| 前言:本人对当今社会之黑暗非常愤恨,常以一个知识分子的情怀写些针砭时弊的文章加以揭露和批判,以影响和唤醒身边被谎言欺骗的人们,进而一起为改良社会 出谋划策和贡献力量。然而,由于文章中常常会出现一些批评天朝的敏感文字,新浪官方迫于某部门的压力,屏蔽了我的部分文章,也不让发布新的时评,我很郁闷 和愤怒,但是我对腾讯的行为表示理解。为使本人的博客丰富多彩,并起到传播知识的作用,我决定从即日起将不定期地上传自创或转载一批技术类文章,希望你能 从中有所收获。
——————————————————————————————————————————
DDOS 攻击翻译成中文是分布式拒绝服务攻击,是DOS攻击的升级版,黑客通过控制一个或多个僵尸网络的计算机并将DDOS客户端代理植入其中,然后在控制端发出 对被攻击目标的攻击指令,这些被控制的电脑将同时、高频次地向被攻击目标发送巨量数据包,导致被攻击目标的系统资源耗尽,无法正常响应合法的访问请求,进 而拒绝提供服务。
DDOS攻击是当前互联网世界里的一颗重磅炸弹,无时无刻不在威胁着互联网的正常运行。DDOS攻击危害性十分巨大,不仅对互联网用户造成干扰,而且还会 造成重大的经济损失。譬如,2009年5月19日无疑是中国互联网史上最黑暗的一天,黑客们对中国电信的DNS服务器发动猛烈的DDOS攻击,这些DNS 服务器为南方六省用户访问互联网提供域名解析服务,由于攻击导致DNS拒绝接受域名解析请求,致使用户无法访问互联网。据报道,这次攻击给中国电信造成了 巨额经济损失,也给广大互联网用户带来极大的麻烦。由此可见,DDOS攻击的威力之大,破坏力之强都是不可想象的,我们必须予以重视,应当强化网络安全管 理,采取措施主动防御,将DDOS攻击控制在萌芽状态,使其危害降至最低。
今年早些时候,黑客对我单位发动了一次凶猛的DDOS攻击,瞬间就造成网络堵塞,业务中断,受影响时间长,波及面大,给我们带来了很大的压力。攻击发生 后,接在主干线路上的所有设备的系统资源迅速消耗殆尽。Ping包时通时断,丢包十分严重,根本无法登录到设备,更别提访问互联网。由于以前没有遇到过类 似的攻击,缺乏应对经验,起初我们并没有意识到是DDOS攻击,一直以为是防火墙的故障,就把防火墙换下来,用一台路由器代替,但故障如初,随即对防火墙 作了检测并确认无问题后挂回到原来位置。换了换思路,把目光投向DNS服务器,重启两台DNS服务器,并对DNS服务进行全面检查并确认正确无误,但是互 联网访问仍然不畅或无法访问。这时,网络已中断数小时,而且又发生在上班时间,业务运营受到冲击,我们的电话响个不停,部门领导亲自督战,倍感压力巨大, 晕头转向,不知所措。幸运的是,部门领导没有指责和谩骂,反而帮我顶住压力,配合我查找问题,现在回想起来还很感动。慌乱中急中生智,想到了用排除法从核 心交换机上逐一拔除网线,拔到OA服务器的网线时,网络奇迹般地恢复正常,问题显然出在这台服务器上,马上断开网络,开始追查“真凶”。经过一番周密的侦 察,在进程里居然藏有一个名称为DDOS的程序,而且这个程序还被放到桌面上,颇为显眼。我想,这个家伙不就是5.19事件的罪魁祸首吗?怎么突破了我单 位部署的安防体系并进入我们的网络,还成功地实施了偷袭?继续往下追查,迷雾被一层层拨开,服务器的Guest帐号被启用,而且还被提升 Administrators的成员,这下可把我们急坏了,担心硬盘上的数据被删除,我们一遍又一遍地检查磁盘,没有发现数据被破坏,心里的石头总算落 地。我们从服务器上删除了这个程序,禁用了Guest用户,并对操作系统进行了加固,然后接通网络,结果一切正常。至此,故障已完全被排除,压力消失,心 生喜悦,痛痛快快地喝了几杯,然后酣然入梦。就这样,一次难忘的反DDOS阻击战以我们胜利告终。
这次DDOS攻击事件落幕后,我仔细地回顾了这次网络攻击的全过程,也对这次网络攻击事件进行了反思。黑客到底是怎样突破坚固的安防体系?又是怎样实现提升Guest权限的?OA服务器是被攻击目标还是黑客控制的“肉鸡”?今后如何防范类似的攻击?
经过检查和分析系统日志后,我判定引起此次网络攻击的原因主要是我单位设备和系统的安全策略和规则设置不够严格,存有被黑客利用的漏洞;对厂商技术支持人 员过于信任,将设备和系统的管理员帐号和密码泄露给对方,给心怀不满的人可趁之机。从攻击的流量和对网络的影响程度看,这次DDOS攻击的目的是要攻跨我 单位的网络,进而影响业务系统的运行,因此可以确定OA服务器应是被攻击的直接目标。Guest权限提升可能由前期厂商技术人员预先设置或黑客通过可执行 远程代码的漏洞完成。通过这次DDOS攻击的处理,我积累了一些防范和应对这类攻击的经验,现将其总结于下:
1、不能将设备和系统的帐号和口令告诉给任何无关人员;
2、对防火墙设置须严格,要限制ping洪、syn洪和udp洪的流量;
3、应在服务器上部署主机防火墙;
4、及时修复系统的漏洞;
5、关闭默认共享;
6、禁用无用的帐号,并对管理员帐号设置高强度密码;
7、禁用所有无关服务;
8;设置系统安全审核成功与失败策略;
9、定期扫描和查杀服务器病毒;
10、不应在服务器上上网,防止木马、插件和移动代码被带入系统;
11、每天检查系统是否有可疑进程;
12、应定期分析和审核系统日志;
13、定期监测135、137、138、139和445端口的使用情况;
|
京ICP备14024464 公安备案号 京1081234