盗墓笔记第二季,好看的历史书籍推荐,怎么写网络小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

從游戲論壇被攻擊事件看DDoS防范

據(jù)近日媒體報道，“知名的游戲討論社群游戲基地與巴哈姆特，分別遭到DDoS(分布式阻斷服務(wù))攻擊，其攻擊者甚至要求網(wǎng)站配合宣傳，否則將繼續(xù)攻擊，行徑令業(yè)者咋舌。”　　

創(chuàng)新互聯(lián)公司專注于雙遼網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗。熱誠為您提供雙遼營銷型網(wǎng)站建設(shè)，雙遼網(wǎng)站制作、雙遼網(wǎng)頁設(shè)計、雙遼網(wǎng)站官網(wǎng)定制、小程序開發(fā)服務(wù)，打造雙遼網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供雙遼網(wǎng)站排名全網(wǎng)營銷落地服務(wù)。

擁有眾多用戶的巴哈姆特與游戲基地網(wǎng)站，自4月27日起分別傳出因同時涌現(xiàn)大量聯(lián)機要求導(dǎo)致首頁主機當機事件，其中巴哈姆特甚至收到來自網(wǎng)名為wuwebshell的黑客來信，要求巴哈姆特刊登其經(jīng)營的非法在線游戲服務(wù)器(私服)廣告，否則便會再發(fā)動攻擊，巴哈姆特回絕后，竟又在28日下午受到更強大的攻擊，“沒見過這么明目張膽的手法，”巴哈姆特站長陳建弘(網(wǎng)名Sega)說?！　?/p>

同樣遭到DDoS攻擊的游戲基地，社長江文忠表示，并未收到類似巴哈姆特所收到的“條件交換”訊息，但表示總機曾接獲可疑電話，但當時并未立即處理，在與巴哈姆特溝通后，懷疑攻擊應(yīng)是出自同一人或同一集團之手。　　

江文忠表示，在攻擊最高峰時，系統(tǒng)曾在十秒內(nèi)接到一萬個以上的聯(lián)機請求，且來源遍布世界各地;陳建宏則說，同一時間內(nèi)曾遭到數(shù)千臺計算機的攻擊，初步判定是黑客發(fā)動旗下的殭尸網(wǎng)絡(luò)(botnet)大軍，癱瘓巴哈姆特的服務(wù)器?！　?/p>

DDoS攻擊帶來的威脅已經(jīng)越來越大。除嚴重影響以至中斷用戶的應(yīng)用外，尤其是在游戲行業(yè)利用DDoS的相互攻擊現(xiàn)象已經(jīng)非常普遍，甚至形成了只有交“保護費”才能免遭攻擊的局面，這大大提高了企業(yè)運營的門檻，已經(jīng)對新經(jīng)濟發(fā)展造成嚴重的阻礙?！　?/p>

利用DDoS進行網(wǎng)絡(luò)攻擊已經(jīng)不是第一次了，其中最著名的事件就是遐邇網(wǎng)絡(luò)攻擊游戲網(wǎng)站事件。　　

07年6月10日晚，北京海淀區(qū)，完美時空公司總部遭遇黑客攻擊。公司技術(shù)部工作人員最先發(fā)現(xiàn)異常，大量攻擊數(shù)據(jù)突然從網(wǎng)上涌來，沖向公司網(wǎng)站域名服務(wù)器，隨后網(wǎng)站癱瘓無法打開。技術(shù)人員隨即進行維護和防御，但攻擊數(shù)據(jù)有增無減。6月11日下午，攻擊流量總計已超過100G。實際上07年4月開始，一股黑客攻擊狂潮席卷聯(lián)眾、完美時空等國內(nèi)多家大型網(wǎng)絡(luò)游戲公司。攻擊造成經(jīng)濟損失達上千萬元。事后發(fā)現(xiàn)，此幕后黑手是遐邇防火墻經(jīng)理羅春等人，此事件也是DDOS攻擊首例告破案件?！?/p>

分布式拒絕服務(wù)攻擊使用與普通的拒絕服務(wù)攻擊同樣的方法，但是發(fā)起攻擊的源是多個。通常攻擊者使用下載的工具滲透無保護的主機，當獲得該主機的適當?shù)脑L問權(quán)限后，攻擊者在主機中安裝軟件的服務(wù)或進程(以下簡稱代理或傀儡機)?！　?/p>

這些代理保持睡眠狀態(tài)，直到從它們的主控端得到指令，對指定的目標發(fā)起拒絕服務(wù)攻擊。隨著危害力極強的黑客工具的廣泛傳播使用，分布式拒絕服務(wù)攻擊可以同時對一個目標發(fā)起幾千個攻擊。單個的拒絕服務(wù)攻擊的威力也許對帶寬較寬的站點沒有影響，而分布于全球的幾千個攻擊將會產(chǎn)生致命的后果。

DDoS攻擊一般分為四個階段：　　

第一階段是目標確認：黑客會在互聯(lián)網(wǎng)上鎖定一個企業(yè)網(wǎng)絡(luò)的IP地址。這個被鎖定的IP地址可能代表了企業(yè)的 Web服務(wù)器，DNS服務(wù)器，互聯(lián)網(wǎng)網(wǎng)關(guān)等。而選擇這些目標進行攻擊的目的同樣多種多樣，比如為了賺錢(有人會付費給黑客攻擊某些站點)，或者只是以破壞為樂?！　?/p>

第二個階段是占領(lǐng)傀儡機階段：這一階段實際上是使用了另一大類的攻擊手段：利用形攻擊。簡單地說，就是占領(lǐng)和控制被攻擊的主機。取得最高的管理權(quán)限，或者至少得到一個有權(quán)限完成DDoS攻擊任務(wù)的帳號。黑客想要占領(lǐng)的傀儡機是鏈路狀態(tài)好、性能高、安全性差的主機?！　?/p>

第三個階段植入程序階段：在占領(lǐng)傀儡機之后，黑客在主控端上安裝主控制軟件master;在代理端上安裝守護程序daemon。代理端主機上的守護程序在指定端口上監(jiān)聽來自主控端主機發(fā)送的攻擊命令,而主控端主機接受從攻擊者計算機發(fā)送的指令。為了安全起見,黑客要傀儡機上安裝ROOT KIT程序,使主控制軟件和守護程序本身不被傀儡機的管理員發(fā)現(xiàn)。　　

第四個階段是實際攻擊階段：黑客命令這些計算機利用預(yù)先植入的攻擊工具不斷向攻擊目標發(fā)送數(shù)據(jù)包，使得目標無法處理大量的數(shù)據(jù)或者頻寬被占滿?！　?/p>

到目前為止，進行DDoS攻擊的防御還是比較困難的。這種攻擊的特點是它利用了TCP/IP協(xié)議的漏洞，除非不用TCP/IP，才有可能完全抵御住DDoS攻擊?！　?/p>

即使難于防范，也不是完全沒有辦法，我們必須在以下幾個方面防范DDoS：　　

1、主機上防范　　

使用網(wǎng)絡(luò)和主機掃描工具檢測脆弱性 DDoS能夠成功的關(guān)鍵是在Internet上尋找到大量安全防御措施薄弱的計算機。因此，經(jīng)常使用安全檢測工具檢測網(wǎng)絡(luò)和主機，找出目前存在的安全隱患并給出相應(yīng)的應(yīng)對措施，可以減少甚至避免主機被黑客利用成為傀儡機的可能性。安全掃描工具能夠檢測并刪除主機上被黑客安裝的進行DDoS攻擊的軟件。安全掃描工具應(yīng)該隨著攻擊方式的演變而升級。　　

采用NIDS和嗅探器當系統(tǒng)收到未知地址的可疑流量時，NIDS(Network Intrusion Detection Systems，網(wǎng)絡(luò)入侵檢測系統(tǒng))會發(fā)出報警信號, 提醒系統(tǒng)管理員及時采取應(yīng)對措施，如切斷連接或反向跟蹤等。NIDS的安全策略或規(guī)則應(yīng)該是最新的，并包含當前最新攻擊技術(shù)的特征描述?！　?/p>

嗅探器(sniffer)可用來在網(wǎng)絡(luò)級識別網(wǎng)絡(luò)攻擊行為并成為NIDS原始檢測信息的來源。例如，當黑客修改IP 包的數(shù)據(jù)部分，使其包含某些隱蔽信息，嗅探器就可以探測到這些信息并將此信息提供給有關(guān)人員進行分析，成為采取阻斷、分流惡意流量或追查黑客的依據(jù)。　　

及時更新系統(tǒng)補丁現(xiàn)有的操作系統(tǒng)都有很多漏洞，這很容易讓黑客找到后門，所以及時下載和更新系統(tǒng)補丁也是抵御黑客很重要的一點?！　?/p>

2、網(wǎng)絡(luò)設(shè)備上防范　　

單機上防御主要是減少被作為傀儡機的可能，在路由器上采取防范措施才是抵御DDoS的關(guān)鍵，這里以Cisco路由器為例分析一下阻止攻擊的方法：　　

檢查每一個經(jīng)過路由器的數(shù)據(jù)包在路由器的CEF(Cisco Express Forwarding)表里，某數(shù)據(jù)包所到達網(wǎng)絡(luò)接口的所有路由項中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如，路由器接收到一個源IP地址為a.b.c.d的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址a.b.c.d提供任何路由(即反向數(shù)據(jù)包傳輸時所需的路由)，則路由器會丟棄它?！　?/p>

設(shè)置SYN數(shù)據(jù)包流量速率許多DDoS攻擊采用SYN洪水攻擊的形式，所以有必要在路由器上限制SYN數(shù)據(jù)包流量速率。采用這種方法時必須在進行測量時確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)較大誤差。

[table=95%][tr][td]

rate-limit output access-group 153 45000000 100000 100000 conform-action

transmit exceed-action drop

rate-limit output access-group 152 1000000 100000 100000 conform-action

transmit exceed-action drop

access-list 152 permit tcp any host eq www

access-list 153 permit tcp any host eq www established[/td][/tr][/table]

在邊界路由器上部署策略網(wǎng)絡(luò)管理員可以在邊界路由器上部署過濾策略如下：　　

ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信?！　?/p>

ISP端邊界路由器的訪問控制列表：

access-list 190 permit ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any 　　

access-list 190 deny ip any any [log]

interface 內(nèi)部網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口號　　

ip access-group 190 in

客戶端邊界路由器的訪問控制列表：

access-list 187 deny ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any 　　

access-list 187 permit ip any any

access-list 188 permit ip 客戶端網(wǎng)絡(luò) 客戶端網(wǎng)絡(luò)掩碼 any

access-list 188 deny ip any any

interface 外部網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口號　　

ip access-group 187 in

ip access-group 188 out

使用CAR限制ICMP數(shù)據(jù)包流量速率 CAR(Control Access Rate)，可以用來限制包的流量速率，是實現(xiàn)QoS(Quality of Service，服務(wù)質(zhì)量)一種工具?？梢杂盟鼇硐拗艻CMP包來防止DDoS?！?/p>

rate-limit output access-group 2020 3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

用ACL過濾RFC 1918中列出的所有地址 ACL(Acess Control List，訪問控制列表)，是路由器過濾特定目標地址、源地址、協(xié)議的包的工具，可以用它來過濾掉RFC 1918中列出的所有地址，即私有IP地址(10.0.0.0/8，172.16.0.0/12, 192.168.0.0/16)。

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

搜集證據(jù) 可以為路由器建立log server，建議使用SUN工作站或Linux等高速計算機捕獲數(shù)據(jù)包。常用的數(shù)據(jù)包捕獲工具包括TCPDump和snoop等?；菊Z法為：

tcpdump -i interface -s 1500 -w capture_file

snoop -d interface -o capture_file -s 1500

【編輯推薦】

基礎(chǔ)知識認識了解DDoS攻擊以及防范措施
黑客DDoS攻擊案告破多款網(wǎng)游曾遭攻擊

本文標題：從游戲論壇被攻擊事件看DDoS防范
轉(zhuǎn)載注明：http://fisionsoft.com.cn/article/dhdihed.html

新聞中心

其他資訊