怎么防止黑客入侵_怎么防止黑客入侵dos

如何防止黑客的DDoS攻击？

目前，使用ADSL的用户越来越多，由于ADSL用户在线时间长、速度快，因此成为 黑客 们的攻击目标。现在网上出现了各种越来越详细的“IP地址库”，要知道一些ADSL用户的IP是非常容易的事情。要怎么保卫自己的 *** 安全呢？不妨看看以下 *** 。

一、取消文件夹隐藏共享

如果你使用了Windows 2000/XP系统，右键单击C盘或者其他盘，选择"共享"，你会惊奇地发现它已经被设置为“共享该文件夹”，而在“网上邻居”中却看不到这些内容，这是怎么回事呢？

原来，在默认状态下，Windows 2000/XP会开启所有分区的隐藏共享，从“控制面板/管理工具/计算机管理”窗口下选择“系统工具/共享文件夹/共享”，就可以看到硬盘上的每个分区名后面都加了一个“$”。但是只要键入“\\计算机名或者IP\C$”，系统就会询问用户名和密码，遗憾的是，大多数个人用户系统Administrator的密码都为空，入侵者可以轻易看到C盘的内容，这就给 *** 安全带来了极大的隐患。

怎么来消除默认共享呢？ *** 很简单，打开 注册表 编辑器，进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Sevices\Lanmanworkstation\

parameters”，新建一个名为“AutoShareWKs”的双字节值，并将其值设为“0”，然后重新启动电脑，这样共享就取消了。

二、拒绝 恶意代码

恶意网页成了宽带的更大威胁之一。以前使用Modem，因为打开网页的速度慢，在完全打开前关闭恶意网页还有避免中招的可能性。现在宽带的速度这么快，所以很容易就被恶意网页攻击。

一般恶意网页都是因为加入了用编写的恶意代码才有破坏力的。这些恶意代码就相当于一些小程序，只要打开该网页就会被运行。所以要避免恶意网页的攻击只要禁止这些恶意代码的运行就可以了。

运行IE浏览器，点击“工具/Internet选项/安全/自定义级别”，将安全级别定义为“安全级-高”，对“ActiveX控件和插件”中第2、3项设置为“禁用”，其它项设置为“提示”，之后点击“确定”。这样设置后，当你使用IE浏览网页时，就能有效避免恶意网页中恶意代码的攻击。

三、封死黑客的“后门”

俗话说“无风不起浪”，既然黑客能进入，那说明系统一定存在为他们打开的“后门”，只要堵死这个后门，让黑客无处下手，便无后顾之忧！

1.删掉不必要的协议

对于服务器和主机来说，一般只安装TCP/IP协议就够了。鼠标右击“ *** 邻居”，选择“属性”，再鼠标右击“本地连接”，选择“属性”，卸载不必要的协议。其中NETBIOS是很多安全缺陷的根源，对于不需要提供文件和打印共享的主机，还可以将绑定在TCP/IP协议的NETBIOS关闭，避免针对NETBIOS的攻击。选择“TCP/IP协议/属性/高级”，进入“高级TCP/IP设置”对话框，选择“WINS”标签，勾选“禁用TCP/IP上的NETBIOS”一项，关闭NETBIOS。

2.关闭“文件和打印共享”

文件和打印共享应该是一个非常有用的功能，但在不需要它的时候，也是黑客入侵的很好的安全漏洞。所以在没有必要“文件和打印共享”的情况下，我们可以将它关闭。用鼠标右击“ *** 邻居”，选择“属性”，然后单击“文件和打印共享”按钮，将弹出的“文件和打印共享”对话框中的两个复选框中的钩去掉即可。

虽然“文件和打印共享”关闭了，但是还不能确保安全，还要修改注册表，禁止它人更改“文件和打印共享”。打开注册表编辑器，选择“HKEY_CURRENT_USER\Software\ Microsoft \Windows\CurrentVersion\Policies\NetWork”主键，在该主键下新建DWORD类型的键值，键值名为“NoFileSharingControl”，键值设为“1”表示禁止这项功能，从而达到禁止更改“文件和打印共享”的目的；键值为“0”表示允许这项功能。这样在“ *** 邻居”的“属性”对话框中“文件和打印共享”就不复存在了。

3.把Guest账号禁用

有很多入侵都是通过这个账号进一步获得管理员密码或者权限的。如果不想把自己的计算机给别人当玩具，那还是禁止的好。打开控制面板，双击“用户和密码”，单击“高级”选项卡，再单击“高级”按钮，弹出本地用户和组窗口。在Guest账号上面点击右键，选择属性，在“常规”页中选中“账户已停用”。另外，将Administrator账号改名可以防止黑客知道自己的管理员账号，这会在很大程度上保证计算机安全。

dos攻击的防范

DoS攻击几乎是从互联 *** 的诞生以来，就伴随着互联 *** 的发展而一直存在也不断发展和升级。值得一提的是，要找DoS的工具一点不难，黑客群居的 *** 社区都有共享黑客软件的传统，并会在一起交流攻击的心得经验，你可以很轻松的从Internet上获得这些工具，像以上提到的这些DoS攻击软件都是可以从网上随意找到的公开软件。所以任何一个上网者都可能构成 *** 安全的潜在威胁。DoS攻击给飞速发展的互联 *** 安全带来重大的威胁。

要避免系统免受DoS攻击，从前两点来看， *** 管理员要积极谨慎地维护系统，确保无安全隐患和漏洞；而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击，同时强烈建议 *** 管理员应当定期查看安全设备的日志，及时发现对系统的安全威胁行为。

Internet支持工具就是其中的主要解决方案之一，包括SuperStack3Firewall、WebCache以及ServerLoadBalancer。不但作为安全网关设备的3ComSuperStack3防火墙在缺省预配置下可探测和防止“拒绝服务”（DoS）以及“分布式拒绝服务”（DDoS）等黑客侵袭，强有力的保护您的 *** ，使您免遭未经授权访问和其他来自Internet的外部威胁和侵袭；而且3ComSuperStack3ServerLoadBalancer在为多服务器提供硬件线速的4-7层负载均衡的同时，还能保护所有服务器免受“拒绝服务”（DoS）攻击；同样3ComSuperStack3WebCache在为企业提供高效的本地缓存的同时，也能保证自身免受“拒绝服务”（DoS）攻击。

常见攻击与防范 原理：攻击时，攻击者巧妙的利用了反弹服务器群来将洪水数据包反弹给目标主机 反弹服务是指某些服务器在收到一个请求数据报后就会产生一个回应数据报。所有的 Web 服务器、DNS 服务器及路 由器都是反弹服务器，他们会对 SYN 报文或其他 TCP 报文回应 SYNACKs 或 RST 报文， 以及对一些 IP 报文回应 ICMP 数据报超时或目的地不可达消息的数据 报。任何用于普通目的 TCP 连 接许可的 *** 服务器都可以用做数据包反射服务器

配置路由器、防火墙和入侵检测系统来抵御常见DDoS攻击

Smurf

·确定你是否成为了攻击平台：对不是来自于你的内部 *** 的信息包进行监控；监控大容量的回音请求和回音应答信息包。

·避免被当做一个攻击平台：在所有路由器上禁止IP广播功能；将不是来自于内部 *** 的信息包过滤掉。

·减轻攻击的危害：在边界路由器对回音应答信息包进行过滤，并丢弃；对于Cisco路由器，使用CAR来规定回音应答信息包可以使用的带宽更大值。

trinoo

·确定你是否成为攻击平台：在master程序和 *** 程序之间的通讯都是使用UDP协议，因此对使用UDP协议（类别17）进行过滤；攻击者用TCP端口27655与master程序连接，因此对使用TCP（类别6）端口27655连接的流进行过滤；master与 *** 之间的通讯必须要包含字符串“l44”，并被引导到 *** 的UDP端口27444，因此对与UDP端口27444连接且包含字符串l44的数据流进行过滤。

·避免被用作攻击平台：将不是来自于你的内部 *** 的信息包过滤掉。

·减轻攻击的危害：从理论上说，可以对有相同源IP地址的、相同目的IP地址的、相同源端口的、不通目的端口的UDP信息包序列进行过滤，并丢弃它们。

TFN

·确定你是否成为攻击平台：对不是来自于内部 *** 的信息包进行监控。

·避免被用作攻击平台：不允许一切到你的 *** 上的ICMP回音和回音应答信息包，当然这会影响所有要使用这些功能的Internet程序；将不是来源于内部 *** 的信息包过滤掉。

Stacheldraht

·确定你是否成为攻击平台：对ID域中包含值666、数据域中包含字符串“skillz”或ID域中包含值667、数据域中包含字符串“ficken”的ICMP回音应答信息包进行过滤；对源地址为“3.3.3.3”的ICMP信息包和ICMP信息包数据域中包含字符串“spoofworks”的数据流进行过滤。

·手工防护

一般而言手工方式防护DDOS主要通过两种形式：

系统优化――主要通过优化被攻击系统的核心参数，提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDOS进行防护。

*** 追查――遭受DDoS攻击的系统的管理人员一般之一反应是询问上一级 *** 运营商，这有可能是ISP、IDC等，目的就是为了弄清楚攻击源头。 防火墙几乎是最常用的安全产品，但是防火墙设计原理中并没有考虑针对DDOS攻击的防护，在某些情况下，防火墙甚至成为DDOS攻击的目标而导致整个 *** 的拒绝服务。

首先是防火墙缺乏DDOS攻击检测的能力。通常，防火墙作为三层包转发设备部署在 *** 中，一方面在保护内部 *** 的同时，它也为内部需要提供外部Internet服务的设备提供了通路，如果DDOS攻击采用了这些服务器允许的合法协议对内部系统进行攻击，防火墙对此就无能为力，无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测，但是这些检测机制一般都是基于特征规则，DDOS攻击者只要对攻击数据包稍加变化，防火墙就无法应对，对DDOS攻击的检测必须依赖于行为模式的算法。

第二个原因就是传统防火墙计算能力的限制，传统的防火墙是以高强度的检查为代价，检查的强度越高，计算的代价越大。而DDOS攻击中的海量流量会造成防火墙性能急剧下降，不能有效地完成包转发的任务。更好防火墙的部署位置也影响了其防护DDOS攻击的能力。传统防火墙一般都是部署在 *** 入口位置，虽然某种意义上保护了 *** 内部的所有资源，但是其往往也成为DDOS攻击的目标，攻击者一旦发起DDOS攻击，往往造成 *** 性能的整体下降，导致用户正常请求被拒绝。

用路由器防止DoS拒绝服务疯狂攻击的 ***

拒绝服务(DoS)攻击是目前黑客广泛使用的一种攻击手段，它通过独占 *** 资源、使其他主机不能进行正常访问，从而导致宕机或 *** 瘫痪。

DoS攻击主要分为Smurf、SYNFlood和Fraggle三种，在Smurf攻击中，攻击者使用ICMP数据包阻塞服务器和其他 *** 资源;SYNFlood攻击使用数量巨大的TCP半连接来占用 *** 资源;Fraggle攻击与Smurf攻击原理类似，使用UDPecho请求而不是ICMPecho请求发起攻击。

尽管 *** 安全专家都在着力开发阻止DoS攻击的设备，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例，Cisco路由器中的IOS软件具有许多防止DoS攻击的特性，保护路由器自身和内部 *** 的安全。

使用扩展访问列表

扩展访问列表是防止DoS攻击的有效工具。它既可以用来探测DoS攻击的类型，也可以阻止DoS攻击。ShowIPaccess-list命令能够显示每个扩展访问列表的匹配数据包，根据数据包的类型，用户就可以确定DoS攻击的种类。如果 *** 中出现了大量建立TCP连接的请求，这表明 *** 受到了SYNFlood攻击，这时用户就可以改变访问列表的配置，阻止DoS攻击。

使用QoS

使用服务质量优化(QoS)特征，如加权公平队列(WFQ)、承诺访问速率(CAR)、一般流量整形(GTS)以及定制队列(CQ)等，都可以有效阻止DoS攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的效果是有差别的。例如，WFQ对付PingFlood攻击要比防止SYNFlood攻击更有效，这是因为PingFlood通常会在WFQ中表现为一个单独的传输队列，而SYNFlood攻击中的每一个数据包都会表现为一个单独的数据流。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYNFlood攻击。使用QoS防止DoS攻击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的'防范措施。

使用单一地址逆向转发

逆向转发(RPF)是路由器的一个输入功能，该功能用来检查路由器接口所接收的每一个数据包。如果路由器接收到一个源IP地址为10.10.10.1的数据包，但是CEF(CiscoExpressForwarding)路由表中没有为该IP地址提供任何路由信息，路由器就会丢弃该数据包，因此逆向转发能够阻止Smurf攻击和其他基于IP地址伪装的攻击。

使用RPF功能需要将路由器设为快速转发模式(CEFswitching)，并且不能将启用RPF功能的接口配置为CEF交换。RPF在防止IP地址欺骗方面比访问列表具有优势，首先它能动态地接受动态和静态路由表中的变化;第二RPF所需要的操作维护较少;第三RPF作为一个反欺骗的工具，对路由器本身产生的性能冲击，要比使用访问列表小得多。

使用TCP拦截

Cisco在IOS11.3版以后，引入了TCP拦截功能，这项功能可以有效防止SYNFlood攻击内部主机。

在TCP连接请求到达目标主机之前，TCP拦截通过拦截和验证来阻止这种攻击。TCP拦截可以在拦截和监视两种模式下工作。在拦截模式下，路由器拦截到达的TCP同步请求，并代表服务器建立与客户机的连接，如果连接成功，则代表客户机建立与服务器的连接，并将两个连接进行透明合并。在整个连接期间，路由器会一直拦截和发送数据包。对于非法的连接请求，路由器提供更为严格的对于half-open的超时限制，以防止自身的资源被SYN攻击耗尽。在监视模式下，路由器被动地观察流经路由器的连接请求，如果连接超过了所配置的建立时间，路由器就会关闭此连接。

在Cisco路由器上开启TCP拦截功能需要两个步骤：一是配置扩展访问列表，以确定需要保护的IP地址;二是开启TCP拦截。配置访问列表是为了定义需要进行TCP拦截的源地址和目的地址，保护内部目标主机或 *** 。在配置时，用户通常需要将源地址设为any，并且指定具体的目标 *** 或主机。如果不配置访问列表，路由器将会允许所有的请求经过。

使用基于内容的访问控制

基于内容的访问控制(CBAC)是对Cisco传统访问列表的扩展，它基于应用层会话信息，智能化地过滤TCP和UDP数据包，防止DoS攻击。

CBAC通过设置超时时限值和会话门限值来决定会话的维持时间以及何时删除半连接。对TCP而言，半连接是指一个没有完成三阶段握手过程的会话。对UDP而言，半连接是指路由器没有检测到返回流量的会话。

CBAC正是通过监视半连接的数量和产生的频率来防止洪水攻击。每当有不正常的半连接建立或者在短时间内出现大量半连接的时候，用户可以判断是遭受了洪水攻击。CBAC每分钟检测一次已经存在的半连接数量和试图建立连接的频率，当已经存在的半连接数量超过了门限值，路由器就会删除一些半连接，以保证新建立连接的需求，路由器持续删除半连接，直到存在的半连接数量低于另一个门限值;同样，当试图建立连接的频率超过门限值，路由器就会采取相同的措施，删除一部分连接请求，并持续到请求连接的数量低于另一个门限值。通过这种连续不断的监视和删除，CBAC可以有效防止SYNFlood和Fraggle攻击。

路由器是企业内部 *** 的之一道防护屏障，也是黑客攻击的一个重要目标，如果路由器很容易被攻破，那么企业内部 *** 的安全也就无从谈起，因此在路由器上采取适当措施，防止各种DoS攻击是非常必要的。用户需要注意的是，以上介绍的几种 *** ，对付不同类型的DoS攻击的能力是不同的，对路由器CPU和内存资源的占用也有很大差别，在实际环境中，用户需要根据自身情况和路由器的性能来选择使用适当的方式。

如何防止DOS攻击

1。确保服务器的系统文件是最新的版本，并及时更新系统补丁。 2。关闭不必要的服务。 3。限制同时打开的SYN半连接数目。 4。缩短SYN半连接的time out 时间。 5。正确设置防火墙 禁止对主机的非开放服务的访问 限制特定IP地址的访问 启用防火墙的防DDoS的属性 严格限制对外开放的服务器的向外访问 运行端口映射程序祸端口扫描程序，要认真检查特权端口和非特权端口。 6。认真检查 *** 设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更，那这台机器就可 能遭到了攻击。 7。限制在防火墙外与 *** 文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客， 无疑是给了对方入侵的机会。

怎么防御黑客攻击？

从技术上对付黑客攻击，主要采用下列 *** ：

（1）使用防火墙技术，建立 *** 安全屏障。使用防火墙系统来防止外部 *** 对内部 *** 的未授权访问，作为 *** 软件的补充，共同建立 *** 信息系统的对外安全屏障。目前全球联入Internet的电脑中约有1/3是处于防火墙保护之下，主要目的就是根据本单位的安全策略，对外部 *** 与内部 *** 交流的数据进行检查，符合的予以放行，不符合的拒之门外。

（2）使用安全扫描工具发现黑客。经常使用“网威”等安全检测、扫描工具作为加强内部 *** 与系统的安全防护性能和抗破坏能力的主要扫描工具，用于发现安全漏洞及薄弱环节。当 *** 或系统被黑客攻击时，可用该软件及时发现黑客入侵的迹象，进行处理。

（3）使用有效的监控手段抓住入侵者。经常使用“网威”等监控工具对 *** 和系统的运行情况进行实时监控，用于发现黑客或入侵者的不良企图及越权使用，及时进行相关处理（如跟踪分析、反攻击等），防范于未然。

（4）时常备份系统，若被攻击可及时修复。这一个安全环节与系统管理员的实际工作关系密切，所以系统管理员要定期地备份文件系统，以便在非常情况下（如系统瘫痪或受到黑客的攻击破坏时）能及时修复系统，将损失减少到更低。

（5）加强防范意识，防止攻击。加强管理员和系统用户的安全防范意识，可大大提高 *** 、系统的安全性能，更有效地防止黑客的攻击破坏。