胡涂 发表于 2008-1-11 14:23:28

[公告]家园受到网络攻击,部分地区可能无法访问

近几日,栖息谷频繁受到分布式拒绝服务攻击(DDoS),造成阶段性的访问不畅,或无法访问的情况,目前正在处理中,给各位家人带来的不便,敬请谅解.<br/><br/><br/><br/>.<br/>

x768 发表于 2008-1-11 14:46:21

<p>谁干的,这么可恶.声讨之!</p>

renxin 发表于 2008-1-11 15:28:11

<p>咋回事?</p>

smileit 发表于 2008-1-11 15:29:08

<p><a name="5"><span class="atitle">DDoS的防范</span></a></p><p>到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻:DDoS就好象有1,000个人同时给你家里打电话,这时候你的朋友还打得进来吗?</p><p>不过即使它难于防范,也不是说我们就应该逆来顺受,实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的,与DDoS做斗争,不同的角色有不同的任务。我们以下面几种角色为例: </p><ul><li>企业网管理员 </li><li>ISP、ICP管理员 </li><li>骨干网络运营商 </li></ul><p></p><p><a name="N10173"><span class="smalltitle"><strong><font face="Arial">企业网管理员</font></strong></span></a></p><p>网管员做为一个企业内部网的管理者,往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务,因而不可避免地成为DDoS的攻击目标,他该如何做呢?可以从主机与网络设备两个角度去考虑。</p><p><b>主机上的设置</b>
                <br/>几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种: </p><ul><li>关闭不必要的服务 </li><li>限制同时打开的Syn半连接数目 </li><li>缩短Syn半连接的time out 时间 </li><li>及时更新系统补丁 </li></ul><p></p><p><b>网络设备上的设置</b>
                <br/>企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否值得。 </p><p>1.防火墙 </p><ul><li>禁止对主机的非开放服务的访问 </li><li>限制同时打开的SYN最大连接数 </li><li>限制特定IP地址的访问 </li><li>启用防火墙的防DDoS的属性 </li><li>严格限制对外开放的服务器的向外访问 </li></ul><p></p><p>第五项主要是防止自己的服务器被当做工具去害人。</p><p>2.路由器 <br/>以Cisco路由器为例 </p><ul><li>Cisco Express Forwarding(CEF) </li><li>使用 unicast reverse-path </li><li>访问控制列表(ACL)过滤 </li><li>设置SYN数据包流量速率 </li><li>升级版本过低的ISO </li><li>为路由器建立log server </li></ul><p></p><p>其中使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降,升级IOS也应谨慎。路由器是网络的核心设备,与大家分享一下进行设置修改时的小经验,就是先不保存。Cisco路由器有两份配置startup config和running config,修改的时候改变的是running config,可以让这个配置先跑一段时间(三五天的就随意啦),觉得可行后再保存配置到startup config;而如果不满意想恢复原来的配置,用copy start run就行了。</p><p><a name="N101D0"><span class="smalltitle"><strong><font face="Arial">ISP / ICP管理员</font></strong></span></a></p><p>ISP / ICP为很多中小型企业提供了各种规模的主机托管业务,所以在防DDoS时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说,这些托管主机的安全性普遍是很差的,有的连基本的补丁都没有打就赤膊上阵了,成为黑客最喜欢的"肉鸡",因为不管这台机器黑客怎么用都不会有被发现的危险,它的安全管理太差了;还不必说托管的主机都是高性能、高带宽的-简直就是为DDoS定制的。而做为ISP的管理员,对托管主机是没有直接管理的权力的,只能通知让客户来处理。在实际情况时,有很多客户与自己的托管主机服务商配合得不是很好,造成ISP管理员明知自己负责的一台托管主机成为了傀儡机,却没有什么办法的局面。而托管业务又是买方市场,ISP还不敢得罪客户,怎么办?咱们管理员和客户搞好关系吧,没办法,谁让人家是上帝呢?呵呵,客户多配合一些,ISP的主机更安全一些,被别人告状的可能性也小一些。</p><p><a name="N101D9"><span class="smalltitle"><strong><font face="Arial">骨干网络运营商</font></strong></span></a></p><p>他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话,DDoS攻击可以很好地被预防。在2000年yahoo等知名网站被攻击后,美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。其实方法很简单,就是每家运营商在自己的出口路由器上进行源IP地址的验证,如果在自己的路由表中没有到这个数据包源IP的路由,就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。不过同样,这样做会降低路由器的效率,这也是骨干运营商非常关注的问题,所以这种做法真正采用起来还很困难。</p><p>对DDoS的原理与应付方法的研究一直在进行中,找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前我们至少可以做到把自己的网络与主机维护好,首先让自己的主机不成为别人利用的对象去攻击别人;其次,在受到攻击的时候,要尽量地保存证据,以便事后追查,一个良好的网络和日志系统是必要的。无论DDoS的防御向何处发展,这都将是一个社会工程,需要IT界的同行们来一起关注,通力合作。</p>

smileit 发表于 2008-1-11 15:34:23

<p><a name="5"><span class="atitle">DDoS的防范</span></a></p><p>到目前为止,进行DDoS攻击的防御还是比较困难的。首先,这种攻击的特点是它利用了TCP/IP协议的漏洞,除非你不用TCP/IP,才有可能完全抵御住DDoS攻击。一位资深的安全专家给了个形象的比喻:DDoS就好象有1,000个人同时给你家里打电话,这时候你的朋友还打得进来吗?</p><p>不过即使它难于防范,也不是说我们就应该逆来顺受,实际上防止DDoS并不是绝对不可行的事情。互联网的使用者是各种各样的,与DDoS做斗争,不同的角色有不同的任务。我们以下面几种角色为例: </p><ul><li>企业网管理员 </li><li>ISP、ICP管理员 </li><li>骨干网络运营商 </li></ul><p></p><p><a name="N10173"><span class="smalltitle"><strong><font face="Arial">企业网管理员</font></strong></span></a></p><p>网管员做为一个企业内部网的管理者,往往也是安全员、守护神。在他维护的网络中有一些服务器需要向外提供WWW服务,因而不可避免地成为DDoS的攻击目标,他该如何做呢?可以从主机与网络设备两个角度去考虑。</p><p><b>主机上的设置</b>
                <br/>几乎所有的主机平台都有抵御DoS的设置,总结一下,基本的有几种: </p><ul><li>关闭不必要的服务 </li><li>限制同时打开的Syn半连接数目 </li><li>缩短Syn半连接的time out 时间 </li><li>及时更新系统补丁 </li></ul><p></p><p><b>网络设备上的设置</b>
                <br/>企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防DDoS设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否值得。 </p><p>1.防火墙 </p><ul><li>禁止对主机的非开放服务的访问 </li><li>限制同时打开的SYN最大连接数 </li><li>限制特定IP地址的访问 </li><li>启用防火墙的防DDoS的属性 </li><li>严格限制对外开放的服务器的向外访问 </li></ul><p></p><p>第五项主要是防止自己的服务器被当做工具去害人。</p><p>2.路由器 <br/>以Cisco路由器为例 </p><ul><li>Cisco Express Forwarding(CEF) </li><li>使用 unicast reverse-path </li><li>访问控制列表(ACL)过滤 </li><li>设置SYN数据包流量速率 </li><li>升级版本过低的ISO </li><li>为路由器建立log server </li></ul><p></p><p>其中使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降,升级IOS也应谨慎。路由器是网络的核心设备,与大家分享一下进行设置修改时的小经验,就是先不保存。Cisco路由器有两份配置startup config和running config,修改的时候改变的是running config,可以让这个配置先跑一段时间(三五天的就随意啦),觉得可行后再保存配置到startup config;而如果不满意想恢复原来的配置,用copy start run就行了。</p><p><a name="N101D0"><span class="smalltitle"><strong><font face="Arial">ISP / ICP管理员</font></strong></span></a></p><p>ISP / ICP为很多中小型企业提供了各种规模的主机托管业务,所以在防DDoS时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说,这些托管主机的安全性普遍是很差的,有的连基本的补丁都没有打就赤膊上阵了,成为黑客最喜欢的"肉鸡",因为不管这台机器黑客怎么用都不会有被发现的危险,它的安全管理太差了;还不必说托管的主机都是高性能、高带宽的-简直就是为DDoS定制的。而做为ISP的管理员,对托管主机是没有直接管理的权力的,只能通知让客户来处理。在实际情况时,有很多客户与自己的托管主机服务商配合得不是很好,造成ISP管理员明知自己负责的一台托管主机成为了傀儡机,却没有什么办法的局面。而托管业务又是买方市场,ISP还不敢得罪客户,怎么办?咱们管理员和客户搞好关系吧,没办法,谁让人家是上帝呢?呵呵,客户多配合一些,ISP的主机更安全一些,被别人告状的可能性也小一些。</p><p><a name="N101D9"><span class="smalltitle"><strong><font face="Arial">骨干网络运营商</font></strong></span></a></p><p>他们提供了互联网存在的物理基础。如果骨干网络运营商可以很好地合作的话,DDoS攻击可以很好地被预防。在2000年yahoo等知名网站被攻击后,美国的网络安全研究机构提出了骨干运营商联手来解决DDoS攻击的方案。其实方法很简单,就是每家运营商在自己的出口路由器上进行源IP地址的验证,如果在自己的路由表中没有到这个数据包源IP的路由,就丢掉这个包。这种方法可以阻止黑客利用伪造的源IP来进行DDoS攻击。不过同样,这样做会降低路由器的效率,这也是骨干运营商非常关注的问题,所以这种做法真正采用起来还很困难。</p><p>对DDoS的原理与应付方法的研究一直在进行中,找到一个既有效又切实可行的方案不是一朝一夕的事情。但目前我们至少可以做到把自己的网络与主机维护好,首先让自己的主机不成为别人利用的对象去攻击别人;其次,在受到攻击的时候,要尽量地保存证据,以便事后追查,一个良好的网络和日志系统是必要的。无论DDoS的防御向何处发展,这都将是一个社会工程,需要IT界的同行们来一起关注,通力合作。</p>

jwzwlh 发表于 2008-1-12 08:42:58

难道是熊猫之后的又一大害?

mls2009 发表于 2008-1-12 08:49:20

这些人真是可恶,国家怎么不抓个典型也在新闻联播里声讨一下?

林帆 发表于 2008-1-12 08:49:44

<p>不明白为什么要攻击,仅仅为了一己私欲吗??</p>

taotao007 发表于 2008-1-12 09:42:12

<p>深圳自昨天开始可以打开网页,但是下载不了。</p><p>严重声讨恶意攻击网站的不法分子。</p>

3969 发表于 2008-1-12 10:08:27

攻击哪里都成,就别来烦家园!
页: [1] 2 3 4 5 6
查看完整版本: [公告]家园受到网络攻击,部分地区可能无法访问