2008-01-02 13:49:54
DDoS工具产生的网络通讯信息有两种:控制信息通讯(在DDoS客户端与服务器端之间)和攻击时的网络通讯(在DDoS服务器端与目标主机之间)。
根据以下异常现象在网络入侵监测系统建立相应规则,能够较准确地监测出DDoS攻击。
异常现象0:虽然这不是真正的'DDoS'通讯,但却能够用来确定DDoS攻击的来源。根据分析,攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求,也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。
异常现象1:当DDoS攻击一个站点时,会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。
异常现象2:特大型的ICP和UDP数据包。正常的UDP会话一般都使用小的UDP包,通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128字节。那些大小明显大得多的数据包很有可能就是控制信息通讯用的,主要含有加密后的目标地址和一些命令选项。一旦捕获到(没有经过伪造的)控制信息通讯,DDoS服务器的位置就无所遁形了,因为控制信息通讯数据包的目标地址是没有伪造的。
异常现象3:不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议(包括基于连接的协议)通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外,那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。
异常现象4:数据段内容只包含文字和数字字符(例如,没有空格、标点和控制字符)的数据包。这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K(及其变种)的特征模式是在数据段中有一串A字符(AAA……),这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码,对于使用了加密算法数据包,这个连续的字符就是“Θ”。
异常现象5:数据段内容只包含二进制和high-bit字符的数据包。虽然此时可能在传输二进制文件,但如果这些数据包不属于正常有效的通讯时,可以怀疑正在
2007-12-29 17:51:07
作者:冰盾科技 网站:[url]http://www.bingdun.com[/url]
ICP内容网站、论坛社区BBS、电子商务eBusiness、音乐网站Music、电影网站File等网站服务器越来越普及,但由于种种原因往往会遭受竞争对手或打击报复者的恶意DDOS攻击,持续的攻击会导致大量用户流失,严重的甚至因人气全失而被迫关闭服务器,为了最大程度的保护运营者的利益,冰盾科技结合多年抗DDOS的实践经验给出了最少的安全投资可获得最大安全回报的抗DDOS解决方案,希望对广大网站运营者有所帮助。
一、现象分析
网站服务器运营商的互联网接入形式主要有两种:一种是主机托管,另外一种是自拉网络专线,但基于接入费用的考虑,绝大多数采用前者,但也有不少网吧主会采用后者。无论是前者还是后者接入,在正常情况下,用户都可以正常访问网站,浏览网页、在线听音乐看电影或者是参与论坛发帖,假定可排除线路和硬件故障的情况下,突然发现网页打不开或打开连接服务器困难,正在游戏的用户掉线等现象,则说明很有可能是遭受了DDOS攻击,具体判定方法如下:
1、 服务器端分析方法
(1)SYNFlood攻击判定
A:网上邻居->右键选“属性”->双击网卡,每秒收到的包数量大于500。
B:开始->程序->附件->命令提示符->C:\>netstat –na,观察到大量的SYN_RECEIVED的连接状态。
C:网线插上后,服务器立即凝固无法操作,拔出后有时可以恢复,有时候需要重新启动机器才可恢复。
(2)TCP多连接攻击判定
开始->程序->附件->命令提示符->C:\>netstat –na,若观察到多个IP地址与本机的服务端口建立了几十个以上的ESTABLISHED状态的连接。
2、客户端现象
(1)用户无法访问网站页面或打开过程非常缓慢。
(2)正在访问的用户突然变得非常缓慢甚至中断。
二、解决方案
多年的统计数据表明,想彻底解决DDOS是几乎不可能的,就好比治疗感冒一样,我们可以治疗,也可以预防,但却无法根治,但我们若采取积极有效的防御方法,则可在很大程度上降低或减缓生病的机率,防治DDOS攻击也是如此,拥有充足的带宽和配置足够高的主机硬件是必需的,那么什么算是充足的带宽呢?一
2007-12-28 14:58:51
威盾防火墙是一款专为IIS网站提供防CC攻击、防黑客入侵、防恶意盗链、防下载滥用等强大的网站防火墙功能
一、安装需求
1、操作系统:Windows 2000、Windows XP、Windows 2003
2、适合应用:IIS 5.0、IIS 5.1、IIS 6.0、IIS 6.1、IIS 7.0
3、磁盘空间:2M
*注:请确认您的主机满足以上需求才可继续完成以下安装步骤。
1、下载安装程序 请从我们提供的地址下载wdfwsetup.exe。
2、安装软件 运行安装程序通过向导安装,默认是安装C:\WeiDun目录,当然也可以是其他任何目录,然后把我们提供的注册文件放在安装目录,再重启IIS就可以了,主要文件列表如下:
★ weidun.dll ---- 威盾Web安全防火墙主程序
★ weidun.ini ---- 威盾Web安全防火墙配置文件
★ weidun.key ---- 威盾Web安全防火墙授权文件
★ urllist.txt ---- 防CC攻击的URL链接示例文件
★ iplist.txt ---- IP黑名单示例文件
★ script.txt ---- 可信脚本示例文件
★ webadmin.dll ---- Web管理组件
★ weidun.exe
1、操作系统:Windows 2000、Windows XP、Windows 2003
2、适合应用:IIS 5.0、IIS 5.1、IIS 6.0、IIS 6.1、IIS 7.0
3、磁盘空间:2M
*注:请确认您的主机满足以上需求才可继续完成以下安装步骤。
1、下载安装程序 请从我们提供的地址下载wdfwsetup.exe。
2、安装软件 运行安装程序通过向导安装,默认是安装C:\WeiDun目录,当然也可以是其他任何目录,然后把我们提供的注册文件放在安装目录,再重启IIS就可以了,主要文件列表如下:
★ weidun.dll ---- 威盾Web安全防火墙主程序
★ weidun.ini ---- 威盾Web安全防火墙配置文件
★ weidun.key ---- 威盾Web安全防火墙授权文件
★ urllist.txt ---- 防CC攻击的URL链接示例文件
★ iplist.txt ---- IP黑名单示例文件
★ script.txt ---- 可信脚本示例文件
★ webadmin.dll ---- Web管理组件
★ weidun.exe
2007-12-28 14:53:25
一、版本说明
凡是绑定域名的版本,可随意更换服务器主机和IP地址,只要域名不变,威盾Web安全防火墙都将起防护作用。
★ 域名标准版:绑定全域名,比如:绑定[url]www.weidun.com.cn[/url],则将只保护[url]www.weidun.com.cn[/url]而bbs.weidun.com.cn等将不受保护。
★ 域名专业版:绑定域名,比如:绑定weidun.com.cn,则*.weidun.com.cn将均受保护。
★ 域名高级版:绑定域,比如:绑定weidun,则*.weidun.*将均受保护。
凡是绑定IP的版本,可随意更换域名,只要IP不变,威盾Web安全防火墙都将起防护作用。
★ IP标准版:绑定全IP,比如:绑定192.168.0.1,则将只保护对应192.168.0.1的域名。
★ IP专业版:绑定1到8个IP不连续的IP,比如:绑定192.168.0.12|192.168.0.15|192.168.0.18,则对应IP包含的域名都将受保护。
★ IP高级版:绑定1到255个连续的IP,比如:绑定192.168.0.*,则对应IP为192.168.0.0-255的域名都将受保护。
--------------------------------------------------------------------------------
★ 您可以把WeiDun.dll、WeiDun.ini和WeiDun.key放在任何目录,但它们必须放在同一目录。
★ 您可以把WeiDun.dll重命名为abc.dll。
*技巧一:若您是域名版,为方便记忆您可以把WeiDun.dll的文件名部分改为您的域名,比如:hackbase.com.dll。
*技巧二:若您是IP版,您可以把WeiDun.dll等文件按照域名不同放在不同的目录,则可对不同的域名分别进行保护。
凡是绑定域名的版本,可随意更换服务器主机和IP地址,只要域名不变,威盾Web安全防火墙都将起防护作用。
★ 域名标准版:绑定全域名,比如:绑定[url]www.weidun.com.cn[/url]
★ 域名专业版:绑定域名,比如:绑定weidun.com.cn,则*.weidun.com.cn将均受保护。
★ 域名高级版:绑定域,比如:绑定weidun,则*.weidun.*将均受保护。
凡是绑定IP的版本,可随意更换域名,只要IP不变,威盾Web安全防火墙都将起防护作用。
★ IP标准版:绑定全IP,比如:绑定192.168.0.1,则将只保护对应192.168.0.1的域名。
★ IP专业版:绑定1到8个IP不连续的IP,比如:绑定192.168.0.12|192.168.0.15|192.168.0.18,则对应IP包含的域名都将受保护。
★ IP高级版:绑定1到255个连续的IP,比如:绑定192.168.0.*,则对应IP为192.168.0.0-255的域名都将受保护。
--------------------------------------------------------------------------------
★ 您可以把WeiDun.dll、WeiDun.ini和WeiDun.key放在任何目录,但它们必须放在同一目录。
★ 您可以把WeiDun.dll重命名为abc.dll。
*技巧一:若您是域名版,为方便记忆您可以把WeiDun.dll的文件名部分改为您的域名,比如:hackbase.com.dll。
*技巧二:若您是IP版,您可以把WeiDun.dll等文件按照域名不同放在不同的目录,则可对不同的域名分别进行保护。
2007-12-26 14:14:34
防火墙定义
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙的功能
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
为什么使用防火墙
防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
防火墙的类型
防火墙有不同类型。一个防火墙可以是硬件自身的一部分,你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行,该机器作为它背后网络中所有计算机的代理和防火墙。最后,直接连在因特网的机器可以使用个人防火墙。
2007-12-25 15:45:48
BitComet需要对Windows防火墙进行那些设置?
1.在“控制面板”中,双击“Windows防火墙”;
1.在“控制面板”中,双击“Windows防火墙”;
2.“常规” 选项卡中,选择“启用(推荐)”或“关闭(不推荐)”。(若选了“关闭”,则不需要设置。)
3.“例外” 选项卡中,勾中红色下划线和蓝色下滑线(端口号为监听端口号)选项;若你安装了ED插件,则还需勾中绿色下划线(端口号为ED监听端口号)选项。最后按“确定”按钮,保存退出。
若程序和服务列表中没有第一项“BitComet - a BitTorrent Client”,则点击“添加程序”,出现如下图的对话框,选择'BitComet',再按“确定”按钮,保存退出。
若安装了其他的防火墙,也应该对其进行设置。设置防火墙允许BitComet程序访问网络。(请参考具体防火墙的帮助文档)
例1:卡巴斯基反病毒软件 6.0
1.主界面选择“设置”。
例1:卡巴斯基反病毒软件 6.0
1.主界面选择“设置”。
2.设置页面:“保护”选项卡,信任区域。
3.信任区域页面: 添加。
4.浏览--程序,找到“BitComet”,再按“确定”按钮,保存。
5.继续按“确定”按钮,保存退出。
6
2007-12-25 15:34:22
简单地说,掌握所有可能导致被入侵和被用于实施拒绝服务攻击的原因和安全漏洞是非常复杂的。详细地说,没有简单和专门的方法保护不受到这些攻击,而只能尽可能地应用各种安全和保护策略。对于每个面临安全威胁的系统,这里列出了一些简单易行和快速的安全策略以保护免受这些攻击。
对于面临拒绝服务攻击的目标或潜在目标,应该采取的重要措施:
1、消除FUD心态
FUD的意思是Fear(恐惧)、Uncerntainty(猜测)和Doubt(怀疑)。最近发生的攻击可能会使某些人因为害怕成为攻击目标而整天担心受怕。其实必须意识到可能会成为拒绝服务攻击目标的公司或主机只是极少数,而且多数是一些著名站点,如搜索引擎、门户站点、大型电子商务和证券公司、IRC服务器和新闻杂志等。如果不属于这类站点,大可不必过于担心成为拒绝服务攻击的直接目标。
2、要求与ISP协助和合作
获得你的主要互联网服务供应商(ISP)的协助和合作是非常重要的。分布式拒绝服务(DDoS)攻击主要是耗用带宽,单凭你自己管理网络是无法对付这些攻击的。与你的ISP协商,确保他们同意帮助你实施正确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时你的ISP愿意监视或允许你访问他们的路由器。
3、优化路由和网络结构
如果你管理的不仅仅是一台主机,而是网络,就需要调整路由表以将拒绝服务攻击的影响减到最小。为了防止SYN flood攻击,应设置TCP侦听功能。详细资料请参阅相关路由器技术文档。另外禁止网络不需要使用的UDP和ICMP包通过,尤其是不应该允许出站ICMP“不可到达”消息。
4、优化对外开放访问的主机
对所有可能成为目标的主机都进行优化。禁止所有不必要的服务。另外多IP主机也会增加攻击者的难度。建议在多台主机中使用多IP地址技术,而这些主机的首页只会自动转向真正的web服务器。
5、正在受到攻击时,必须立刻应用对应策略。
尽可能迅速地阻止攻击数据包是非常重要的,同时如果发现这些数据包来自某些ISP时应尽快和他们取得联系。千万不要依赖数据包中的源地址,因为它们在DoS攻击中往往都是随机选择的。是否能迅速准确地确定伪造来源将
2007-12-25 15:29:16
一、先关闭不需要的端口
我比较小心,先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
'PortNumber'=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,不要怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
关于端口的介绍可以访问:[url]http://bbs.86dm.net/viewthread.php?tid=7&extra=page%3D1[/url]
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenge
我比较小心,先关了端口。只开了3389 21 80 1433有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上然后添加你需要的端口即可。PS一句:设置完端口需要重新启动!
当然大家也可以更改远程连接端口方法:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
'PortNumber'=dword:00002683
保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!
还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。所以在2003系统上增加的windows连接防火墙能很好的解决这个问题,所以都不推荐使用网卡的TCP/IP过滤功能。所做FTP下载的用户看仔细点,不要怪俺说俺写文章是垃圾...如果要关闭不必要的端口,在\\system32\\drivers\\etc\\services中有列表,记事本就可以打开的。如果懒惰的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。功能还可以!Internet 连接防火墙可以有效地拦截对Windows 2003服务器的非法入侵,防止非法远程主机对服务器的扫描,提高Windows 2003服务器的安全性。同时,也可以有效拦截利用操作系统漏洞进行端口攻击的病毒,如冲击波等蠕虫病毒。如果在用Windows 2003构造的虚拟路由器上启用此防火墙功能,能够对整个内部网络起到很好的保护作用。
关于端口的介绍可以访问:[url]http://bbs.86dm.net/viewthread.php?tid=7&extra=page%3D1[/url]
二、关闭不需要的服务 打开相应的审核策略
我关闭了以下的服务
Computer Browser 维护网络上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenge
2007-12-25 14:10:16
2007-12-21 17:53:05
最近几年感觉网络好乱啊,什么灰鸽子、熊猫烧香、金猪闹春把网络给搅得一塌糊涂,但总结下来,原来均是和利益有关,怎么感觉现在黑客和以前的都大不相同了,以前大家还写点软件免费让大家用,而现在的黑客是非钱不干了,BS一下!
一年前本来是被强行加到了国内某个肉鸡QQ讨论群里的,平时很少发言,但有位叫c00LsHELL的叫卖出售肉鸡权限的话引起了偶的注意,因为这关乎偶同学网吧的安全问题,从前年开始他的网吧就总被DDOS攻击导致掉线,他找来找去试了好几款抗DDOS防火墙,最后感觉冰盾效果好些,但冰盾试用版却只能用2个小时,而正式的专业版要近6千元(当然现在已经好像不到2千了),大家都知道搞网吧赚钱不容易,能省点就省点吧,他知道偶平时常破解点软件自己用,就求偶能不能想想办法,毕竟多年同学了,偶水平不算高,用了三天三夜才把冰盾拆解了,当然,偶所供职的公司也是搞软件的,知道开发套软件不容易,没日没夜的,就没忍心放出去,把拆解的冰盾锁定安装在了网吧的网关机上。不曾想前几天听他在QQ上说他网吧的一些客户都出现了游戏和QQ密码被盗的问题,把偶叫去检查了他们客户机的安全,也没发现异常,感觉非常不可理解,昨天他在QQ上又说不久前从网上下载安装了冰盾8.2破解版,联想到c00LsHELL的叫卖感觉这里面很是有蹊跷,于是想探索分析一下他下载的冰盾8.2破解版里面的奥秘。QQ群聊天截图如下:
显示一个叫bdfw.zip的原始文件包和一个crack目录。
Crack目录下是三个文件,两个是冰盾被破解过的主程序,但请注意多了一个叫johnroot.dll的文件,该dll文件非常大接近500K,看来这个dll不简单,应该可以做很多事。用PEiD v0.94初步查看johnroot.dll显示是用” ASPack 2.12 -> Alexey Solodovnikov ”加的壳,很明显破解
2007-12-21 16:39:02
本文主要介绍DDOS的机理和常见的实施方法。因前段时间仔细了解了TCP/IP协议以及RFC文档,有点心得。同时,文中有部分内容参考了Shaft的文章翻译而得。要想了解DOS攻击得实现机理,必须对TCP有一定的了解。所以,本文分为两部分,第一部分介绍一些实现DOS攻击相关的协议,第二部分则介绍DOS的常见方式。
什么是DOS攻击
DOS:即Denial Of Service,`拒绝服务的缩写,可不能认为是微软的dos操作系统了。好象在5?1的时候闹过这样的笑话。拒绝服务,就相当于必胜客在客满的时候不再让人进去一样,呵呵,你想吃馅饼,就必须在门口等吧。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:
* 试图FLOOD服务器,阻止合法的网络通讯
* 破坏两个机器间的连接,阻止访问服务
* 阻止特殊用户访问服务
* 破坏服务器的服务或者导致服务器死机
不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。
* 试图FLOOD服务器,阻止合法的网络通讯
* 破坏两个机器间的连接,阻止访问服务
* 阻止特殊用户访问服务
* 破坏服务器的服务或者导致服务器死机
不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。
有关TCP协议的东西
TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义,还有一些解决错误的东西在RFC 1122中有记录,RFC 1323则有TCP的功能扩展。
我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。
发送和接收方的TCP传输以数据段的形式交换数据,一个数据段包括一个固定的20字节头,加上可选部分,后面再跟上数据,TCP协议从发送方传送一个数据段的时候,还要启动计时器,当数据段到达目的地后,接收方还要发送回一个数
我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。
发送和接收方的TCP传输以数据段的形式交换数据,一个数据段包括一个固定的20字节头,加上可选部分,后面再跟上数据,TCP协议从发送方传送一个数据段的时候,还要启动计时器,当数据段到达目的地后,接收方还要发送回一个数
2007-12-21 16:31:47
IIS(Internet Information Server)作为目前最为流行的Web服务器平台,发挥着巨大的作用。因此,了解如何加强IIS的安全机制,建立一个高安全性能的Web服务器就显得尤为重要。
保证系统的安全性
因为IIS是建立在操作系统下,安全性也应该建立在系统安全性的基础上,因此,保证系统的安全性是IIS安全性的基础,为此,我们要做以下事情。
1、 使用NTFS文件系统
在NT系统中应该使用NTFS系统,NTFS可以对文件和目录进行管理,而FAT文件系统只能提供共享级的安全,而且在默认情况下,每建立一个新的共享,所有的用户就都能看到,这样不利于系统的安全性。和FAT文件系统不同,在NTFS文件下,建立新共享后可以通过修改权限保证系统安全。
2、 关闭默认共享
在Windows 2000中,有一个“默认共享”,这是在安装服务器的时候,把系统安装分区自动进行共享,虽然对其访问还需要超级用户的密码,但这是潜在的安全隐患,从服务器的安全考虑,最好关闭这个“默认共享”,以保证系统安全。方法是:单击“开始/运行”,在运行窗口中输入“Regedit”,打开注册表编辑器,展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\lanmanworkstation\parameters”,在右侧窗口中创建一个名为“AutoShare-Wks”的双字节值,将其值设置为0,这样就可以彻底关闭“默认共享”。
3、 设置用户密码
用户一定要设置密码,用户的密码尽量使用数字与字母大小混排的口令,还需要经常修改密码,封锁失败的登录尝试,并且设定严格的账户生存时间。应避免设置简单的密码,且用户的密码尽可能不要和用户名有任何关联。
保证IIS自身的安全性
在保证系统具有较高安全性的情况下,还要保证IIS的安全性,主要请注意以下事情:
1、要尽量避免把IIS安装在网络中的主域控制器上。因为在安装完IIS后,会在所安装的计算机上生成IUSR_Computername的匿名账户。这个账户会被添加到域用户组中,从而把应用于域用户组的访问权限提供给访问Web服务器的每个匿名用户,这样不仅不能保证IIS的安全性,而且会威胁到主域控制器。
2、限制网站的目录权限。目前有很多的脚本都有可能导致安全隐患,因此在设定IIS中网站的目录权限时,要严格限制执行、写入等权限。
3、经常到微软的站点下载IIS的补丁程序,保证IIS最新版本。
只要提高安全意识
