讨论一下如何防范SYN-FLOOD攻击的问题

platinum

我就晕～！
如此说来，sina、163、sohu等门户网站都可以在瞬间就完蛋？

jackylau

原帖由 "platinum" 发表：
我就晕～！
如此说来，sina、163、sohu等门户网站都可以在瞬间就完蛋？

9494！帮你顶吧！

找工作ing

up

双眼皮的猪

这些大型网站，方法syn-flood应该还是有一套的，假如在一下收到十多条syn，而第三次握手没收到ack的话，你就被断了...

建议看看这里：
http://blog.csdn.net/lalphbet/archive/2004/12/23/226298.aspx

hutuworm

原帖由 "platinum" 发表：
我就晕～！
如此说来，sina、163、sohu等门户网站都可以在瞬间就完蛋？

这要看攻击者有多大的能力调动足够的带宽去攻击
以三大门户的现有带宽以及他们和上级ISP的关系
一次持续的攻击有可能被抓到
短暂的攻击也没什么意义
因此普通攻击者也不会贸然犯险

simonzhan

正是，我记得上次白宫那档子事最后好象是通过更换IP来解决的？

虚度光阴

DOS是一种利用单机的攻击方式，而DDos（分布式拒绝服务）是一种基于DOS的特殊形式的拒绝服务攻击，和DOS比就是一个是多点，一个是单点

预防为主  保证安全

1定期扫描：（安全漏洞）
2在骨干节点配置放火墙，防火墙本身能抵御DDOS攻击和其他一些攻击，在发现受攻击的时候，可以将攻击导向其他一些牺牲主机，保证真正的主机不受瘫痪
3用足够的机器承受黑客攻击，因为黑客在攻击你的同时，自己的能量也在逐渐消失，想想为什么GOOGLE MICROSOFT SINA为什么WEB都有集群结构或分布式DNS
4过滤不必要的服务和端口（一个原则是满足最基本需要）
5检查访问者的来源，可以把那个IP段或域禁止
6应该过滤所有私网地址 192.168.0.    10.     172.16.
7限制SYN/ICMP流量 最好把PING关掉

虚度光阴

对了 忘了告诉各位一件事情

安全问题是 ing形式  不是ed形式


bestregard

7758

总的来说小型的服务器和网站还是没什么办法抵御的，只能做一些杯水车薪的事

llzqq

继续讨论，今天在也下载了DOS的软件，模拟了一下，攻击一开始PC上的LINUX马上就不响应了，攻击终止后服务器就恢复正常（系统和APACHE并没有死掉）