监控安装 ERP

系统集成论坛

 找回密码
 注册通行证

QQ登录

只需一步,快速开始

路由器交换机防火墙系统集成商城 优质产品采购平台
查看: 1452|回复: 6
打印 上一主题 下一主题

怎样有效的预防服务器被攻击

[复制链接]

5

主题

18

帖子

46

积分

实习生

QQ
跳转到指定楼层
1
发表于 2012-8-18 14:57:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
华为金牌代理
在拒绝服务攻击中,攻击者加载过多的服务将对方资源全部使用,使得没有多余资源供其他用户无法使用。SYN Flood攻击是典型的拒绝服务攻击。
  SYN Flood常常是源IP地址欺骗攻击的前奏,又称半开式连接攻击,每当我们进行一次标准的TCP连接就会有一个三次握手的过程,而SYN Flood在它的实现过程中只有三次握手的前两个步骤,当服务方收到请求方的SYN并回送SYN-ACK确认报文后,请求方由于采用源地址欺骗等手段,致使服务方得不到ACK回应,这样,服务方会在一定时间内处于等待接收请求方ACK报文的状态,一台服务器可用的TCP连接是有限的,如果恶意攻击方快速连续的发送此类连接请求,则服务器的系统可用资源、网络可用带宽急剧下降,将无法向其它用户提供正常的网络服务。
  为了防止拒绝服务攻击,我们可以采取以下的预防措施:
  (1) 建议在该网段的路由器上做些配置的调整,这些调整包括限制Syn半开数据包的流量和个数。
  (2)要防止SYN数据段攻击,我们应对系统设定相应的内核参数,使得系统强制对超时的Syn请求连接数据包复位,同时通过缩短超时常数和加长等候队列使得系统能迅速处理无效的Syn请求数据包。
  (3)建议在路由器的前端做必要的TCP拦截,使得只有完成TCP三次握手过程的数据包才可进入该网段,这样可以有效地保护本网段内的服务器不受此类攻击。
  (4)对于信息淹没攻击,我们应关掉可能产生无限序列的服务来防止这种攻击。比如我们可以在服务器端拒绝所有的ICMP包,或者在该网段路由器上对ICMP包进行带宽方面的限制,控制其在一定的范围内。
总之,要彻底杜绝拒绝服务攻击,最好的办法是惟有追根溯源去找到正在进行攻击的机器和攻击者。 要追踪攻击者可不是一件容易的事情,一旦其停止了攻击行为,很难将其发现。惟一可行的方法是在其进行攻击的时候,根据路由器的信息和攻击数据包的特征,采用逐级回溯的方法来查找其攻击源头。这时需要各级部门的协同配合方可有效果。
星石小楠 QQ:2567091695  郑州星石科技有限公司 电话:0371-65701057    www.xshkj.com

5

主题

18

帖子

46

积分

实习生

QQ
2
 楼主| 发表于 2012-8-18 14:57:39 | 只看该作者
华为金牌代理
好帖 顶一个

5

主题

18

帖子

46

积分

实习生

QQ
3
 楼主| 发表于 2012-8-21 11:13:32 | 只看该作者
华为金牌代理
有疑问  请咨询星石科技
Q 2567091695  星石小楠

5

主题

18

帖子

46

积分

实习生

QQ
4
 楼主| 发表于 2012-8-27 10:53:28 | 只看该作者
也该学点儿知识了

5

主题

18

帖子

46

积分

实习生

QQ
5
 楼主| 发表于 2012-8-29 17:14:42 | 只看该作者
都看看吧啊  学习下

5

主题

18

帖子

46

积分

实习生

QQ
6
 楼主| 发表于 2012-9-3 11:52:51 | 只看该作者
郑州星石科技有限公司   www.xshkj.com

5

主题

18

帖子

46

积分

实习生

QQ
7
 楼主| 发表于 2012-9-8 11:21:58 | 只看该作者
星石科技  九月优惠促销活动进心中  w w w . x s h k j . c o m
您需要登录后才可以回帖 登录 | 注册通行证

本版积分规则

联系我们| 手机版|系统集成论坛 ( 京ICP备11008917号 )

GMT+8, 2024-11-27 11:38 , Processed in 0.083160 second(s), 24 queries .

系统集成论坛

BBS.XTJC.COM

快速回复 返回顶部 返回列表