一、現象分析
網吧接入商的互聯網接入形式主要為自拉網絡專線,通過購買一臺路由器或用安裝有Sygate等路由軟件的服務器作為網關為內網用戶提供上網服務,正常情況下,內網都可以自由流暢的訪問互聯網絡,但假定可排除線路和硬件故障的情況下,若突然發現無法瀏覽外部網站網頁,正在玩遊戲的用戶掉線等現象,則說明很有可能是遭受了DDOS攻擊,具體判定方法如下:
找一臺配置較高,網卡品質較好的電腦,把外部接入互聯網的網線插入到該電腦的網卡上並設置好外網IP地址和網關,然後按照以下步驟進行觀察分析。
1、SYNFlood攻擊判定
(1)網上鄰居->右鍵選“屬性”->雙擊網卡,觀察每秒收到的包數量,若大於500,則可以肯定是受到了SYNFlood攻擊。
(2)開始->程序->附件->命令提示符->C:\>netstat –na,若觀察到大量的SYN_RECEIVED的連接狀態,則說明遭受了SYNFlood攻擊。
(3)網線插上後,服務器立即凝固無法操作,拔出後有時可以恢復,有時候需要重新啟動機器才可恢復,則也說明遭受了SYNFlood類的流量攻擊。
2、TCP多連接攻擊判定
開始->程序->附件->命令提示符->C:\>netstat –na,若觀察到很多外部IP地址都與本機的服務端口建立了幾十個以上的ESTABLISHED狀態的連接,則說明遭到了TCP多連接攻擊。
二、解決方案
1、免費DDOS解決方案
通過優化Windows 2000或2003系統的註冊表,可有效對抗每秒約1萬個左右的SYN攻擊,方法是把以下文本內容存盤為antiddos.reg然後導入註冊表並重新啟動即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
此方案的優點是,採用系統自身的能力來解決問題,而無需任何花費,缺點是隻能抵禦每秒少於10000的SYN攻擊,並且無法解決TCP多連接攻擊。
閱讀更多 攸一教程網 的文章
