资深网管教你预防黑客DdoS攻击的技巧

DDoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DDoS众多伪造出来的地址则显得没有办法。所以说防范DDoS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。预防为主保证安全DDoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。(1)过滤所有RFC1918IP地址RFC1918IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。     

企业ARP欺骗分析及防御

在实现TCP／IP协议的网络环境下,一个IP包走到哪里、要怎么走是靠路由表定义的,但是,当IP包到达该网络后,哪台机器响应这个IP包却是靠该IP包中所包含的硬件MAC地址来识别的。也就是说,只有机器的硬件MAC地址和该IP包中的硬件MAC地址相同的机器才会应答这个IP包,     

解决局域网“网络不通”的常见故障

一般情况下，在同一校园网内每一台机器所拥有的IP地址必须是惟一的，在同一子网内所有机器的子网掩码必须相同，默认网关必须是本机所在子网和校内其他子网能够进行信息交换的网卡的IP地址。为解决这类问题，可打开桌面的“网上邻居”的“属性”菜单。检查TCP／IP协议的配置数据，分析IP地址、子网掩码、默认网关配置是否正确，如果不正确，需重新配置。     

Windows NT4.0DHCP服务器的配置

随着Intranet的不断发展,TCP/IP网络协议已日益成为企业内部网络协议标准,TCP/IP的网络管理员需要为网络中的每台设备分配、标记自身的唯一标志——IP地址。 网络管理员可手工为每台机器分配IP地址,当网络不是很大时,工作量也许还可忍受,但若是成百上千台机器如此手工配置,对于IP地址的管理和维护是一件非常麻烦的事情。 为了减轻网络管理人员分配和维护IP地址的困难,Windows NT4.0提供了动态宿主机配置协议(Dynamic Host Configuration Protocol简称DHCP),提供了安全、可靠的TCP/IP网络配置,实现了IP地址的动态分配,确保不会发生地址冲突。     

Hacker日常手法我来侃(上)

一、简单的“黑客”入侵TCP/IP协议顺序号预测攻击是最简单的“黑客”入侵,也是系统安全的最大威胁。在网络上,每台计算机有惟一的IP地址,计算机把目标IP地址和一个惟一的顺序号加载于传输的每一个数据包上。在一个TCP连接中,接收机只收到具有正确IP地址和顺序号的那个包裹。许     

SSL中针对伪装攻击的技术改进

SSL协议是在TCP/IP的IP套接层的安全协议,应用越来越广泛,但是在实际应用过程中遇到的一些非法攻击,本文并对本文针对在SSL连接中出现的伪装攻击,提出一种安全可行的解决方案.     

端口重定向后透明代理的实现

本文主要介绍在代理服务器上使用Linux2.4内核的iptables进行端口重定向以后,代理服务器如何取得用户请求的目的IP地址和目的端口号,从而实现透明代理. 1透明代理 代理服务是指由一台拥有标准IP地址的机器代替若干没有标准IP地址的机器和Internet上的其它主机连接,提供代理服务的这台机器称为代理服务器.拥有内部地址的机器想连接到Internet上时,先把这个请求发送给拥有标准IP地址的代理服务器,由代理服务器把这个请求通过它的标准IP地址发到请求的目的地址.然后目标地址的服务器把返回的结果发回给代理服务器,代理服务器再原封不动地把资料发给内部主机.若干拥有内部地址的机器组成了内部网,代理服务器的作用就是沟通内部网和Internet,解决内部网访问Internet的问题.     

新的基于Huffman编码的追踪方案*

面对DDoS攻击,研究人员提出了各种IP追踪技术寻找攻击包的真实源IP地址,但是目前的追踪方案存在着标记过程中的空间问题、追踪源是否准确及追踪所需包的数量等问题.提出一种新的基于Huffman编码的追踪方案,可以节省大量的存储空间,提高空间效率,而且当遭遇DoS(拒绝服务攻击)和DDoS的攻击时能迅速作出反应,仅仅收到一个攻击包即可重构出攻击路径,找到准确的攻击源, 将攻击带来的危害和损失减小到最低程度.     

IP地址与子网掩码

一、 IP地址 　　在 TCP／ IP网络上,每个主机都有唯一的地址,它是通过 IP协议来实现的。 IP协议要求在每次与 IP网络建立连接时,每台主机都必须为这个连接分配一个唯一的 32位地址。此 IP地址不但可以用来识别每一台主机,而且也隐含着网际间的路径信息。这里所说的主机就是 TCP／ IP网络的一个结点,不能简单地理解为一台计算机。实际上 IP地址是分配给计算机的网络适配器（如网卡）的,一台计算机可以有多个网络适配器,就可以有多个 IP地址。 　　1. IP地址的分配 　　IP地址共占 32位,一般以 4个十进制数字表示,每…     

XteamLinux下的DNS服务

Internet是基于TCP/IP协议的网络。Internet上的主机都唯一对应一个IP值,虽然IP地址对于机器的使用很方便,但对于人来说使用名字会更适合。这样就需要使用一个转换表把IP地址转换为主机名。最初的方法是由少量的几台计算机负责主机     

网络攻击追踪溯源层次分析

近年来, 为了有效防御网络攻击, 人们提出了网络攻击追踪溯源技术, 用于追踪定位攻击源头。网络安全系统能在确定攻击源的基础上采取隔离或者其他手段限制网络攻击, 将网络攻击的危害降到最低。由于攻击追踪溯源技术能够为网络防御提供更加准确攻击源、路径等信息, 使得防御方能够实施针对性的防护策略, 其相关技术及研究得到了越来越多的关注与发展。介绍了追踪溯源四层次划分, 重点分析追踪溯源各层次问题, 并就相应技术及追踪过程进行了深入讨论, 以期对追踪溯源有一个全面的描述, 提高对网络攻击追踪溯源的认识。     

基于IPv6的概率包标记路径溯源方案

针对现有IPv6路由追踪技术匮乏,以及IPv4路由追踪技术不能直接移植到IPv6网络环境中的问题,根据IPv6的自身特点,提出了一种基于概率包标记的IPv6攻击源追踪方案。该方案在原有IPv4概率包标记方法的基础上进行了有效的改进,重新规划标记区域,分别在IPv6的基本报头和扩展报头上划分合适的标识域和信息域,既解决标记空间不足的问题,又能规范标记信息的存放秩序;采用动态标记概率,区分对待未标记数据包和已标记数据包,解决标记信息覆盖问题,同时,优化标记算法,实现IPv6网络环境下路径追踪的快速、准确。理论分析与实验结果表明,该方案能有效追踪攻击源,且效果优于原IPv4追踪技术。     

基于合作过滤机制的ICMP回溯DDoS攻击源方法

提出一种改进的ICMP回溯方法。此方法是基于合作过滤机制的,采用合作过滤机制能够使产生的ICMP回溯包更有效并在尽可能靠近DDoS攻击源的地方过滤攻击包和保护合法包,改进后的ICMP方法对引发ITrace包的IP包从靠近攻击源的地方同步跟踪到受害者,提高了重构攻击路径的速度和准确性。     

一种无日志的快速DDoS攻击路径追踪算法

分布式拒绝服务攻击是目前Internet面临的主要威胁之一.攻击路径追踪技术能够在源地址欺骗的情况下追踪攻击来源,在DDoS攻击的防御中起到非常关键的作用.在各种追踪技术中随机包标记法具有较明显的优势,然而由于较低的标记信息利用率,追踪速度仍然不够快.为了提高追踪速度提出一种无日志的快速攻击路径追踪算法.该算法利用少量路由器存储空间和带内信息传输方式提高标记信息利用率,不仅大大提高了追踪速度,而且避免占用额外的网络带宽.     

应对虚假数据注入结合途中过滤与溯源追踪方法

对无线传感器网络中的虚假数据注入攻击问题进行了深入研究,并提出了切实可行的解决方案。本方案结合了途中过滤与溯源追踪的优点,它的核心思想是在数据报告中添加部分标记信息,汇聚节点将没有通过验证的数据报告加入溯源追踪集合中,收集到足够多数据报告后,便可以进行溯源追踪操作。同时,我们提出了一种更加均衡的分组方法及概率标记方法,实现了更好的性能。     

一种新的无线传感器网络恶意节点追踪方法

无线传感器网络中缺少单一可信的路由设备,存在中间节点篡改包标记的问题,为解决这一问题,提出一种改进的节点采样包标记算法.该算法通过对ID和数据包进行HASH运算来产生水印,并把水印概率性标记到相应的标记区中,Sink节点根据标记信息来实现对恶意节点的追踪.该算法能够有效地抵抗串通节点更改标记,把恶意节点定位在一跳范围之内.实验表明,改进后的算法可以有效地追踪到恶意节点,并将该方法与基于边标记的追踪方法进行对比,定位成功率得到提高.     

网络入侵追踪研究综述

Traceback system is a system for finding the hacker's real location on the network autonomously. It can be divided into two kinds: IP Packet Traceback system, and Connection Traceback system. The goal of IP Packet Traceback system is to traceback the Real Source that send the IP Address Spoofed packet,focused in the method that uses the intermediate routers. The Connection Traceback system traceback the Real Source of Detoured Intrusion,the detoured attack is an attack that is done via several systems. Because of more and more attackers emerging in recent years, the model that can apply to the current Internet should be developed,and Real-time traceback system is needed to actively defense the hacking.     

网络攻击追踪技术性能分析

DoS攻击(拒绝服务攻击)和DDoS攻击(分布式拒绝服务攻击)IP追踪目前成为当今网络安全领域中最难解决的问题,IP追踪系统目的是在数据包源地址非真时识别出IP数据包源地址.对一些解决该问题最有前景的追踪技术进行了比较,以寻找更有效方法,并提出了一个新的IP追踪系统,该系统能够只用一个数据包就可以实现追踪而不需要受害者数据包.     

一种高精度、低开销的单包溯源方法

混合拒绝服务攻击是当前互联网面临的主要威胁之一,针对它的单包溯源技术已成为网络安全领域研究的重点和热点.鉴于已有的单包溯源研究存在处理开销大、溯源精度低等问题,提出一种高精度、低开销的基于标签交换的单包溯源方法,简称S3T.该方法的基本思想是借鉴MPLS网络的交换路径生成原理,在溯源路由器上建立面向反向路由的追踪痕迹,降低溯源存储开销.然后,通过并行化建立追踪痕迹、灵活配置溯源路由器存储容量和自适应调整追踪痕迹存储时间等手段加快溯源路由器处理IP包速率,同时提高溯源精度.通过理论分析和基于大规模真实互联网拓扑的仿真实验,其结果表明,相比以往方案,S3T在溯源开销和溯源精度方面确实有了很大的改善.     

一种通用的互联网追踪溯源技术框架

近年来,应对网络威胁,学术界提出并发展了网络追踪溯源技术,产生了多种追踪溯源技术体制;然而,多数追踪溯源的技术研究主要集中在具体的溯源技术及算法上,对网络追踪溯源的技术框架研究较少.文章从协作网域和非协作网域两个方面分析追踪溯源技术,提出非协作网域追踪溯源体制,设计一种通用的互联网追踪溯源技术框架,将多种有效的追踪溯源技术或方法统一在该框架中,发挥各种的溯源技术的优势,实现全球互联网空间的追踪溯源能力,提高网络安全防护的主动性和有效性.