服务器防御ddos攻击-服务器防御dns攻击

hacker|
212

DNS缓存攻击怎么解决?

有时候受局域网ARP病毒的袭击,不得不修复本地连接。它的步骤如下:

1 清除ARP缓存,cmd下使用命令arp -d *代替执行。

2 清除NETBT,cmd下使用命令nbtstat -R代替执行。

3 清除DNS缓存,cmd下使用命令ipconfig/flushdns代替执行。

由于第三步可以网络邻居属性-本地连接-修复,但有时候会出现“无法完成修复,.....:清除DNS缓存失败”。

解决方法是:控制面板-管理工具-服务,在出现的的服务里面找到DNS Client和DHCP Client这两个服务,把他们两个启动,设置成自动

网站免受攻击的防御方法

一、网站被攻击是可以防御的,可以通过一下方式:

(1)关闭无要的端口和服务;

(2)安装杀毒软件或者是防火墙来抵御攻击;

(3)定期修改账户密码,尽量设置的复杂些,不要使用弱密码;

(4)日常维护的时候要注意,不建议在服务器上安装过多的软件;

(5)及时修复漏洞,在有官方安全补丁发布时,要及时更新补丁;

(6)设置账户权限,不同的文件夹允许什么账号访问、修改等,同时,重要的文件夹建议增加密码;

(7)建议要定期备份数据,当有发现问题时,可以及时替换成正常的文件。

二、导致网站被攻击的因素

(1)外部因素

        网站外部攻击一般都是DDoS流量攻击。DDoS攻击主要使用大量合法的请求占用大量的网络资源,为了实现网络瘫痪的目的,其攻击方式通常是通过服务器提交大量请求,使服务器超负荷,阻止用户访问服务器和服务和特定系统或个人的通讯。

        DDoS流量攻击也包括CC攻击,CC主要用于攻击页面,CC攻击的原理是攻击者控制一些主机向其他服务器发送大量数据包,造成服务器资源耗尽,直至崩溃。简单地说,CC就是模拟多个用户的连续访问,这需要大量的数据操作,也就是不断地使用大量的CPU,这样服务器就永远不会有足够的连接来处理,直到由于网络拥塞而中断正常的访问。

(2)内部因素

        主要是因为网站本身。对于企业网站来说,就是把网站作为一个门面,安全意识薄弱,这几乎是企业网站的一个普遍问题,安全意识不强,从某种意义上来说,网站受到了攻击。更可怕的是,大多数网站被攻击后都蒙混过关,没有足够的攻击意识,如真正严重的攻击损失是巨大的,然后想去修补,已经太迟了。

三、防止 DDoS 攻击的方式

(1)减少公开暴露

        此前曝光的Booter站点或lizardstress ser(一个臭名昭著的LizardSquad的子站点)为特定目标提供付费的DDoS攻击,这些站点还将攻击伪装成合法的负载测试。该黑客组织在2014年圣诞节期间使用DDoS攻击微软的Xbox Live和索尼的PSN网络,导致许多玩家长时间没有娱乐活动。

       对于企业来说,减少公开暴露是抵御DDoS攻击的有效方法。为PSN网络建立安全组和专用网络,及时关闭不必要的服务,可以有效防止网络黑客窥探和入侵系统。具体措施包括禁止访问主机非开放服务,限制同时打开的SYN连接的最大数量,限制对特定IP地址的访问,以及启用防火墙抗ddos属性。

(2)利用扩展和冗余

        DDoS 攻击针对不同协议层有不同的攻击方式,因此我们必须采取多重防护措施。利用扩展和冗余可以防患于未然,保证系统具有一定的弹性和可扩展性,确保在 DDoS 攻击期间可以按需使用,尤其是系统在多个地理区域同时运行的情况下。任何运行在云中的虚拟机实例都需要保证网络资源可用。

       微软针对所有的 Azure 提供了域名系统(DNS)和网络负载均衡,Rackspace 提供了控制流量流的专属云负载均衡。结合 CDN 系统通过多个节点分散流量,避免流量过度集中,还能做到按需缓存,使系统不易遭受 DDoS 攻击。

(3)充足的网络带宽保证

        网络带宽直接决定了能抗受攻击的能力,假若仅仅有 10M 带宽的话,无论采取什么措施都很难对抗当今的 SYNFlood 攻击,至少要选择 100M 的共享带宽,最好的当然是挂在1000M 的主干上了。但需要注意的是,主机上的网卡是 1000M 的并不意味着它的网络带宽就是千兆的,若把它接在 100M 的交换机上,它的实际带宽不会超过 100M,再就是接在 100M 的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为 10M,这点一定要搞清楚。

(4)分布式服务拒绝 DDoS 攻击

        所谓的分布式资源共享服务器意味着数据和程序可以分布到多个服务器,而不是一个。分布式有利于任务在整个计算机系统中的分配和优化,克服了传统的集中式系统会导致中央主机资源紧张和响应瓶颈的缺点。分布式数据中心的规模越大,越有可能分散DDoS攻击的流量,越容易抵御攻击。

(5)实时监控系统性能

        除了上述措施,实时监控系统性能也是防止DDoS攻击的重要手段。不合理的DNS服务器配置也会导致系统容易受到DDoS攻击。系统监控可以实时监控系统的可用性、API、CDN、DNS等第三方服务提供商的性能,监控网络节点,检查可能存在的安全风险,及时清理新的漏洞。由于骨干网节点的带宽较高,是黑客攻击的最佳场所,因此加强对骨干网节点的监控显得尤为重要。

DNS隧道小结

hw马上就开始了,突然心血来潮想做DNS Beacon上线的实验,万一hw碰上了不至于两眼黑,最起码能扯扯淡

随着目前攻击者越来越多地利用DNS通道来建立隧道与C2通信。从本地计算机到Internet的任何通信(不包括基于静态IP的通信)都依赖于DNS服务,限制DNS通信可能会导致合法远程服务的断开,因此,企业防火墙通常配置为允许UDP端口53(由DNS使用)上的所有数据包。

为了进一步做仿真模拟实验,在win7虚拟机上设置防火墙出网策略,只允许访问内网以及dns出网,但是因为windows防火墙的策略是阻断优先于放行,导致一直没有配置好环境,最终通过将阻断策略分为两条得以解决:

主机记录可以将DNS中的域名称对应到IPv4地址。

PTR可以定义某个对应的域名。

CNAME记录可以将注册的不同域名都转到一个域名记录上,由这个域名记录统一解析管理,与A记录不同的是,CNAME别名记录设置的可以是一个域名的描述而不一定是IP地址。

NS记录用来指定该域名是由哪个DNS服务器来进行解析的,可以把一个域名的不同二级域名分别指向到不同的DNS系统来解析。

TXT记录一般是为某条记录设置说明,比如你新建了一条a.com的TXT记录,TXT记录内容"this is a test TXT record.",然后用nslookup -qt=txt a.com ,你就能看到"this is a test TXT record"的字样了。

DNS协议解析过程分为两种,迭代查询和递归查询。

本机查询本地域名服务器,这部分属于递归查询。

本地域名服务器查询根域名服务器,这部分属于迭代查询。

DNS隧道是隐蔽信道的一种,通过将其他协议封装在DNS协议中进行通信。封装由客户端完成,将DNS流量还原成正常的流量由服务器完成。DNS隧道攻击利用了防火墙放行DNS的特点以及协议解析流程来实现的。

1.)直连型DNS隧道:

2.)域名型DNS隧道(中继):

DNS隧道建立的过程:

DNS Beacon原理:

发送端将隐蔽数据信息切分并且编码后封装到DNS报文域名中进行传输,每一级域名长度为63,域名总长度不超过253,接收端收到DNS报文后提取域名中的隐蔽信息字段进行解码重组还原得到IP报文。主要的工具有DNSCat,Iodine等

首先配置域名的记录。将自己的域名 解析到VPS服务器地址。然后创建NS记录,将 ns1.hacker.com 指向 :

然后使用ping命令配合tcpdump观察一下是否有流量经过:

CS开启DNS Beacon监听:

生成DNS木马,只要木马在目标主机执行成功,我们的CobaltStrike就能接收到反弹的shell。但是默认情况下,主机信息是黑色的,我们需要执行以下命令,让目标主机信息显示出来:

『DNS隧道工具之渗透神器』— cobalt strike

DNS 隧道通信特征与检测

墨云 I 技术课堂-DNS隧道攻击与防御

工具的使用 | CobaltStrike中DNS Beacon的使用

如何解决DNS欺骗攻击? 急!!!

强烈建议、友情提示你找《盗梦空间》的多姆·科布帮你看看人家的脑瓜想什么吧。找鬼谷子也只是卜一卜,我呢,只能猜想了:如果是房东搞的,那应该是为了限速,如果是内网的一台机中毒的,那目的只有那机器说得清楚;

2,其它原因你都已经想到了,还问大家,哎呀,老师是出题考试吧?那标准答案你有留底吧?

3,解决办法?既然看到了试卷,就得答一答,不管你的标准答案是什么。一,直接问房东有没有装聚生网管、P2P终结者之类的软件,有没有在带网管功能的路由器上设置相关的限速和安全设置;二,自己上路由器看一看,IE地址栏输入192.168.1.1……如果路由器的账号密码是默认的那你就幸运,不是的话搜索一下办法吧(网上应该有不少的办法,我再在这说出来就变成复制人家的了,我灰常听从楼主忠告的)。在路由器上查看路由的MAC地址和网内各台机的MAC地址,和攻击源MAC对照一下,有相同或是不同?(查这个的目的相信你也清楚吧?再次免复制)……三,开着APR防火墙(这个楼主已经在做了,纯属罗嗦);让房东分配或确定已经分配静态IP地址、MAC地址绑定,如果这样绑定了还有欺骗攻击,那就确定是内网有电脑中毒而导致的了;三,你也装个网管软件,大家对着干……

对于问题补充,如果不是楼内的人自己有意所为,那明显啊--不是一就是二,但也得内网某一台机器中了招才行!提醒一下,如果在用支付宝,特别留意一下是不是官方的充值网页,因为DNS欺骗的目的就是把你原本想到达的IP地址解析成其它地址,打个比喻就是你原本要打车往香格里拉酒店,不小心上了黑的把你拖到“臭格里拉”酒店……

如何才能走出DNS与DDoS攻击的陷阱

那么,是否有办法走出这个DNS 与DDoS攻击的陷阱呢?

或许,一个智能DNS基础设施能够解决这个问题。要注意的是,智能基础设施不只具有的积极影响,同时也具有破坏能力。而企业、供应商和服务商可以共同为DNS基础设施带来更高层面的情报。

供应商需要做出更智能的DNS的产品。当前的防御技术,如忽略第一个查询请求的做法是非常原始的,其并不能解决问题。新型的DNS服务器必须在受感染状态下意识到攻击并做出限制其他们反应速率的措施。

通过检测攻击然后重定向输入使用TCP的持续攻击的查询条件,这一想法或许到了将要实现的时候。而这可能会导致更高的延迟,意味着一些服务器需要升级,因为在应对TCP的同时许多互联网DNS服务器将付出更大的性能代价,但这应该只是暂时的。

但面对这种形式的攻击,企业也应该通过缩减他们的配置来防止这种放大请求。具体来说, 服务器应该只对整个区域除中专门列入白名单地址转储进行响应。企业还可以阻止并不多见的没有任何记录类型的请求。

这样的好处之一,是帮助减轻垃圾邮件的攻击。作为情报服务,国际反垃圾邮件组织将监控互联网中的开放邮件中继器和广告——企业将根据国际反垃圾邮件组织提供的列表自动阻止垃圾邮件。对DNS来说,还有几项免费服务,以监控数百万在互联网上公开的DNS继电器。

到目前为止,试图关闭2500万开放的解析器的唯一方法是:公开这些列表。不过很显然,只公示这个列表是不够的,事实上,发布这个列表就像一个巨型僵尸网络为那些希望使用它的人而分发布的地址!也许采取更极端的措施的时候已经到来,。进一步说,如果一个“好的”DNS服务器能够阻止解析器的响应,这可能会迫使被列入黑名单的对象清除他们的攻击行为。

不过,如果不尽快构建起智能DNS基础设施的话,DDoS攻击与DNS反射攻击或许只是才刚刚开始而已。

服务器怎么防止被攻击

1、关闭不必要的端口和服务

2、安装类似安全狗软件这种的防火墙,来防御攻击,同时查杀病毒。同时,可利用安全狗服云来管理服务器和网站,添加IP黑名单,分析安全威胁,并找到攻击源头并进行处理。

3、定期修改账户密码,尽量设置的复杂些,不要使用弱密码。

4、日常维护的时候要注意,不建议在服务器上安装过多的软件。

5、及时修复漏洞,在有官方安全补丁发布时,要及时更新补丁。

6、设置账户权限,不同的文件夹允许什么账号访问、修改等,同时,重要的文件夹建议增加密码。

7、建议要定期备份数据,当有发现问题时,可以及时替换成正常的文件

0条大神的评论

发表评论