内容导读:导航目录:1、域名被攻击网站打不开怎么办?2、ddso攻击域名吗?ddos3、黑客是怎样实施域名劫持攻击的4、域名攻击***5、如何解决网站被cc攻击?域名被攻击网站打不开怎么办?建议安装zoneala...……
导航目录:
域名被攻击网站打不开怎么办?
建议安装zonealarm防火墙,我现在开始正在用,感觉使用情况良好,比天网要好...
以前我也是你的情况,之后我格了所有的盘,之后重装系统,安装zonealarm防火墙,现在没有任何故障...
最近本人发现了一种翻新分散式拒绝服务(DDOS)攻击的手法,开始用形同互联网黄页的域名系统服务器来发动攻击,扰乱在线商务。
VeriSign公司上周表示,今年初发现该公司系统承受的攻击规模甚于以往,而且来源不是被绑架的“僵尸”(bot)电脑,而是出自于域名系统(DNS)服务器。
安全研究员Dan Kaminsky说:“DNS已成为DDOS重要的一环。门槛已降低了。人们现在可凭更少的资源,发动可能极具破坏力的攻击。”
一旦成为DDOS攻击的箭靶,目标系统不论是网页服务器、域名服务器或电子邮件服务器,都会被 *** 上四面八方的系统所传来的巨量信息给淹没。黑客的用意是借大量垃圾信息妨碍系统正常的信息处理,借此切断攻击目标对外的连线。
不同于被绑架的僵尸电脑,DNS服务器是合法的 *** 良民,其作用是把文字型域名名称(例如)转换成相对应的数字型互联网协定(IP)位址,以引导使用者上他们想到的网站。
现在,一般人常用僵尸电脑连成的 *** (botnet),把大量的查询要求传至开放的DNS服务器。这些查询信息会假造得像是被巨量信息攻击的目标所传出的,因此DNS服务器会把回应信息传到那个网址。
但是如果用DNS服务器来发动攻击有多重好处,可隐匿自己的系统,让受害者难以追查攻击的原始来源,更可让攻击效果加倍。Baylor大学信息系教授Randal Vaughn说,单一的DNS查询,可启动比原始查询大73倍的回应。
DNS发明人兼Nominum公司首席科学家Paul Mockapetris打个比方说,若你企图让垃圾邮件塞爆某人的信箱,基本的 *** 就是寄很多信到该地址,但你必须费很多时间写信,而且发信来源追查得出来。
他说:“更好的 *** ,是寄出杂志里常见的那种广告回函卡,勾选各种想索取的信息,然后把回信地址填上目标信箱,就会让那个信箱爆掉,同时消除与你有关的链接。”用DNS服务器发动DDOS攻击,就是运用这种原理。
但如果拦阻一台DNS服务器对外的连线,可能造成合法使用者无法传电子邮件或浏览某网站。问题出在所谓的“递回域名服务” (recursive name service)服务器,是开放给 *** 上任何人查询的DNS服务器,估计数量从60万台到560万台不等。
Mockapetris说:“使用这些开放服务器的人士,必须好自为之。不论知不知情,或是否怠惰,他们现在已成为这类攻击的帮凶。他们是互联网上的伤寒玛丽。”
专家建议,要保护自家系统,企业可解除DNS服务器中允许人人查询网址的递回(recursive)功能,转而调整服务器设定,只对内部人士开放递回功能。
目前使用DNS服务器者包括互联网服务供应商(ISP)以及企业和个人。对企业来说要想防住DDOS攻击,还是需要一套功能比较完善且强大的防火墙才能行之有效的巩固自己的服务器,经过我个人的使用经验,现给大家介绍一款比较好用的防火墙――金盾防火墙
金盾抗DDOS防火墙针对目前广泛存在的DOS、DDOS等攻击而设计,为您的网站、信息平台、基于Internet的服务等提供完善的保护,使其免受别有用心之人的攻击、破坏。
其实最当初选择选择它的理由就是几点
1. 高效率的核心攻击检测防护模块
基于各个平台底层的核心模块,提供高效率的防护手段。优秀的系统核心,使得本产品可抵御大规模的攻击。经测试,百兆 *** 条件,本产品在平均90MBPS的DOS、DDOS攻击流量下仍可保证100%的连接成功率,千兆产品测试,平均960MBPS的DDOS攻击流量下同样可以保证100%连接成功率。
2. 完善的攻击防护手段
在广泛分析了目前普遍存在的DOS,DDOS攻击模式及原理,且经过长达三年的研发及测试之后,本产品最终定型并投入生产。期间对各种攻击防护手段反复推敲、修改、测试,现已形成了一套完善的防护体系,可防护如SYN Flood攻击、全连接攻击、UDP Flood攻击、ICMP Flood攻击、碎片攻击等各种DOS、DDOS攻击模式。当防火墙受到这些攻击的时候,会即时将当前的攻击量及防护模式以文本及折线图的形式显示,使您了如指掌。
3. 强大的连接跟踪机制
本产品内部实现了完整的TCP协议栈状态,具有强大的连接跟踪能力。每个进入的连接,防火墙都会根据其源地址进行分类,并显示给用户,方便用户对受保护主机状态的监控。同时还提供连接超时,临时屏蔽,永久屏蔽等功能,弥补了TCP协议本身的不足,使您的服务器在攻击中游刃有余。
4. 独创的端口防护体制
独创的端口相关的防护体制,针对不同的端口应用,提供不同的防护手段,使得运行在同一服务器上的不同服务,都可以受到完善的DOS,DDOS攻击保护。例如,您可以设置80端口为无限制提供HTTP服务,而将7000设置为每秒5个连接的验证服务,使得您的服务器不会因为不加限制的连接而无法正常提供服务。
5. 广泛的平台适应性
本产品以两种方式提供:软件分发形式和硬件设备形式。软件形式的防火墙适用于当前主流的各种Windows系统,如Windows 2000、Windows XP、Windows 2003等;硬件设备适用于保护局域 *** 和IDC机房 *** 以及城域网,在提供强大的防护功能的同时使得投资成本更小。
6. 简单的安装与设置
防火墙一经安装,即具有DDOS防护能力,不需要繁琐的设置便具有完善的防护能力。
7. 易于配置的攻击检测防护参数
本产品具有众多的安全参数,涉及攻击检测、攻击防护、规则设置等安全领域,用于定制不同的服务器的配置,具有广泛的适用性及可扩充性。
8. 规则设置及日志记录
强大的规则设置及日志记录模块,实现标准防火墙的功能,即时记录防火墙的状态。
9.完善的售后服务
这点是我们大老板最为看重的,毕竟再好的产品如果售后服务不好,他也会慢慢的失去市场。在购买了金盾的硬件防火墙后。将终生享有免费升级功能,同时也会有专门的技术人员为您进行定期更新。
怎么样?是不是简单且安全。两年多了公司一直没有更换过其他的牌子,在这两年里公司 *** 相对安全和稳定了很多,虽说大家都明白没有绝对安全的 *** 环境,但我个人认为,金盾的东西比那些单一的其他品牌功能要强大得多,所以还是一定要介绍给大家知道!
如果大家有兴趣的话就去试试!
要给我加分呀 呵呵
ddso攻击域名吗?ddos
主机上防范2.1.1使用 *** 和主机扫描工具检测脆弱性DDoS能够成功的关键是在Internet上寻找到大量安全防御措施薄弱的计算机。因此,经常使用安全检测工具检测 *** 和主机,找出目前存在的安全隐患并给出相应的应对措施,可以减少甚至避免主机被黑客利用成为傀儡机的可能性。安全扫描工具能够检测并删除主机上被黑客安装的进行DDoS攻击的软件。安全扫描工具应该随着攻击方式的演变而升级。2.1.2采用NIDS和嗅探器当系统收到未知地址的可疑流量时,NIDS(NetworkIntrusionDetectionSystems, *** 入侵检测系统)会发出报警信号,提醒系统管理员及时采取应对措施,如切断连接或反向跟踪等。NIDS的安全策略或规则应该是最新的,并包含当前最新攻击技术的特征描述。嗅探器(sniffer)可用来在 *** 级识别 *** 攻击行为并成为NIDS原始检测信息的来源。例如,当黑客修改IP包的数据部分,使其包含某些隐蔽信息,嗅探器就可以探测到这些信息并将此信息提供给有关人员进行分析,成为采取阻断、分流恶意流量或追查黑客的依据。2.1.3及时更新系统补丁现有的操作系统都有很多漏洞,这很容易让黑客找到后门,所以及时下载和更新系统补丁也是抵御黑客很重要的一点。2.2 *** 设备上防范单机上防御主要是减少被作为傀儡机的可能,在路由器上采取防范措施才是抵御DDoS的关键,这里以Cisco路由器为例分析一下阻止攻击的 *** :2.2.1检查每一个经过路由器的数据包在路由器的CEF(CiscoExpressForwarding)表里,某数据包所到达 *** 接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为a.b.c.d的数据包,如果CEF路由表中没有为IP地址a.b.c.d提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。2.2.2设置SYN数据包流量速率许多DDoS攻击采用SYN洪水攻击的形式,所以有必要在路由器上限制SYN数据包流量速率。采用这种 *** 时必须在进行测量时确保 *** 的正常工作以避免出现较大误差。rate-limitoutputaccess-group15345000000100000100000conform-actiontran *** itexceed-actiondroprate-limitoutputaccess-group1521000000100000100000conform-actiontran *** itexceed-actiondropaccess-list152permittcpanyhosteqwwwaccess-list153permittcpanyhosteqwwwestablished2.2.3在边界路由器上部署策略 *** 管理员可以在边界路由器上部署过滤策略:ISP端边界路由器应该只接受源地址属于客户端 *** 的通信,而客户端 *** 则应该只接受源地址未被客户端 *** 过滤的通信。ISP端边界路由器的访问控制列表:access-list190permitip客户端 *** 客户端 *** 掩码anyaccess-list190denyipanyany[log]interface内部 *** 接口 *** 接口号ipaccess-group190in客户端边界路由器的访问控制列表:access-list187denyip客户端 *** 客户端 *** 掩码anyaccess-list187permitipanyanyaccess-list188permitip客户端 *** 客户端 *** 掩码anyaccess-list188denyipanyanyinterface外部 *** 接口 *** 接口号ipaccess-group187inipaccess-group188out2.2.4使用CAR限制ICMP数据包流量速率CAR(ControlAccessRate),可以用来限制包的流量速率,是实现QoS(QualityofService,服务质量)一种工具。可以用它来限制ICMP包来防止DDoS。rate-limitoutputaccess-group20203000000512000786000conform-actiontran *** itexceed-actiondropaccess-list2020permiticmpanyanyecho-reply2.2.5用ACL过滤RFC1918中列出的所有地址ACL(AcessControlList,访问控制列表),是路由器过滤特定目标地址、源地址、协议的包的工具,可以用它来过滤掉RFC1918中列出的所有地址,即私有IP地址(10.0.0.0/8,172.16.0.0/12,192.168.0.0/16)。ipaccess-group101inaccess-list101denyip10.0.0.00.255.255.255anyaccess-list101denyip192.168.0.00.0.255.255anyaccess-list101denyip172.16.0.00.15.255.255anyaccess-list101permitipanyany2.2.6搜集证据可以为路由器建立logserver,建议使用SUN工作站或Linux等高速计算机捕获数据包。常用的数据包捕获工具包括TCPDump和snoop等。基本语法为:tcpdump-iinterface-s1500-wcapture_filesnoop-dinterface-ocapture_file-s1500
黑客是怎样实施域名劫持攻击的
原理:
域名解析(DNS)的基本原理是把 *** 地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的 *** 地址(IP地址,比如216.239.53.99 这样的形式),以便计算机能够进一步通信,传递网址和内容等。
由于域名劫持往往只能在特定的被劫持的 *** 范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在 *** 设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问谷歌 ,可以把访问改为 ,从而绕开域名劫持。
过程:
由于域名劫持只能在特定的 *** 范围内进行,所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址,使用域名劫持技术,通过冒充原域名以E-MAIL方式修改公司的注册域名记录,或将域名 *** 到其他组织,通过修改注册信息后在所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,让多数网民无法正确访问,从而使得某些用户直接访问到了恶意用户所指定的域名地址,其实施步骤如下:
一、获取劫持域名注册信息:首先攻击者会访问域名查询站点,通过MAKE CHANGES功能,输入要查询的域名以取得该域名注册信息。
二、控制该域名的E-MAIL帐号:此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解,有能力的攻击者将直接对该E-MAIL进行入侵行为,以获取所需信息。
三、修改注册信息:当攻击者破获了E-MAIL后,会利用相关的MAKE CHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息等。
四、使用E-MAIL收发确认函:此时的攻击者会在信件帐号的真正拥有者之前,截获 *** 公司回馈的 *** 确认注册信息更改件,并进行回件确认,随后 *** 公司将再次回馈成功修改信件,此时攻击者成功劫持域名。
缺点:
它不是很稳定,在某些 *** 速度快的地方,真实的IP地址返回得比窃持软件提供的假地址要快,因为监测和返回这么巨大的数据流量也是要花费一定时间的。
在网上查询域名的正确IP非常容易。一个是利用海外的一些在线IP地址查询服务,可以查找到网站的真实IP地址。在Google上搜索"nslookup",会找到更多类似的服务。
参考资料:全球互联网的13台DNS根服务器分布
域名攻击 ***
一种针对域名服务器的新型分布式拒绝服务攻击(DDoS),可称之为“胡乱域名”(Nonsense Name)攻击。它能给递归域名服务器和权威域名服务器(authoritative name servers)造成严重破坏。这种“无意义域名”DDoS攻击通常是这样进行的:
1.攻击者选定一个域作为目标,比如someone.example。
2. 在目标域内,攻击者操纵僵尸 *** 产生大量随机域名。这些随机域名的头部都是些诸如asdfghjk、zxcvbnm之类的无意义的字符,制造出来的域名形如:asdfghjk.someone.example和zxcvbnm.someone.example。
3.然后向递归域名服务器发起大量针对这些无意义域名的查询请求。
4.递归域名服务器转而将请求发送到someone.example的权威服务器以查询这些域名。
5. 权威域名服务器返回‘请求的域名不存在’的响应(NXDOMAIN)。
6. 递归服务器中继转发这一响应给原始请求者,并缓存下域名不存在的记录。
7. 请求,响应,缓存,再来一遍。反反复复无穷尽。
大多数情况下,运营权威域名服务器的机构(本例中是为someone.example提供权威域名解析的)似乎是攻击者的目标。比如说,我们观察到的某些被攻击的域名就是国内博彩网站使用的(也许是有人因为损失惨重而对庄家进行报复?)无论如何,递归服务器终归是无辜中箭,连带崩溃。他们确实是目标么?
比如之前,Infoblox的客户遭受攻击的域中有部分在攻击过后神秘消失了一天或两天,表明这些域并没有被使用(事实上很可能是被“试探性抢注”了)。攻击者可能故意将这些域注册到慢速或停止响应的域名服务器上,这样域内的域名解析就会无限漫长,比如com、top、cn等等域名。当然,抛开目标问题不谈,攻击背后的机制也同样迷雾重重。
如何解决网站被cc攻击?
一、CC供给的解决 ***
1、取消域名绑定
一般cc攻击都是针对网站的域名进行攻击,对于这样的攻击我们的措施是在IIS上取消这个域名的绑定,让CC攻击失去目标。具体操作步骤是:打开"IIS管理器"定位到具体站点右键"属性"打开该站点的属性面板,点击IP地址右侧的"高级"按钮,选择该域名项进行编辑,将"主机头值"删除或者改为其它的(域名)。
2、域名欺骗解析
如果发现针对域名的CC攻击,我们可以把被攻击的域名解析到127.0.0.1这个地址上。我们知道127.0.0.1是本地回环IP是用来进行 *** 测试的,如果把被攻击的域名解析到这个IP上,就可以实现攻击者自己攻击自己的目的。
现在一般的Web站点都是利用类似"新网"这样的服务商提供的动态域名解析服务,可以登录进去之后进行设置。
3、更改Web端口
一般情况下Web服务器通过80端口对外提供服务,因此攻击者实施攻击就以默认的80端口进行攻击,所以,我们可以修改Web端口达到防CC攻击的目的。运行IIS管理器,定位到相应站点,打开站点"属性"面板,在"网站标识"下有个TCP端口默认为80,我们修改为其他的端口就可以了。
4、IIS屏蔽IP
通过命令或在查看日志发现了CC攻击的源IP,就可以在IIS中设置屏蔽该IP对Web站点的访问,从而达到防范IIS攻击的目的。
在相应站点的"属性"面板中,点击"目录安全性"选项卡,点击"IP地址和域名现在"下的"编辑"按钮打开设置对话框,可以设置"拒绝访问"即"黑名单"。将攻击者的IP添加到"拒绝访问"列表中,就屏蔽了该IP对于Web的访问。
二、CC攻击的防范手段
1、优化代码
尽可能使用缓存来存储重复的查询内容,减少重复的数据查询资源开销。减少复杂框架的调用,减少不必要的数据请求和处理逻辑。程序执行中,及时释放资源,比如及时关闭mysql连接,及时关闭memcache连接等,减少空连接消耗。
2、限制手段
对一些负载较高的程序增加前置条件判断,可行的判断 *** 如下:
必须具有网站签发的session信息才可以使用(可简单阻止程序发起的集中请求);必须具有正确的referer(可有效防止嵌入式代码的攻击);禁止一些客户端类型的请求(比如一些典型的不良蜘蛛特征);同一session多少秒内只能执行一次。
3、完善日志
尽可能完整保留访问日志。日志分析程序,能够尽快判断出异常访问,比如单一ip密集访问;比如特定url同比请求激增。