日期:2009-06-11 13:52:00 来源:本站整理
从游戏论坛被攻击事件看DDoS防备[网络技术]
本文“从游戏论坛被攻击事件看DDoS防备[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
据近日媒体报道,"出名的游戏谈论社群游戏基地与巴哈姆特,辨别遭到DDoS(分布式阻断服务)攻击,其攻击者乃至要求网站配合宣扬,不然将持续攻击,行径令业者咋舌."
拥有众多用户的巴哈姆特与游戏基地网站,自4月27日起额外传出因同时涌现大量联奥秘求招致首页主机当机事件,此中巴哈姆特乃至收到来自网名为wuwebshell的黑客来信,要求巴哈姆特登载其策划的不法在线游戏服务器(私服)广告,不然便会再策动攻击,巴哈姆特回绝后,竟又在28日下午遭到更强盛的攻击,"没见过这么明目张胆的伎俩,"巴哈姆特站长陈建弘(网名Sega)说.
一样遭到DDoS攻击的游戏基地,社长江文忠表示,并未收到近似巴哈姆特所收到的"条件交换"讯息,但表示总机曾接获可疑电话,但当时并未当即处理,在与巴哈姆特沟通后,猜疑攻击应是出自同一人或同一集体之手.
江文忠表示,在攻击最顶峰时,系统曾在十秒内接到一万个以上的联机恳求,且根源遍及世界各地;陈建宏则说,同一时间内曾遭到数千台计算机的攻击,初步断定是黑客策动旗下的殭尸网络(botnet)大军,瘫痪巴哈姆特的服务器.
DDoS攻击带来的威胁已经越来越大.除严重影响以至中止用户的利用外,特别是在游戏行业操纵DDoS的彼此攻击现象已经非常广泛,乃至形成了只有交"保护费"才能免遭攻击的局面,这大大提高了企业运营的门坎,已经对新经济发展造成严重的阻碍.
操纵DDoS举行网络攻击已经不是第一次了,此中最闻名的事件就是遐迩网络攻击游戏网站事件.
07年6月10日晚,北京海淀区,完善时空公司总部遭受黑客攻击.公司技术部工作人员最早发现非常,大量攻击数据忽然从网上涌来,冲向公司网站域名服务器,随后网站瘫痪无法翻开.技术人员随即举行保护和防备,但攻击数占据增无减.6月11日下午,攻击流量总计已超越100G.实际上07年4月开始,一股黑客攻击狂潮席卷联众、完善时空等国内多家大型网络游戏公司.攻击造成经济丧失达上千万元.过后发现,此幕后黑手是遐迩防火墙经理罗春等人,此事件也是DDOS攻击首例告破案件.
分布式回绝服务攻击利用与普通的回绝服务攻击一样的办法,但是发动攻击的源是多个.普通攻击者利用下载的工具浸透无保护的主机,当得到该主机的得当的拜候权限后,攻击者在主机中安装软件的服务或进程(以下简称代理或傀儡机).
这些代理保持就寝状况,直到从它们的主控端得到指令,对指定的目标发动回绝服务攻击.随着危害力极强的黑客工具的遍及传达利用,分布式回绝服务攻击可以同时对一个目标发动几千个攻击.单个的回绝服务攻击的威力大概对带宽较宽的站点没有影响,而分布于环球的几千个攻击将会产生致命的后果.
一个DDoS攻击普通分为四个阶段——
第一阶段是目标确认:黑客会在互联网上锁定一个企业网络的IP地址.这个被锁定的IP地址大概代表了企业的 Web服务器,DNS服务器,互联网网关等.而挑选这些目标举行攻击的目的一样多种多样,比方为了赚钱(有人会付费给黑客攻击某些站点),大概只是以破坏为乐.
第二个阶段是占据傀儡机阶段:这一阶段实际上是利用了另一大类的攻击手段:操纵形攻击.简单地说,就是占据和掌握被攻击的主机.获得最高的管理权限,大概至少得到一个有权限完成DDoS攻击任务的帐号.黑客想要占据的傀儡机是链路状况好、性能高、安全性差的主机.
第三个阶段植入程序阶段:在占据傀儡机之后,黑客在主控端上安装主掌握软件master;在代理端上安装保护程序daemon.代理端主机上的保护程序在指定端口上监听来自主控端主机发送的攻击号令,而主控端主机承受从攻击者计算机发送的指令.为了安全起见,黑客要傀儡机上安装ROOT KIT程序,使主掌握软件和保护程序本身不被傀儡机的管理员发现.
第四个阶段是实际攻击阶段:黑客号令这些计算机操纵预先植入的攻击工具不断向攻击目标发送数据包,使得目标无法处理大量的数据大概频宽被占满.
到目前为止,举行DDoS攻击的防备还是对比艰难的.这种攻击的特点是它操纵了TCP/IP协议的漏洞,除非不用TCP/IP,才有大概完好抵挡住DDoS攻击.
即便难于防备,也不是完好没有办法,我们必须在以下几个方面防备DDoS——
1、主机上防备
利用网络和主机扫描工具检测脆弱性 DDoS可以成功的关键是在Internet上探求到大量安全防备办法柔弱的计算机.因此,常常利用安全检测工具检测网络和主机,找出目前存在的安全隐患并给出呼应的应对办法,可以削减乃至避免主机被黑客操纵成为傀儡机的大概性.安全扫描工具可以检测并删除主机上被黑客安装的举行DDoS攻击的软件.安全扫描工具应当随着攻击方法的演变而进级.
采取NIDS和嗅探器 当系统收到未知地址的可疑流量时,NIDS(Network Intrusion Detection Systems,网络入侵检测系统)会发出报警信号, 提醒系统管理员及时采纳应对办法,如堵截衔接或反向跟踪等.NIDS的安全战略或法则应当是最新的,并包含当前最新攻击技术的特点描写.
嗅探器(sniffer)可用来在网络级辨认网络攻击行为并成为NIDS原始检测信息的根源.比方,当黑客改正IP 包的数据部份,使其包含某些躲藏信息,嗅探器便可以探测到这些信息并将此信息供应应有关人员举行解析, 成为采纳阻断、分流恶意流量或追查黑客的根据.
及时更新系统补钉 现有的操作系统都有很多漏洞,这很简单让黑客找到后门,所以及时下载和更新系统补钉也是抵挡黑客很重要的一点.
2、网络设备上防备
单机上防备主如果削减被作为傀儡机的大概,在路由器上采纳防备办法才是抵挡DDoS的关键,这里以Cisco路由器为例解析一下禁止攻击的办法:
查抄每一个经过路由器的数据包 在路由器的CEF(Cisco Express Forwarding)表里,某数据包所到达网络接口的全部路由项中,假如没有该数据包源IP地址的路由,路由器将丢弃该数据包.比方,路由器接纳到一个源IP地址为a.b.c.d的数据包,假如CEF路由表中没有为IP地址a.b.c.d供应任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它.
设置SYN数据包流量速率 很多DDoS攻击采取SYN大水攻击的情势,所以有必要在路由器上限制SYN数据包流量速率.采取这种办法时必须在举行丈量时确保网络的正常工作以避免呈现较大偏差.
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
在边界路由器上布置战略 网络管理员可以在边界路由器上布置过滤战略以下:
ISP端边界路由器应当只承受源地址属于客户端网络的通信,而客户端网络则应当只承受源地址未被客户端网络过滤的通信.
ISP端边界路由器的拜候掌握列表:
access-list 190 permit ip 客户端网络 客户端网络掩码 any
access-list 190 deny ip any any [log]
interface 内部网络接口 网络接口号
ip access-group 190 in
客户端边界路由器的拜候掌握列表:
access-list 187 deny ip 客户端网络 客户端网络掩码 any
access-list 187 permit ip any any
access-list 188 permit ip 客户端网络 客户端网络掩码 any
access-list 188 deny ip any any
interface 外部网络接口 网络接口号
ip access-group 187 in
ip access-group 188 out
利用CAR限制ICMP数据包流量速率 CAR(Control Access Rate),可以用来限制包的流量速率,是实现QoS(Quality of Service,服务质量)一种工具.可以用它来限制ICMP包来避免DDoS.
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
用ACL过滤RFC 1918中列出的全部地址 ACL(Acess Control List,拜候掌握列表),是路由器过滤特定目标地址、源地址、协议的包的工具,可以用它来过滤掉RFC 1918中列出的全部地址,即私有IP地址(10.0.0.0/8,172.16.0.0/12, 192.168.0.0/16).
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
汇集证据 可认为路由器成立log server,倡议利用SUN工作站或Linux等高速计算机捕捉数据包.常用的数据包捕捉工具包含TCPDump和snoop等.基本语法为:
tcpdump -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500
拥有众多用户的巴哈姆特与游戏基地网站,自4月27日起额外传出因同时涌现大量联奥秘求招致首页主机当机事件,此中巴哈姆特乃至收到来自网名为wuwebshell的黑客来信,要求巴哈姆特登载其策划的不法在线游戏服务器(私服)广告,不然便会再策动攻击,巴哈姆特回绝后,竟又在28日下午遭到更强盛的攻击,"没见过这么明目张胆的伎俩,"巴哈姆特站长陈建弘(网名Sega)说.
一样遭到DDoS攻击的游戏基地,社长江文忠表示,并未收到近似巴哈姆特所收到的"条件交换"讯息,但表示总机曾接获可疑电话,但当时并未当即处理,在与巴哈姆特沟通后,猜疑攻击应是出自同一人或同一集体之手.
江文忠表示,在攻击最顶峰时,系统曾在十秒内接到一万个以上的联机恳求,且根源遍及世界各地;陈建宏则说,同一时间内曾遭到数千台计算机的攻击,初步断定是黑客策动旗下的殭尸网络(botnet)大军,瘫痪巴哈姆特的服务器.
DDoS攻击带来的威胁已经越来越大.除严重影响以至中止用户的利用外,特别是在游戏行业操纵DDoS的彼此攻击现象已经非常广泛,乃至形成了只有交"保护费"才能免遭攻击的局面,这大大提高了企业运营的门坎,已经对新经济发展造成严重的阻碍.
操纵DDoS举行网络攻击已经不是第一次了,此中最闻名的事件就是遐迩网络攻击游戏网站事件.
07年6月10日晚,北京海淀区,完善时空公司总部遭受黑客攻击.公司技术部工作人员最早发现非常,大量攻击数据忽然从网上涌来,冲向公司网站域名服务器,随后网站瘫痪无法翻开.技术人员随即举行保护和防备,但攻击数占据增无减.6月11日下午,攻击流量总计已超越100G.实际上07年4月开始,一股黑客攻击狂潮席卷联众、完善时空等国内多家大型网络游戏公司.攻击造成经济丧失达上千万元.过后发现,此幕后黑手是遐迩防火墙经理罗春等人,此事件也是DDOS攻击首例告破案件.
分布式回绝服务攻击利用与普通的回绝服务攻击一样的办法,但是发动攻击的源是多个.普通攻击者利用下载的工具浸透无保护的主机,当得到该主机的得当的拜候权限后,攻击者在主机中安装软件的服务或进程(以下简称代理或傀儡机).
这些代理保持就寝状况,直到从它们的主控端得到指令,对指定的目标发动回绝服务攻击.随着危害力极强的黑客工具的遍及传达利用,分布式回绝服务攻击可以同时对一个目标发动几千个攻击.单个的回绝服务攻击的威力大概对带宽较宽的站点没有影响,而分布于环球的几千个攻击将会产生致命的后果.
一个DDoS攻击普通分为四个阶段——
第一阶段是目标确认:黑客会在互联网上锁定一个企业网络的IP地址.这个被锁定的IP地址大概代表了企业的 Web服务器,DNS服务器,互联网网关等.而挑选这些目标举行攻击的目的一样多种多样,比方为了赚钱(有人会付费给黑客攻击某些站点),大概只是以破坏为乐.
第二个阶段是占据傀儡机阶段:这一阶段实际上是利用了另一大类的攻击手段:操纵形攻击.简单地说,就是占据和掌握被攻击的主机.获得最高的管理权限,大概至少得到一个有权限完成DDoS攻击任务的帐号.黑客想要占据的傀儡机是链路状况好、性能高、安全性差的主机.
第三个阶段植入程序阶段:在占据傀儡机之后,黑客在主控端上安装主掌握软件master;在代理端上安装保护程序daemon.代理端主机上的保护程序在指定端口上监听来自主控端主机发送的攻击号令,而主控端主机承受从攻击者计算机发送的指令.为了安全起见,黑客要傀儡机上安装ROOT KIT程序,使主掌握软件和保护程序本身不被傀儡机的管理员发现.
第四个阶段是实际攻击阶段:黑客号令这些计算机操纵预先植入的攻击工具不断向攻击目标发送数据包,使得目标无法处理大量的数据大概频宽被占满.
到目前为止,举行DDoS攻击的防备还是对比艰难的.这种攻击的特点是它操纵了TCP/IP协议的漏洞,除非不用TCP/IP,才有大概完好抵挡住DDoS攻击.
即便难于防备,也不是完好没有办法,我们必须在以下几个方面防备DDoS——
1、主机上防备
利用网络和主机扫描工具检测脆弱性 DDoS可以成功的关键是在Internet上探求到大量安全防备办法柔弱的计算机.因此,常常利用安全检测工具检测网络和主机,找出目前存在的安全隐患并给出呼应的应对办法,可以削减乃至避免主机被黑客操纵成为傀儡机的大概性.安全扫描工具可以检测并删除主机上被黑客安装的举行DDoS攻击的软件.安全扫描工具应当随着攻击方法的演变而进级.
采取NIDS和嗅探器 当系统收到未知地址的可疑流量时,NIDS(Network Intrusion Detection Systems,网络入侵检测系统)会发出报警信号, 提醒系统管理员及时采纳应对办法,如堵截衔接或反向跟踪等.NIDS的安全战略或法则应当是最新的,并包含当前最新攻击技术的特点描写.
嗅探器(sniffer)可用来在网络级辨认网络攻击行为并成为NIDS原始检测信息的根源.比方,当黑客改正IP 包的数据部份,使其包含某些躲藏信息,嗅探器便可以探测到这些信息并将此信息供应应有关人员举行解析, 成为采纳阻断、分流恶意流量或追查黑客的根据.
及时更新系统补钉 现有的操作系统都有很多漏洞,这很简单让黑客找到后门,所以及时下载和更新系统补钉也是抵挡黑客很重要的一点.
2、网络设备上防备
单机上防备主如果削减被作为傀儡机的大概,在路由器上采纳防备办法才是抵挡DDoS的关键,这里以Cisco路由器为例解析一下禁止攻击的办法:
查抄每一个经过路由器的数据包 在路由器的CEF(Cisco Express Forwarding)表里,某数据包所到达网络接口的全部路由项中,假如没有该数据包源IP地址的路由,路由器将丢弃该数据包.比方,路由器接纳到一个源IP地址为a.b.c.d的数据包,假如CEF路由表中没有为IP地址a.b.c.d供应任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它.
设置SYN数据包流量速率 很多DDoS攻击采取SYN大水攻击的情势,所以有必要在路由器上限制SYN数据包流量速率.采取这种办法时必须在举行丈量时确保网络的正常工作以避免呈现较大偏差.
rate-limit output access-group 153 45000000 100000 100000 conform-action
transmit exceed-action drop
rate-limit output access-group 152 1000000 100000 100000 conform-action
transmit exceed-action drop
access-list 152 permit tcp any host eq www
access-list 153 permit tcp any host eq www established
在边界路由器上布置战略 网络管理员可以在边界路由器上布置过滤战略以下:
ISP端边界路由器应当只承受源地址属于客户端网络的通信,而客户端网络则应当只承受源地址未被客户端网络过滤的通信.
ISP端边界路由器的拜候掌握列表:
access-list 190 permit ip 客户端网络 客户端网络掩码 any
access-list 190 deny ip any any [log]
interface 内部网络接口 网络接口号
ip access-group 190 in
客户端边界路由器的拜候掌握列表:
access-list 187 deny ip 客户端网络 客户端网络掩码 any
access-list 187 permit ip any any
access-list 188 permit ip 客户端网络 客户端网络掩码 any
access-list 188 deny ip any any
interface 外部网络接口 网络接口号
ip access-group 187 in
ip access-group 188 out
利用CAR限制ICMP数据包流量速率 CAR(Control Access Rate),可以用来限制包的流量速率,是实现QoS(Quality of Service,服务质量)一种工具.可以用它来限制ICMP包来避免DDoS.
rate-limit output access-group 2020 3000000 512000 786000 conform-action
transmit exceed-action drop
access-list 2020 permit icmp any any echo-reply
用ACL过滤RFC 1918中列出的全部地址 ACL(Acess Control List,拜候掌握列表),是路由器过滤特定目标地址、源地址、协议的包的工具,可以用它来过滤掉RFC 1918中列出的全部地址,即私有IP地址(10.0.0.0/8,172.16.0.0/12, 192.168.0.0/16).
ip access-group 101 in
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 permit ip any any
汇集证据 可认为路由器成立log server,倡议利用SUN工作站或Linux等高速计算机捕捉数据包.常用的数据包捕捉工具包含TCPDump和snoop等.基本语法为:
tcpdump -i interface -s 1500 -w capture_file
snoop -d interface -o capture_file -s 1500
以上是“从游戏论坛被攻击事件看DDoS防备[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
| 本文地址: | 与您的QQ/BBS好友分享! |
- 好的评价 如果您觉得此文章好,就请您
0%(0) 
- 差的评价 如果您觉得此文章差,就请您
0%(0) 
中查找“从游戏论坛被攻击事件看DDoS防备”更多相关内容
中查找“从游戏论坛被攻击事件看DDoS防备”更多相关内容评论内容只代表网友观点,与本站立场无关!
评论摘要(共 0 条,得分 0 分,平均 0 分)
查看完整评论