DOS(Denial of Service)攻击是一种很简单但又很有效的进攻方式,能够利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务。DDOS(Distributed Denial of Service)是一种基于DOS的特殊形式的拒绝服务攻击,攻击者通过事先控制大批傀儡机,并控制这些设备同时发起对目标的DOS攻击,具有较大的破坏性。
常见的DOS/DDOS攻击可以分为两大类:一类是针对系统漏洞的的攻击如Ping of Death、TearDrop等,例如泪滴(TearDrop)攻击利用在 TCP/IP协议栈实现中信任IP碎片中的包的标题头所包含的信息来实现攻击,IP 分段含有指示该分段所包含的是原包的哪一段信息,某些 TCP/IP协议栈(例如NT 在service pack 4 以前)在收到含有重叠偏移的伪造分段时将崩溃。另一类是带宽占用型攻击比较典型的如UDP flood 、SYN flood、ICMP flood等,SYN Flood具有典型意义,利用TCP协议建连的特点完成攻击。通常一次TCP连接的建立包括3个步骤,客户端发送SYN包给服务器端,服务器分配一定的资源给这里连接并返回 SYN/ACK包,并等待连接建立的最后的ACK包,最后客户端发送ACK报文,这样两者之间的连接建立起来,并可以通过连接传送资料了。而SYN Flood攻击的过程就是疯狂发送SYN报文,而不返回ACK报文,服务器占用过多资源,而导致系统资源占用过多,没有能力响应别的操作,或者不能响应正常的网络请求。
从现在和未来看,防火墙都是抵御DOS/DDOS攻击的重要组成部分,这是由防火墙在网络拓扑的位置和扮演的角色决定的,下面以港湾网络有限公司基于NP架构开发的SmartHammer系列防火墙说明其在各种网络环境中对DOS/DDOS攻击的有效防范。
1、基于状态的资源控制,保护防火墙资源
港湾网络SmartHammer防火墙支持IP Inspect功能,防火墙会对进入防火墙的资料做严格的检查,各种针对系统漏洞的攻击包如Ping of Death、TearDrop等,会自动被系统过滤掉,从而保护了网络免受来自于外部的漏洞攻击。对防火墙产品来说,资源是十分宝贵的,当受到外来的DDOS攻击时,系统内部的资源全都被攻击流所占用,此时正常的资料报文肯定会受到影响。SmartHammer基于状态的资源控制会自动监视网络内所有的连接状态,当有连接长时间未得到应答就会处于半连接的状态,浪费系统资源,当系统内的半连接超过正常的范围时,就有可能是判断遭受到了攻击。SmartHammer防火墙基于状态的资源控制能有效控制此类情况。
控制连接、与半连的超时时间;必要时,可以缩短半连接的超时时间,加速半连接的老化;
限制系统各个协议的最大连接值,保证协议的连接总数不超过系统限制,在达到连接上限后删除新建的连接;
限制系统符合条件源/目的主机连接数量;
针对源或目的IP地址做流限制,Inspect可以限制每个IP地址的的资源,用户在资源控制的范围内时,使用并不会受到任何影响,但当用户感染蠕虫病毒或发送攻击报文等情况时,针对流的资源控制可以限制每个IP地址发送的连接数目,超过限制的连接将被丢弃,这种做法可以有效抑制病毒产生攻击的效果,避免其它正常使用的用户受到影响。
单位时间内如果穿过防火墙的“同类”数据流超过门限值后,可以设定对该种类的数据流进行阻断,对于防止IP、ICMP、UDP等非连接的flood攻击具有很好的防御效果。
2、智能TCP代理有效防范SYN Flood
SYN Flood是DDOS攻击中危害性最强,也是最难防范的一种。这种攻击利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)。SmartHammer系列防火墙能够利用智能TCP代理技术,判断连接合法性,保护网络资源。如图
防火墙工作时,并不会立即开启TCP代理(以免影响速度),只有当网络中的TCP半连接达到系统设置的TCP代理启动警戒线时,正常TCP Intercept会自动启动,并且当系统的TCP半连接超过系统TCP Intercept高警戒线时,系统进入入侵模式,此时新连接会覆盖旧的TCP连接;此后,系统全连接数增多,半连接数减小,当半连接数降到入侵模式低警戒线时,系统推出入侵模式。如果此时攻击停止,系统半连接数量逐渐降到TCP代理启动警戒线以下,智能TCP代理模块停止工作。通过智能TCP代理可以有效防止SYN Flood攻击,保证网络资源安全。
3、利用NETFLOW对DOS攻击和病毒监测
网络监控在抵御DDOS攻击中有重要的意义。SmartHammer防火墙支持NetFlow功能,它将网络交换中的资料包识别为流的方式加以记录,并封装为UDP资料包发送到分析器上,这样就为网络管理、流量分析和监控、入侵检测等提供了丰富的资料来源。可以在不影响转发性能的同时记录、发送NetFlow信息,并能够利用港湾网络安全管理平台对接收到的资料进行分析、处理。
利用NetFlow监视网络流量。防火墙可以有效的抵御DDOS攻击,但当攻击流数量超过一定程度,已经完全占据了带宽时,虽然防火墙已经通过安全策略把攻击数据包丢弃,但由于攻击数据包已经占据了所有的网络带宽,正常的用户访问依然无法完成。此时网络的流量是很大的,SmartHammer防火墙可以利用内置的NetFlow统计分析功能,查找攻击流的数据源,并上报上级ISP,对数据流分流或导入黑洞路由。通过在防火墙相关接口下开启NetFlow采集功能,并设置NETFLOW输出服务器地址,这样就可以利用港湾安全管理平台对接收的资料进行分析处理。我们可以用此方法统计出每天流量的TOP TEN或者业务的TOP TEN等,以此做为标准,当发现网络流量异常的时候,就可以利用NetFlow有效的查找、定位DDOS攻击的来源。
利用NetFlow监视蠕虫病毒。防止蠕虫病毒的攻击,重要的是防止蠕虫病毒的扩散,只有尽早发现,才可以迅速采取措施有效阻止病毒。各种蠕虫病毒在感染了系统后,为了传播自身,会主动向外发送特定的数据包并扫描相关端口。利用这个特性,港湾网络在安全管理平台上建立相关的蠕虫病毒查询模板,定期查询,当发现了匹配的资料时,可以分析该地址是否已经感染病毒,然后采取相应的措施。
值得指出的是,防火墙在网络拓扑中的位置对抵御攻击也有很大影响,通常盒式防火墙被设计放置在网络的出口,这种情况下,虽然防火墙能够抵御从外部产生的攻击,但一旦网络内部的PC通过浏览网页、收发Email、下载等方式感染蠕虫病毒或有人从内部发起的恶意攻击时,防火墙是没有防护能力的。
港湾网络的SmartHammer ESP-FW防火墙模块可以解决此类问题,ESP-FW是港湾网络BigHammer6800系列交换机的一个安全模块,它继承了SmartHammer盒式防火墙的相关安全特性内置于交换机中,有效抵御来自内部网络的攻击。在插入了防火墙模块后,交换机可以选择将相关VLAN加入防火墙中,受防火墙保护。以VLAN做为保护对象的另一大优点是利于网络扩展,当有一个新增部门出现时,我们不需要再增加投资就可以使新增部门得到保护,网络部署异常灵活。这样当内部网络中出现异常数据流时,防火墙可以有效限制该数据的转发,保护其他VLAN不受影响。
笔者公司共有10台Web服务器,使用Redhat Linux 9作为操作系统,分布在全国各大城市,主要为用户提供HTTP服务。曾经有一段时间不少用户反映有的服务器访问速度缓慢,甚至不能访问,检查后发现是受到了DDoS攻击(分布式拒绝服务攻击)。由于服务器分布太散,不能采用硬件防火墙的方案,虽然IPtables功能很强大,足以应付大部分的攻击,但Linux系统自身对DDoS攻击的防御力本来就弱,只好另想办法了。
一、Freebsd的魅力
发现Freebsd的好处是在一次偶然的测试中,在LAN里虚拟了一个Internet,用一台Windows客户端分别向一台Windows Server、Linux Server和一台Freebsd在无任何防范措施的情况下发送Syn Flood数据包(常见的DDoS攻击主要靠向服务器发送Syn Flood数据完成)。Windows在达到10个包的时候就完全停止响应了,Linux在达到10个数据包的时候开始连接不正常,而Freebsd却能承受达100个以上的Syn Flood数据包。笔者决定将公司所有的Web服务器全换为Freebsd平台。
在使用Freebsd后,的确过了一段时间的安稳日子。不过近日又有用户再次反映网站不能正常访问,表现症状为用户打开网页速度缓慢,或者直接显示为找不到网站。用netstat ?Ca查看到来自某IP的连接刚好50个,状态均为FIN_WAIT 1,这是属于明显的DDoS攻击,看来Freebsd没有防火墙也不是万能的啊,于是就想到了装防火墙。
看了N多资料,了解到Freebsd下最常见的防火墙叫IP FireWall,中文字面意思叫IP防火墙,简称IPFW。但如果要使用IPFW则需要编译Freebsd系统内核。出于安全考虑,在编译结束后,IPFW是默认拒绝所有网络服务,包括对系统本身都会拒绝,这下我就彻底“寒”了,我放在外地的服务器可怎么弄啊?
大家这里一定要小心,配置稍不注意就可能让你的服务器拒绝所有的服务。笔者在一台装了Freebsd 5.0 Release的服务器上进行了测试。
二、配置IPFW
其实我们完全可以把安装IPFW看作一次软件升级的过程,在Windows里面,如果要升级一款软件,则需要去下载升级包,然后安装;在Freebsd中升级软件过程也是如此,但我们今天升级的这个功能是系统本身已经内置了的,我们只需要利用这个功能即可。打开这个功能之前,我们还要做一些准备工作。
下面开始配置IPFW的基本参数。
Step1:准备工作
在命令提示符下进行如下操作:
#cd /sys/i386/conf
如果提示没有这个目录,那说明你的系统没有安装ports服务,要记住装上。
#cp GENERIC ./kernel_IPFW
Step2:内核规则
用编辑器打开kernel_IPFW这个文件,在该文件的末尾加入以下四行内容:
options IPFIREWALL
将包过滤部分的代码编译进内核。
options IPFIREWALL_VERBOSE
启用通过Syslogd记录的日志;如果没有指定这个选项,即使你在过滤规则中指定了记录包,也不会真的记录它们。
options IPFIREWALL_VERBOSE_LI
MIT=10
限制通过Syslogd记录的每项包规则的记录条数。如果你受到了大量的攻击,想记录防火墙的活动,但又不想由于Syslog洪水一般的记录而导致你的日记写入失败,那么这个选项将会很有用。有了这条规则,当规则链中的某一项达到限制数值时,它所对应的日志将不再记录。
options IPFIREWALL_DEFAULT_TO
_ACCEPT
这句是最关键的。将把默认的规则动作从 “deny” 改为 “allow”。这句命令的作用是,在默认状态下,IPFW会接受任何的数据,也就是说服务器看起来像没有防火墙一样,如果你需要什么规则,在安装完成后直接添加就可以了。
输入完成后保存kernel_IPFW文件并退出。
如果是普通账户密码忘了请用第一种方法。
方法(一)
重新启动电脑,启动到系统登录界面时,同时按住Ctrl+Alt键,然后连击Del键两次,会出现新的登录界面,用户名处输入“Administrator”密码为空,回车即可登录,登录后,打开控制面板选/用户账户/更改账户/点击原来的“账户名”/更改我的密码/输入新密码,再次输入新密码,然后点击“更改密码”按钮即可。
如果是计算机管理员密码忘了,请用第二种方法或第三、四种方法。
方法(二)
1、重新启动计算机,开机后按下F8键不动直到高级选项画面出现后,再松开手,选择“命令提示符的安全模式”回车。
2、运行过程结束时,系统列出了系统超级用户“administrator”和本地用户“*****”的选择菜单,鼠标单击“administrator”,进入命令行模式。
3、键入命令:“net
user
*****
123456
/add”,强制将“*****”用户的口令更改为“123456”。若想在此添加一新用户(如:用户名为abcdef,口令为123456)的话,请键入“net
user
abcdef
123456
/add”,添加后可用“net
localgroup
administrators
abcdef
/add”命令将用户提升为系统管理组“administrators”的用户,并使其具有超级权限。
4、重新启动计算机,选择正常模式下运行,就可以用更改后的口令“123456”登录“*****”用户了。
方法(三)
用Windows
xp系统安装光盘,以修复系统的方法,破解超级机算机管理员密码
第1步:将系统设为光盘启动,并放入系统安装光盘。当出现第一个选择界面后按回车,出现第二个选择界面后按“R”键开始修复安装。随后安装程序会检查磁盘并开始复制文件。文件复制完成后,系统将自动重启。
第2步:重启后,系统会进入图形化的安装界面。注意:此时应密切注视界面的左下角,一旦出现“正在安装设备”进度条时,立即按下组合键“Shift+F10”。接着会出现意想不到的事情,一个命令提示符窗口出现在我们的面前。这是破解密码的关键所在。
第3步:在命令提示符窗口中键入“Lusrmgr.msc”并回车(不包括双引号),打开“本地用户和组”管理工具。点击左侧的“用户”然后再右击右侧的管理员账户,选择“设置密码”。此时,会弹出一个警告窗口。大意是说修改密码后,系统中的某些信息将变得不可访问。这里主要指用EFS加密过的文件,并且此前未曾导出证书,则修改密码后这些文件将无法访问。如果没有这种文件,我没就不要理会它,直接单击“继续”,然后输入新密码,并单击确定。然后关闭“本地用户和组”和“命令提示符”窗口,并继续完成修复安装。完成安装后,系统管理员账户就重新“激活”了。
方法(四)
WinXP/2000下对策:删除系统安装目录\system32
\config下的SAM文件,重新启动,此时管理员Administrator账
号已经没有密码了,用Administrator帐户登陆系统,不用输入
任何密码,进入系统后再重新设置登陆帐户密码即可。
如果是CMOS密码忘了:
将主板电池扣出来,等10分钟在反装进去即可。
不放电取消CMOS密码:
1、运行输入CMD回车打开命令提示符,输入debug
回车。
2、输入“O
70
10”回车(注意:是输入英文O,不是数字0,O与70之间有空格,70与10之间有空格)。
3、输入“O
71
10”回车(注意:是输入英文O,不是数字0,O与71之间有空格,71与10之间有空格)。
4、输入“q”回车。
5、重启电脑,已将CMOS密码清除(以上的双引号不输入)。
通过Debug 清除密码
1.1软盘启动进入DOS运行debug
若在BIOS设置中更多Security Option选项是“setup”(即进入BIOS设置时需要密码),可用软盘启动进入DOS系统运行debug,然后加以破解。
1. 在DOS下运行debug,然后键入:
-o7021 -o7120 -q
-o702E -o710 -q
-o7016 -o7116 -q
-o70FF -o7117 -q
-o7010 -o710 -q
2. 修改完成后,重新启动计算机即可。
此法对大多数主板都适用,简单有效。
1.2 进入操作系统通过cmd命令提示符进入debug
下面方法适用于可进入操作系统但无法进入BIOS设置(要求输入密码)的情况。
通过cmd命令提示符界面运行debug进行破解,依次点击:开始—-运行—-输入[cmd]确定—进入命令提示符界面—输入[debug]
注意: 64位Windows系统(Win7,Win8等)没有debug程序。
-O 70 10-O 70 ff-q
注: 第一个[O] 是字母的O小字写都可以 后面的都是数字零0 第一个小杠[-]是运行令命本来就有的。
重启以后就可以取消BIOS密码。
因BIOS版本不同,当此程序无法破解时,可采用另一个与之类似的程序来破解。
debug命令运行以后依次输入:
-O 71 20- O 70 21- q
重启即可。
2.通过FlashBios命令清除密码
步骤1:依次执行:开始—-运行—-输入[cmd]确定
* 在Windows 9X运行框里输入“command”
* 若是Windows 2000/XP,输入“cmd”
步骤2:针对不同的操作系统,输入相应的命令进行操作。
* Flashbios 98,在Windows98下清除BIOS密码。
* Flashbios 2000,在Windows 2000下清除BIOS密码。
* Flashbios XP,在Windows XP下清除BIOS密码。
* Flashbios 2003,在Windows 2003下清除BIOS密码。
当显示“Bios Password Cleaned Successed!”时,表明BIOS密码清除成功。
步骤3:重启电脑即可。
**注意:**Flashbios会被一些杀毒软件认为是黑客工具而对其隔离,所以运行前要将杀毒工具关闭。
3. 通过CMOS放电清除密码
若在BIOS设置中的Security Option选项是“system”(即开机输入密码),那么只有通过CMOS放电来清除密码。
步骤一:把主机电源线拔了,打开机箱,在主板上找到主板电池。
步骤二:将插座上用来卡住供电电池的卡扣压向一边,将电池小心取出。
步骤三:将电池拔下,放置5分钟左右,然后重新插入电池插座即可。
此时BIOS密码即被清除,同时所有以前的BIOS设置也会被清除。
4. 通过Copy命令破解密码
在使用其他方法无效情况下,可考虑使用Copy命令的方法破解密码。
步骤1:进入“DOS”,输入一下命令copy con cmos.com
步骤2:一手按住“Alt”键,另一只手输入下列数字串:
179,55,136,216,230,112,176,32,230,113,254,195,128,251,64,117,241,195
步骤3:放开双手,然后继续按住“Alt”键,输入如下数字:
Alt+179 Alt+55 ALt+136 Alt+216 Alt+230 Alt+112 Alt+176 Alt+32 Alt+230Alt+113 Alt+254 Alt+195 Alt+128 Alt+251 Alt+64 Alt+117 Alt+241 Alt+195
步骤4:输入完毕后,按“Ctrl+Z”组合键,得到一个程序。
步骤5:完成后进入系统,可以在C盘上看到生成一个“coms.com”文件。
步骤6:再次进入DOS,输入“coms.com”,即可。
注: 此方法,博主不太了解,仅供参考。
5. 通过改变硬件配置破解密码
系统启动时,会检查硬件配置是不是与CMOS中保存的参数一致。
若配置不同,可能会自动进入BIOS设置画面让用户重新设置,并且不需要输入密码。
步骤1:关闭电脑,打开机箱,将硬盘或软盘数据线从主板上拔下。
步骤2:重启电脑,BIOS自检时出错,系统要求重新设置BIOS。
步骤3:此时CMOS中的密码已被清除,不用再输入密码,用户可重新设置密码了。
注:此方法成功率不高,并不适合所有主板。
6. 通过破解软件清除密码
此类软件有如:BiosPwds、iCMOS、Bcc Bios、COMSPWD、RemPass、Twing Coms Tools。
7. 硬件取消密码 补充
把主机电源线拔了然后拆机箱找到BIOS电池附近个三针的跳线,本来插在1,2上面,把它跳到2,3上面10秒就可以。
注:主机源线一定要拔了,不会电流回路会把BIOS给击坏的。跳线本来就是一个短路的过程。
DELL品牌主机BIOS破解方法:把主机电源线拔了然后拆机箱找到BIOS电池附近个针的跳线,跳线下面有写password标签就把这根跳线拔出来,等十多秒再插回去。就可以清除BIOS密码了。
注:此方法不只只适合DELL主机,因为现在有很多的主板都有同样的设置。只是DELL比较常用这个方法。以前的IBM也喜欢,现在喜欢下面方法。
联想等等等等品牌主机BIOS破解方法:
把主机电源线拔了然后拆机箱找到BIOS电池附近个针的跳线,跳线下面有写COMS标签就把这根跳线拔出来,等十多秒再插回去。就可以清除BIOS密码了。
RNW如薇单 一 一枯登“新品牌新熟TOP 五” 成就 下光暗地里的气力 增加 一年一度 热火朝天的“单 一 一年夜 和”告一段落,据 二0 二 一年 一 一月 一日00:00至 二0 二 一年 一 一月 一 五日 二 三: 五 九: 五 九数据统计,本年 年夜 快消单 一 一新品牌异...
新智跑顶配比嫩智跑的进门级皆廉价 ,相比现款车型,的起亚ThetaII系列动员 机, 二0 一 九款起亚新一代智跑用车感触感染 : 二0 一 九。 杨 九 九 九 二0 一 五- 一0- 九 一 六: 五 六: 二 五,睹图一,只可说一分钱一分货,智跑后继车型,一楼说的很其实 了。起亚智跑。 新...
( 一)正在后台模拟 点击一再 访问 其它网站会造成用户挪动流质的益耗。 一 经由 系统 更新路子 拉送马libatel.comCreation Date: 二0 一 九-0 五- 一 六T0 七: 一 二: 三0Z纸不敷 年夜 ,便出有绘图 ,可以或许 参考下面双背ARP诈骗的图。。。 一、针 ...
cucci是甚么牌子守业点子• 二0 二0-0 四-0 五 一 一: 二 三: 五 九•网站漫笔 •浏览 五 二 四嫩花有着一股取熟俱去的经典之美,添上设计们正在样式上的自出机杼 ,沉紧离别 了传统的年夜 妈购菜包格调,披发 没浓烈 的时尚风度 ,让许多 亮星年夜 咖们皆地位 入神 。繁复没有隐夸...
正在原文将运用libudev库去拜访 hidraw的装备 。经由过程 libudev库,咱们否以查询装备 的厂野ID(Vendor ID, VID),产物 ID(Product ID, PID),序列号战装备 字符串等而没有须要 挨谢装备 。入一步,libudev否以告知 咱们正在/dev目次 高装...
起首 ,甚么是熊掌号?baidu民间 对于熊掌号的诠释是:“办事 于baidu挪动搜刮 ,是baidu衔接 内容战办事 的民间帐号。熊掌号鉴于谢搁的观念,衔接 站少、自媒体、运用 开辟 者、商野等多元化的内容提求者;异时也衔接 文章、望频、答问、商野办事 等多元化的内容形态,真现“海缴百川,会聚万物...