dns攻击原理-美国dnsddos攻击

hacker|
108

谁用过美国高防服务器?美国高防服务器哪家好

之前用过RAKsmart的高防服务器还是不错的,主要有下面几个优势:

首先,RAKsmart高防服务器防DDoS攻击能力强

很多站长朋友都知道,对于高防服务器来说,其防御流量攻击都有一个硬防范围。在这个范围之内,受到网络攻击的时候,在保护范围之内的用户都是不会受到影响的。像RAKsmart高防服务器基本上都是10G DDoS防护功能,可保护您的服务器免受外部攻击。另外RAKsmart高防服务器在防御大流量攻击上主要有两个特点,一个是为防止流量所占取的高带宽,还有就是对流量有智能识别的防火墙牵引系统,所以对于企业建站来说还是非常安全的。

其次是RAKsmart高防服务器稳定性好

虽然是美国高防服务器,RAKsmart特意对中国用户优化了带宽,并且和中国联通、电信设立专线连接,国内PING值基本上在160ms左右,所以国内用户访问速度会更快、更稳定。另外RAksmart高防服务器采用BGP peering 10G光纤连接,在众多美国高防服务器中,RAKsmart高防服务器性能也是非常优越的。

最后就是RAKsmart拥有硅谷技术中心

RAKsmart是美国西海岸服务器的服务商,总部位于加州硅谷,技术实力还是非常雄厚的,现在RAKsmart也有中文网站,无论我们出现产品上还是技术上的问题我们都可以快速联系客服帮助我们解决问题。

DDoS的原理及危害

DDoS:拒绝服务攻击的目标大多采用包括以SYNFlood和PingFlood为主的技术,其主要方式是通过使关键系统资源过载,如目标网站的通信端口与记忆缓冲区溢出,导致网络或服务器的资源被大量占用,甚至造成网络或服务器的全面瘫痪,而达到阻止合法信息上链接服务要求的接收。形象的解释是,DDoS攻击就好比电话点歌的时候,从各个角落在同一时间有大量的电话挂入点播台,而点播台的服务能力有限,这时出现的现象就是打电话的人只能听到电话忙音,意味着点播台无法为听众提供服务。这种类型的袭击日趋增多,因为实施这种攻击的方法与程序源代码现已在黑客网站上公开。另外,这种袭击方法非常难以追查,因为他们运用了诸如IP地址欺骗法之类所谓网上的“隐身技术”,而且现在互联网服务供应商(ISP)的过剩,也使作恶者很容易得到IP地址。拒绝服务攻击的一个最具代表性的攻击方式是分布式拒绝服务攻击(DistributedDenialofService,DDoS),它是一种令众多的互联网服务提供商和各国政府非常头疼的黑客攻击方法,最早出现于1999年夏天,当时还只是在黑客站点上进行的一种理论上的探讨。从2000年2月开始,这种攻击方法开始大行其道,在2月7日到11日的短短几天内,黑客连续攻击了包括Yahoo,Buy.com,eBay,Amazon,CNN等许多知名网站,致使有的站点停止服务达几个小时甚至几十个小时之久。国内的新浪等站点也遭到同样的攻击,这次的攻击浪潮在媒体上造成了巨大的影响,以至于美国总统都不得不亲自过问。

分布式拒绝服务攻击采用了一种比较特别的体系结构,从许多分布的主机同时攻击一个目标。从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以,对这种攻击还不能做到完全防止。

DDoS通常采用一种跳台式三层结构。如图10—7所示:图10—7最下层是攻击的执行者。这一层由许多网络主机构成,其中包括Unix,Linux,Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登录权限,并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址,其攻击行为受到攻击服务器的直接控制。

攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。

这些服务器与攻击执行器一样,安装在一些被侵入的无关主机上。

攻击主控台。攻击主控台可以是网络上的任何一台主机,甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。

有许多无关主机可以支配是整个攻击的前提。当然,这些主机与目标主机之间的联系越紧密,网络带宽越宽,攻击效果越好。通常来说,至少要有数百台甚至上千台主机才能达到满意的效果。例如,据估计,攻击Yahoo!站点的主机数目达到了3000台以上,而网络攻击数据流量达到了1GB秒。通常来说,攻击者是通过常规方法,例如系统服务的漏洞或者管理员的配置错误等方法来进入这些主机的。一些安全措施较差的小型站点以及单位中的服务器往往是攻击者的首选目标。这些主机上的系统或服务程序往往得不到及时更新,从而将系统暴露在攻击者面前。在成功侵入后,攻击者照例要安装一些特殊的后门程序,以便自己以后可以轻易进入系统,随着越来越多的主机被侵入,攻击者也就有了更大的舞台。他们可以通过网络监听等方法进一步扩充被侵入的主机群。

黑客所作的第二步是在所侵入的主机上安装攻击软件。这里,攻击软件包括攻击服务器和攻击执行器。其中攻击服务器仅占总数的很小一部分,一般只有几台到几十台左右。设置攻击服务器的目的是隔离网络联系,保护攻击者,使其不会在攻击进行时受到监控系统的跟踪,同时也能够更好的协调进攻。因为攻击执行器的数目太多,同时由一个系统来发布命令会造成控制系统的网络阻塞,影响攻击的突然性和协同性。而且,流量的突然增大也容易暴露攻击者的位置和意图。剩下的主机都被用来充当攻击执行器。执行器都是一些相对简单的程序,它们可以连续向目标发出大量的链接请求而不作任何回答。现在已知的能够执行这种任务的程序主要包括trin00,TFN(TribeFloodNetwork)、randomizer以及它们的一些改进版本,如TFN2k等。

黑客所作的最后一步,就是从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。由于攻击主控台的位置非常灵活,而且发布命令的时间很短,所以非常隐蔽,难以定位。一旦攻击的命令传送到服务器,主控台就可以关闭或脱离网络,以逃避追踪。接着,攻击服务器将命令发布到各个攻击器。在攻击器接到攻击命令后,就开始向目标主机发出大量的服务请求数据包,这些数据包经过伪装,无法识别它的来源。而且,这些数据包所请求的服务往往要消耗较大的系统资源,如CPU或网络带宽。如果数百台甚至上千台攻击器同时攻击一个目标,就会导致目标主机网络和系统资源的耗尽,从而停止服务。有时,甚至会导致系统崩溃。另外,这样还可以阻塞目标网络的防火墙和路由器等网络设备,进一步加重网络拥塞状况。这样,目标主机根本无法为用户提供任何服务。攻击者所用的协议都是一些非常常见的协议和服务。这样,系统管理员就难于区分恶意请求和正常链接请求,从而无法有效分离出攻击数据包。

除了上述类型的攻击以外,其他种类的拒绝服务袭击有,从电脑中删除启动文件,使之无法启动,或删除某个网络服务器的网页等。为什么有人要发起这种类型的袭击呢?因为他们所闯入的服务器并没有什么秘密数据。其实,这种袭击也是出于各种原因,有政治的,不正当商业竞争为原因的、也有的是作为一种大规模袭击的一个组成部分。比如,巴勒斯坦的黑客为了抗议以色列的犹太人政权而发起的对以色列政府网站的攻击;某恶意电子商务网站为争夺客户而发起的针对竞争对手的拒绝服务攻击。拒绝服务袭击也可以用来关闭某位黑客想要欺诈的服务器。比如,黑客可能会为了获得客户PIN码或信用卡号码而对一家银行的服务器进行攻击等,这类袭击是“比其他类型的袭击要突出得多的、最普遍的安全隐患”。当然,这种袭击的主要损失是系统不能正常运行而耽误的时间,而且系统很容易就可以通过重新启动的方式而恢复运行。然而,任何注重品牌声誉的企业都明白,在互联网世界中,品牌声誉可能会因一次安全性攻击而毁于一旦,因此,黑客攻击行为(尤其是拒绝服务攻击)已成为当今企业所面临的最大威胁中的一部分。

一个企业的网上服务即使没有遭到拒绝服务的攻击,它还会面临另外一种风险,即成为攻击者的跳台的危险。在实际发生的大规模拒绝服务攻击的案例当中,往往是那些网络安全管理不严格的企业或组织的系统,被黑客侵入,在系统内被植入攻击时使用的黑客程序。而攻击犯罪发生以后,由于黑客的消踪灭迹的手段很高明,所以最后被侦破机关追索到的攻击源往往是那些成为攻击跳台的网络。虽然,企业本身没有遭到损失,但是由于成为攻击跳台,而带来的合作伙伴的疑虑和商业信用的损失却是无法估计的。

论DNS是如何放大攻击?

DDoS攻击是基于反射的体积分布式拒绝服务攻击,攻击者利用开放式DNS解析器的功能,便于使用更大量的流量压倒目标服务器或网络,从而呈现服务器和它周围的基础设施无法进入。

那么DNS是如何放大攻击工作的呢?

其实所有放大攻击都利用了攻击者和目标Web资源之间的带宽消耗差异。比如当在许多请求中放大成本差异时,就会由此产生的流量可能会破坏网络基础设施。所以通过发送导致大量响应的小查询,恶意用户可以从更少的内容获得更多。由具有在每个机器人这个倍数乘以僵尸网络进行类似的请求,攻击者就是从检测既混淆和收获提高了攻击流量的好处。

这些机器人可以比喻成一个恶意的人打电话给餐馆并说“我将拥有一切,请给我回电话并告诉我整个订单。”当餐厅给出的号码是目标受害者的电话号码,目标就能迅速接收来自餐馆的电话,其中包含许多他们未请求的信息。

每个机器人都会要求使用欺骗性IP地址打开DNS解析器,那么该IP地址已更改为目标受害者的真实源IP地址,目标会从DNS解析器接收响应。为了创建大量流量,攻击者会从DNS解析器生成响应的方式构造请求。结果,目标接收到攻击者初始流量的放大,并且他们的网络被虚假流量阻塞,导致拒绝服务。

DNS放大有四个步骤:

那么问题来了怎样去减轻DNS放大攻击呢?

对于运营网站或服务的个人或公司来说,缓解选项是有限的。个人的服务器虽然可能是目标,但是不会感受到体积攻击的主要影响。一般产生了大量的流量,服务器周围的基础设施会产生影响。ISP或者其他上游基础架构提供商就无法处理传入流量而不会变得不堪重负。ISP可能将所有流量黑洞到目标受害者的IP地址,保护自己并使目标站点脱机。

源IP验证 - 停止欺骗数据包离开网络

攻击者僵尸网络发送的UDP请求必须具有欺骗受害者IP地址的源IP地址,所以一般会降低基于UDP的放大攻击有效性的关键组件是Internet服务提供商拒绝任何内部流量欺骗的IP地址。从网络内部发送一个数据包,其源地址使其看起来像是在网络外部发起的,那么它可能是一个欺骗性数据包,这种可以被丢弃。

其实通过正确配置的防火墙和足够的网络容量阻止DNS放大攻击等反射攻击是微不足道的。但是我们的DDos能提供全面的(DDos)攻击防护,缓存加速,隐藏源站,能帮您减轻这些攻击。

历史上最厉害电脑病毒

1.历史上最厉害的电脑病毒有哪些

1. CIH (1998年) 该计算机病毒属于W32家族,感染Window* 95/98中以**E为后缀的可行性文件。

它具有极大的破坏性,可以重写BIOS使之无用(只要计算机的微处理器是Pentium Intel 430TX),其后果是使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),该计算机病毒于4月26日发作,它还会破坏计算机硬盘中的所以信息。该计算机病毒不会影响MS/DOS、Windows 3.x和Windows NT操作系统。

CIH可利用所有可能的途径进行传播:软盘、CD-ROM、Inter、FTP下载、电子邮件等。被公认为是有史以来最危险、破坏力最强的计算机病毒之一。

1998年6月爆发于中国台湾,在全球范围内造成了2000万-8000万美元的损失。 2.梅利莎(Melissa,1999年) 这个病毒专门针对微软的电子邮件服务器和电子邮件收发软件,它隐藏在一个Word97格式的文件里,以附件的方式通过电子邮件传播,善于侵袭装有Word97或Word2000的计算机。

它可以攻击Word97的注册器并修改其预防宏病毒的安全设置,使它感染的文件所具有的宏病毒预警功能丧失作用。 在发现Melissa病毒后短短的数小时内,该病毒即通过因特网在全球传染数百万台计算机和数万台服务器, 因特网在许多地方瘫痪。

1999年3月26日爆发,感染了15%-20%的商业PC,给全球带来了3亿-6亿美元的损失。 3. I love you (2000年) 2000年5月3日爆发于中国香港,是一个用VBScript编写,可通过E-Mail散布的病毒,而受感染的电脑平台以Win95/98/2000为主。

给全球带来100亿-150亿美元的损失。 4. 红色代码 (Code Red,2001年) 该病毒能够迅速传播,并造成大范围的访问速度下降甚至阻断。

这种病毒一般首先攻击计算机网络的服务器,遭到攻击的服务器会按照病毒的指令向 *** 网站发送大量数据,最终导致网站瘫痪。其造成的破坏主要是涂改网页,有迹象表明,这种蠕虫有修改文件的能力。

2001年7月13日爆发,给全球带来26亿美元损失。 5. SQL Slammer (2003年) 该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。

2003年1月25日爆发,全球共有50万台服务器被攻击,但造成但经济损失较小。 6. 冲击波(Blaster,2003年) 该病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。

另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。

7. 大无极.F(Sobig.F,2003年) Sobig.f是一个利用互联网进行传播的病毒,当其程序被执行时,它会将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址。在被执行后,Sobig.f病毒将自己以附件的方式通过电子邮件发给它从被感染电脑中找到的所有邮件地址,它使用自身的SMTP引擎来设置所发出的信息。

此蠕虫病毒在被感染系统中的目录为C:\WINNT\WINPPR32.EXE。2003年8月19日爆发,为此前Sobig变种,给全球带来50亿-100亿美元损失。

8. 贝革热(Bagle,2004年) 该病毒通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。

2004年1月18日爆发,给全球带来数千万美元损失。 9. MyDoom (2004年) MyDoom是一种通过电子邮件附件和P2P网络Kazaa传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上留下可以上载并执行任意代码的后门(TCP 3127 到3198范围内)。

2004年1月26日爆发,在高峰时期,导致网络加载时间慢50%以上。 10. Sasser (2004年) 该病毒是一个利用微软操作系统的Lsass缓冲区溢出漏洞( MS04-011漏洞信息)进行传播的蠕虫。

由于该蠕虫在传播过程中会发起大量的扫描,因此对个人用户使用和网络运行都会造成很大的冲击。2004年4月30日爆发,给全球带来数千万美元损失。

2.有史以来破坏力最强的计算机病毒是什么

一种危险的新病毒“新爱”(VBS。

NewLove。A)爆发了。

这是迄今为止发现的破坏力最强的病毒。它的传播方式和最初的爱虫病毒一样。

一旦传染了某台PC后,病毒会按Outlook通讯簿中的地址将自己发送出去。 可是这次“新爱”病毒的破坏力可比“我爱你”病毒的大多了。

这个新病毒会覆盖机器被传染时未被使用的所有文件。善变的特征和以前的病毒或蠕虫所不同的是,这个新病毒有多种形态,也就是说每次传染时都会有所不同。

由于爱虫病毒和其早期变种都有已知的标题和附件,很容易被识别。可这个新蠕虫每次随机的在被传染的机器的开始菜单里选择标题和附件,它查看系统开始菜单然后随机选择一个文件名(如果没有,就生成一个)。

一旦病毒开始复制,它会用按照用户Outlook通讯簿中的地址把标有随机选择的文件名和附件的病毒副本发送出去(如“转发:我的文档。doc”或“我的文档。

doc vbs”)。如果某人的Outlook中有六十个地址,就会发出六十个转发我的文档。

doc的信件。 然后,当新的系统传染上这个病毒以后,又以同样的方法产生新版本的病毒。

正因为每次病毒传染后都会添加新的命令句和注释,因此防病毒公司很难确定需侦测和删除文件的特点。巨大的危害新蠕虫覆盖所有系统被传染时没有使用的文件——基本上就毁了整个系统。

重新启动机器是无济于事的,唯一的恢复方法就是用干净的备份文件重建整个系统。

3.史上最厉害的电脑病毒是什么

据悉,从上周起,360安全中心、冠群金辰、趋势科技、以及赛门铁克等国内外安全厂商先后发布预警称,黑客将在愚人节发动一次“史上最强网络攻击”,包括雅虎、迪斯尼、Facebook、Youtube等国际知名网站以及百度、开心网等国内网站都可能受影响。这一事件立即引起了社会各界的关注。

Conficker蠕虫也被称为“史上最强病毒”,最早于去年11月20日被发现,迄今已出现了A、B、C三个版本,目前全球已有超过1500万台电脑受到感染。 Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染。

安全人员在Conficker.C变种的反汇编代码中,发现了攻击全球上百家大网站的设置,并认为黑客很可能会采用向这些网站发送数据包的DDOS攻击方式发动网络攻击。由于该蠕虫曾一度让法国海军飞机停飞,近日还深度感染了英国议会的网络系统,因而很快受到公众关注。

不过,由于Conficker在此前四个多月内一直“按兵不动”,从未对中招电脑实施任何破坏行为,因而显得非常神秘。所以,赛门铁克安全响应中心研究人员虽然同样证实了Conficker.C中威胁代码的存在,但并不确信4月1日究竟会发生什么。

研究人员甚至猜测“这或许又是一次千年虫事件”。 冠群金辰公司预警称,从4月1日起,Conficker.C蠕虫病毒每天将试图访问上万个内置的URL,向全球的网络发起大规模攻击。

美国电脑安全公司F-Secure也预测,Conficker将从本周三开始,每天入侵5万个网站,以更好地隐藏发源地。 而趋势科技(Trend Micro)向用户紧急发布的预警邮件称,该蠕虫将在愚人节当天自我修改程序,并一次产生五万个恶意软件网址,试图在同一时间内随机连接其中500个恶意网站下载木马病毒,以此改变通过“肉鸡”扩大其“僵尸”网络(Bot )家族,以进行下一波的网络攻击。

国际网络安全研究机构MTC分析报告指出,Conficker蠕虫已渗透进全球各 *** 网站、军事网络、个人电脑、重要的基础架构、各种小网络以及大学中,中招电脑所占据的IP地址共计10512451个,其中包括1022062个局域网IP。Conficker蠕虫作者控制的“僵尸”电脑至少在1500万台以上——这个“僵尸”网络不仅可以作为网络诈骗和盗窃的长期获利平台,还可以作为信息战的超级武器,甚至能使整个民用互联网络瘫痪。

也正因为如此,微软今年2月,悬赏25万美元来缉拿Conflicker幕后作者。 “我们之所以说这次蠕虫攻击可能是史上最强的黑客攻击,原因在于它目前控制的僵尸电脑数量非常庞大,达到上千万台。”

安全专家石晓虹博士表示,2002年曾有黑客使用百万级的蠕虫发动DDOS攻击位于美国的DNS根服务器,就造成了Google、IBM等网站瘫痪。“如果这次上千万台电脑一起被用来攻击,那基本上没有哪个网站能防得住。”

目前流传着Conficker出自乌克兰、俄罗斯、东欧、中国等各地黑客的不同说法,石晓虹认为,Conficker作者的身份仍存在很大争议,网络安全研究人员也只是通过样本反汇编代码片段进行猜测而已,即便黑客启动大规模网络攻击,由于其采用了P2P技术,外界也很难定位到真正的控制服务器。 据悉,Conficker主要利用Windows操作系统MS08-067漏洞来传播,同时也能借助任何有USB接口的硬件设备来感染。

“因此,现在最重要的是,广大网民要及时修复自己电脑系统的漏洞,不要成为被黑客恶意利用的工具和帮凶,而各互联网站也要做好随时应对攻击挑战的准备。”石晓虹博士最后说。

附: 1、蠕虫病毒有哪些危害? 答:一般说来,电脑感染了蠕虫病毒后,会慢得跟蠕虫那样,可能被作为僵尸电脑,向外发送大量垃圾邮件或对其它网络计算机发送攻击。还有些蠕虫会在入侵用户电脑后,下载一些盗号木马,来窃取用户的网游、网银和个人隐私信息。

2004年“震荡波”蠕虫爆发时,侵袭了世界各地的银行、邮政、交通等部门电脑系统,让中招电脑不断崩溃、重启,造成德尔塔航空公司约40个航班被迫取消或延误,澳大利亚成千上万的旅客滞留看台,无数工作人员重回纸质办公。 但Conficker非常奇怪,因为到目前为止,它除了让用户网速变得有些慢之外,还没有实施任何危害性操作。

但这并不等于Conficker不会作恶,而这完全取决于Conficker幕后的控制者下一步如何动作。 2、普通网民和企业用户应该如何防范? 答:普通用户应强化网络安全意识,及时用360安全卫士这样的专业安全工具为电脑打补丁,修复系统漏洞,就能避免受到Conficker蠕虫的入侵,从而不会成为他们攻击别人网络的帮凶。

企业用户的局域网更是Conficker容易传播的场所,往往一台电脑‘中招’就会导致整个局域网出现大面积感染,企业员工除了用360尽快为电脑修复漏洞补丁外,建议用户在使用U盘前应尽量开启具有U盘防火墙功能的安全软件。从数据来看,在2亿360用户中只有。

4.历史上最厉害的电脑病毒有哪些

1. CIH(1998年)感染Win95/98中的可行性文件,这种病毒在Windows环境下传播,其实时性和隐蔽性都特别强,变种可以重写BIOS.大约在世界范围内造成了两千万到八千万美元的损失。

2. 梅利莎(Melissa,1999年)Melissa病毒是一种迅速传播的宏病毒,它作为电子邮件的附件进行传播,尽管Melissa病毒不会毁坏文件或其它资源,但是它可能会使企业或其它邮件服务端程序停止运行,因为它发出大量的邮件形成了极大的电子邮件信息流。1999年3月26日爆发,感染了 15%-20%的商业电脑,带来了三千万到六千万美元的损失。

3.爱虫(I love you,2000年)和Melissa一样通过电子邮件传播,而其破坏性要比Melissa强的多,可以删除本地部分图片和文本,大约造成了一千万到一千五百万美元的损失。4. 红色代码(Code Red,2001年)Code Red是一种蠕虫病毒,本质上是利用了缓存区溢出攻击方式,使用服务器的端口80进行传播,而这个端口正是Web服务器与浏览器进行信息交流的渠道。

与其它病毒不同的是,Code Red并不将病毒信息写入被攻击服务器的硬盘,它只是驻留在被攻击服务器的内存中。大约在世界范围内造成了二百八十万美元的损失。

5. SQL Slammer(2003年)Slammer是一款DDOS恶意程序,透过一种全新的传染途径,采取分布式阻断服务攻击感染服务器,它利用SQL Server弱点采取阻断服务攻击1434端口并在内存中感染SQL Server,通过被感染的SQL Server再大量的散播阻断服务攻击与感染,造成SQL Server无法正常作业或宕机,使内部网络拥塞。和Code Red一样,它只是驻留在被攻击服务器的内存中。

大约在世界范围内造成了五十万台服务器当机,让韩国整个网络瘫痪了12个小时。6. 冲击波(Blaster,2003年)冲击波病毒是利用微软公司在当年7月21日公布的RPC漏洞进行传播的,只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞,该病毒感染系统后,会使计算机产生下列现象:系统资源被大量占用,有时会弹出RPC服务终止的对话框,并且系统反复重启,不能收发邮件、不能正常复制文件、无法正常浏览网页,复制粘贴等操作受到严重影响,DNS和IIS服务遭到非法拒绝等。

这个病毒该是近期国内比较熟悉一个大范围影响的病毒了。大约造成了二百万到一千万美元的损失,而事实上受影响的电脑则是成千上万,不计其数。

7. 霸王虫(Sobig.F,2003年)这是Sobig蠕虫的第5个变种,具有非常强的感染能力,因此将会发生庞大的电子邮件传输,使全球各地的电子邮件服务器当机,由于其特性,还将会极其危险的泄漏本地数据。大约造成了五百万到一千万美元的损失,有超过一百万台电脑受感染。

8. 贝革热(Bagle,2004年)Bagle也被称为Beagle,是一种透过电子邮件散布的蠕虫病毒,它通过远程访问网站利用电子邮件系统进行散布,并在Windows系统建立backdoor,至今为止,这个蠕虫可能是程度最严重,传播范围最广泛的蠕虫病毒,其影响仍然处于上升趋势。目前已经造成了上千万美元的损失,而且仍然在继续。

9. MyDoom(2004年)该病毒采用的是病毒和垃圾邮件相结合的战术,可以迅速在企业电子邮件系统中传播开来,导致邮件数量暴增,从而阻塞网络。不管是病毒还是垃圾邮件,无论哪一样在去年都给用户造成了足够多的烦恼,而如今这两者的结合更是来势凶猛,再加上大多数用户对此并不知情,使得这种病毒的传播速度突破了原来的各种病毒的传播速度。

根据MessageLabs调查公司的数据显示,在MyDoom病毒发作的高峰时刻,每10封邮件中就有一封被此种病毒感染,而对于前一年肆虐的Sobig病毒,每17封邮件中才会有一封邮件被感染。在其爆发最严重的时候,让全球的网络速度大幅度价低。

10. 震荡波(Sasser,2004年)震荡波病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。

这样子的发作特点很像当年的冲击波,会让系统文件崩溃,造成电脑反复重启。目前已经造成了上千万美元的损失。

5.史上最强的电脑病毒

我认为是冲击波

导致了路由器在和交换机的竞争中获胜利

路由器可以在高级网络中做核心 而交换机不能

冲击波(Worm.Blaster)病毒介绍

病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

冲击波(Worm.Blaster)病毒档案

警惕程度:

发作时间:随机

病毒类型:蠕虫病毒

传播途径:网络/PRC漏洞

依赖系统: WINDOWS 2000/XP

病毒介绍:

该病毒于8月12日被瑞星全球反病毒监测网率先截获。病毒运行时会不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOM RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。在8月16日以后,该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。

病毒的发现与清除:

1. 病毒通过微软的最新RPC漏洞进行传播,因此用户应先给系统打上RPC补丁,补丁地址:

/newSite/Channels/info/virus/TopicDatabasePackage/12-145900547.

2. 病毒运行时会建立一个名为:“BILLY”的互斥量,使病毒自身不重复进入内存,并且病毒在内存中建立一个名为:“m *** last”的进程,用户可以用任务管理器将该病毒进程终止。

3. 病毒运行时会将自身复制为:%systemdir%\m *** last.exe,用户可以手动删除该病毒文件。

注意:%Windir%是一个变量,它指的是操作系统安装目录,默认是:“C:\Windows”或:“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。%systemdir%是一个变量,它指的是操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。

4. 病毒会修改注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项,在其中加入:"windows auto update"="m *** last.exe",进行自启动,用户可以手工清除该键值。

5. 病毒会用到135、4444、69等端口,用户可以使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选” 功能,禁止这些端口

6.世界近十年来最厉害电脑病毒排名

近十年的没有相关资料,给你个有史以来的吧:据vnu网站报道,美国旧金山的专栏作家伊恩·汤姆森(IainThomson)和肖恩·尼古拉斯(ShaunNichols)发表了他们认为迄今为止最恶毒的10个计算机病毒排行榜。

1.CreeperCreeper可能是第一个计算机病毒,尽管这种说法还有争议。这个病毒是在1971年由BobThomas使用Tenex操作系统制作的。

2.BrainBrain是在1986年年中出现的第一个用微软DOS操作系统制作的病毒。这个病毒是巴基斯坦的两兄弟Basit和AmjadFarooq Alvi编写的,原来是用于阻止拷贝一个医药软件的。

3. MyDoomMyDoom是感染主机,然后重新发送整个地址簿的攻击方式。这种病毒使用经过检验而可靠的方法通过电子邮件和地址簿传播。

4. Nimda尼姆达(Nimda)是历史上传播速度最快的病毒之一,在上线之后的22分钟之后就成为传播最广的病毒。5. Melissa这是一个浪漫的爱情故事。

一个男孩遇到了一个女该。女孩靠跳舞赚钱,男孩回家为那个女孩编写计算机病毒。

这个计算机病毒后来流传了出去,造成了数百万美元的损失。这是我们这个时代的罗密欧与朱丽叶。

6. StormStorm是一个大型的恶意僵尸网络病毒,是在2007年年初以欧洲发洪水的假新闻的形式首先出现的。这个病毒给用户造成的威胁有一年多的时间。

7. ExploreZipExploreZip病毒是在10年前编写的,但是,这种病毒目前仍在传播。这是病毒如此顽强的一个很好的例子。

8. ConfickerConficker.C病毒原来要在今年3月进行大量传播,然后在4月1日实施全球性攻击,引起全球性灾难。不过,这种病毒实际上没有造成什么破坏。

9. KlezKlez也是一种非常顽强的病毒。在首次出现7年之后,这种病毒目前仍在传播。

10. Elk ClonerElk Cloner病毒是一个15岁的高中学生RichSkrenta为了开玩笑而编写的。遗憾的是他的玩笑很快就变成了坏事。

ElkCloner病毒通过启动扇区传播,成为了后来病毒传播的标准方式。

什么是DDoS攻击?面对DDOS攻击的处理方式

你好!

DDoS攻击是什么:

DDoS攻击全名为分布式拒绝服务攻击,是攻击者将多台受控制的计算机联合起来向目标计算机同时发起攻击,让目标主机系统资源耗尽,使其停止服务甚至崩溃。同时还可阻塞目标网络,使其无法为用户提供服务。

DDoS攻击常见处理办法:

1、预防:隐藏服务器或目标主机的真实IP地址,避免真实IP直接暴露在互联网,成为不法分子的攻击目标;

2、自建:架设专业防护DDoS攻击的网络安全设备,通过设置防护策略对发生的DDoS攻击进行处置,主要通过设置异常流量清洗阈值、源认证、攻击特征匹配、首包校验重传等方式实现安全防护;

3、购买服务:根据线网流量的情况,可以考虑选购国内某些运营商或云清洗供应商提供的抗DDoS服务,借助服务提供商既有的DDoS攻击防护能力,保护自身业务稳定可靠运行。

几种针对DNS的DDoS攻击应对方法

DDoS攻击是指通过僵尸网络利用各种服务请求耗尽被攻击网络的系统资源,造成被攻击网络无法处理合法用户的请求。而针对DNS的DDoS攻击又可按攻击发起者和攻击特征进行分类:

1、按攻击发起者分类 僵尸网络:控制大批僵尸网络利用真实DNS协议栈发起大量域名查询请求 模拟工具:利用工具软件伪造源IP发送海量DNS查询

2、按攻击特征分类 Flood攻击:发送海量DNS查询报文导致网络带宽耗尽而无法传送正常DNS 查询请求。

资源消耗攻击:发送大量非法域名查询报文引起DNS服务器持续进行迭代查询,从而达到较少的攻击流量消耗大量服务器资源的目的。

处理办法:

屏蔽未经请求发送的DNS响应信息

一个典型的DNS交换信息是由请求信息组成的。DNS解析器会将用户的请求信息发送至DNS服务器中,在DNS服务器对查询请求进行处理之后,服务器会将响应信息返回给DNS解析器。但值得注意的是,响应信息是不会主动发送的。

服务器在没有接收到查询请求之前,就已经生成了对应的响应信息,回应就被丢弃

丢弃快速重传数据包。

1.即便是在数据包丢失的情况下,任何合法的DNS客户端都不会在较短的时间间隔内向同一DNS服务器发送相同的DNS查询请求。

2.如果从相同IP地址发送至同一目标地址的相同查询请求发送频率过高,这些请求数据包可丢弃。

启用TTL

如果DNS服务器已经将响应信息成功发送了,应该禁止服务器在较短的时间间隔内对相同的查询请求信息进行响应。

1.对于一个合法的DNS客户端如果已经接收到了响应信息,就不会再次发送相同的查询请求。

2.每一个响应信息都应进行缓存处理直到TTL过期。

3.当DNS服务器遭遇大量查询请求时,可以屏蔽掉不需要的数据包。

丢弃未知来源的DNS查询请求和响应数据

通常情况下,攻击者会利用脚本来对目标进行分布式拒绝服务攻击(DDoS攻击),而且这些脚本通常是有漏洞的。因此,在服务器中部署简单的匿名检测机制,在某种程度上可以限制传入服务器的数据包数量。

丢弃未经请求或突发的DNS请求

这类请求信息很可能是由伪造的代理服务器所发送的,或是由于客户端配置错误或者是攻击流量。所以无论是哪一种情况,都应该直接丢弃这类数据包。

非泛洪攻击 (non-flood) 时段,创建一个白名单,添加允许服务器处理的合法请求信息。白名单可以屏蔽掉非法的查询请求信息以及此前从未见过的数据包。

这种方法能够有效地保护服务器不受泛洪攻击的威胁,也能保证合法的域名服务器只对合法的DNS查询请求进行处理和响应。

启动DNS客户端验证

伪造是DNS攻击中常用的一种技术。如果设备可以启动客户端验证信任状,便可以用于从伪造泛洪数据中筛选出非泛洪数据包。

对响应信息进行缓存处理

如果某一查询请求对应的响应信息已经存在于服务器的DNS缓存之中,缓存可以直接对请求进行处理。这样可以有效地防止服务器因过载而发生宕机。

很多请求中包含了服务器不具有或不支持的信息,我们可以进行简单的阻断设置,例如外部IP地址请求区域转换或碎片化数据包,直接将这类请求数据包丢弃。

利用ACL,BCP38,及IP信誉功能的使用

托管DNS服务器的任何企业都有用户轨迹的限制,当攻击数据包被伪造,伪造请求来自世界各地的源地址。设置一个简单的过滤器可阻断不需要的地理位置的IP地址请求或只允许在地理位置白名单内的IP请求。

还有一种情况,某些伪造的数据包可能来自与内部网络地址,可以利用BCP38通过硬件过滤也可以清除异常来源地址的请求。

BCP38对于提供DNS解析的服务提供商也相当有用,可以避免用户向外发送攻击或受到内部地址请求的攻击,过滤用户并保证其数据传输。

提供余量带宽

如果服务器日常需要处理的DNS通信量达到了X Gbps,请确保流量通道不止是日常的量,有一定的带宽余量可以有利于处理大规模攻击。

结语,目前针对DNS的攻击已成为最严重的网络威胁之一。目前越来越多的大型网站注重DNS保护这一块。为保障网站安全,保障网站利益,选择高防型的DNS为自己的域名进行解析已经迫在眉睫。

希望可以帮到您,谢谢!

0条大神的评论

发表评论