* 被攻擊主機的系統(tǒng)資源被大量占用,造成系統(tǒng)停頓�����;
* 網絡中充斥著大量的無用的數據包,源地址為假地址�����;
* 高流量無用數據使得網絡擁塞�����,受害主機無法正常與外界通訊��;
* 利用受害主機提供的服務或傳輸協(xié)議上的缺陷�����,反復高速地發(fā)出特定的服務請求,
使受害主機無法及時處理所有正常請求�;
* 嚴重時會造成系統(tǒng)死機。
到目前為止����,防范DoS特別是DDoS攻擊仍比較困難�����,但仍然可以采取一些措施以降低其產生的危害���。對于中小型網站來說��,可以從以下幾個方面進行防范:
主機設置:
即加固操作系統(tǒng)���,對各種操作系統(tǒng)參數進行設置以加強系統(tǒng)的穩(wěn)固性。重新編譯或設置Linux以及各種BSD系統(tǒng)�、Solaris和Windows等操作系統(tǒng)內核中的某些參數,可在一定程度上提高系統(tǒng)的抗攻擊能力��。
例如�����,對于DoS攻擊的典型種類?SYN Flood,它利用TCP/IP協(xié)議漏洞發(fā)送大量偽造的TCP連接請求�,以造成網絡無法連接用戶服務或使操作系統(tǒng)癱瘓。該攻擊過程涉及到系統(tǒng)的一些參數:可等待的數據包的鏈接數和超時等待數據包的時間長度����。因此,可進行如下設置:
* 關閉不必要的服務��;
* 將數據包的連接數從缺省值128或512修改為2048或更大���,
以加長每次處理數據包隊列的長度�,以緩解和消化更多數據包的連接��;
* 將連接超時時間設置得較短�,以保證正常數據包的連接,
屏蔽非法攻擊包�����;
* 及時更新系統(tǒng)��、安裝補丁。
|
