萬盛學電腦網

 萬盛學電腦網 >> 病毒防治 >> 拒絕服務DDos攻擊方式及防御策略

拒絕服務DDos攻擊方式及防御策略

  拒絕服務是一種技術含量低,但攻擊效果明顯的攻擊方式,受到這種攻擊時,服務器或網絡設備長時間不能正常提供服務,並且由於某些網絡通訊協議本身固有的缺陷,難以提出一個行之有效的解決辦法。

  我們的一些關鍵應用,如電子商務、電子政務越來越多地依賴於互聯網進行實施。在當前條件下,如何保障關鍵應用的不間斷服務,尤其是如何防御拒絕服務攻擊,具有相當重要的意義。

  安全漏洞成罪魁禍首

  引用《信息系統安全導論》一書裡的定義,拒絕服務攻擊就是使信息或信息系統的被利用價值和服務能力下降或喪失的攻擊。當然,我們這裡所說的攻擊主要是通過網絡來實現的攻擊。可以這麼理解,凡是導致合法用戶不能訪問正常網絡服務的行為都算是拒絕服務攻擊,也就是說拒絕服務攻擊的目的非常明確,就是要阻斷合法用戶對正常網絡資源的訪問,從而達到攻擊者不可告人的目的。

  拒絕服務攻擊通常基於網絡協議的缺陷或者軟件系統的安全漏洞發起。典型的拒絕服務攻擊以資源耗盡和流量過載為主要表現形式。當一個對資源的合理請求大大超過服務的承受能力時就會造成拒絕服務攻擊,這些資源包括網絡帶寬、文件系統空間容量、開放的進程或者內向的連接。

  應對出新招

  拒絕服務是一種相當難以防范的攻擊,防范拒絕服務攻擊需要我們從全局去部署防御拒絕服務攻擊策略,多種策略聯動防范,將拒絕服務攻擊的危害降至最低,以下總結了多種防范策略的部署方案。

  升級操作系統以及各種網絡應用程序,及時安裝各種補丁,安全設置服務器及網絡設備,避免由於軟件缺陷或者用戶設置不當造成的拒絕服務攻擊;優化路由器設置,關閉不需要的服務,保障路由器自身安全;保障DNS關鍵應用不受拒絕服務攻擊,通過設置安全策略的方式,限制DNS非授權訪問,設置多台輔助DNS服務器。對WEB等應用采用DNS輪詢或者負載均衡方式增加抗拒絕服務能力;在條件不許可的情況下,可以使用多IP主機的方式。優化服務器或者應用程序本身,比如Windows 2000和Windows server 2003操作系統,就具備一定的抵抗拒絕服務攻擊的能力,只是默認狀態下沒有開啟,開啟的話自身就可以抵御10000個SYN攻擊包,若沒有開啟僅能抵御數百個攻擊包。

  對於WEB服務,應盡量避免使用數據庫連接,必須使用數據庫時,應在調用數據庫的腳本中拒絕使用代理的訪問,防止針對數據的連接耗盡型攻擊。同時,大量事實證明,把網站做成靜態頁面,不僅能大大提高抗攻擊能力,同時也大大減少了服務器的負荷開銷。升級網絡帶寬,抵御帶寬耗盡型攻擊。升級網絡設備,使網絡設備不至於在受到攻擊時成為瓶頸。升級服務器,提高服務器處理性能。部署專用抗拒絕服務攻擊設備,以及IDS入侵監測系統。與網絡服務商協作,阻斷攻擊發起點的網絡連接。現階段對於層出不窮的拒絕服務攻擊並沒有100%有效的防御手段,但我們應采取主動措施,未雨綢缪,通過分析各種拒絕服務攻擊的方式,深入地了解拒絕服務攻擊,積極部署防御措施,完全能夠緩解和抵御此類安全威脅。

  作者:kings

【賽迪網-IT技術報道】Win32.PSWTroj.OnLineGames.xn.108627是一個盜號木馬程序。它利用鍵盤記錄的方法,記錄下用戶輸入的全部信息,進行加密後發送給病毒作者。

病毒名稱(中文):鍵盤記錄員108627

威脅級別:★★☆☆☆

病毒類型:偷密碼的木馬

病毒長度:108627

影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為:

這個病毒是一個盜號木馬程序。它利用鍵盤記錄的方法,記錄下用戶輸入的全部信息,進行加密後發送給病毒作者。病毒作者通過一定技術手段,就可以從這些信息中篩選出用戶的各類賬號和密碼。

1.程序運行後,生成文件

%system32%/mmvo.exe%system32%/mmvo0.dll

%Temp%/snj4.dll 這個文件名是隨機的

2.在注冊表中添加了注冊項,如下:

[HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"mmva"="%system32%/mmvo.exe"

3.木馬會自動刪除原文件本身;

4.木馬可以修改SSDT(系統服務調度表),從而躲過各種殺毒軟件查殺的目的;木馬將mmvo0.dll注入到explorer進程中,把病毒文件屬性設置為系統隱藏加只讀,並且監視注冊表的修改,把CheckedValue改成0,讓用戶無法顯示隱藏文件,監視用戶的鼠標,鍵盤操作,從而獲得用戶的游戲賬號和密碼信息,成功獲取信息之後,病毒便將信息加密後以郵件的形式通過SMTP和網頁收信空間發送給木馬作者。

(責任編輯:李磊)

  作者:king

【賽迪網-IT技術報道】Win32.Troj.DownLoaderT.dl.69632是一個木馬下載器程序。它進入用戶系統後會注入到桌面進程explorer.exe 和 登錄管理器進程winlogon.exe中,執行秘密下載。

病毒名稱(中文):武裝下載器69632

威脅級別:★★☆☆☆

病毒類型:木馬下載器

病毒長度:69632

影響系統:Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為:

這是一個木馬下載器程序。它進入用戶系統後會注入到桌面進程explorer.exe和登錄管理器進程winlogon.exe中,執行秘密下載。同時,該木馬會試圖關閉系統自帶的錯誤報告系統和部分殺毒軟件,防止用戶對它進行查殺。

1.關閉系統錯誤報告服務(ERSvc):

修改HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/PCHealth/ErrorReporting的DoReport、ShowUI、ReportBootOk,鍵為0。

2.修改注冊表項,隱藏文件

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL


鍵值:"CheckedValue"=dWord:00000000。    

3.修改日期:

修改系統日期為2005年。

4.創建c:/autorun.inf 文件。

[AutoRun]open=auto.exeshellexecute=auto.exeshell/Auto/command=auto.exe

5.修改注冊表、新建服務,並以服務的方式達到隨機啟動的目的:

HKEY_CURRENT_USER/SYSTEM/CurrentControlSet/Services/dd33gsd2鍵值 : 字串 : "ImagePath"="C:/WINDOWS/system32/dd33gsd2.exe -k"服務名稱: dd33gsd2顯示名稱: dd33gsd2描述: dd33gsd2可執行文件的路徑: C:/WINDOWS/system32/dd33gsd2.exe啟動方式:自動

6.查找對話框窗口,判斷窗口類是否為"Button",窗口名為"是(&Y)",如果是則向該窗口發送左鍵按下消息,以關閉該窗口。

7.查找是否存在KAVStart進程,如果存在則向其"操作"菜單發送"退出"命令。

8.從http://al**a.ve**nx.cn/update.txt下載木馬地址列表。該列表包含了木馬程序的下載地址信息。

(責任編輯:李磊)

copyright © 萬盛學電腦網 all rights reserved