伺服器安全防範斷絕服務被攻擊的妙招!!
目前伺服器中有一種攻擊讓天堂私服管理員最為頭疼,
那就是斷絕服務攻擊,簡稱DOS和DDOS。
它是一種濫用資源性的攻擊,
目的就是利用自身的資源通過一種放大或不對等的方式來達到消耗對方資源的目的。
同一時刻很多不同的IP對伺服器進行訪問造成服務器的服務失效甚至當機。
今天就介紹管理服務器的幾個簡單防範方法,
雖然不能徹底防護,但在與DDOS的戰鬥中可以最大限度降低損失。
1、如何發現攻擊
在伺服器上可以通過CPU使用率和記憶體使用率簡單有效的查看伺服器當前負載情況,
如果發現伺服器突然超負載運作,性能突然降低,這就有可能是受攻擊的徵兆。
不過也可能是正常訪問網站人數增加的原因。如何區分這兩種情況呢?
按照下面兩個原則即可確定受到了攻擊。
(1)網站的數據流量突然超出平常的十幾倍甚至上百倍,
而且同時到達網站的數據分別來自大量不同的IP。
(2)大量到達的數據(包括TCP和UDP)並不是網站服務連接的一部分,
往往指向你機器任意的端口。比如你的網站是Web伺服器,
而數據卻發向你的FTP端口或其它任意的端口。
2、BAN IP地址法
確定自己受到攻擊後就可以使用簡單的屏蔽IP的方法將DOS攻擊化解。
對於DOS攻擊來說這種方法非常有效,因為DOS往往來自少量IP地址,
而且這些IP地址都是虛構的偽裝的。
在伺服器或路由器上斷絕攻擊者IP後就可以有效的防範DOS的攻擊。
不過對於DDOS來說則比較麻煩,需要我們對IP地址分析,將真正攻擊的IP地址斷絕。
不論是對付DOS還是DDOS都需要我們在伺服器上安裝相應的防火牆,
然後根據防火牆的日誌分析來訪者的IP,
發現訪問量大的異常IP段就可以添加相應的規則到防火牆中實施過濾了。
當然直接在伺服器上過濾會耗費服務器的一定系統資源,
所以目前比較有效的方法是在伺服器上通過防火牆日誌定位非法IP段,
然後將過濾添加到路由器上。
例如:我們發現進行DDOS攻擊的非法IP段為211.153.0.0 255.255.0.0,
而伺服器的地址為61.153.5.1。
那麼可以登錄伺服器路由器添加如下語句的訪問控制列表進行過濾。
cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0,
這樣就實現了將211.153.0.0 255.255.0.0的非法IP過濾的目的。
小提示:在訪問控制列表中表示子網掩碼需要使用反向掩碼,
也就是說0.0.255.255表示子網掩碼為255.255.0.0 。
3、增加SYN緩存法
上面提到的BAN IP法雖然可以有效的防止DOS與DDOS的攻擊,
但由於使用了屏蔽IP功能,自然會誤將某些正常訪問的IP也過濾掉。
所以在遇到小型攻擊時不建議大家使用上面介紹的BAN IP法。
我們可以通過修改SYN緩存的方法防禦小型DOS與DDOS的攻擊。
修改SY緩存大小是通過註冊表的相關鍵值完成的。
將為各位讀者介紹在WINDOWS2003和2000中的修改方法。
(1)WIN2003下拒絕訪問攻擊的防範:
第一步:“開始->運行->輸入regedit”進入註冊表編輯器。
第二步:找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services,
在其下的有個SynAttackProtect鍵值。
默認為0將其修改為1可更有效地防禦SYN攻擊。
小提示:該參數可使TCP調整SYN-ACKS的重新傳輸。
將SynAttackProtect設置為1時,如果系統檢測到存在SYN攻擊,
連接響應的超時時間將更短。
第三步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下EnableDeadGWDetect鍵值,將其修改為0。
該設置將禁止SYN攻擊伺服器後強迫伺服器修改網端從而使服務暫停。
第四步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下EnablePMTUDiscovery鍵值,將其修改為0。
這樣可以限定攻擊者的MTU大小,降低服務器總體負荷。
第五步:將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下KeepAliveTime設置為300,000。
將NoNameReleaseOnDemand設置為1。
(2)WIN2000下拒絕訪問攻擊的防範:
在WIN2000下拒絕訪問攻擊的防範方法和2003基本相似,
只是在設置數值上有些區別。我們做下簡單介紹。
第一步:將SynAttackProtect設置為2。
第二步:將EnableDeadGWDetect設置為0。
第三步:將EnablePMTUDiscovery設置為0。
第四步:將KeepAliveTime設置為300000。
第五步:將NoNameReleaseOnDemand設置為1。
總結:經過上面介紹的察覺攻擊法,
BAN IP法和最後的修改註冊表法可以有效的防範DOS與DDOS的攻擊。
不過由於DDOS攻擊的特點,實際上沒有一台服務器能夠徹底防範它,
即使安裝了專業的防範DDOS的硬件防火牆也不能百分之百的避免損失。
今天介紹的幾個方法只是免費的防範手段,實際中能起到一定的效果。
攻防之道九大入侵檢測系統風險及對策
入侵檢測系統(以下簡稱“IDS系統”)能夠及時發現一些內聯網內的網絡病毒、
系統漏洞、異常攻擊等高風險事件並進行有效處置,
從而增強了內聯網的安全性,有力地保障了各重要業務系統的正常運行。
為了切實加強管理、充分發揮“IDS系統”的作用,
下面根據安全監控高風險事件來分析問題、提出對策,以供大家參考。
事件1、Windows 2000/XP RPC服務遠程拒絕服務攻擊
漏洞存在於Windows系統的DCE-RPC堆棧實現中,
遠程攻擊者可以連接TCP 135端口,發送畸形數據,
可導致關閉RPC服務,
關閉RPC服務可以引起系統停止對新的RPC請求進行響應,產生拒絕服務。
[對策]
1、臨時處理方法:
使用防火牆或Windows系統自帶的TCP/IP過濾機制對TCP 135端口進行限制,
限制外部不可信任主機的連接。
2、徹底解決辦法:打安全補丁。
事件2、Windows系統下MSBLAST(衝擊波)蠕蟲傳播
感染蠕蟲的計算機試圖掃描感染網路上的其他主機,
消耗主機本身的資源及大量網絡帶寬,造成網路訪問能力急劇下降。
[對策]
1、下載完補丁後斷開網絡連接再安裝補丁。
2、清除蠕蟲病毒。
事件3、Windows系統下Sasser(震蕩波)蠕蟲傳播
蠕蟲攻擊會在系統上留下後門並可能導致Win 2000/XP操作系統重啟,
蠕蟲傳播時可能導致被感染主機系統性能嚴重下降以及被感染網絡帶寬被大量佔用。
[對策]
1、首先斷開電腦網絡。
2、然後用專頁防毒木馬查殺病毒與木馬。
3、最後打系統補丁
事件4、TELNET服務用戶認證失敗
TELNET服務往往是攻擊者入侵系統的渠道之一。
大多數情況下,合法用戶在TELNET登錄過程中會認證成功。
如果出現用戶名或密碼無效等情況,TELNET服務器會使認證失敗。
如果登錄用戶名為超級用戶,則更應引起重視,
檢查訪問來源是否合法。如果短時間內大量出現TELNET認證失敗響應,
則說明主機可能在遭受暴力猜測攻擊。
[對策]
1、檢查訪問來源的IP、認證用戶名及密碼是否符合安全策略。
2、密切關注FTP客戶端大量失敗認證的來源地址的活動,
如果覺得有必要,可以暫時禁止此客戶端源IP地址的訪問。
事件5、TELNET服務用戶密碼認證
攻擊者可能利用掃描軟件或人工猜測到TELNET服務的密碼,
從而非法獲得FTP服務的訪問,
也可能結合TELNET服務器的本地其他漏洞獲取主機的控制權。
[對策]
1、提醒或強制相關的TELNET服務用戶設置複雜的密碼。
2、設置安全策略,定期強制用戶更改自己的密碼。
事件6、Microsoft SQL 客戶端SA用戶默認密碼連接
Microsoft SQL數據庫默認安裝時存在sa用戶密碼為空的問題,
遠程攻擊者可能利用這個漏洞登錄到數據庫服務器對數據庫進行任意操作。
更危險的是由大多數MS-SQL的安裝採用集成Windows系統認證的方式,
遠程攻擊者利用密登錄到SQL服務器後,
可以利用MS-SQL的某些轉儲過程,
如xp_cmdshell等以LocalSystem的權限在主機上執行任意命令,
從而取得主機的完全控制。
[對策]
1、系統的安全模式盡量使用“Windows NT only”模式,
這樣只有信任的電腦才能連上資料庫。
2、為sa賬號設置一個強壯的密碼;
3、不使用TCP/IP網絡協議,改用其他網絡協議。
4、如果使用TCP/IP網絡協議,
最好將其默認端口1433改為其他端口,這樣攻擊者用掃描器就不容易掃到。
事件7、POP3服務暴力猜測密碼攻擊
POP3服務是常見網絡郵件收取協議。
發現大量的POP3登錄失敗事件,
攻擊者可能正在嘗試猜測有效的POP3服務用戶名和密碼,
如果成功,攻擊者可能利用POP3服務本身漏洞或結合其他服務相關的漏洞,
進一步侵害系統,也可能讀取用戶的郵件,造成敏感信息洩露。
[對策]
密切留意攻擊來源的進一步活動,如果覺得有必要斷絕其對服務器的連接訪問。
事件8、POP3服務接收可疑病毒郵件
當前通過郵件傳播的病毒、蠕蟲日益流行,
其中一些郵件病毒通過發送帶有可執行的附件誘使用戶點擊執行來傳播,
常見的病毒附件名後綴有:.pif、.scr、.bat、.cmd 、.com ,
帶有這些後綴文件名附件的郵件通常都是偽裝成普通郵件的病毒郵件。
郵件病毒感染了主機以後,
通常會向郵件客戶端軟件中保存的其他用戶郵件地址發送相同的病毒郵件以擴大傳染面。
此事件表示IDS檢測到接收帶可疑病毒附件郵件的操作,
郵件的接收者很可能會感染某種郵件病毒,需要立即處理。
[對策]
1、通知隔離檢查發送病毒郵件的主機,使用殺毒軟件殺除系統上感染的病毒。
2、在郵件服務器上安裝病毒郵件過濾軟件,在用戶接收之前就殺除之。
事件9、Microsoft Windows LSA服務遠程緩衝區溢出攻擊
Microsoft Windows LSA是本地安全授權服務(LSASRV.DLL)。
LSASS DCE/RPC末端導出的Microsoft活動目錄服務存在一個緩衝區溢出,
遠程攻擊者可以利用這個漏洞以SYSTEM權限在系統上執行任意指令。
[對策]
1、臨時處理方法:
使用防火牆對UDP端口135、137、138、445及TCP端口135、139、445、593進行過濾。
2、打系統補丁、升級。
這樣就可以了!!
以上供大家參考~若伺服器軟體更新或升級操作方法有可能有所不同!!
