常見攻擊類型及排查處理建議

歡迎來到藍(lán)隊(duì)云技術(shù)小課堂，每天分享一個(gè)技術(shù)小知識(shí)。

一、什么是肉雞攻擊：

肉雞就是被黑客攻擊和入侵，在電腦里面放入了病毒和木馬之類的后門程序，擁有管理權(quán)限的遠(yuǎn)程電腦，受入侵者控制的遠(yuǎn)程電腦。

被肉雞或ARP攻擊處理建議：

1、從系統(tǒng)級(jí)檢查

（1）經(jīng)常檢查系統(tǒng)內(nèi)用戶情況，是否發(fā)現(xiàn)有可疑賬號(hào)，檢查administrators組里是否增加了未知賬號(hào)。

（2）檢查自己網(wǎng)站目錄權(quán)限，盡量減少無關(guān)用戶的權(quán)限。

（3）Windows主機(jī)的客戶每月都要打系統(tǒng)補(bǔ)丁，每月的15日左右微軟會(huì)發(fā)布補(bǔ)丁，請(qǐng)及時(shí)打補(bǔ)丁。

（4）建議關(guān)閉不需要的服務(wù)。

（5）建議關(guān)閉一些高危端口，比如135、139等等。

2、從程序上檢查

（1）定期檢查網(wǎng)站下有無可疑的可執(zhí)行文件。

（2）避免使用無組件上傳和第三方控件，如果使用第三方控件最好注意更新。

（3）定期備份自己的數(shù)據(jù)庫和網(wǎng)站程序。

3、提交系統(tǒng)初始化

系統(tǒng)感染木馬病毒或者被黑客入侵，系統(tǒng)文件損壞，通過常規(guī)方式無法修復(fù)，嚴(yán)重影響使用的。系統(tǒng)盤無重要數(shù)據(jù)，可直接選擇重裝系統(tǒng)；(重裝系統(tǒng)，其它盤數(shù)據(jù)不受影響)

二、什么是DDoS攻擊：

DDoS是英文Distributed Denial of Service的縮寫，意即“分布式拒絕服務(wù)”，那么什么又是拒絕服務(wù)（Denial of Service）呢？可以這么理解，凡是能導(dǎo)致合法用戶不能夠訪問正常網(wǎng)絡(luò)服務(wù)的行為都算是拒絕服務(wù)攻擊。也就是說拒絕服務(wù)攻擊的目的非常明確，就是要阻止合法用戶對(duì)正常網(wǎng)絡(luò)資源的訪問，從而達(dá)成攻擊者不可告人的目的。雖然同樣是拒絕服務(wù)攻擊，但是DDoS和DOS還是有所不同，DDoS的攻擊策略側(cè)重于通過很多“僵尸主機(jī)”（被攻擊者入侵過或可間接利用的主機(jī)）向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，分布式拒絕服務(wù)攻擊一旦被實(shí)施，攻擊網(wǎng)絡(luò)包就會(huì)猶如洪水般涌向受害主機(jī)，從而把合法用戶的網(wǎng)絡(luò)包淹沒，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源，因此，拒絕服務(wù)攻擊又被稱之為“洪水式攻擊”，常見的DDoS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側(cè)重于通過對(duì)主機(jī)特定漏洞的利用攻擊導(dǎo)致網(wǎng)絡(luò)棧失效、系統(tǒng)崩潰、主機(jī)死機(jī)而無法提供正常的網(wǎng)絡(luò)服務(wù)功能，從而造成拒絕服務(wù)，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。

DDoS攻擊是發(fā)起大量的連接來訪問您的網(wǎng)站，產(chǎn)生大量連接數(shù)以及流量，導(dǎo)致服務(wù)器負(fù)載過高以及帶寬不足，不會(huì)影響您的網(wǎng)站數(shù)據(jù)。DDoS攻擊具有一定的針對(duì)性，目前沒有太好的解決辦法，只能通過斷網(wǎng)的形式讓攻擊源無法找到目標(biāo)主機(jī)。

遭DoS攻擊排查防范建議：

1、排查建議

（1）檢查網(wǎng)站程序和服務(wù)器數(shù)據(jù)，是否存在漏洞，將可能被攻擊的網(wǎng)站內(nèi)容轉(zhuǎn)出，避免同樣的攻擊再次出現(xiàn)。

（2）請(qǐng)觀察是否是競(jìng)爭(zhēng)對(duì)手惡意攻擊，綜合排查進(jìn)行處理。

2、防范措施

（1）程序方面防范，建議在程序代碼中進(jìn)行zend、MD5等加密方式對(duì)自己的程序進(jìn)行加密，避免程序上的漏洞導(dǎo)致被黑客植入木馬病毒程序，最終讓黑客趁虛而入針對(duì)此漏洞發(fā)起DoS攻擊。

（2）主機(jī)安全防護(hù)措施的加強(qiáng)，建議不要使用默認(rèn)的遠(yuǎn)程端口，并且服務(wù)器上所有的密碼都要使用復(fù)雜的密碼，比如遠(yuǎn)程密碼、FTP密碼、數(shù)據(jù)庫密碼等。簡(jiǎn)單的密碼很容易被黑客破譯最終將客戶的主機(jī)當(dāng)做肉雞來對(duì)其他服務(wù)器發(fā)起DDoS攻擊。

藍(lán)隊(duì)云官網(wǎng)上擁有完善的技術(shù)支持庫可供參考，大家可自行查閱，更多技術(shù)問題，可以直接咨詢。同時(shí)，藍(lán)隊(duì)云整理了運(yùn)維必備的工具包免費(fèi)分享給大家使用，需要的朋友可以直接咨詢。

更多技術(shù)知識(shí)，藍(lán)隊(duì)云期待與你一起探索。