1、 服务器端分析方法
(1)SYNFlood攻击判定
A:网上邻居->右键选“属性”->双击网卡,每秒收到的包数量大于500。
B:开始->程序->附件->命令提示符->C:\>netstat –na,观察到大量的SYN_RECEIVED的连接状态。
C:网线插上后,服务器立即凝固无法操作,拔出后有时可以恢复,有时候需要重新启动机器才可恢复。
(2)TCP多连接攻击判定
开始->程序->附件->命令提示符->C:\>netstat –na,若观察到多个IP地址与本机的服务端口建立了几十个以上的ESTABLISHED状态的连接。
2、客户端现象
(1)用户无法访问网站页面或打开过程非常缓慢。
(2)正在访问的用户突然变得非常缓慢甚至中断。
二、解决方案
多年的统计数据表明,想彻底解决DDOS是几乎不可能的,就好比治疗感冒一样,我们可以治疗,也可以预防,但却无法根治,但我们若采取积极有效的防御方法,则可在很大程度上降低或减缓生病的机率,防治DDOS攻击也是如此,拥有充足的带宽和配置足够高的主机硬件是必需的,那么什么算是充足的带宽呢?一般来说至少应该是100M共享,那么什么算配置足够高的主机硬件呢?一般来说至少应该是P4 2.4G的CPU、512M内存和Intel等品牌网卡。拥有此配置的带宽和主机理论上可应对每秒20万以上的SYN攻击,但这需要借助于专业配置和专用软件才可实现,默认情况下,绝大多数服务器难以抵御每秒1000个以上SYN的攻击。
1、免费DDOS解决方案
通过优化Windows 2000或2003系统的注册表,可有效对抗每秒约1万个左右的SYN攻击,方法是把以下文本内容存盘为antiddos.reg然后导入注册表并重新启动即可,下面为antiddos.reg文件
Windows Registry Editor Version 5.00
| 代码如下 | 复制代码 |
|
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "SynAttackProtect"=dword:00000002 "TcpMaxHalfOpen"=dword:000001f4 "TcpMaxHalfOpenRetried"=dword:00000190 |
|
此方案的优点是,采用系统自身的能力来解决问题,而无需任何花费,缺点是只能抵御每秒少于10000的SYN攻击,并且无法解决TCP多连接攻击。