僵尸 *** 攻击无法中断
需要提前拦截僵尸 *** 攻击。
这是由火绒“僵尸 *** 防护”功能发起的病毒攻击拦截,使用火绒进行全盘查杀病毒后,拦截提示不再出现。
僵尸 *** (源自“机器人 *** ”)是一大群受恶意软件感染的互联网连接设备和由单个操作员控制的计算机。攻击者使用这些受感染的设备发起大规模攻击,以破坏服务、窃取凭据并未经授权访问关键系统。僵尸 *** 命令和控制模型允许攻击者接管这些设备的操作以远程控制它们。僵尸 *** 的优势在于包含的受感染机器的数量。攻击者可以远程控制僵尸 *** 并从它们那里接收软件更新,使用这些更新快速改变他们的行为。
如何防御僵尸 *** ?
僵尸 *** 的应对
采用Web过滤服务
Web过滤服务是迎战僵尸 *** 的最有力武器。这些服务扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动,并且阻止这些站点与用户接触。 Websense、Cyveillance 、FaceTime都是很好的例子。它们都可以实时地监视互联网,并查找从事恶意的或可疑的活动的站点,如下载JavaScript或执行screen scrapes等正常Web浏览之外的其它骗局。Cyveillance 和Support Intelligence还提供另外一种服务:通知Web站点操作人员及ISP等恶意软件已经被发现,因此黑客攻击的服务器能被修复,他们如是说。
转换浏览器
防止僵尸 *** 感染的另一种策略是浏览器的标准化,而不是仅仅依靠微软的Internet Explorer 或Mozilla 的Firefox.当然这两者确实是更流行的,不过正因为如此,恶意软件作者们通常也乐意为它们编写代码。同样的策略也适用于操作系统。据统计,Macs很少受到僵尸 *** 的侵扰,正如桌面Linux操作系统,因为大多数僵尸的罪魁祸首都把目标指向了流行的Windows.
禁用脚本
另一个更加极端的措施是完全地禁用浏览器的脚本功能,虽然有时候这会不利于工作效率,特别是如果雇员们在其工作中使用了定制的、基于Web的应用程序时,更是这样。
部署入侵检测和入侵防御系统
另一种 *** 是调整你的IDS(入侵检测系统)和IPS(入侵防御系统),使之查找有僵尸特征的活动。例如,重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。虽然难于发现,不过,另一个可以揭示僵尸的征兆是在一个机器中SSL通信的突然上升,特别是在某些端口上更是这样。这就可能表明一个僵尸控制的通道已经被激活了。您需要找到那些将电子邮件路由到其它服务器而不是路由到您自己的电子邮件服务器的机器,它们也是可疑的。僵尸 *** 的专家Gadi Evron进一步建议,您应该学会监视在高层对Web进行访问的家伙。它们会激活位于一个Web页面上的所有的链接,而一个高层次的访问可能会指明一台机器正被一个恶意的Web站点所控制。 一个IPS或IDS系统可以监视不正常的行为,这些行为指明了难于发现的、基于HTTP的攻击和来自远程过程的攻击、Telnet和地址解析协议(即ARP)欺骗等等。然而,值得注意的是,许多IPS检测器使用基于特征的检测技术,也就是说,这些攻击被发现时的特征被添加到一个数据库中,如果数据库中没有有关的特征就无法检测出来。因此,IPS或IDS就必须经常性的更新其数据库以识别有关的攻击,对于犯罪活动的检测需要持续不断的努力。
保护用户生成的内容
还应该保护你的WEB操作人员,使其避免成为“稀里糊涂”的恶意软件犯罪的帮凶。如果你并没有朝着WEB 2.0社会 *** 迈进,你公司的公共博客和论坛就应该限制为只能使用文本方式,这也是Web Crossing的副总裁Michael Krieg的观点,他是社会化 *** 软件和主机服务的创造者。 Krieg 说,“我并不清楚我们成千上万的用户有哪一个在消息文本中允许了JavaScript,我也不清楚谁在其中嵌入了代码和其它的HTML标签。我们不允许人们这样做。我们的应用程序在默认情况下要将这些东西剥离出去。” Dan Hubbard是Websense安全研究的副总裁,他补充说,“那是用户创建内容站点的一个严重问题,即Web 2.0现象。你怎么才能在允许人们上传内容的强大功能与不允许他们上传不良的东西之间寻求平衡呢?” 这个问题的答案是很明确的。如果你的站点需要让会员或用户交换文件,就应该进行设置,使其只允许有限的和相对安全的文件类型,如那些以。jpeg或mp3为扩展名的文件。(不过,恶意软件的作者们已经开始针对MP3等播放器类型,编写了若干蠕虫。而且随着其技术水平的发现,有可能原来安全的文件类型也会成为恶意软件的帮凶。)
使用补救工具
如果你发现了一台被感染的计算机,那么一个临时应急的重要措施就是如何进行补救。像Symantec等公司都宣称,他们可以检测并清除即使隐藏最深的rootkit感染。Symantec在这里指明了Veritas和VxMS(Veritas Mapping Service)技术的使用,特别是VxMS让反病毒扫描器绕过Windows 的文件系统的API(API是 *** 作系统所控制的,因此易于受到rootkit的操纵)。其它的反病毒厂商也都试图保护系统免受rootkit的危害,如McAfee 和FSecure等。 不过,Evron认为,事后进行的检测所谓的恶意软件真是一个错误!因为它会使IT专家确信他们已经清除了僵尸,而其实呢,真正的僵尸代码还驻留在计算机上。他说,“反病毒并非是一个解决方案,因为它是一个自然的反应性的东西。反病毒能够识别有关的问题,因而反病毒本身也会 *** 纵、利用。” 这并不是说你不应该设法实施反病毒软件中更好的对付rootkit的工具,不过你要注意这样做就好似是在你丢失了贵重物品后再买个保险箱而已。用一句成语讲,这就叫做“亡羊补牢”。Evron相信,保持一台计算机绝对安全干净、免受僵尸感染的 *** 是对原有的系统彻底清楚,并从头开始安装系统。 不要让你的用户访问已知的恶意站点,并监视 *** 中的可疑行为,保护你的公共站点免受攻击,你的 *** 就基本上处于良好状态。这是安全专家们一致的观点。 可以注意到,如果一个 *** 工作人员对于 *** 安全百思不得其解,并会油然而生这样一种感觉,‘我应该怎么对付这些数以百万的僵尸呢?’。“其实,答案非常简单。正如,FaceTime 的恶意软件研究主管Chris Boyd所言,”只需断开你的 *** ,使其免受感染─病毒、木马、间谍软件或广告软件等……。将它当作一台PC上的一个流氓文件来进行清除(不过,谁又能保证真正清除干净呢?)。这就是你需要做的全部事情。
如果电脑被 *** 僵尸攻击,应该怎么办?应如何防御?
僵尸 *** 防御 ***
如果一台计算机受到了一个僵尸 *** 的DoS攻击,几乎没有什么选择。一般来说,僵尸 *** 在地理上是分布式的,我们难于确定其攻击计算机的模式。
被动的操作系统指纹识别可以确认源自僵尸 *** 的攻击, *** 管理员可以配置防火墙设备,使用被动的操作系统指纹识别所获得的信息,对僵尸 *** 采取行动。更佳的防御措施是利用安装有专用硬件的入侵防御系统。
一些僵尸 *** 使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。虽然这些免费的DNS服务自身并不发动攻击,但却提供了参考点。清除这些服务可以破坏整个僵尸 *** 。近来,有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”,因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。
前述的僵尸服务器结构有着固有的漏洞和问题。例如,如果发现了一个拥有僵尸 *** 通道的服务器,也会暴露其它的所有服务器和其它僵尸。如果一个僵尸 *** 服务器缺乏冗余性,断开服务器将导致整个僵尸 *** 崩溃。然而,IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性,所以发现一个通道未必会导致僵尸 *** 的消亡。
基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于 *** 的 *** 逐渐使用上述技术来关闭僵尸 *** 赖以生存的服务器,如“空路由”的DNS项目,或者完全关闭IRC服务器。
但是,新一代的僵尸 *** 几乎完全都是P2P的,将命令和控制嵌入到僵尸 *** 中,通过动态更新和变化,僵尸 *** 可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥,才能读取僵尸 *** 所捕获的数据。
必须指出,新一代僵尸 *** 能够检测可以分析其工作方式的企图,并对其作出响应。如大型的僵尸 *** 在检测到自己正在被分析研究时,甚至可以将研究者从 *** 中断开。所以单位需要专业的僵尸 *** 解决
僵尸 *** 解决方案
好消息是在威胁不断增长时,防御力量也在快速反应。如果你是一家大型企业的负责人,你可以使用一些商业产品或开源产品,来对付这些威胁。
首先是FireEye的产品,它可以给出任何攻击的清晰视图,而无需求助于任何签名。FireEye的虚拟机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸 *** 节点,阻止其与客户端 *** 的通信。这使得客户的IT人员在FireEye发现僵尸 *** 攻击时就可以采取行动,然后轻松地重新构建被感染的系统。在 *** 访问不太至关重要时,可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸 *** 。这家公司的Failsafe解决方案能够确认企业 *** 内的受损害的主机,而无需使用签名技术或基于行为的技术。此外,SecureWorks和eEye Digital Security也拥有自己对付僵尸 *** 的专用技术。
著名的大型公司,如谷歌等,不太可能被僵尸 *** 击垮。其原因很简单,它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式 *** ,而这几乎是不太可能的,因为这种 *** 可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击,如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。
不过,由于DDoS攻击活动太容易被发现而且强度大,防御者很容易将其隔离并清除僵尸 *** 。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。
电脑中了僵尸 *** 怎么办?
之一剑:采用Web过滤服务
Web过滤服务是迎战僵尸 *** 的最有力武器。这些服务扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动,并且阻止这些站点与用户接触。
第二剑:转换浏览器
防止僵尸 *** 感染的另一种策略是浏览器的标准化,而不是仅仅依靠微软的Internet Explorer 或Mozilla 的Firefox。当然这两者确实是更流行的,不过正因为如此,恶意软件作者们通常也乐意为它们编写代码。
第三剑:禁用脚本
另一个更加极端的措施是完全地禁用浏览器的脚本功能,虽然有时候这会不利于工作效率,特别是如果雇员们在其工作中使用了定制的、基于Web的应用程序时,更是这样。
第四剑:部署入侵检测和入侵防御系统
另一种 *** 是调整你的IDS(入侵检测系统)和IPS(入侵防御系统),使之查找有僵尸特征的活动。例如,重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。另一个可以揭示僵尸的征兆是在一个机器中SSL通信的突然上升,特别是在某些端口上更是这样。这就可能表明一个僵尸控制的通道已经被激活了。您需要找到那些将电子邮件路由到其它服务器而不是路由到您自己的电子邮件服务器的机器,它们也是可疑的。
第五剑:保护用户生成的内容
还应该保护你的WEB操作人员,使其避免成为“稀里糊涂”的恶意软件犯罪的帮凶。如果你并没有朝着WEB 2.0社会 *** 迈进,你公司的公共博客和论坛就应该限制为只能使用文本方式。如果你的站点需要让会员或用户交换文件,就应该进行设置,使其只允许有限的和相对安全的文件类型,如那些以.jpeg或mp3为扩展名的文件。(不过,恶意软件的作者们已经开始针对MP3等播放器类型,编写了若干蠕虫。而且随着其技术水平的发现,有可能原来安全的文件类型也会成为恶意软件的帮凶。)
第六剑:使用补救工具
如果你发现了一台被感染的计算机,那么一个临时应急的重要措施就是如何进行补救。像Symantec等公司都宣称,他们可以检测并清除即使隐藏最深的rootkit感染。Symantec在这里指明了Veritas和VxMS(Veritas Mapping Service)技术的使用,特别是VxMS让反病毒扫描器绕过Windows 的文件系统的API。(API是 *** 作系统所控制的,因此易于受到rootkit的操纵)。其它的反病毒厂商也都试图保护系统免受rootkit的危害,如McAfee 和FSecure等。
如何防御僵尸 *** 对网站服务器80端口的不断攻击?
解读DDOS及防御DDOS攻击指南
一、为何要DDOS?
随着Internet互联 *** 带宽的增加和多种DDOS黑客工具的不断发布,DDOS拒绝服务攻击的实施越来越容易,DDOS攻击事件正在成上升趋势。出于商业竞争、打击报复和 *** 敲诈等多种因素,导致很多IDC托管机房、商业站点、游戏服务器、聊天 *** 等 *** 服务商长期以来一直被DDOS攻击所困扰,随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题,因此,解决DDOS攻击问题成为 *** 服务商必须考虑的头等大事。
二、什么是DDOS?
DDOS是英文Distributed Denial of Service的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(Denial of Service)呢?可以这么理解,凡是能导致合法用户不能够访问正常 *** 服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常 *** 资源的访问,从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击,但是DDOS和DOS还是有所不同,DDOS的攻击策略侧重于通过很多“僵尸主机”(被攻击者入侵过或可间接利用的主机)向受害主机发送大量看似合法的 *** 包,从而造成 *** 阻塞或服务器资源耗尽而导致拒绝服务,分布式拒绝服务攻击一旦被实施,攻击 *** 包就会犹如洪水般涌向受害主机,从而把合法用户的 *** 包淹没,导致合法用户无法正常访问服务器的 *** 资源,因此,拒绝服务攻击又被称之为“洪水式攻击”,常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS则侧重于通过对主机特定漏洞的利用攻击导致 *** 栈失效、系统崩溃、主机死机而无法提供正常的 *** 服务功能,从而造成拒绝服务,常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言,危害较大的主要是DDOS攻击,原因是很难防范,至于DOS攻击,通过给主机服务器打补丁或安装防火墙软件就可以很好地防范,后文会详细介绍怎么对付DDOS攻击。
三、被DDOS了吗?
DDOS的表现形式主要有两种,一种为流量攻击,主要是针对 *** 带宽的攻击,即大量攻击包导致 *** 带宽被阻塞,合法 *** 包被虚假的攻击包淹没而无法到达主机;另一种为资源耗尽攻击,主要是针对服务器主机的攻击,即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供 *** 服务。
如何判断网站是否遭受了流量攻击呢?可通过Ping命令来测试,若发现Ping超时或丢包严重(假定平时是正常的),则可能遭受了流量攻击,此时若发现和你的主机接在同一交换机上的服务器也访问不了了,基本可以确定是遭受了流量攻击。当然,这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽,否则可采取Telnet主机服务器的 *** 服务端口来测试,效果是一样的。不过有一点可以肯定,假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是严重丢包,那么假如可以排除 *** 故障因素的话则肯定是遭受了流量攻击,再一个流量攻击的典型现象是,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
相对于流量攻击而言,资源耗尽攻击要容易判断一些,假如平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问了,而Ping还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机Ping不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,其实带宽还是有的,否则就Ping不通接在同一交换机上的主机了。
当前主要有三种流行的DDOS攻击:
1、SYN/ACK Flood攻击:
这种攻击 *** 是经典最有效的DDOS *** ,可通杀各种系统的 *** 服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源都是伪造的故追踪起来比较困难,缺点是实施起来有一定难度,需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问,但却可以Ping的通,在服务器上用Netstat -na命令会观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失败、TCP/IP栈失效,并会出现系统凝固现象,即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。
2、TCP全连接攻击:
这种攻击是为了绕过常规防火墙的检查而设计的,一般情况下,常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力,但对于正常的TCP连接是放过的,殊不知很多 *** 服务程序(如:IIS、Apache等Web服务器)能接受的TCP连接数是有限的,一旦有大量的TCP连接,即便是正常的,也会导致网站访问非常缓慢甚至无法访问,TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接,直到服务器的内存等资源被耗尽而被拖跨,从而造成拒绝服务,这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的,缺点是需要找很多僵尸主机,并且由于僵尸主机的IP是暴露的,因此容易被追踪。
3、刷Script脚本攻击:
这种攻击主要是针对存在ASP、 *** P、PHP、CGI等脚本程序,并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的,特征是和服务器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用,典型的以小博大的攻击 *** 。一般来说,提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的,而服务器为处理此请求却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库服务器很少能支持数百个查询指令同时执行,而这对于客户端来说却是轻而易举的,因此攻击者只需通过Proxy *** 向主机服务器大量递交查询指令,只需数分钟就会把服务器资源消耗掉而导致拒绝服务,常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护,轻松找一些Proxy *** 就可实施攻击,缺点是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。
四、怎么抵御DDOS?
对付DDOS是一个系统工程,想仅仅依靠某种系统或产品防住DDOS是不现实的,可以肯定的是,完全杜绝DDOS目前是不可能的,但通过适当的措施抵御90%的DDOS攻击是可以做到的,基于攻击和防御都有成本开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击成本,那么绝大多数攻击者将无法继续下去而放弃,也就相当于成功的抵御了DDOS攻击。以下为笔者多年以来抵御DDOS的经验和建议,和大家分享!
1、采用高性能的 *** 设备
首先要保证 *** 设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和 *** 提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在 *** 接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。
2、尽量避免NAT的使用
无论是路由器还是硬件防护墙设备要尽量避免采用 *** 地址转换NAT的使用,因为采用此技术会较大降低 *** 通信能力,其实原因很简单,因为NAT需要对地址来回转换,转换过程中需要对 *** 包的校验和进行计算,因此浪费了很多CPU的时间,但有些时候必须使用NAT,那就没有好办法了。
3、充足的 *** 带宽保证
*** 带宽直接决定了能抗受攻击的能力,假若仅仅有10M带宽的话,无论采取什么措施都很难对抗现在的SYNFlood攻击,当前至少要选择100M的共享带宽,更好的当然是挂在1000M的主干上了。但需要注意的是,主机上的网卡是1000M的并不意味着它的 *** 带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为 *** 服务商很可能会在交换机上限制实际带宽为10M,这点一定要搞清楚。
4、升级主机服务器硬件
在有 *** 带宽保证的前提下,请尽量提升硬件配置,要有效对抗每秒10万个SYN攻击包,服务器的配置至少应该为:P4 2.4G/DDR512M/SCSI-HD,起关键作用的主要是CPU和内存,若有志强双CPU的话就用它吧,内存一定要选择DDR的高速内存,硬盘要尽量选择SCSI的,别只贪IDE价格不贵量还足的便宜,否则会付出高昂的性能代价,再就是网卡一定要选用3COM或Intel等名牌的,若是Realtek的还是用在自己的PC上吧。
5、把网站做成静态页面
大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦,至少到现在为止关于HTML的溢出还没出现,看看吧!新浪、搜狐、网易等门户网站主要都是静态页面,若你非需要动态脚本调用,那就把它弄到另外一台单独主机去,免的遭受攻击时连累主服务器,当然,适当放一些不做数据库调用脚本还是可以的,此外,更好在需要调用数据库的脚本中拒绝使用 *** 的访问,因为经验表明使用 *** 访问你网站的80%属于恶意行为。
6、增强操作系统的TCP/IP栈
Win2000和Win2003作为服务器操作系统,本身就具备一定的抵抗DDOS攻击的能力,只是默认状态下没有开启而已,若开启的话可抵挡约10000个SYN攻击包,若没有开启则仅能抵御数百个,具体怎么开启,自己去看微软的文章吧!《强化 TCP/IP 堆栈安全》。也许有的人会问,那我用的是Linux和FreeBSD怎么办?很简单,按照这篇文章去做吧!《SYN Cookies》
0条大神的评论