1.SYN Flood 攻擊
關於 SYN Flood 攻擊。一些惡意的人就爲此製造了 SYN Flood 攻擊——給服務器發了
一個 SYN 後,就下線了,於是服務器需要默認等 63s 纔會斷開連接,這樣,攻擊者就可以
把服務器的 syn 連接的隊列耗盡,讓正常的連接請求不能處理。於是,Linux 下給了一個叫
tcp_syncookies 的參數來應對這個事——當 SYN 隊列滿了後,TCP 會通過源地址端口、目
標地址端口和時間戳打造出一個特別的 Sequence Number 發回去(又叫 cookie),如果是
攻擊者則不會有響應,如果是正常連接,則會把這個 SYN Cookie 發回來,然後服務端可
以通過 cookie 建連接(即使你不在 SYN 隊列中)。請注意,請先千萬別用 tcp_syncookies
來處理正常的大負載的連接的情況。因爲,synccookies 是妥協版的 TCP 協議,並不嚴謹。
對於正常的請求,你應該調整三個 TCP 參數可供你選擇,第一個是:
tcp_synack_retries 可
以用他來減少重試次數;第二個是:tcp_max_syn_backlog,可以增大 SYN 連接數;第三
個是:tcp_abort_on_overflow 處理不過來乾脆就直接拒絕連接了。
2. DDOS 攻擊
DDoS 攻擊是 Distributed Denial of Service 的縮寫,即不法黑客組織通過控制服務器等
資源,發動對包括國家骨幹網絡、重要網絡設施、政企或個人網站在內的互聯網上任一目標
的攻擊,致使目標服務器斷網,最終停止提供服務。
預防:1.高防服務器 主要是指能獨立硬防禦 50Gbps 以上的服務器,能夠幫助網站拒
絕服務攻擊,定期掃描網絡主節點等 2.DDoS 清洗會對用戶請求數據進行實時監控,及時
發現 DOS 攻擊等異常流量,在不影響正常業務開展的情況下清洗掉這些異常流量。3.CDN
加速 在現實中,CDN 服務將網站訪問流量分配到了各個節點中,這樣一方面隱藏網站的
真實 IP,另一方面即使遭遇 DDoS 攻擊,也可以將流量分散到各個節點中,防止源站崩
潰。
3.DNS 欺騙
DNS 欺騙就是攻擊者冒充 域名服務器 的一種欺騙行爲
預防:1.使用入侵檢測系統 2.使用 DNSSEC
4. 重放攻擊
重放攻擊又稱重播攻擊、回放攻擊,是指攻擊者發送一個目的主機已接收過的包,來達
到欺騙系統的目的,主要用於身份認證過程,破壞認證的正確性。
預防:1.加隨機數 2.加時間戳
5.SQL 注入
所謂 SQL 注入,就是通過把 SQL 命令插入到 Web 表單提交或輸入域名或頁面請求的
查詢字符串,最終達到欺騙服務器執行惡意的 SQL 命令。預防:1.加密處理 將用戶登錄名稱、密碼等數據加密保存。加密用戶輸入的數據,然
後再將它與數據庫中保存的數據比較,這相當於對用戶輸入的數據進行了“消毒”處理,用戶
輸入的數據不再對數據庫有任何特殊的意義,從而也就防止了攻擊者注入 SQL 命令。
2. 確保數據庫安全 只給訪問數據庫的 web 應用功能所需的最低的權限,撤銷不必要
的公共許可 3.輸入驗證 檢查用戶輸入的合法性,確信輸入的內容只包含合法的數據。數據
檢查應當在客戶端和服務器端都執行之所以要執行服務器端驗證,是爲了彌補客戶端驗證機
制脆弱的安全性。