网站服务器的安全配置
。SYN攻击是最常见又最容易被利用的一种攻击手法。 记得2000年YAHOO就遭受到这样的攻击。SYN攻击防范技术,归纳起来,主要有两大类,一类是通过防火墙、路由器等过滤网关防护,另一类是通过加固TCP/IP协议栈防范.但必须清楚的是 ,SYN攻击不能完全被阻止,我们所做的是尽可能的减轻SYN攻击的危害,除非将TCP协 议重新设计。
1、过滤网关防护
这里,过滤网关主要指明防火墙,当然路由器也能成为过滤网关。防火墙部署在不同网络之间,防范外来非法攻击和防止保密信息外泄,它处于客户端和服务器之间,利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置,SYN网关和 SYN代理三种。
2、加固tcp/ip协议栈
防范SYN攻击的另一项主要技术是调整tcp/ip协议,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。 tcp/ip协议栈的调整可能会引起某些功能的受限,管理员应该在进行充分了解和测试的 前提下进行此项工作。为防范SYN攻击,win2000系统的tcp/ip协议内嵌了SynAttackProtect机制, Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。默认情况下,Win2000操作系统并不支持 SynAttackProtect保护机制,需要在注册表以下位置增加SynAttackProtect键值:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.增加最大连接数
六,防范ARP欺骗,其实现在方法比较多了下面只谈一种手工的防御方法
1.计算机IP地址与MAC绑定
在CMD方式下,键入以下命令:
ARP-s IP地址MAC地址
例: ARP-s 192.168.1.100 XX-XX-XX-XX-XX 这样,就将静态IP地址192.168.1.100与网卡地址为XX-XX-XX-XX-XX的计算机绑定在一起了,即使别人盗 用您的IP地址 192.168.1.100,也无法通过代理服务器上网。
2.交换机端口与MAC绑定
登录进入交换机,输入管理口令进入全局配置模式,键入命令:
(config) #mac—address—table static<MAC地址>vlan<VLAN号>interface<模块 号/端口号表>该命令可分配一个静态的MAC地址给某些端口,即使重自交换饥,这个 地址也仍然会存在。从此。该端口只允许这个MAC地址对应的设备连接在该端口上送行 通信。用户通过注册表等方式更改MAC地址后,交换机拒绝为其通信。
本文链接地址:http://www.oyaya.net/fanwen/view/141514.html
1、过滤网关防护
这里,过滤网关主要指明防火墙,当然路由器也能成为过滤网关。防火墙部署在不同网络之间,防范外来非法攻击和防止保密信息外泄,它处于客户端和服务器之间,利用它来防护SYN攻击能起到很好的效果。过滤网关防护主要包括超时设置,SYN网关和 SYN代理三种。
2、加固tcp/ip协议栈
防范SYN攻击的另一项主要技术是调整tcp/ip协议,修改tcp协议实现。主要方法有SynAttackProtect保护机制、SYN cookies技术、增加最大半连接和缩短超时时间等。 tcp/ip协议栈的调整可能会引起某些功能的受限,管理员应该在进行充分了解和测试的 前提下进行此项工作。为防范SYN攻击,win2000系统的tcp/ip协议内嵌了SynAttackProtect机制, Win2003系统也采用此机制。SynAttackProtect机制是通过关闭某些socket选项,增加额外的连接指示和减少超时时间,使系统能处理更多的SYN连接,以达到防范SYN攻击的目的。默认情况下,Win2000操作系统并不支持 SynAttackProtect保护机制,需要在注册表以下位置增加SynAttackProtect键值:HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3.增加最大连接数
六,防范ARP欺骗,其实现在方法比较多了下面只谈一种手工的防御方法
1.计算机IP地址与MAC绑定
在CMD方式下,键入以下命令:
ARP-s IP地址MAC地址
例: ARP-s 192.168.1.100 XX-XX-XX-XX-XX 这样,就将静态IP地址192.168.1.100与网卡地址为XX-XX-XX-XX-XX的计算机绑定在一起了,即使别人盗 用您的IP地址 192.168.1.100,也无法通过代理服务器上网。
2.交换机端口与MAC绑定
登录进入交换机,输入管理口令进入全局配置模式,键入命令:
(config) #mac—address—table static<MAC地址>vlan<VLAN号>interface<模块 号/端口号表>该命令可分配一个静态的MAC地址给某些端口,即使重自交换饥,这个 地址也仍然会存在。从此。该端口只允许这个MAC地址对应的设备连接在该端口上送行 通信。用户通过注册表等方式更改MAC地址后,交换机拒绝为其通信。
3.Linux下ARP绑定
#arp -a > /etc/ethers
#vi ethers
改成形式ip mac
#vi /etc/rc.d/rc.local
加上一行
arp -f
保存
执行arp -f
补充:
6.组件和权限
攻击者现在拥有一个系统的帐号.你完全不用害怕他会改动你的IIS组件内设置.你可以把INTER信息服务设置一个密码.然后把系统*.msc复制到你指定的一个文件夹.再设置加密.然后只允许你的帐号使用.接着隐藏起来.那么攻击者改不了你任何组件.也不能查看和增加删除.Wscript.shell删除. Net.exe删除. Cmd.exe设置好权限.所有目录全部要设置好权限.如不需要.除WEB目录外.其他所有目录.禁止IIS组用户访问.只允许Administrators组进行访问和修改.还一个变态权限的设置.前面我已经说了MSC文件的访问权限.你可以设置Admin,Admin1,Admin2……,admin只赋予修改权限,admin1只赋予读取和运行权限,admin2只赋予列出文件夹和目录权限,admin3只赋予写入权限,admin4只赋予读取权限.然后每个帐户根据需要分配配额.这样的话.就算有VBS脚本.删除了NET.EXE,对方也提不起权.如果是没运行权限的用户不小心启动了攻击者的木马.那么也没权限运行和修改.Windows提供了屏幕保护功能.建议大家还可以安装一个第三方提供的屏幕保护锁.那样你的系统又可以多一重安全保障.建议大家千万不要使用Pcanywhere等软件.除非你权限设置通过自己的测试了.Pcanywhere有一个文件系统,如果权限没分配好,用户可以通过PCANY