【正文】 但由于時間倉促準(zhǔn)備不夠充分，還有很多不足之處，還望各位老師及同學(xué)們多提寶貴意見。 但我們相信 隨著人們對網(wǎng)絡(luò)安全的研究的深入，各種防御措施不斷的推陳出新，網(wǎng)絡(luò)會更加健壯，安全。 遺憾的是，目前沒有哪個網(wǎng)絡(luò)可以免受DDoS攻擊，但如果采取上述幾項措施，能起到一定的預(yù)防作用。 52 防護類別 單機型防護 NT AIX AS/400 S/390 95 / 98 / ME for Windows for Wireless Palm Pocket PC EPOC 網(wǎng)絡(luò)型防護 服務(wù)器防護 群件型防護 防毒墻 中央控管 郵件內(nèi)容管理 訪問網(wǎng)站管理 for NetWare for Linux for Exchange for Exchange 2022 for Lotus Notes Solaris NT Wks. / 2022 Pro2 / win xp. 客戶端計算機 文件服務(wù)器 防黑防毒對象 群件服務(wù)器 Inter網(wǎng)關(guān) 中央控管軟件 過濾垃圾郵件 過濾不良網(wǎng)站 for NT 53 B網(wǎng)絡(luò)系統(tǒng)防范 （ 11） 利用 DDoS設(shè)備提供商的設(shè)備。 （ 9） 在防火墻上運行端口映射程序或端口掃描程序。 （ 8） 確保手頭有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。此外，在 Unix上應(yīng)該將 .rhost和 ，因為不用猜口令，這些文件就會提供登錄訪問！ （ 7） 限制在防火墻外與網(wǎng)絡(luò)文件共享。 51 B網(wǎng)絡(luò)系統(tǒng)防范 （ 6） 禁止使用網(wǎng)絡(luò)訪問程序如 Tel、 Ftp、 Rsh、 Rlogin和Rcp，以基于 PKI的訪問程序如 SSH取代。 （ 5） 禁止內(nèi)部網(wǎng)通過 Modem連接至 PSTN系統(tǒng)。 WuFtpd等守護程序存在一些已知的漏洞，黑客通過攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng) ——甚至是受防火墻保護的系統(tǒng)。這是為了確保管理員知道每個主機系統(tǒng)在運行什么？誰在使用主機？哪些人可以訪問主機？不然，即使黑客侵犯了系統(tǒng)，也很難查明。通過這樣一系列的舉措可以把攻擊者的可乘之機降低到最低。對一些重要的信息（例如系統(tǒng)配置信息）建立和完善備份機制。所以一旦發(fā)現(xiàn)系統(tǒng)中存在 DDoS攻擊的工具軟件要及時把它清除，以免留下后患。 （ 4） 當(dāng)你發(fā)現(xiàn)自己正在遭受 DDoS攻擊時，你應(yīng)當(dāng)啟動您的應(yīng)付策略，盡可能快的追蹤攻擊包，并且要及時聯(lián)系 ISP和有關(guān)應(yīng)急組織，分析受影響的系統(tǒng)，確定涉及的其它節(jié)點，從而阻擋從已知攻擊節(jié)點的流量。 42 整體的防護 Firewall Inter File Server Client Inter Gateway 殺毒軟件 郵件內(nèi)容管理 訪問網(wǎng)站管理 服務(wù)器防護 for NT for NetWare OfficeScan Server 客戶端 客戶端網(wǎng)絡(luò)型防護 Central Control 中央控管 Mail Server 群件服務(wù)器防護 郵件內(nèi)容管理 防火墻 43 防黑不可以有漏洞 Firewall Inter Client Mail Server 從 Inter 入侵 藏匿在 文件服務(wù)器 STOP! Inter Gateway STOP! STOP! 從客戶端滲透 STOP! Email 病毒 木馬 File Server 防毒墻 郵件防護 服務(wù)器防護 網(wǎng)絡(luò)型防護 44 A個人用戶 （ 3） 配置防火墻，阻止任何實際不需要的端口通信（或者最好忽略）。在這些環(huán)境中，對“正常 ” 的出站通信量是什么樣子 用戶已經(jīng)有了一定的認(rèn)識如果你的電纜調(diào)制解調(diào)器正常情況下每分鐘都會閃爍幾次，但忽然有一天“傳輸”指示燈突然亮起來而且不熄滅，這就是一個發(fā)生了不正常事件的信號?？刹扇〉陌踩烙胧┯幸韵聨追N： A個人用戶 （ 1） 用戶應(yīng)該時常留意自己的網(wǎng)絡(luò)通信量。 41 由于 DDoS攻擊具有隱蔽性，因此到目前為止我們還沒有發(fā)現(xiàn)對 DDoS攻擊行之有效的解決方法。 ② 使用 DDoS檢測工具 當(dāng)攻擊者想使其攻擊陰謀得逞時，他首先要掃描系統(tǒng)漏洞，目前市面上的一些網(wǎng)絡(luò)入侵檢測系統(tǒng)，可以杜絕攻擊者的掃描行為。（如果實施這種規(guī)則，必須將 2 80等端口上的傳輸排除） 總之，當(dāng)你的機器出現(xiàn)異常情況時，你最好分析這些情況，防患于未然。 異?，F(xiàn)象 6：數(shù)據(jù)段內(nèi)容只包含二進制和 highbit字符的數(shù)據(jù)包。 TFN2K（及其變種）的特征模式是在數(shù)據(jù)段中有一串 A字符（ AAA …… ），這是經(jīng)過調(diào)整數(shù)據(jù)段大小和加密算法后的結(jié)果。這往往是數(shù)據(jù)經(jīng)過BASE64編碼后而只會含有 base64字符集字符的特征。另外，那些連接到高于 1024而且不屬于常用網(wǎng)絡(luò)服務(wù)的目標(biāo)端口的數(shù)據(jù)包也是非常值得懷疑的。最隱蔽的 DDoS工具隨機使用多種通訊協(xié)議（包括基于連接的協(xié)議）通過基于無連接通道發(fā)送數(shù)據(jù) 。一旦捕獲到（沒有經(jīng)過偽造的）控制信息通訊， DDoS服務(wù)器的位置就無所遁形了，因為控制信息通訊數(shù)據(jù)包的目標(biāo)地址是沒有偽造的。正常的 ICMP消息也不會超過 64到 128 字節(jié)。 38 異?，F(xiàn)象 3：特大型的 ICP和 UDP數(shù)據(jù)包。當(dāng)明顯超出此極限值時就表明存在 DDoS攻擊的通訊。 異常現(xiàn)象 2：當(dāng) DDoS攻擊一個站點時，會出現(xiàn)明顯超出該網(wǎng)絡(luò)正常工作時的極限通訊流量的現(xiàn)象。 BIND域 名服務(wù)器能夠記錄這些請求。 37 四、拒絕服務(wù)攻擊的檢測、防范及對策 攻擊檢測方法 檢測 DDoS攻擊的主要方法有以下幾種： ① 根據(jù)異常情況分析 異?，F(xiàn)象 1：雖然這不是真正的 ―DDoS‖通訊，但卻能夠用來確定 DDoS攻擊的來源。實際上如果服務(wù)器的 TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰 即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端也將忙于處理攻擊者偽造的 TCP連接請求而無暇理睬客戶的正常請求（畢竟客戶端的正常請求比率非常之?。藭r從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了 SYN Flood攻擊（ SYN洪水攻擊） 36 在 smurf攻擊的中向一個廣播地址發(fā)送一個合法的 ping請求，可想而知，廣播地址就會對本地網(wǎng)段中的所有主機進行廣播，這樣網(wǎng)段中的所有主機都會向欺騙性分組的 IP地址發(fā)送 echo響應(yīng)信息，經(jīng)過把數(shù)據(jù)包截下來，然后修改包中的源 IP的值，改成被攻擊主機的 IP，把包修復(fù)后再循環(huán)大量發(fā)送，也就導(dǎo)致了數(shù)據(jù)阻塞或系統(tǒng)資源被占用。到此為止建立完整 的TCP 連接，開始全雙工模式的數(shù)據(jù)傳輸過程。服務(wù)端收到該 TCP分段后，在第二步以自己的 ISN回應(yīng) (SYN標(biāo)志置位 )，同時確認(rèn)收到客戶端的第一個 TCP分段 (ACK標(biāo)志置位 )。 客戶端告訴服務(wù)端序列號區(qū)域合法，需要檢查。 TCP連接的三次握手 ： 如右圖，在第一步中， 客戶端向服務(wù)端提出連接請 求。 34 SYN Flood原理 三次握手 SYN Flood利用了 TCP/IP協(xié)議的固有漏洞。 SYNFlood的攻擊效果最好，應(yīng)該是眾黑客不約而同選擇它的原因吧。Stacheldrah中有一個內(nèi)嵌的代理升級模塊，可以自動下載