DDoS实战,无主界服务器的一次攻防

作者: 潘羿 来源: 无主界 编辑: 6月23日
所属分类:生活记录

这一天最终还是来了😂😂

如文章标题所说,近期,无主界网站服务器受到一次网络攻击。攻击规模不大,攻击本身危害程度也不是很高,但确确实实是一次网络攻击。

DDoS实战,无主界服务器的一次攻防

其实这次网络攻击在无主界网站前身《潘羿的个人网站》制作时已经被我预知到了。网站服务器本身攻击手段多种多样。一开始笔者也就是站长没什么经验,突然有一天笔者想到了安全问题,才发现有很多需要注意的点,也就预知了此次攻击。

其实无主界网站一直在被攻击中,平均每天有10次攻击左右,大部分攻击来自欧美地区。这些攻击说实话对网站的影响较少。加上笔者一直对安全十分重视,无主界有一定的防御能力,大多的网络攻击方式笔者也大概清楚,因此笔者并不是很芥蒂,也没必要写些文章来讨论。但是有几个攻击是难以防备的,或者说笔者是毫无办法的,其中就有一个是标题所说的DDoS。

什么是DDOS

根据百度百科:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。

DDoS实战,无主界服务器的一次攻防

其实说白了就是一些并不是真实的人访问占据了服务器的带宽资源。说的再直白点,就好比你是急救车司机,要赶紧把病人送到医院。但偏偏路上堵车了,而且堵得死死的。你很焦虑,下车一看,发现在堵的那些车里面,除了你这辆车以外其他都是没有司机或者司机是假人的“幽灵车”。他们不仅不会动,而且还在不断增加。这些车就充当了一次DDoS,你是一次正常的访问,而医院就是服务器。

此次无主界受到的攻击

此次无主界受到的攻击规模并不大,据笔者推测,主要原因是在于攻击危害性较低。此次攻击手段是利用虚拟客户端的不断链接来妄图塞满整个带宽。虽然确实建立了大量的链接,但是由于很容易判断客户端非真人,因此很快便被服务器自身防火墙防御住。此次虽然连续攻击大约6个小时,但是危害却几乎没有,对服务器资源以及带宽也影响较少。

DDoS实战,无主界服务器的一次攻防

不过这着实给笔者提了个醒,若真的遇到掌握大量僵尸网络的黑客进行DDoS,无主界怕是难以应对。不过也不是没有办法可以尝试应对一下的。

SYN Flood攻击防御

SYN Flood是DDoS攻击的最为常见的一种手段,其实就是这次攻击的手段。。由于它攻击实在简单又易于实现且难于防止和追查,因此SYN Flood用于DDoS的是真的多。自然也就效果不咋地了。以下是Windows防御方式。

首先运行regedit.exe进入注册表,在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters做以下更改(所涉及的值全为十六进制)

DDoS实战,无主界服务器的一次攻防

应该能发现SynAttackProtect的数值,数值类型为REG_DWORD。将值设置为:2。该参数可使TCP调整SYN-ACKS的重新传输,当SynAttackProtect默认值为0(即不采取任何保护措施), 设置为2时,可更有效地抵御SYN攻击此时,如果系统检测到存在SYN攻击,连接响应的超时时间将更短。

1) 修改名为TcpMaxPortsExhausted的数值,没有请自建。数值类型为REG_DWORD,将值设为5。该参数指定触发SYN洪水攻击保护所必须超过的TCP连接请求数的阈值,有效值为0 – 65535。

2) 修改名为TCPMaxHalfOpen的数值,没有请自建。数值类型为REG_DWORD,将值设为500TCPMaxHalfOpen的数值有效值为100 – 65535,在启用SynAttackProtect后,该值指定处于SYN_RCVD状态的TCP连接数的阈值。在超过SynAttackProtect后,将触发SYN洪水攻击保护。

3) 修改名为TCPMaxHalfOpenRetried的数值,没有请自建。数值类型为REG_DWORD,将值设为400TCPMaxHalfOpenRetried数值有效值为 80 – 65535,在启用SynAttackProtect后,该值指定处于至少已发送一次重传的SYN_RCVD状态中的TCP连接数的阈值。在超过SynAttackProtect后,将触发SYN洪水攻击保护。

4) 修改名为KeepAliveTime的数值,没有请自建。数值类型为REG_DWORD,将值设为300000 KeepAliveTime的有效范围1-0xFFFFFFFF(单位为毫秒)。该值控制TCP通过发送“保持活动”的数据包来验证空闲连接仍然完好无损的频率。如果仍能连接到远程计算机,该计算机就会对“保持活动”的数据包作出应答。默认情况下,不发送“保持活动”的数据包。这里我们将其设置为300000(即5分钟)。

5) 建一个名为NoNameReleaseOnDemand的数值,数值类型为REG_DWORD,默认值:0,将值设为1NoNameReleaseOnDemand有效值为01(即False或True)。该值确定计算机在收到名称释放请求时是否释放其NetBIOS名称。添加该值的目的是让服务器能够保护计算机免受恶意的名称释放攻击,如果有其它防护产品的保护功能,可以忽略此项。

评论

您必须登录才能发表评论!