一、现象分析
网站服务器运营商的互联网接入形式主要有两种: 一种是主机托管,另外一种是自拉网络专线,但基于接入费用的考虑,绝大多数采用前者,但也有不少网吧主会采用后者。无论是前者还是后者接入,在正常情况下,用户都可以正常访问网站,浏览网页、在线听音乐看电影或者是参与论坛发帖,假定可排除线路和硬件故障的情况下,突然发现网页打不开或打开连接服务器困难,正在游戏的用户掉线等现象,则说明很有可能是遭受了DDOS攻击,具体判定方法如下:
1、 服务器端分析方法
(1)SYNFlood攻击判定
A:网上邻居->右键选“属性”->双击网卡,每秒收到的包数量大于500。
B:开始->程序->附件->命令提示符->C:\>netstat –na,观察到大量的SYN_RECEIVED的连接状态。
C:网线插上后,服务器立即凝固无法操作,拔出后有时可以恢复,有时候需要重新启动机器才可恢复。
(2)TCP多连接攻击判定
开始->程序->附件->命令提示符->C:\>netstat –na,若观察到多个IP地址与本机的服务端口建立了几十个以上的ESTABLISHED状态的连接。
2、客户端现象
(1)用户无法访问网站页面或打开过程非常缓慢。
(2)正在访问的用户突然变得非常缓慢甚至中断。
二、解决方案
多年的统计数据表明,想彻底解决DDOS是几乎不可能的,就好比治疗感冒一样,我们可以治疗,也可以预防,但却无法根治,但我们若采取积极有效的防御方法,则可在很大程度上降低或减缓生病的机率,防治DDOS攻击也是如此,拥有充足的带宽和配置足够高的主机硬件是必需的,那么什么算是充足的带宽呢?一般来说至少应该是100M共享,那么什么算配置足够高的主机硬件呢?一般来说至少应该是P4 2.4G的CPU、512M内存和Intel等品牌网卡。拥有此配置的带宽和主机理论上可应对每秒20万以上的SYN攻击,但这需要借助于专业配置和专用软件才可实现,默认情况下,绝大多数服务器难以抵御每秒1000个以上SYN的攻击。
1、免费DDOS解决方案
通过优化Windows 2000或2003系统的注册表,可有效对抗每秒约1万个左右的SYN攻击,方法是把以下文本内容存盘为antiddos.reg然后导入注册表并重新启动即可,当然也可从地址 http://www.bingdun.com/tools/antiddos.reg" target=_blank>http://www.bingdun.com/tools/antiddos.reg 直接下载antiddos.reg文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
此方案的优点是,采用系统自身的能力来解决问题,而无需任何花费,缺点是只能抵御每秒少于10000的SYN攻击,并且无法解决TCP多连接攻击。