- 侵入机器,使其成为肉鸡。
- 肉鸡选材:网络好,性能好,安全差
- 将肉鸡分成两类--控制机和攻击机,一台控制机控制几十台攻击机,之所以安排控制机是为了让入侵者不被发现:入侵者侵入一台机器后一般会做两件事--留后门和清理日志(这里还要上传DDoS攻击程序),清理与自己相关的日志是个繁琐的事情,有些人甚至将所有日志全部清除(这样受害者只知道被侵入了但不知道是谁侵入的)。那么多肉鸡,万一哪个日志没清除干净受害者就会根据遗留下来的线索找到上一级计算机,如果上一级机器是入侵者的机器那就完了,如果是控制机那仍然安全,而且控制机数量往往很少因此清理日志也比较轻松,因此想从控制机再往上找就比较困难。
- 攻击对象如果规模较大,往往有多个ip做负载均衡,且每个ip内也有交换机将请求分发到下属的主机,所以攻击前一定要搜集好情报,知己知彼。
- 攻击时一定要不留情面一举击溃,要不断监视攻击效果(简单的就是ping对方,能收到回应的话则再加大火力)。
- DDoS攻击程序种类:SYN变种攻击,TCP混乱数据包攻击,针对用UDP协议的攻击,针对WEB Server的多连接攻击,针对WEB Server的变种攻击,针对游戏服务器的攻击。
- 防范DDoS攻击:
- 预防手段:
- 定期扫描网络主节点,查出可能存在的安全漏洞并清理。
- 在骨干节点配置防火墙,在发现受到攻击的时候,可将攻击导向一些牺牲主机。
- 购买足够的机器,很有效,但是要花很多钱。
- 用路由器、防火墙等负载均衡设备保护网络资源,路由器往往最先被攻击,就算挂掉重启下很快就好了,没损失,采用负载均衡设备更好,一台路由器挂掉了,另一台将马上工作。而服务器挂掉的话就会造成数据丢失,且重启很慢。
- 过滤不必要的服务和端口,如WWW服务器只开放80端口,关闭其他所有端口或在防火墙上做阻止策略。
- 通过反向路由器检查访问者的IP地址是否是真,假的则屏蔽。
- 过滤所有RFC1918 IP地址,RFC1918 IP地址是内部网的IP地址,此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤。
- 在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。
- 应对攻击:
- 检查攻击来源,将内部ip地址对应的机器关掉,将外部ip地址在服务器或路由器上过滤掉。
- 找出攻击者所经过的路由,若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。
- 在路由器上滤掉ICMP。虽然这样无法完全消除入侵,可以有效的防止攻击规模的升级。