【正文】 用的主要是CPU和內(nèi)存，若有志強雙CPU的話就用它吧，內(nèi)存一定要選擇DDR的高速內(nèi)存，硬盤要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網(wǎng)卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。 把網(wǎng)站做成靜態(tài)頁面大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給駭客入侵帶來不少麻煩，至少到現(xiàn)在為止關(guān)于HTML的溢出還沒出現(xiàn)，看看吧！新浪、搜狐、網(wǎng)易等門戶網(wǎng)站主要都是靜態(tài)頁面，若你非需要動態(tài)腳本調(diào)用，那就把它弄到另外一臺單獨主機去，免的遭受攻擊時連累主服務(wù)器，當(dāng)然，適當(dāng)放一些不做數(shù)據(jù)庫調(diào)用腳本還是可以的，此外，最好在需要調(diào)用數(shù)據(jù)庫的腳本中拒絕使用代理的訪問，因為經(jīng)驗表明使用代理訪問你網(wǎng)站的，80%屬于惡意行為。 　　 增強操作系統(tǒng)的TCP/IP棧 　　Win2000和Win2003作為服務(wù)器操作系統(tǒng)，本身就具備一定的抵抗DDOS攻擊的能力，只是默認(rèn)狀態(tài)下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵御數(shù)百個?！“噶蟹治鲆籇DOS攻擊不斷在Internet出現(xiàn)，并在應(yīng)用的過程中不斷的得到完善， 已有一系列比較成熟的軟件產(chǎn)品，如Trinoo、獨裁者DDOS攻擊器、DDOSer、TFN、TFN2K等，他們基本核心及攻擊思路是很相象的，下面就通過Trinoo對這類軟件做一介紹。 ，是通過三個模塊付諸實施的：攻擊守護進(jìn)程（NS）；攻擊控制進(jìn)程（MASTER）；客戶端（NETCAT，標(biāo)準(zhǔn)TELNET程序等）。Trinoo運行的總體輪廓可用圖5說明：（16）作為一次攻擊的實例：圖2圖3圖4圖5圖6：我們不難看出發(fā)起攻擊的IP地址，這一問題，通過IP spoof在后期的軟件TFN，TFN2K等軟件中得到了解決，給被攻擊者找出肇事者進(jìn)一步增加了難度案例分析二本次實驗采用DDOS攻擊者 生成器 進(jìn)行DDOS攻擊 如下：，配置自己為攻擊目標(biāo)。，并對配置的目標(biāo)發(fā)起了攻擊。圖72. 通過netstat –ano查看端口連接。3. 在netstat –ano下查看到建立網(wǎng)絡(luò)連接的進(jìn)程Pid號。 然后tasklist查看PID號對應(yīng)的進(jìn)程。：通過本次實驗主要學(xué)會了使用DDOS攻擊工具對目標(biāo)主機進(jìn)行攻擊；進(jìn)一步理解了DDOS攻擊的原理及其實施過程；并掌握了檢測和防范DDOS攻擊的措施。希望本次實驗會給以后的學(xué)習(xí)帶來幫助。 小結(jié)：本章講述了DDOS（分布式拒絕服務(wù)）從起源的方式來闡述DDOS攻擊和防范技術(shù)，通過案例分析來驗證DDOS攻擊。第四章總結(jié)DOS以及DDOS以及提供的工具 概述總結(jié)DOS與DDOS雖然同樣是拒絕服務(wù)攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側(cè)重于通過很多“僵尸主機”（被攻擊者入侵過或可間接利用的主機）向受害主機發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實施，攻擊網(wǎng)絡(luò)包就會猶如洪水般涌向受害主機，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，而DOS則側(cè)重于通過對主機特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機死機而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)。 DOS與DDOS攻擊常見工具對DOS而言，其攻擊方式很多，主要使用的攻擊有3種，分別是TCPSYN flood、UDP flood和ICMP flood。當(dāng)用戶進(jìn)行一次標(biāo)準(zhǔn)的TCP連接時，會有一個3次握手過程。首先是請求服務(wù)方發(fā)送一個SYN消息，服務(wù)方收到SYN后，會向請求方回送一個SYNACK表示確認(rèn)，當(dāng)請求方收到SYNACK后，再次向服務(wù)方發(fā)送一個ACK消息，這樣，一次TCP連接建立成功。但是TCPSYN flood在實現(xiàn)過程中只進(jìn)行前2個步驟：當(dāng)服務(wù)方收到請求方的SYNACK確認(rèn)消息后，請求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng)，于是，服務(wù)方會在一定時間處于等待接收請求方ACK消息的狀態(tài)。對于某臺服務(wù)器來說，可用的TCP連接是有限的，如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求，該服務(wù)器可用的TCP連接隊列將很快被阻塞，系統(tǒng)可用資源急劇減少，網(wǎng)絡(luò)可用帶寬迅速縮小，長此下去，網(wǎng)絡(luò)將無法向用戶提供正常的服務(wù)。由于UDP（用戶數(shù)據(jù)包協(xié)議）在網(wǎng)絡(luò)中的應(yīng)用比較廣泛，基于UDP攻擊種類也較多。如今在Internet上提供WWW和Mail等服務(wù)設(shè)備通常是使用 Unix的服務(wù)器，它們默認(rèn)一些被惡意利用的UDP服務(wù)，如echo和chargen服務(wù)，它會顯示接收到的每一個數(shù)據(jù)包，而原本作為測試功能的 chargen服務(wù)會在收到每一個數(shù)據(jù)包時隨機反饋一些字符，如果惡意攻擊者將這2個UDP服務(wù)互指，則網(wǎng)絡(luò)可用帶寬將很快耗盡。目前，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。我們知道的對網(wǎng)絡(luò)進(jìn)行DDOS攻擊所使用的工具有：Trinoo、Tribe Flood Network(TFN)、TFN2k和Stacheldraht等。它們的攻擊思路基本相近。1．Trinoo：它是基于UDP flood的攻擊軟件，它向被攻擊目標(biāo)主機的隨機端口發(fā)出全零的4字節(jié)UDP包，在處理這些超出其處理能力垃圾數(shù)據(jù)包的過程中，被攻擊主機的網(wǎng)絡(luò)性能不斷下降，直到不能進(jìn)行使用。此攻擊方法用得不多?？蛻舳恕⒅骺囟撕痛矶酥鳈C相互間通訊時使用如下端口：　　1524 tcp　　　　27665 tcp　　　　27444 udp　　　　31335 udp　　　　重要提示：以上所列出的只是該工具的缺省端口，僅作參考。這些端口可以輕易被修改。2． TFN：它是利用ICMP給代理服務(wù)器下命令，其來源可以做假。它可以發(fā)動SYN flood、UDP flood、ICMP flood及Smurf（利用多臺服務(wù)器發(fā)出海量數(shù)據(jù)包，實施DOS攻擊）等攻擊。TFN的升級版TFN2k的特點是：對命令數(shù)據(jù)包加密、更難查詢命令內(nèi)容、命令來源可以做假，還有一個后門控制代理服務(wù)器客戶端、主控端和代理端主機相互間通訊時使用ICMP ECHO和ICMP ECHO REPLY數(shù)據(jù)包。3．Stacheldraht：對命令來源做假，而且可以防范一些路由器用RFC2267過濾。若檢查出有過濾現(xiàn)象，它將只做假IP地址最后8位，從而讓用戶無法了解到底是哪幾個網(wǎng)段的哪臺機器被攻擊。此外，它還具有自動更新功能，可隨軟件的更新而自動更新。、主控端和代理端主機相互間通訊時使用如下端口和數(shù)據(jù)包：　　16660 tcp　　　　65000 tcp　　　　ICMP ECHO　　　　ICMP ECHO REPLY　　　　重要提示：以上所列出的只是該工具的缺省端口，僅作參考。這些端口可以輕易被修改。像Trinoo和TFN等攻擊軟件都是可以從網(wǎng)上隨意找到的公開軟件，所以任何一個上網(wǎng)者都可能構(gòu)成網(wǎng)絡(luò)安全的潛在威脅。 小結(jié)：本章主要總結(jié)了DOS（拒絕服務(wù)）與DDOS(分布式拒絕服務(wù))及攻擊的工具。第五章講述DOS攻擊與DDOS攻擊技術(shù)和防范技術(shù)今后的發(fā)展趨勢 講述DOS的技術(shù)未來發(fā)展趨勢根據(jù)對以前各種DOS攻擊事件和手段的經(jīng)驗,結(jié)合網(wǎng)絡(luò)協(xié)議特別是 TCP/IP 協(xié)議的先天缺陷,DOS 攻擊的發(fā)展趨5 個方面: ①攻擊的隱蔽性更好 如采用IP欺騙技術(shù)或者利用木馬程序, 達(dá)到難以追查的目的。②攻擊將更多采用分布式技術(shù), 由單一攻擊源發(fā)起進(jìn)攻轉(zhuǎn)變?yōu)橛啥鄠€攻擊源對單一目標(biāo)進(jìn)攻。③攻擊工具將更易操作，能將更完善，壞性更大，得懷有惡意的非黑客人員也能夠使用以進(jìn)行破壞。④攻擊將會更多地針對路由器和網(wǎng)關(guān)的弱點進(jìn)行,如利用路由器的多點傳送功能將攻擊破壞程度擴大若干倍。 ⑤攻擊將會更多地針對TCP/IP協(xié)議的先天缺陷而進(jìn)行 如半連接 SYN 攻擊和 ACK 攻擊。 未來抵御DOS攻擊技術(shù)措施 解決 DOS 攻擊的一個重要的辦法就是采用全新的 Internet協(xié)議。針對當(dāng)今Internet協(xié)議不足，已發(fā)展出了許多保證網(wǎng)絡(luò)安全的新的網(wǎng)絡(luò)協(xié)議，如下：1. IPSECIPSEC 包括一系列的為 IP 流量提供認(rèn)證機制 、完整性和機密性的網(wǎng)絡(luò)協(xié)議 。它是一個相當(dāng)復(fù)雜的協(xié)議群 。其中最重要的兩個協(xié)議是認(rèn)證協(xié)議(Authentication Header protocol ,AH) 和封裝安全負(fù)載協(xié)議( Encapsulation Security Payload protocol ,ESP) 。IPSEC 所提供的 IP 地址的認(rèn)證功能有望在抵御 DOS 攻擊中發(fā)揮作用 。當(dāng)目的主機接受到一個IP數(shù)據(jù)包以后 它會對包中的源地址進(jìn)行認(rèn)證以保證這個數(shù)據(jù)包確實是由這個源地址的主機產(chǎn)生的 。這樣攻擊者就再也不能進(jìn)行地址欺騙了 。2. HIP 主機身份協(xié)議(Host Identity Protocol ,HIP)也是一個對 IP 流量進(jìn)行認(rèn)證的協(xié)議。它被設(shè)計成與 IPSEC 協(xié)作完成提供網(wǎng)絡(luò)安全的任務(wù)。HIP是一個主機對主機和基于密鑰的協(xié)議。它引入了一種新的不同于IP地址的名字空間 即主機身份(Host Identity , HI) 。當(dāng)一個主機改變它的Internet接入地點 即改變了它的IP地址時，并沒有改變它的HI。HIP 協(xié)議的一個主要目的就是抵御 DOS攻擊。3. IPV6為每臺計算機分配一個合法的IP地址這樣將會有助于追溯攻擊源 。區(qū)分服務(wù)的流標(biāo)識將有助于分辨那些 DOS 攻擊的流量。 小結(jié)：本章主要講述了DOS（拒絕服務(wù)）與DDOS（分布式拒絕服務(wù)）未來攻擊技術(shù)和防范技術(shù)今后的發(fā)展趨勢。總結(jié)網(wǎng)絡(luò)攻擊越來越猖獗，對網(wǎng)絡(luò)安全造成了很大的威脅。對于任何黑客 的惡意攻擊，都有辦法來防御，只要了解了他們的攻擊手段，具有豐富的網(wǎng)絡(luò)知識，就可以抵御黑客們的瘋狂攻擊。DOS 攻擊以其攻擊方式簡單 、容易達(dá)到目的 、難以進(jìn)行防范和追查等特點已經(jīng)成為一種常見的攻擊方式 。從技術(shù)上來講，分布式拒絕服務(wù)攻擊是一種比較先進(jìn)的 、難以有效遏制的攻擊方法 。但是 任何攻擊方法都有它本身的弱點，只要掌握這些弱點 采取相應(yīng)的措施 就可以對其加以監(jiān)控和預(yù)防，從而降低它對網(wǎng)絡(luò)安全造成的影響,使網(wǎng)絡(luò)環(huán)境更為安全 ，通過對 DOS/DDOS 概念 、原理的分析,重點介紹 DOS/DDOS 攻擊的技術(shù)手法演化,并分析了未來的攻擊手段的可能變化，最后結(jié)合傳統(tǒng)的防范技術(shù)和現(xiàn)在正在研究的防范技術(shù)提防范策略,對于預(yù)防 DOS/DDOS 攻擊有一定的借鑒價值。本文創(chuàng)新點: 對 DOS/DDOS 的概念、原理和攻擊手段進(jìn)行了系統(tǒng)的總結(jié),并在分析拒絕服務(wù)攻擊的發(fā)展趨勢的基礎(chǔ)上提出了幾種合理可行的防范策略 。致謝 從論文的選題到搜集資料，從寫稿到反復(fù)修改，期間經(jīng)歷了在寫論文的過程中找不到方向。如今，伴隨著這篇畢業(yè)論文的最終成稿，自己甚至還有一點成就感。在此我要感謝：我要感謝我的導(dǎo)師袁超老師，他為人隨和熱情，治學(xué)嚴(yán)謹(jǐn)、細(xì)心。在論文的寫作和措辭等方面也總會一專業(yè)標(biāo)準(zhǔn)嚴(yán)格要求你，從選題、定題開始，一直到最后論文的反復(fù)修改。袁超老師始終認(rèn)真負(fù)責(zé)地給于我深刻而細(xì)致的指導(dǎo)，幫助我開拓思路，指出論文中的各種錯誤。袁超老師以嚴(yán)謹(jǐn)?shù)闹螌W(xué)之道，寬厚仁慈的胸懷，積極樂觀的生活態(tài)度，兢兢業(yè)業(yè)、孜孜不倦的工作作風(fēng)為我樹立了學(xué)習(xí)的典范。正是在袁超老師的無私幫助下，我的畢業(yè)論文才能夠得以順利完成，同時，在這個過程中，我也學(xué)習(xí)到了許多關(guān)于DOS與DDOS攻擊與防范方面的知識。參考文獻(xiàn) [1] 劉 昕,[J].計算機工程與應(yīng)用,2008年06期 [2][C](學(xué)位論文).北京:中國科學(xué)院軟件研究所 2008年02期 [3]吳 虎,云 超..對DDOS攻擊防范策略的研究及若干實現(xiàn)[J].計算機應(yīng)用研究,2007年08期 [4]陳連波，[J]. 福建電腦 2009年02期 [5]徐圖，何大可，[J].計算機工程與應(yīng)用2007年29期 [6]吳偉嬌. 分布式拒絕服務(wù)攻擊與防范策略詳探[J]. 中國科技信息 2008年01期 [7]王耀武,楊亞紅. 分布式拒絕服務(wù)攻擊的軟防御系統(tǒng)[J].計算機工程與設(shè)計 2008年03期 [8]莊心妍. 分布式拒絕服務(wù)攻擊原理及防范[J].內(nèi)蒙古科技與經(jīng)濟 2009年06期