* 被攻擊主機(jī)的系統(tǒng)資源被大量占用,造成系統(tǒng)停頓��;
* 網(wǎng)絡(luò)中充斥著大量的無用的數(shù)據(jù)包����,源地址為假地址;
* 高流量無用數(shù)據(jù)使得網(wǎng)絡(luò)擁塞����,受害主機(jī)無法正常與外界通訊��;
* 利用受害主機(jī)提供的服務(wù)或傳輸協(xié)議上的缺陷�,反復(fù)高速地發(fā)出特定的服務(wù)請求����,
使受害主機(jī)無法及時處理所有正常請求;
* 嚴(yán)重時會造成系統(tǒng)死機(jī)���。
到目前為止�,防范DoS特別是DDoS攻擊仍比較困難��,但仍然可以采取一些措施以降低其產(chǎn)生的危害���。對于中小型網(wǎng)站來說�,可以從以下幾個方面進(jìn)行防范:
主機(jī)設(shè)置:
即加固操作系統(tǒng)����,對各種操作系統(tǒng)參數(shù)進(jìn)行設(shè)置以加強(qiáng)系統(tǒng)的穩(wěn)固性。重新編譯或設(shè)置Linux以及各種BSD系統(tǒng)����、Solaris和Windows等操作系統(tǒng)內(nèi)核中的某些參數(shù),可在一定程度上提高系統(tǒng)的抗攻擊能力。
例如���,對于DoS攻擊的典型種類?SYN Flood���,它利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請求,以造成網(wǎng)絡(luò)無法連接用戶服務(wù)或使操作系統(tǒng)癱瘓��。該攻擊過程涉及到系統(tǒng)的一些參數(shù):可等待的數(shù)據(jù)包的鏈接數(shù)和超時等待數(shù)據(jù)包的時間長度��。因此�,可進(jìn)行如下設(shè)置:
* 關(guān)閉不必要的服務(wù);
* 將數(shù)據(jù)包的連接數(shù)從缺省值128或512修改為2048或更大����,
以加長每次處理數(shù)據(jù)包隊(duì)列的長度,以緩解和消化更多數(shù)據(jù)包的連接���;
* 將連接超時時間設(shè)置得較短,以保證正常數(shù)據(jù)包的連接���,
屏蔽非法攻擊包����;
* 及時更新系統(tǒng)、安裝補(bǔ)丁���。
|
