如何消除TNT 敏感?
如何清除TNT?
想要阻止TNT源源不断来袭击我们,首先我们需要在地上放四个命令方块,一个是不循环的,另外三个是循环的命令块。在设定好之后,就可以打开后台来输入指令代码来执行阻止TNT的行为。
首先是第一个命令方块,指令代码为:kill @e[type=tnt]这个命令方块的作用是清除激活的TNT,是一个循环的命令方块。由于是用来清理掉那些已经激活了TNT,所以肯定就不会是不循环的命令方块。所以,大家记得在输入清理指令之后,要让命令方块处于循环状态。
第二个命令方块,指令代码为:gamerule commandblockoutput false 大家不要看到这串指令代码过于冗长。其实这段指令代码的意思就是关闭命令方块的提示,让对方看不到。毕竟,现在游戏还没有开发出能够输入中文指令代码的版本,大家就只能输入英文代码了。不过,还需要注意的是,这个命令方块是不循环的命令方块,因为不显示的命令只需要使用一次就好了。
第三个命令方块,指令代码为:clear @e tnt我们看到指令代码里面有和TNT有关系的,那就说明这是一个循环的命令方块了。那么这个命令方块的作用是什么呢?这个命令方块是用来放置从创造栏里面拿TNT到物品栏里面的一个举动。这样做在有人在进入到我们的局域网是就不能够轻松拿出自己的TNT来攻击我们了。
第四个命令方块,指令代码为:kill @e[type=tnt_minecart] 这个指令代码的意思是删除炸弹矿车。其作用就是可以删除对方已经做好的装满TNT的小矿车。同样的,这个命令方块是一个循环的命令方块。
在设置完这四个命令方块之后,最后用拉杆装上激活就可以启动命令方块。启动之后,只要有玩家进入到我们的局域房间里面,有激活的TNT都会被清理掉,那么谁比较括噪一下子就能发现,到时候直接踢他出房间就可以了。
我电脑关机时(点关闭)然后经常会被卡住,进入死机状态,完全动不了。请问是什么回事?
这就是关机功能失效或不正常的故障。该如何来解决这类故障呢?
一、关机过程及故障原因
Windows的关机程序在关机过程中将执行下述各项功能:完成所有磁盘写操作,清除磁盘缓存,执行关闭窗口程序,关闭所有当前运行的程序,将所有保护模式的驱动程序转换成实模式。
引起Windows系统出现关机故障的主要原因有:选择退出Windows时的声音文件损坏;不正确配置或损坏硬件;BIOS的设置不兼容;在BIOS中的“高级电源管理”或“高级配置和电源接口”的设置不适当;没有在实模式下为视频卡分配一个IRQ;某一个程序或TSR程序可能没有正确关闭;加载了一个不兼容的、损坏的或冲突的设备驱动程序等等。
二、故障分析与解决
1.退出Windows时的声音文件损坏
首先,你可确定“退出Windows”声音文件是否已毁坏——单击“开始”→“设置”→“控制面板”,然后双击“声音”。在“事件”框中,单击“退出Windows”。在“名称”中,单击“(无)”,然后单击“确定”,接着关闭计算机。如果Windows正常关闭,则问题是由退出声音文件所引起的,要解决这一问题,请选择下列某项操作:从备份中恢复声音文件;重新安装提供声音文件的程序;将Windows配置为不播放“退出Windows”的声音文件。
2.快速关机不正常
而快速关机是Windows 98中的新增功能,可以大大减少关机时间。但是,该功能与某些硬件不兼容,如果计算机中安装了这些硬件,可能会导致计算机停止响应。你可禁用快速关机,先单击“开始”→“运行”,在“打开”框中键入“Msconfig”,然后单击“确定”(见图1)。单击“高级”→“禁用快速关机”,单击“确定”,再次单击“确定”。系统提示重新启动计算机,可重新启动。如果计算机能正常关机,则快速关机功能可能与计算机上所安装的一个或多个硬件设备不兼容。
3.注意“高级电源管理”
计算机上的“高级电源管理(APM)”功能也可引起关机死机或黑屏问题。而要确定APM是否会引起关机问题,可单击“开始”→“设置”→“控制面板”,然后双击“系统”。在“设备管理器”选项卡上,双击“系统设备”。双击设备列表中的“高级电源管理”,单击“设置”选项卡,然后单击以清除“启用电源管理”复选框。连续单击“确定”,直到返回“控制面板”。重启动计算机。关闭计算机,如果计算机正常关机,则问题的原因可能在于APM。
4.启动关机故障
大家在使用电脑时,还会经常遇到在Windows刚刚启动的时侯就显示“你可以安全地关闭计算机了”,或者启动时马上关机或关机时重新启动等故障。这类故障的原因一般来说是由于Wininit.exe或Vmm32.vxd文件的损坏所造成的。解决办法是重新从Windows安装程序压缩包中调取这两个文件。进入Windows\\system子目录下,将Vmm32.vxd改名为Vmm32.XXX进行备份,然后再单击“开始”→“程序”→“附件”→“系统工具”→“系统信息”。单击菜单栏中的“工具”,然后选择“系统文件检查器”,单击“从安装盘提取一个文件”(见图2),然后在“要提取的文件”框中输入“Wininit.exe”或“Vmm32.vxd”。单击“开始”,然后按照屏幕上的提示进行操作,以便从Windows CD-ROM或安装盘将文件提取到C:\\Windows\\System文件夹,然后重复此步骤,以替换文件Wininit.exe或Vmm32.vxd。
5.Bootlog.txt文件出错
此外,在Bootlog.txt文件中存在定位问题也可引起关机黑屏故障。你可先使用文本编辑器,如“记事本”,检查Bootlog.txt文件中的“Terminate=”条目。这些条目位于文件的结尾,可为问题的起因提供一定的线索。对每一个“Terminate=”条目,查找所匹配的“EndTerminate=”条目。
Terminate=Query Drivers表明内存管理程序有问题;
Terminate=Unload表明Network与Config.sys中的实模式或网络驱动程序存在冲突;
Terminate=Reset Display表明可能需要更新视频驱动程序;
Terminate=Rit表明声卡或鼠标驱动程序存在问题;
Terminate=Win32表明与32位程序有关的问题阻塞了线程。
如果Bootlog.txt文件的最后一行为“EndTerminate=KERNEL”,Windows 98就可成功关闭。
6.Config.sys或Autoexec.bat有问题
此外,你可检查Config.sys文件或Autoexec.bat文件中是否存在冲突?先确定Config.sys文件或Autoexec.bat文件中是否存在冲突,可单击“开始”,然后单击“运行”。在“打开”框中,键入“Msconfig”,然后单击“确定”。单击“诊断启动”,然后“确定”。系统提示重新启动计算机时,请单击“确定”。如果计算机的启动或关闭不正确,请确定问题是由Config.sys或Autoexec.bat文件的哪一行引起的。
要确定引起问题的行,可重新启动计算机。计算机重新启动时,请按住Ctrl键。从“Startup”菜单中选择“Safe Mode安全模式”。启动后单击“开始”,然后再击“运行”。在“打开”框中,键入“Msconfig”,然后单击“确定”。单击以清除Config.sys和Autoexec.bat选项卡中不含Windows图标行的复选框。使用此Config.sys文件,单击以启用某行。单击“确定”。当系统提示重新启动计算机时,单击“确定”。如果计算机的启动和关闭都很正常,请启用另一行,并重复上述步骤的操作,以逐步启用Config.sys文件和Autoexec.bat文件中的行,直到发现问题为止。
7.内部系统问题
此外,可确定是否存在内部系统问题。单击“开始”→“运行”。在“打开”框中,键入“Msconfig”,然后单击“确定”。在“常规”选项卡中单击“高级”。单击以清除“高级疑难解答设置”中的下列复选框,然后单击“确定”:禁用系统ROM中断点;禁用虚拟HD IRQ;EMM不包含A000-FFFF。系统提示重新启动计算机时,单击“确定”。如果计算机正常启动,可重复以上步骤,但在步骤中“单击以清除‘高级疑难解答设置’中的下列复选框”时单击以选中某复选框。重复此过程,每次选中其它某复选框,直到发现计算机无法正常关闭为止。一旦发现计算机无法重新启动或关闭,可再次重复以上步骤单击以清除刚才选中的复选框即可。
8.检查CMOS设置
CMOS设置不正确一样也会引起电脑关机问题,大家在电脑启动时可按“Del”键进入CMOS设置页面,重点检查CPU外频、电源管理、病毒检测、IRQ中断开闭、磁盘启动顺序等选项设置是否正确。具体设置方法你可参看你的主板说明书,其上面有很详细的设置说明。如果你对其设置实在是不太懂,建议你可直接在CMOS载入或取下CMOS电池、短接跳线,选用厂家出厂默认设置即可。
9.硬件问题
此外,一些BIOS本身的问题或硬件系统本身的问题也会引起不能关机故障。当你发现你安装了新的硬件在关机时出现系统挂起的情况,如显示器黑屏,键盘鼠标无响应等,那么很可能是为新硬件所配置的驱动程序有兼容性的问题。要解决这种第三方的硬件不兼容问题,一般都是到硬件厂家网站上查找解决方案,找到该设备的最新驱动程序并下载安装到你的机器系统中,一般即可解决该问题。
--
解决不能正常关机的“难题”
曾有一些朋友问笔者:为什么我的电脑不能自动关机?笔者不得不为他们解决这类问题,又顺便把经验“上升到理论”。相信这篇文章也能帮助你解决点问题。
对于ATX电源的电脑,Windows 98提供了电脑的自动关机功能。但在很多情况下,我们的电脑却并不能顺利地正常关机,有时会在关机的过程中死机或失去响应,使我们必须重新启动电脑或强制性关掉电脑电源。有没有办法可以让电脑关机不再失败呢?让我们一起来分析一下原因。
一、关机有音乐
很多朋友都喜欢在“控制面板”的声音设置中设置一段关机音乐,为冰冷的电脑增加一些生气。如果关机的音乐文件因为某种原因被损坏而不能正常播放,那么在执行关机程序时自然会失败了。如果你的电脑不能正常关机,而你恰恰又设置了关机音乐,不妨先把关机音乐设置为“无”(如图1),然后再试试。
二、驱动不兼容
硬件驱动程序之间的不兼容,也会造成电脑不能正常关机。在这里有一个窍门,每次Windows 98关机失败后,都会在C盘根目录下面的Bootlog.txt文件中作出记录,找出其中的“Terminate=”和“EndTerminate=”,在这里记录了关机失败的原因。
还是拿我自己现在用的这台电脑来说吧,最开始时我用一块小影霸TNT2 M64的显卡,起初都很正常,后来我发现只要运行了3D游戏后,不管时间长短,退出游戏后如果马上关机,肯定失败,非要重新启动一次后才能正常关机。于是我在关机失败后查看了Bootlog.txt文件,在文件的最后,我发现了这样几条记录:
Terminate=Reset Display
EndTerminate=Reset Display
EndTerminate=User
从记录上看,好像关机失败和显卡有一些关系,于是我安装了驱动光盘上的TNT2新版的驱动程序,故障依然存在。又安装了最新的DirectX 8.1,仍然没有解决问题。最后在一次运行DirectX诊断工具“DxDiag”(该程序在C:\\Program Files\\DirectX\\Setup目录中)后,在“显示”页面中提示“文件Nvdisp.drv未经数字签名……”看来我之前所安装的TNT2驱动程序没有通过微软认证,于是我又上网下载了TNT2的NVIDIA_WHQL(即通过微软认证)最新驱动28.32 WHQL版For Windows 9X,安装之后重新启动,再次运行“DxDiag”程序,在“显示”页面中提示“没有找到任何问题”,此时运行各种3D游戏后均可顺利关机。
经过多次试验,发现一般关机失败,只要不是硬件本身的故障,都可以检查Bootlog.txt文件查找原因。下面所列出的记录都可能造成电脑关机失败,大家可根据自己电脑的Bootlog.txt所显示的情况找出原因:
Terminate=Query Drivers 内存管理程序有问题
Terminate=Unload Network Network与Config.sys中的实模式网络驱动程序冲突
Terminate=Reset Display 显卡设置或驱动程序有问题
Terminate=RIT 声卡或某些旧的鼠标驱动程序存在与计时器有关的问题
Terminate=Win32 某些32位程序锁定了线程
大家可以根据自己电脑的情况,通过对比以上几点原因,查找并解决电脑的关机故障。
三、软件难退出
有时候关机失败并不是电脑系统本身的原因,而是因为关机时某些程序无法正常退出。很多朋友在关机之前并不将所有正在运行的程序或软件全部关闭,而是让Windows关机时自动关闭它们。的确,大部分的软件或程序都可在电脑执行关机程序时自动关闭,但也有少数无法自动退出,所以当电脑关机时我们有必要检查一下,还有什么软件或程序正在运行。
我发现电脑经常无法正常关机,禁用了“快速关机”还是不行。后来才发现当电脑上运行了某个软件(由于这个软件是常驻内存的,运行后就自动出现在系统托盘中),如果我在关闭电脑时没有将它从系统托盘中退出,那肯定会出现无法关机的现象。而在关机之前自己动手把正在运行的软件关闭,就可以正常关机了。所以关机时最好首先退出各种正在执行的程序,再执行关机命令。
四、欲速则不达
Windows 98的关机程序本身就存在一个Bug,这就是“快速关机”,在很多时候就是它让我们无法正常关机,正所谓“欲速则不达”。
解决方法很简单,就是“禁用快速关机”。点击“开始”→“运行”,输入“msconfig”后点击“确定”。出现“系统配置实用程序”窗口,点击“常规”页面,再点击“高级”选项,在此时出现的“高级疑难解答设置”窗口中,将“禁用快速关机”选择前面打上勾(如图2),这样就完成了整个操作。
端口实施DDoS放大攻击,要怎么修复
(1)定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
(3)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
寻找机会应对攻击
如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。
(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击(DDOS攻击)都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同,采取的是仿真多个客户端来连接服务器,造成服务器无法完成如此多的客户端连接,从而无法提供服务。
目前网络安全界对于DdoS的防范有效的防御办法:
可以采用因尔特网络数据中心推出的TNT防御防攻击系统:本系统对于攻击采用智能识别实时进行攻击流量的转移,让攻击者的流量作用在服务器上的流量控制在最小的程度从而到达防御防攻击的目的,无论是G口发包还是肉鸡攻击,使用我们TNT防御防攻击系统在保障您个人服务器或者数据安全的状态下,只影响瞬间某个地区某部分用户的使用,保证其他用户的正常使用。并且系统会在较短时间内恢复已经瘫痪的用户访问.还可以让G口发包的服务器或者肉鸡发出的数据包全部浪费与耗尽完.试想如果攻击的流量在白白浪费和消耗掉,黑客也不能真实把流量作用在你的网站或服务器上,那黑客用什么来攻击您的网站呢?
如果按照系统的方法和思路去防范DdoS的话,收到的效果还是非常明显的,可以将攻击带来的损失降低到最小。
你了解下,希望对你有帮助.
那里有防DDOS攻击的服务器呢,防大流量的DDOS攻击,应该怎么防御呢。
DDOS的产生
DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。近几年由于宽带的普及,很多网站开始盈利,其中很多非法网站利润巨大,造成同行之间互相攻击,还有一部分人利用网络攻击来敲诈钱财。同时windows 平台的漏洞大量的被公布, 流氓软件,病毒,木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。攻击已经成为互联网上的一种最直接的竞争方式,而且收入非常高,利益的驱使下,攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马,木马可以通过windows平台的漏洞感染浏览网站的人,一旦中了木马,这台计算机就会被后台操作的人控制,这台计算机也就成了所谓的肉鸡,每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售,因为利益需要攻击的人就会购买,然后遥控这些肉鸡攻击服务器。
被DDoS攻击时的现象
被攻击主机上有大量等待的TCP连接
网络中充斥着大量的无用的数据包,源地址为假
制造高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯
利用受害主机提供的服务或传输协议上的缺陷,反复高速的发出特定的服务请求,使受害主机无法及时处理所有正常请求
严重时会造成系统死机
大级别攻击运行原理
一个比较完善的DDoS攻击体系分成四大部分,先来看一下最重要的第2和第3部分:它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别,对第4部分的受害者来说,DDoS的实际攻击包是从第3部分攻击傀儡机上发出的,第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机,黑客有控制权或者是部分的控制权,并把相应的DDoS程序上传到这些平台上,这些程序与正常的程序一样运行并等待来自黑客的指令,通常它还会利用各种手段隐藏自己不被别人发现。在平时,这些傀儡机器并没有什么异常,只是一旦黑客连接到它们进行控制,并发出指令的时候,攻击傀儡机就成为害人者去发起攻击了。
有的朋友也许会问道:"为什么黑客不直接去控制攻击傀儡机,而要从控制傀儡机上转一下呢?"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说,肯定不愿意被捉到,而攻击者使用的傀儡机越多,他实际上提供给受害者的分析依据就越多。在占领一台机器后,高水平的攻击者会首先做两件事:1. 考虑如何留好后门!2. 如何清理日志。这就是擦掉脚印,不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉,但这样的话网管员发现日志都没了就会知道有人干了坏事了,顶多无法再从日志发现是谁干的而已。相反,真正的好手会挑有关自己的日志项目删掉,让人看不到异常的情况。这样可以长时间地利用傀儡机。
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程,即使在有很好的日志清理工具的帮助下,黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净,通过它上面的线索找到了控制它的上一级计算机,这上级的计算机如果是黑客自己的机器,那么他就会被揪出来了。但如果这是控制用的傀儡机的话,黑客自身还是安全的。控制傀儡机的数目相对很少,一般一台就可以控制几十台攻击机,清理一台计算机的日志对黑客来讲就轻松多了,这样从控制机再找到黑客的可能性也大大降低。
DDOS的主要几个攻击
SYN变种攻击
发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。
TCP混乱数据包攻击
发送伪造源IP的 TCP数据包,TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等,会造成一些防火墙处理错误锁死,消耗服务器CPU内存的同时还会堵塞带宽。
针对用UDP协议的攻击
很多聊天室,视频音频软件,都是通过UDP数据包传输的,攻击者针对分析要攻击的网络软件协议,发送和正常数据一样的数据包,这种攻击非常难防护,一般防护墙通过拦截攻击数据包的特征码防护,但是这样会造成正常的数据包也会被拦截,
针对WEB Server的多连接攻击
通过控制大量肉鸡同时连接访问网站,造成网站无法处理瘫痪,这种攻击和正常访问网站是一样的,只是瞬间访问量增加几十倍甚至上百倍,有些防火墙可以通过限制每个连接过来的IP连接数来防护,但是这样会造成正常用户稍微多打开几次网站也会被封,
针对WEB Server的变种攻击
通过控制大量肉鸡同时连接访问网站,一点连接建立就不断开,一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了,因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护,后面给大家介绍防火墙的解决方案
针对WEB Server的变种攻击
通过控制大量肉鸡同时连接网站端口,但是不发送GET请求而是乱七八糟的字符,大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析,这种攻击,不发送GET请求就可以绕过防火墙到达服务器,一般服务器都是共享带宽的,带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪,这种攻击也非常难防护,因为如果只简单的拦截客户端发送过来没有GET字符的数据包,会错误的封锁很多正常的数据包造成正常用户无法访问,后面给大家介绍防火墙的解决方案
针对游戏服务器的攻击
因为游戏服务器非常多,这里介绍最早也是影响最大的传奇游戏,传奇游戏分为登陆注册端口7000,人物选择端口7100,以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂,所以攻击的种类也花样倍出,大概有几十种之多,而且还在不断的发现新的攻击种类,这里介绍目前最普遍的假人攻击,假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家,很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。
以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包,或者有限的分析数据连接建立的状态,防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp,udp协议,和针对应用层的协议,比如http,游戏协议,软件视频音频协议,现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据,或者干脆模拟正常的数据流,单从数据包层面,分析每个数据包里面有什么数据,根本没办法很好的防护新型的攻击。
SYN攻击解析
SYN攻击属于DOS攻击的一种,它利用TCP协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包到服务器,并进入SYN_SEND状态,等待服务器确认;
第二次握手:服务器收到syn包,必须确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
SYN攻击利用TCP协议三次握手的原理,大量发送伪造源IP的SYN包也就是伪造第一次握手数据包,服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列,如果短时间内接收到的SYN太多,半连接队列就会溢出,操作系统会把这个连接信息丢弃造成不能连接,当攻击的SYN包超过半连接队列的最大值时,正常的客户发送SYN数据包请求连接就会被服务器丢弃, 每种操作系统半连接队列大小不一样所以抵御SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢,答案是不能,每种操作系统都有方法来调整TCP模块的半连接队列最大数,例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen,TcpMaxHalfOpenRetried ,Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存,操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源windows2000 系统当物理内存是4g的时候 核心内存只有不到300M,系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows 2003 默认安装情况下,WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ,如此小的带宽就可以让服务器的端口瘫痪,由于攻击包的源IP是伪造的很难追查到攻击源,,所以这种攻击非常多。
如何防止和减少DDOS攻击的危害
拒绝服务攻击的发展
从拒绝服务攻击诞生到现在已经有了很多的发展,从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢?DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service,分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击,这样来势迅猛的攻击令人难以防备,因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话,那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难,如何采取措施有效的应对呢?下面我们从两个方面进行介绍。
预防为主保证安全
DdoS攻击是黑客最常用的攻击手段,下面列出了对付它的一些常规方法。
(1)定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
(3)用足够的机器承受黑客攻击
这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
(4)充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器,但其他机器没有死。死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。从而最大程度的削减了DdoS的攻击。
(5)过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
(6)检查访问者的来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
(7)过滤所有RFC1918 IP地址
RFC1918 IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0 和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
(8)限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
寻找机会应对攻击
如果用户正在遭受攻击,他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户,很可能在用户还没回过神之际,网络已经瘫痪。但是,用户还是可以抓住机会寻求一线希望的。
(1)检查攻击来源,通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。
(2)找出攻击者所经过的路由,把攻击屏蔽掉。若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵,但是过滤掉ICMP后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。
不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击(DDOS攻击)都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同,采取的是仿真多个客户端来连接服务器,造成服务器无法完成如此多的客户端连接,从而无法提供服务。
目前网络安全界对于DdoS的防范有效的防御办法:
可以采用因尔特网络数据中心推出的TNT防御防攻击系统:本系统对于攻击采用智能识别实时进行攻击流量的转移,让攻击者的流量作用在服务器上的流量控制在最小的程度从而到达防御防攻击的目的,无论是G口发包还是肉鸡攻击,使用我们TNT防御防攻击系统在保障您个人服务器或者数据安全的状态下,只影响瞬间某个地区某部分用户的使用,保证其他用户的正常使用。并且系统会在较短时间内恢复已经瘫痪的用户访问.还可以让G口发包的服务器或者肉鸡发出的数据包全部浪费与耗尽完.试想如果攻击的流量在白白浪费和消耗掉,黑客也不能真实把流量作用在你的网站或服务器上,那黑客用什么来攻击您的网站呢?
如果按照系统的方法和思路去防范DdoS的话,收到的效果还是非常明显的,可以将攻击带来的损失降低到最小。
你了解下,希望对你有帮助.
好几天了 为什么tnt还是显示取件
TNT系统之前被黑客攻击,现在好多数据丢失,最好问下收件人是否收到货物