最近听说有服务器被DDoS，来和大家说一下_minecraft吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：1,353,696贴子：
最近听说有服务器被DDoS，来和大家说一下
竟然还有收保护费的被有以下症状：1服务器流量瞬间增大2服务器资源极剧增大3玩家无法正常访问或增高本贴提供已知防御法
我们班花网名叫小龙女...
官方已进行相应处理，同...
网页版ddos,网页端代购,...
这个游戏叫枪神纪，今天...
上海张学友、王菲演唱会一站式购票!票品安全且真票!立即订购!
一. 启用 SYN 攻击保护启用 SYN 攻击保护的命名值位于此注册表项的下面：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。值名称： SynAttackProtect建议值： 2有效值： 0 – 2说明：使 TCP 调整 SYN-ACK 的重传。配置此值后，在遇到 SYN 攻击时，对连接超时的响应将更快速。在超过 TcpMaxHalfOpen 或 TcpMaxHalfOpenRetried 的值后，将触发 SYN 攻击保护。设置 SYN 保护阈值　　下列值确定触发 SYN 保护的阈值。这一部分中的所有注册表项和值都位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是：值名称： TcpMaxPortsExhausted　　建议值： 5　　有效值： 0 – 65535　　说明：指定触发 SYN 洪水攻击保护所必须超过的 TCP 连接请求数的阈值。　　　　值名称： TcpMaxHalfOpen　　建议的数值数据： 500　　有效值： 100 – 65535　　说明：在启用 SynAttackProtect 后，该值指定处于 SYN_RCVD 状态的 TCP 连接数的阈值。在超过 SynAttackProtect 后，将触发 SYN 洪水攻击保护。　　　　值名称： TcpMaxHalfOpenRetried　　建议的数值数据： 400　　有效值： 80 – 65535　　说明：在启用 SynAttackProtect 后，该值指定处于至少已发送一次重传的 SYN_RCVD 状态中的 TCP 连接数的阈值。在超过 SynAttackProtect 后，将触发 SYN 洪水攻击保护。设置其他保护　　这一部分中的所有注册表项和值都位于注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 的下面。这些注册表项和值是：值名称： TcpMaxConnectResponseRetransmissions　　建议的数值数据： 2　　有效值： 0 – 255　　说明：控制在响应一次 SYN 请求之后、在取消重传尝试之前 SYN-ACK 的重传次数。　　　　值名称： TcpMaxDataRetransmissions　　建议的数值数据： 2　　有效值： 0 – 65535　　说明：指定在终止连接之前 TCP 重传一个数据段（不是连接请求段）的次数。　　　　值名称： EnablePMTUDiscovery　　建议的数值数据： 0　　有效值： 0, 1　　说明：将该值设置为 1（默认值）可强制 TCP 查找在通向远程主机的路径上的最大传输单元或最大数据包大小。攻击者可能将数据包强制分段，这会使不堪重负。对于不是来自本地子网的主机的连接，将该值指定为 0 可将最大传输单元强制设为 576 字节。　　　　值名称： KeepAliveTime　　建议的数值数据： 300000　　有效值： 80 – 　　说明：指定 TCP 尝试通过发送持续存活的数据包来验证空闲连接是否仍然未被触动的频率。值名称： NoNameReleaseOnDemand　　建议的数值数据： 1　　有效值： 0, 1　　说明：指定计算机在收到名称发布请求时是否发布其 NetBIOS 名称。
二. 抵御 ICMP 攻击这一部分的命名值都位于注册表项 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面值： EnableICMPRedirect　　建议的数值数据： 0　　有效值：0（禁用），1（启用）　　说明：通过将此注册表值修改为 0，能够在收到 ICMP 重定向数据包时禁止创建高成本的主机路由。
三. 抵御 SNMP 攻击这一部分的命名值位于注册表项HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。值： EnableDeadGWDetect　　建议的数值数据： 0　　有效值：0（禁用），1（启用）　　说明：禁止攻击者强制切换到备用网关
四. AFD.SYS 保护下面的注册表项指定内核模式驱动程序 Afd.sys 的参数。Afd.sys 用于支持 Windows Sockets 应用程序。这一部分的所有注册表项和值都位于注册表项 HKLM\System\CurrentControlSet\Services\AFD\Parameters 的下面。这些注册表项和值是：值 EnableDynamicBacklog　　建议的数值数据： 1　　有效值：0（禁用），1（启用）　　说明：指定 AFD.SYS 功能，以有效处理大量的 SYN_RCVD 连接。有关详细信息，请参阅“Internet Server Unavailable Because of Malicious SYN Attacks”，　　　　值名称： MinimumDynamicBacklog　　建议的数值数据： 20　　有效值： 0 – 　　说明：指定在侦听的终结点上所允许的最小空闲连接数。如果空闲连接的数目低于该值，线程将被排队，以创建更多的空闲连接　　　　值名称：MaximumDynamicBacklog　　建议的数值数据： 20000　　有效值： 0 – 　　说明：指定空闲连接以及处于 SYN_RCVD 状态的连接的最大总数。　　　　值名称： DynamicBacklogGrowthDelta　　建议的数值数据： 10　　有效值： 0 – 　　默认情况下是否出现：否　　说明：指定在需要增加连接时将要创建的空闲连接数。
其他保护这一部分的所有注册表项和值都位于注册表项HKLM\System\CurrentControlSet\Services\Tcpip\Parameters 的下面。保护屏蔽的网络细节　　网络地址转换 (NAT) 用于将网络与传入连接屏蔽开来。攻击者可能规避此屏蔽，以便使用 IP 源路由来确定。值： DisableIPSourceRouting　　建议的数值数据： 1　　有效值：0（转发所有数据包），1（不转发源路由数据包），2（丢弃所有传入的源路由数据包）。　　说明：禁用 IP 源路由，后者允许发送者确认数据报在网络中应采用的路由。避免接受数据包片段　　处理数据包片段可以是高成本的。虽然拒绝服务很少来自外围网络内，但此设置能防止处理数据包片段。值： EnableFragmentChecking　　建议的数值数据： 1　　有效值：0（禁用），1（启用）　　说明：禁止 IP 接受数据包片段。切勿转发去往多台主机的数据包　　多播数据包可能被多台主机响应，从而导致响应淹没网络。值： EnableMulticastForwarding　　建议的数值数据： 0　　有效范围：0 (false)，1 (true)　　说明：路由服务使用此参数来控制是否转发 IP 多播。此参数由路由和创建。只有防火墙可以在网络间转发数据包　　多主机服务器切勿在它所连接的网络之间转发数据包。明显的例外是防火墙。值： IPEnableRouter　　建议的数值数据： 0　　有效范围：0 (false)，1 (true)　　说明：将此参数设置为 1 (true) 会使系统在它所连接的网络之间路由 IP 数据包。屏蔽结构细节　　可以使用 ICMP 数据包请求主机的子网掩码。只泄漏此信息是无害的；但是，可以利用多台主机的响应来了解内部网络的情况。值： EnableAddrMaskReply　　建议的数值数据： 0　　有效范围：0 (false)，1 (true)　　说明：此参数控制计算机是否响应 ICMP 地址屏蔽请求。
缺陷在测试这些值的变化时，请参照在产品中所期望的网络流量进行测试。这些设置会修改被认为正常并偏离了测试默认值的项目的阈值。一些阈值可能由于范围太小而无法在客户端的连接速度剧烈变化时可靠地支持客户端。
ThinkSNS年底钜惠，社交+直播+电商系统，0元分期，轻松购买
使用DDos是犯法的
总结最强大的防御法就是用性能更好的服务器，速度更快的网络宽带，因为就像是一群小混混霸占你的店一样，看上去是来买东西，实际上占用了空间赶跑了真正的顾客，如果店铺够大他们就没办法了插嘴一句需要多台电脑合作，如果是自己的电脑，那么这种土豪不会来收保护费，所以收保护费的人一定入侵了多台计算机，我们完全可以举报，当一个人多次给很多服务器威胁的时候，他的罪行肯定不止违法了，已经构成犯罪，可以追究刑事责任了。
linux服务器呢
楼主，赞一个
我可以非常负责任地告诉你 , 真正的D靠这种方式一点用也没有 , 除非你见过的都是小打小闹不值一提 .否则我们服也不会花大价钱上硬防 .
万火留　　——！　
特别声明，lz没见过linux服务器，如果是树梅派，我明确的告诉你，树梅派那点可怜的配置无论采取什么措施都无法防御现在的 SYNFlood 攻击10M宽带以下的服务器也是一样的
qc吧观光团----&听说过薄荷吗？&&一个小学生？&&不，他是一个时代。&
点亮12星座印记,
Dot : 各位家长注意了，现在发送紧急通知：如果你家孩子在8月20日七夕节那天穿戴整齐，手持礼物之类的出了门那么他一定是去见情侣了，请务必阻止他，尽量跟踪并将其拆散，能打死就别留活口（如果是两个男或者两个是女的可以不管）。如果你的孩子身穿黑色斗篷，拎着汽油带着火把出了门，那么他一定是去拯救世界去了，请不要阻止他，家里有什么武器都给他带着，能一起去就一起去，不能一起的就多找几个帮手，见到情侣能往死里打就往死里打，能往死里烧就往死里烧，以防止大规模秀恩爱事件发生。——异端审问会日
话说现在mc真乱，小学生成群，还有盗版优越狗，而且服务器搞得跟电子战似的，想当年1.0的时候mc多和谐啊
bbs今天也被D了好像　　　-　-Van Darkholme:1gdCQNFt
然而我可以通过发送游戏数据而获取服务器操作权限
问一下楼主，一个只有22端口的服务器能不能被？
贴吧热议榜
使用签名档&&
保存至快速回贴到底什么是DDOS？你被DDOS了吗？
到底什么是DDOS？你被DDOS了吗？
到底什么是DDOS？你被DDOS了吗？
作者：冰盾防火墙　网站：　日期：
DDOS是英文Distributed Denial of Service的缩写，意即&分布式拒绝服务&，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。　　虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于通过很多&僵尸主机&（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为&洪水式攻击&，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。　　就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。　　DDOS的表现形式
　　DDOS的表现形式主要有两种，一种为流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。
　　如何判断网站是否遭受了流量攻击呢？可通过Ping命令来测试，若发现Ping超时或丢包严重(假定平时是正常的)，则可能遭受了流量攻击，此时若发现和你的主机接在同一交换机上的服务器也访问不了了，基本可以确定是遭受了流量攻击。当然，这样测试的前提是你到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽，否则可采取Telnet主机服务器的网络服务端口来测试，效果是一样的。不过有一　　点可以肯定，假如平时Ping你的主机服务器和接在同一交换机上的主机服务器都是正常的，突然都Ping不通了或者是严重丢包，那么假如可以排除网络故障因素的话则肯定是遭受了流量攻击，再一个流量攻击的典型现象是，一旦遭受流量攻击，会发现用远程终端连接网站服务器会失败。
　　相对于流量攻击而言，资源耗尽攻击要容易判断一些，假如平时Ping网站主机和访问网站都是正常的，发现突然网站访问非常缓慢或无法访问了，而Ping还可以Ping通，则很可能遭受了资源耗尽攻击，此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在，而ESTABLISHED很少，则可判定肯定是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是，Ping自己的网站主机Ping不通或者是丢包严重，而Ping与自己的主机在同一交换机上的服务器则正常，造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令，其实带宽还是有的，否则就Ping不通接在同一交换机上的主机了。&&&&&&&&& 当前主要有三种流行的DDOS攻击：
　　1、SYN/ACK Flood攻击：这种攻击方法是经典最有效的DDOS方法，可通杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以Ping的通，在服务器上用Netstat -na
　　命令会观察到存在大量的SYN_RECEIVED状态，大量的这种攻击会导致Ping失败、TCP/IP栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。
2、TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量
　　的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此容易被追踪。
　　3、刷Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提交一个GET或POST指令对客户端的耗费和带宽的占用是几乎可以忽略的，而服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过Proxy代理向主机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服务，常见的现象就是网站慢如蜗牛、ASP程序失效、PHP连接数据库失败、数据库主程序占用CPU偏高。这种攻击的特点是可以完全绕过普通的防火墙防护，轻松找一些Proxy代理就可实施攻击，缺点是对付只有静态页面的网站效果会大打折扣，并且有些Proxy会暴露攻击者的IP地址。
& 不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击都瘫痪的情况呢?就网络安全而言目前最让人担心和害怕的入侵攻击就要算是拒绝服务攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。　　一、拒绝服务攻击的发展　　从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS(Distributed Denial of Service，分布式拒绝服务)是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢?下面我们从两个方面进行介绍。　　二、预防为主保证安全　　DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。　　(1)定期扫描　　要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。　　(2)在骨干节点配置防火墙　　防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。　　(3)用足够的机器承受黑客攻击　　这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。　　(4)充分利用网络设备保护网络资源　　所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。　　(5)过滤不必要的服务和端口　　可以使用Inexpress、Express、Forwarding等工具来过滤不必要的服务和端口，即在路由器上过滤假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较，并加以过滤。只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。　　(6)检查访问者的来源　　使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。　　(7)过滤所有RFC1918 IP地址　　RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。　　(8)限制SYN/ICMP流量　　用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。　　三、寻找机会应对攻击　　如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。　　(1)检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。　　(2)找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。　　(3)最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。　　总结：　　目前网络安全界对于DdoS的防范还是没有什么好办法的，主要靠平时维护和扫描来对抗。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果，Ddos攻击只能被减弱，无法被彻底消除。不过如果我们按照本文的方法和思路去防范DdoS的话，收到的效果还是非常显著的，可以将攻击带来的损失降低到最小。
最新内容：
相关内容：
合作伙伴：访问本页面，您的浏览器需要支持JavaScript