一般而言手工方式防护DDOS主要通过两种形式: 系统优化――主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDOS进行防护。 网络追查――遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。 3.2.2 退让策略 为了抵抗DDOS攻击,客户可能会通过购买硬件的方式来提高系统抗DDOS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高供给流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。 3.2.3 路由器 通过路由器,我们可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDOS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,如果DDOS攻
击采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范。 另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在
网络边界来阻断伪造源地址IP的攻击,但是对于今天的DDOS攻击而言,这种方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址,如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过uRPF防护策略。除此之外,如果希望uRPF策略能够真正的发挥作用,还需要在每个潜在攻击源的前端路由器上配置uRPF,但是要实现这种情况,现实中几乎不可能做到。 3.2.4 防火墙 防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDOS攻击的防护,在某些情况下,防火墙甚至成为DDOS攻击的目标而导致整个网络的拒绝服务。 首先是防火墙缺乏DDOS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet
服务的设备提供了通路,如果DDOS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,DDOS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDOS攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDOS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。 最好防火墙的部署位置也影响了其防护DDOS攻击的能力。传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为DDOS攻击的目标,攻击者一旦发起DDOS攻击,往往造成网络性能的整体下降,导致用户正常请求被拒绝。 3.2.5 入侵检测 目前IDS系统是最广泛的攻击检测工具,但是在面临DDOS攻击时,IDS
系统往往不能满足要求。 原因其一在于
入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本和易用性极低。 原因之二就在于IDS系统一般对攻击只进行检测,但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力,这样才能真正意义上减缓DDOS对于网络服务的影响。 IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDOS攻击主要以三层或是四层的协议异常为其特点,这就注定了IDS技术不太可能作为DDOS的检测或是防护手段。目前的防御算法对所有已知的拒绝服务攻击是免疫的,也就是说,是完全可以抵抗已知DoS/DDoS攻击的。
你可以这样理解,DOS是直接控制内核的东西。举个最简单的例子,有时候某些软件会破坏winsock目录,这样就不能上网了。如果你用窗口是无法解决的,通过dos命令netsh winsock reset就可以解决这个目录的问题了。。还有许许多多的DOS命令用法是窗口无法做到的,这里就不做详解了。应该都在这里了MS DOS 命令大全
一、基础命令
1 dir
无参数:查看当前所在目录的文件和文件夹。
/s:查看当前目录已经其所有子目录的文件和文件夹。
/a:查看包括隐含文件的所有文件。
/ah:只显示出隐含文件。
/w:以紧凑方式(一行显示5个文件)显示文件和文件夹。
/p:以分页方式(显示一页之后会自动暂停)显示。
|more:前面那个符号是“\”上面的那个,叫做重定向符号,就是把一个
命令的结果输出为另外一个命令的参数。more也是一个命令,dir /w |more
得到的结果和dir /w /p的结果是一样的。
其他的参数大家可以用:dir/?查看。
2 cd
cd 目录名:进入特定的目录。如果看到有个目录显示为:abcdef ghi 就
输入:cdabcdef.ghi进入该目录。
cd\ 退回到根目录。
cd..退回到上一级目录。
3 md rd
md 目录名:建立特定的文件夹。 (dos下面习惯叫目录,win下面习惯叫文
件夹。呵呵!)
rd 目录名:删除特定的文件夹。
4 cls
清除屏幕。
5 copy
copy 路径\文件名 路径\文件名 :把一个文件拷贝到另一个地方。
6 move
move 路径\文件名 路径\文件名 :把一个文件移动(就是剪切+复制)到另
一个地方。
7 del
del 文件名:删除一个文件。
del *.*:删除当前文件夹下所有文件。
del不能删除文件夹。
8 deltree
删除文件夹和它下面的所有子文件夹还有文件,厉害。。。不要乱用。
9 format
format x: :x代表盘符,格式化一个分区。在dos下是用fat文件系统格式
化的,在windows2000安装的时候会问你要不要转换为ntfs。
10 type
type 文本文件名:显示出文本文件的内容。
11 edit
其实这是个小程序,编辑文本文件用的。
12 ren
ren 旧文件名 新文件名:改文件名。
二、关于网络的常用命令
1 ping
ping 主机ip或名字:向目标主机发送4个icmp数据包,测试对方主机是否收
到并响应,一般常用于做普通网络是否通畅的测试。但是ping不同不代表网
络不通,有可能是目标主机装有防火墙并且阻止了icmp响应。
ping -t :不停的发送数据包。当然都很小,不能称作攻击。有些人自己写
了一些类似于ping命令的程序,不停的发送很大的数据包,以阻塞目标主机
的网络连接。
2 net
建议是用net /?获取具体帮助信息。实在是有很多参数,参数下面还有参
数。常用:net view \\主机 来看共享,net start/stop 服务 来启动和停
止服务,信使服务个人不太喜欢。
3 netstat
netstat 主机:查看主机当前的tcp/ip连接状态,如端口的状态。
4 nbtstat
nbtstat 主机:查看主机使用的NetBIOS name。
5 tracert
tracert 主机:查看从你自己到目标逐机到底经过了那些路径。如:
tracert www.ncie.gov.cn 然后等待。。。就会看到你经过的一个个路由节
点,一般大一点的路由器,如电信的主干路由,除了ip 以外,都有英文标示
的。
6 pathping
pathping 主机:类似tracert,但可以显示一些tracert不能显示出来的信
息。可以自己试试。
7 ftp
字符方式的ftp,我喜欢用;)不用装cuteftp了。
8 telnet
字符方式的远程登录程序,是网络人员极其爱用的远程登录程序。我最近常
用来调试邮件服务器。
9 ipconfig 非常有用的网络配置、排错。。。命令。
不加参数显示当前机器的网络接口状态。
/all 先是详细的信息。
/release 释放当前ip。
/renew 重新申请ip。
/flushdns 刷新dns缓存。
/registerdns 重新栽dns服务器上注册自己。
。。。。。。
10 arp *** 作当前的arp缓存。
-a 显示arp缓存。
-d 删除一条缓存纪录。
-s 田家一条缓存纪录。
11 nslookup 排除dns错误的利器。是一个交互的工具。使用之前请先努力弄清楚dns的作用以及dns的工作原理。
xcopy是一个外部命令,也就是说,是一个小程序,有的时候会发现软盘上没有,硬盘上也没有。。。昏倒。。。当然勇气来使比copy好用,我喜欢加/e参数。
smartdrv.exe 加载磁盘缓存,参数是缓存的大小,单位是kb
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)