1.SYN Flood 攻击
关于
SYN Flood
攻击。一些恶意的人就为此制造了
SYN Flood
攻击
——
给服务器发了
一个
SYN
后,就下线了,于是服务器需要默认等
63s
才会断开连接,这样,攻击者就可以
把服务器的
syn
连接的队列耗尽,让正常的连接请求不能处理。于是,
Linux
下给了一个叫
tcp_syncookies
的参数来应对这个事
——
当
SYN
队列满了后,
TCP
会通过源地址端口、目
标地址端口和时间戳打造出一个特别的
Sequence Number
发回去(又叫
cookie
),如果是
攻击者则不会有响应,如果是正常连接,则会把这个
SYN Cookie
发回来,然后服务端可
以通过
cookie
建连接(即使你不在
SYN
队列中)。请注意,请先千万别用
tcp_syncookies
来处理正常的大负载的连接的情况。因为,
synccookies
是妥协版的
TCP
协议,并不严谨。
对于正常的请求,你应该调整三个
TCP
参数可供你选择,第一个是:
tcp_synack_retries
可
以用他来减少重试次数;第二个是:
tcp_max_syn_backlog
,可以增大
SYN
连接数;第三
个是:
tcp_abort_on_overflow
处理不过来干脆就直接拒绝连接了。
2. DDOS
攻击
DDoS
攻击是
Distributed Denial of Service
的缩写,即不法黑客组织通过控制服务器等
资源,发动对包括国家骨干网络、重要网络设施、政企或个人网站在内的互联网上任一目标
的攻击,致使目标服务器断网,最终停止提供服务。
预防
:1.
高防服务器 主要是指能独立硬防御
50Gbps
以上的服务器,能够帮助网站拒
绝服务攻击,定期扫描网络主节点等
2.DDoS
清洗会对用户请求数据进行实时监控,及时
发现
DOS
攻击等异常流量,在不影响正常业务开展的情况下清洗掉这些异常流量。
3.CDN
加速 在现实中,
CDN
服务将网站访问流量分配到了各个节点中,这样一方面隐藏网站的
真实
IP
,另一方面即使遭遇
DDoS
攻击,也可以将流量分散到各个节点中,防止源站崩
溃。
3.DNS
欺骗
DNS
欺骗就是攻击者冒充 域名服务器 的一种欺骗行为
预防:
1.
使用入侵检测系统
2.
使用
DNSSEC
4.
重放攻击
重放攻击又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达
到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。
预防:
1.
加随机数
2.
加时间戳
5.SQL
注入
所谓
SQL
注入,就是通过把
SQL
命令插入到
Web
表单
提交或输入域名或页面请求的
查询字符串,最终达到欺骗服务器执行恶意的
SQL
命令。
预防:
1.
加密处理
将用户登录名称、密码等数据加密保存。加密用户输入的数据,然
后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了
“
消毒
”
处理,用户
输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入
SQL
命令。
2.
确保数据库安全
只给访问数据库的
web
应用功能所需的最低的权限,撤销不必要
的公共许可
3.
输入验证
检查用户输入的合法性,确信输入的内容只包含合法的数据。数据
检查应当在客户端和服务器端都执行之所以要执行服务器端验证,是为了弥补客户端验证机
制脆弱的安全性。