[R  

用户被禁言,该主题自动屏蔽!

电影简介： ##=$$1Ki  
导演: 姜国民 YND}P9 h  
编剧: 王晶 VFL^-tXnA^  
主演: 张柏芝 / 郑中基 / 邵兵 / 刘桦 / 林妙可 / 谢振轩 / 郑伊健 "vSKj/]  
类型: 喜剧 NC%hsg^0/  
制片国家/地区: 香港 4}h}`
KZZ  
语言: 汉语普通话 / 粤语 7Hr_ZwO/^  
上映日期: 2011-08-19(中国大陆) C)z4Cn9#  
片长: 90分钟 "0PrdZMx  
评分: 豆瓣 5.9 GYx0U8MJ[e  
剧情概要： )Xjn:  
美女广告导演江蕙妮（张柏芝饰）看似有着成功的事业，美满的家庭，可爱的儿子（Lucas饰），而实际她急于拓展自己的事业，“女高男低”的家庭生活也让她和老公路志明（郑伊健饰）阴霾重重，隐忧暗暗。为了冲向事业的更高层次，工作狂人江蕙妮再次撇下老公和儿子，同好色风流的武打巨星高大龙（郑中基饰）前往无名荒岛拍摄广告大片。 o=3hWbe  
无名岛风光旖旎，景色怡人，摄制组的拍摄工作却遭遇种种离奇事件，殊不知，他们从登上小岛的那一刻，也在一步步地逼近险境。 b$7]cE  
在一张年代久远的藏宝图的指引下，以眼镜蛇（刘桦饰）为首的“五大禽兽”团伙也进入孤岛，企图寻找和挖掘宝藏并据为己有，然而他们却被小岛上的神秘人（邵兵饰）搅的不得安宁，狼狈不堪。藏宝图的丢失彻底点燃了“五大禽兽”的怒火，他们认为摄制组在从中捣鬼，他们真正的目的不是拍摄广告，而是寻找宝藏！一场针锋相对的较量蓄势待发…… ={)85N  
CpO_p%P  
aX^T[  
Zk%@GOu\  
电影截图： j4?Qd0z  
Bz/Vzc(  
y
x5e  
&.,K@OFE}  
无价之宝下载：       laiwuying.com/article-147-1.html E7fQ9]  
无价之宝在线观看： weiguan.cc/detail/48623.html I_<XL
<  
x3=1/#9  
ki9&AFs2X  
0I)$!1~O)  
z6iKIw $  
25)9R^  
TC?B_;a  
P9bM+@5e  
X ha9x,  
来无影电影网

因为unix系统经常承当着关键任务,所以它经常是入侵者攻击的首选目标。于是检测入侵、保护系统安全是管理员的最为重要的任务之一。那么，在没有其它工具帮助的情况下，如何去判断系统当前的安全性？如何去发现入侵呢？下面给大家介绍一些常用到的检查方法 NS[eQ_rT  
'`P%;/z  
以linux和solaris为例： Y[6T7eZ0g  
J,y
KO(}<C  
1、检查系统密码文件 *8Z2zmZtR^  
('5?-  
首先从明显的入手，查看一下passwd文件，ls –l /etc/passwd查看文件修改的日期。 bQt:
=>  
R+M=)Z  
输入命令 32[}@f2q  
KdR4<qVV}  
NUFz'MPv  
awk –f:’$3==0 {print $1}’ /etc/passwd 5l6/5  
qNQ54#
 
ST*h{:u&A  
);gY8UL^  
来检查一下passwd文件中有哪些特权用户，系统中uid为0的用户都会被显示出来。顺便再检查一下系统里有没有空口令帐户： 
Y<xqws  
S/'0czDMW  
awk –f: ‘length($2)==0 {print $1}’ /etc/shadow a;HAuy`M x  
y|5s  
2、查看一下进程，看看有没有奇怪的进程 7AV{ h[J  
2tq2   
重点查看进程：ps –aef | grep inetd。inetd是unix系统的守护进程，正常的inetd的pid都比较靠前，如果你看到输出了一个类似inetd –s /tmp/.xxx之类的进程，着重看inetd –s后面的内容。在正常情况下，linux系统中的inetd服务后面是没有-s参数的，当然也没有用inetd去启动某个文件；而solaris系统中也仅仅是inetd –s，同样没有用inetd去启动某个特定的文件；如果你使用ps命令看到inetd启动了某个文件，而你自己又没有用inetd启动这个文件，那就说明已经有人入侵了你的系统，并且以root权限起了一个简单的后门。 uQ5h5Cfz  
-F~DOG%  
输入ps –aef 查看输出信息，尤其注意有没有以./xxx开头的进程。一旦发现异样的进程，经检查为入侵者留下的后门程序，立即运行kill –9 pid 开杀死该进程，然后再运行ps –aef查看该进程是否被杀死；一旦此类进程出现杀死以后又重新启动的现象，则证明系统被人放置了自动启动程序的脚本。这个时候要进行仔细查找：find / -name 程序名 –print，假设系统真的被入侵者放置了后门，根据找到的程序所在的目录，unix下隐藏进程有的时候通过替换ps文件来做，检测这种方法涉及到检查文件完整性，一会我们再讨论这种方法。接下来根据找到入侵者在服务器上的文件目录，一步一步进行追踪。 d.wGO]"  
%":3xj'EEI  
3、检查系统守护进程 IL].!9
  
AHb_BgOU*  
检查/etc/inetd.conf文件，输入： VL9wRu;  
{]HiTpn  
=Zq6iMD  
cat /etc/inetd.conf | grep –v “^#” Ay16/7h@hi  
p R'J4~  
)7>GXZG>=  
n[3z_QI  
输出的信息就是你这台机器所开启的远程服务。一般入侵者可以通过直接替换in.xxx程序来创建一个后门，比如用/bin/sh 替换掉in.telnetd，然后重新启动inetd服务，那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。 Qg*\aa94  
4、检查网络连接和监听端口 -+*h'zZ[<w  
F^yW3|Sb  
输入netstat -an，列出本机所有的连接和监听的端口，查看有没有非法连接。 l_^OdQ9D  
=0)|psCsM  
输入netstat –rn，查看本机的路由、网关设置是否正确。 ]@&X*~c^Z  
DKIH{:L7  
输入 ifconfig –a，查看网卡设置。 Ei4^__g\'  
d&#_t@%  
5、检查系统日志 v~nKO?{   
E\[BE<y  
命令last | more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程，这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog，查看系统syslog进程的情况，判断syslog上次启动的时间是否正常，因为syslog是以root身份执行的，如果发现syslog被非法动过，那说明有重大的入侵事件。 3oCI1>k  
*G58t`]r  
${ {4L?7  
在linux下输入ls –al /var/log f7=MgFi  
在solaris下输入 ls –al /var/adm YXA@ c  
*)RmX$v3  
检查wtmp utmp，包括messgae等文件的完整性和修改时间是否正常，这也是手工擦除入侵痕迹的一种方法。 Mn0.!J "  
2)f_L|o,m  
6、检查系统中的core文件 *2/Jg'de  
axC|,8~tq  
通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法，典型的rpc攻击就是通过这种方式。这种方式有一定的成功率，也就是说它并不能100%保证成功入侵系统，而且通常会在服务器相应目录下产生core文件，全局查找系统中的core文件，输入find / -name core –exec ls –l {} \; 依据core所在的目录、查询core文件来判断是否有入侵行为。 ,;g%/6X  
1sqE/-v1_^  
7、检查系统文件完整性 pR S!  
uH[WlZ4  
检查文件的完整性有多种方法，通常我们通过输入ls –l 文件名来查询和比较文件，这种方法虽然简单，但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在linux下可以用rpm –v `rpm –qf 文件名` 来查询，查询的结果是否正常来判断文件是否完整。在linux下使用rpm来检查文件的完整性的方法也很多，这里不一一赘述，可以man rpm来获得更多的格式。 v)5;~.+%  
PIri|ZS  
unix系统中，/bin/login是被入侵者经常替换作为后门的文件，接下来谈一下login后门 ： C >*z^6Gz  
is<:}z  
unix里，login程序通常用来对telnet来的用户进行口令验证。入侵者获取login的源代码并修改，使它在比较输入口令与存储口令时先检查后门口令。如果用户敲入后门口令，它将忽视管理员设置的口令让你长驱直入：这将允许入侵者进入任何账号，甚至是root目录。由于后门口令是在用户真实登录并被日志记录到utmp和wtmp前产生的一个访问，所以入侵者可以登录获取shell却不会暴露该账号。管理员注意到这种后门后，使用”strings”命令搜索login程序以寻找文本信息。 .vu7$~7  
\o>-L\`O  
许多情况下后门口令会原形毕露。入侵者又会开始加密或者更改隐藏口令，使strings命令失效。所以许多管理员利用md5校验和检测这种后门。unix系统中有md5sum命令，输入md5sum 文件名检查该文件的md5签名。它的使用格式如下： C]ss'  
b"I#\;Ym  
md5sum –b 使用二进制方式阅读文件； 2 2v"?*  
FuHBzBoM=  
md5sum –c 逆向检查md5签名； C]L)nCOBX  
hfwJZ\_60  
md5sum –t 使用文本方式阅读文件。 %N8I'*u  
f8Hq&_Pn  
在前面提到过守护进程，对于守护进程配置文件inetd.conf中没有被注释掉的行要进行仔细比较，举个简单的例子，如果你开放了telnet服务，守护进程配置文件中就会有一句： ~apt,hl  
z=D5*  
6FB0g8  
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd KdEvu?  
o*KAS
@&  
可以看到它所使用的文件是 /usr/sbin/in.telnetd，检查该文件的完整性，入侵者往往通过替换守护进程中允许的服务文件来为自己创建一个后门。 OgF[=  
CD`a-]6qA  
linux系统中的/etc/crontab也是经常被入侵者利用的一个文件，检查该文件的完整性，可以直接cat /etc/crontab，仔细阅读该文件有没有被入侵者利用来做其他的事情。 n8,%<!F^  
I{IB>j}8  
不替换login等文件而直接使用进程来启动后门的方法有一个缺陷，即系统一旦重新启动，这个进程就被杀死了，所以得让这个后门在系统启动的时候也启动起来。通常通过检查/etc/rc.d下的文件来查看系统启动的时候是不是带有后门程序。说到这里，另外提一下，如果在某一目录下发现有属性为这样的文件：-rwsr-xr-x 1 root root xxx .sh，这个表明任何用户进来以后运行这个文件都可以获得一个rootshell，这就是setuid文件。运行 find –perm 4000 –print对此类文件进行全局查找，然后删除这样的文件。 '.|}  
1w>[&#7  
8、检查内核级后门
vpu#!(N  
Ik:G5m<ta  
如果你的系统被人安装了这种后门，通常都是比较麻烦的，首先，检查系统加载的模块，在linux系统下使用lsmod命令，在solaris系统下使用modinfo命令来查看。这里需要说明的是，一般默认安装的linux加载的模块都比较少，通常就是网卡的驱动；而solaris下就很多，没别的办法，只有一条一条地去分析。对内核进行加固后，应禁止插入或删除模块，从而保护系统的安全，否则入侵者将有可能再次对系统调用进行替换。我们可以通过替换create_module()和delete_module()来达到上述目的。另外，对这个内核进行加固模块时应尽早进行，以防系统调用已经被入侵者替换。如果系统被加载了后门模块，但是在模块列表/proc/module里又看不到它们。出现这种情况，需要仔细查找/proc目录，根据查找到的文件和经验来判断被隐藏和伪装的进程,当然目录也可能不是隐藏的。 SyL"Bmi  
DGTLlBkT  
手工的入侵检测行为对于系统安全来说只是治标而不治本，多半还是依靠管理员的技巧和经验来增强系统的安全性，没有，也不可能形成真正的安全体系，虽然好过没有，可以检测和追踪到某些入侵行为，但如果碰上同样精通系统的入侵者就很难抓住踪迹了。搭建真正的安全体系需要配合使用入侵检测系统，一个优秀的入侵检测系统辅以系统管理员的技巧和经验可以形成真正的安全体系，有效判断和切断入侵行为，真正保护主机、资料。

最近发现有一种木马：包括的进程名字有：Wincfgs.exe和Svchost.EXE。 maapX/J  
0}i 9`p  
目前发现的现象是：启动时候会自动弹出记事本，且会在进程的启动项中多增加Adobe的进程，不过Adobe是被木马调用的，本身不是木马。（这是很菜的木马，一般按我提供以下方法可以清除） QytO0K5  
?1\5X<|,  
个人分析：这种木马很可能是通过WORD文件在磁盘介质进程传播。警告大家在使用U盘，软盘拷贝WORD和其他文本文件时候，最好先杀毒。 k5RzW4zq;  
SzLlJUVX  
以下是手动清除：在清除前请在文件夹选项里设置“显示所有文件”和显示“隐藏受保护的操作系统文件”。 |gk*{3~y  
|.
; N_i  
(1)清除Svchost.exe Q 8]X  
3U6QYD55]]  
windows\system32里面的svchost.exe一般是正常的系统程序。如果在在WINDOWS目录下的，如果发现svchost.exe，先结束掉系统进程，在把该文件删除（注意：在XP系统中，很多个的进程都是svchost，但一般的系统进程用户都是SYSTEM，如果该进程是与你的用户名字使用，说明是木马程序） G"r{!IFL  
i@/%E~W  
(2)清除Wincfgs.exe *JOK8[Qn  
1RkN^FZOxq  
Wincfgs.exe文件一般是在WINDOWS-\SYSTEM32目录下，也同样是先结束进程，再删除该文件。 2^XmtT  
6C$+D  
然后进入注册表：regedit @5Z|e  
{V[xBL <  
#hBqgG:>  
中，如果出现上面2个进程名字，则删除键属性值。 #c|l|Xvq2  
同样进入MSCONFIG，把启动项的钩去掉。然后重新启动。

木马Exeroute用过的都知道 这个后门还是不错的 8h ol4'B  
共产生14个文件和2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联。先修改了.exe的默认值，改.exe从默认的exefile更改为winfiles，然后再创建winfiles键值，使EXE文件关联与木马挂钩，它的一个可执行体是.com的。当然，清除的方法也很简单，不过需要注意步骤： .Z7tE?  
f?.}S]u5  
一、注册表  5+GTK)D  
,5 ,r.  
先使用注册表修复工具，或者直接使用regedit修正以下部分1.SYSTEM.INI 2-S}#S}2C  
#8d#Jw  
NT/XP系统在注册表 u9_?c G-  
k1[`2k:Hk  
e,XT(KY  
Q*1Avy6]  
KMT$/I{p,  
uJ"#j X  
drCL7.j#L  
shell = Explorer.exe 1 修改为shell = Explorer.exe。 ZV Ko$q:F  
2.将 ycN!N  
PR;Bxy  
w[2E:Nj  
1sUgjyGQ  
zRh)q,Dt  
V^(W)\  
5P*jGOg.  
下的Torjan Program-C:\WINNT\(windows)services.exe删除。 qPu?rU{2  
3.HKEY_Classes_root.exe默认值 winfiles 改为exefile。 ; <- f  
3meZ]u  
4.删除以下两个键值：HKEY_Classes_rootwinfiles和HKEY_Local_machinesoft wareclasse swinfiles。 S?DMeZ{:  
89[/UxM)  
二、重启系统 8f,",NCgc  
d3oRan}z  
然后重启系统，删除以下文件部分，注意打开各分区时，先打开“我的电脑”后请使用右键单击分区，选“打开”进入。删除以下文件c:\antorun.inf(如果你有多个分区，请检查其他分区是否有这个文件，有也一并删除) <a CzB7x  
Z){fie4WM  
x>i =  
8U#14U5rS  
删除以下文件夹： *`s*l+0b  
o/U}G,|G  
HELTL$j,
b  
be6`Sv"H  
*R&77 o7  
然后重新启动计算机

嗯~~好好學學~~ ;XXB^,  

U}2b{  

什么是DDOS攻击| 怎么抵抗DDOS攻击 b>Em~NMu_  
J70r`   
一、为何要DDOS？　　 |b'}.(/3i  
iVe"iH  
随着Internet互联网络带宽的增加和多种DDOS黑客工具的不断发布，DDOS拒绝服务攻击的实施越来越容易 ?|NMJQsa7  

GI _.[  
，DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机 U1^3 &N8  
6I!B>V#U+  
房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDOS攻击所困扰，随之而来的是客户 g/f^|:  
O-jpS?@  
投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题，因此，解决DDOS攻击问题成为网络服 3JJE
j1O  
t#BQB<GI  
务商必须考虑的头等大事。 UHT2a9rG  
O=E?m=FR"  
二、什么是DDOS？ #<*=)[  
wFX>y^ 1  
DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务 V|W[>/  
h1A
Z+9  
（Denial of Service）呢?@梢哉饷蠢斫猓?彩悄艿贾潞戏ㄓ没Р荒芄环梦收?Ｍ?绶?竦男形?妓闶?br> /c:78@  
拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从 EYXHxo  
Yw_^]:~  
而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策 ^Ez`WP  
!/RL.`!>  
略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大罖@此坪戏ǖ?br> QopA'm  
网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网 aF]cEe  
k(23Zt]  
络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的 &6q67  
Rw!wfh_+  
网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK I92orr1  
p38RgEf  
Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而 |\3X7)^8D  
E,p4R%:$@1  
DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网 PyQ P K,  
%("WoBPH`  
络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、 }u?DK,R  
6O0CF}B*  
Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于 iwx*mC{|A  
15\k/[3 #  
DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS >%1mx\y^  
Oz-;2  
攻击。 GMW,+  
Or<OmxJg  
三、被DDOS了吗？ (F=q/lK$  
*pj
^d><  
　　DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络 (JdZl2A.  
i!u:]14>  
带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务 XkRPD  
YE;Tpji  
器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网 h6~H5X  
ZBsV  
络服务。 !}I+)@~
\w  
={[9kR i  
　　如何判断网站是否遭受了流量攻击呢?@赏ü齈ing命令来测试，若发现Ping超时或丢包严重(假定平 Ce`#J6lT  
!&#
5*  
时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了 V<ExR@|}.%  
Gk-49|qIV  
，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由 VbfTdRD-  
2C[xrZa^  
器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一 o_R_  
ffI z>Of:  
点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不 n}L Jt  
d8ck].m=  
通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的 ni~1)"U.  
*c>B,  
典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。 zr@HYl  
<:ptNGR  
相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发 R?5v//[  
`/RcE.5n\@  
现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在 g(QT"O!dY  
":W$$w<  
服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而 x.kIzI5  
PQvpJFpb~h  
ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自 SbK6o:[  
=QS%D*.|D  
己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种 ocPM zq-  
IrMxdF~c  
原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带 S pIdw0  
iTcq=  
宽还是有的，否则就Ping不通接在同一交换机上的主机了。 [Ufx=BPx3  
}UX0 eI4  
当前主要有三种流行的DDOS攻击： kO/]mNLG  
u{8:VX  
1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通 Bv{DZ?{s  
=.(~`ici~  
过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而 ;Q\MH t*  
6Ij'z9nJw  
造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸 AR3v,eOs  
9^g?/8  
主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na I4(z'C  
EZJ[+ -Q;  
命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现 O)%s_/UX  
>SHP,><H/  
系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。 X[J?  
v
M?jm!nd  
2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备 "1z#6vw5a  
lQKq{WLFx.  
过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如： Lhmb=
@  
h[>Puoz  
IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导 nA#N,^Rr  
<`")Zxf+  
致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量 &`I7
aP|  
#u/5 nm  
的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一 s`I]>e  
Btyp=wfN[  
般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容 t7 +U!  
H6Q!~o\"H  
易被追踪。 K+3+?oYKH  
}e]tn)  
3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、 |32uC3?o  
;D|g5$OE&  
MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚 EYSBC",  
:CGh$d] +  
本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个 Ci$?Hm9n  
bsv!z\}  
GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万 ]S7>=S  
8iUYZF  
条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个 ,w%hD*  
t~M0_TnXlP  
查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器 Ctx{rf_~  
ukc<yc].+?  
大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛 Jxsch\  
Nin7AOO  
、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通 89P'WFOFK  
kzmw1*J  
的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣， ,b9!\OWDF  
EI8KKo *  
并且有些Proxy会暴露攻击者的IP地址。 L XHDX  
h@j
k3J9^  
四、怎么抵御DDOS？ j^m x,  
l?O%yf`s  
对付DDOS是一个系统工程，想仅仅依@@某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝 !SdP<{[  
Kb~i9x&  
DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开 #k|f%!-Vo  
irF+(&q]jh  
销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多 FZ5 Ad&".@  
cv"Bhql  
数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击 JQDS
3v=1$  
NeR1}W  
以下几点是防御DDOS攻击几点: N) '|l0x0  
J[al4e^  
1、采用高性能的网络设备 #L+ZH
s~  
kE854Ej  
首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名 6vf<lmN  
P~h0Ul  
度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候 .TO#\!KBv  
R c  
请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。 7Cx-yv  
t/J|<Ooj?  
3、充足的网络带宽保证 O{Y*a )"  
sI`oz
|$  
网络带宽直接决定了能抗受攻击的能力，假若仅仅有10M带宽的话，无论采取什么措施都很难对抗现在的 j
>A=Wa7  
l*b0uF  
SYNFlood攻击，当前至少要选择100M的共享带宽，最好的当然是挂在1000M的主干上了。具体的可以去: @me ( pnD  
B8>3GZi  
http://www.bingdun.com/news_view.asp?id=29 看看 jE!?;} P1  
BHpj_LB-P  
但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的 r#B{j$Rw   
>6gduD!6I  
交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络 C}]143a/Q  
IgEVz^W?h  
服务商很可能会在交换机上限制实际带宽为10M，这点一定要搞清楚。 I[KAW"  
eE" *c>I  
4、安装专业抗DDOS防火墙 4[rX\?^e  
Lklb  
就目前来看 在防御DDOS攻击的防火墙,国内比较有名的要数冰盾防火墙了, 详 AQD`cG  
<~  ?LU^  
情:http://wwwbingdun.com 这里我就不做具体的介绍了 4F,RlKHBl  
^%NjdZuDO  
nU/x,W[}  
以上的几条对抗DDOS建议，适合绝大多数拥有自己主机的用户