1. linux 中 http請求抓包,裡面的Flag [S] 什麼意思
tcp三次握手中的第一個數據包。
2. linux內核優化參數
cat >> /etc/sysctl.conf << EOF
# kernel optimization
net.ipv4.tcp_fin_timeout = 2
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_keepalive_time = 600
net.ipv4.ip_local_port_range = 4000 65000
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_max_tw_buckets = 36000
net.ipv4.route.gc_timeout = 100
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.core.somaxconn = 16384
net.core.netdev_max_backlog = 16384
net.ipv4.tcp_max_orphans = 16384
EOF # 《Linux就該這么學》
將上面的內核參數加入/etc/sysctl.conf文件中,執行如下命令使之生效:
sysctl -p
3. DDoS的原理及危害
DDoS:拒絕服務攻擊的目標大多採用包括以SYNFlood和PingFlood為主的技術,其主要方式是通過使關鍵系統資源過載,如目標網站的通信埠與記憶緩沖區溢出,導致網路或伺服器的資源被大量佔用,甚至造成網路或伺服器的全面癱瘓,而達到阻止合法信息上鏈接服務要求的接收。形象的解釋是,DDoS攻擊就好比電話點歌的時候,從各個角落在同一時間有大量的電話掛入點播台,而點播台的服務能力有限,這時出現的現象就是打電話的人只能聽到電話忙音,意味著點播台無法為聽眾提供服務。這種類型的襲擊日趨增多,因為實施這種攻擊的方法與程序源代碼現已在黑客網站上公開。另外,這種襲擊方法非常難以追查,因為他們運用了諸如IP地址欺騙法之類所謂網上的「隱身技術」,而且現在互聯網服務供應商(ISP)的過剩,也使作惡者很容易得到IP地址。拒絕服務攻擊的一個最具代表性的攻擊方式是分布式拒絕服務攻擊(DistributedDenialofService,DDoS),它是一種令眾多的互聯網服務提供商和各國政府非常頭疼的黑客攻擊方法,最早出現於1999年夏天,當時還只是在黑客站點上進行的一種理論上的探討。從2000年2月開始,這種攻擊方法開始大行其道,在2月7日到11日的短短幾天內,黑客連續攻擊了包括Yahoo,Buy.com,eBay,Amazon,CNN等許多知名網站,致使有的站點停止服務達幾個小時甚至幾十個小時之久。國內的新浪等站點也遭到同樣的攻擊,這次的攻擊浪潮在媒體上造成了巨大的影響,以至於美國總統都不得不親自過問。
分布式拒絕服務攻擊採用了一種比較特別的體系結構,從許多分布的主機同時攻擊一個目標。從而導致目標癱瘓。目前所使用的入侵監測和過濾方法對這種類型的入侵都不起作用。所以,對這種攻擊還不能做到完全防止。
DDoS通常採用一種跳台式三層結構。如圖10—7所示:圖10—7最下層是攻擊的執行者。這一層由許多網路主機構成,其中包括Unix,Linux,Mac等各種各樣的操作系統。攻擊者通過各種辦法獲得主機的登錄許可權,並在上面安裝攻擊器程序。這些攻擊器程序中一般內置了上面一層的某一個或某幾個攻擊伺服器的地址,其攻擊行為受到攻擊伺服器的直接控制。
攻擊伺服器。攻擊伺服器的主要任務是將控制台的命令發布到攻擊執行器上。
這些伺服器與攻擊執行器一樣,安裝在一些被侵入的無關主機上。
攻擊主控台。攻擊主控台可以是網路上的任何一台主機,甚至可以是一個活動的便攜機。它的作用就是向第二層的攻擊伺服器發布攻擊命令。
有許多無關主機可以支配是整個攻擊的前提。當然,這些主機與目標主機之間的聯系越緊密,網路帶寬越寬,攻擊效果越好。通常來說,至少要有數百台甚至上千台主機才能達到滿意的效果。例如,據估計,攻擊Yahoo!站點的主機數目達到了3000台以上,而網路攻擊數據流量達到了1GB秒。通常來說,攻擊者是通過常規方法,例如系統服務的漏洞或者管理員的配置錯誤等方法來進入這些主機的。一些安全措施較差的小型站點以及單位中的伺服器往往是攻擊者的首選目標。這些主機上的系統或服務程序往往得不到及時更新,從而將系統暴露在攻擊者面前。在成功侵入後,攻擊者照例要安裝一些特殊的後門程序,以便自己以後可以輕易進入系統,隨著越來越多的主機被侵入,攻擊者也就有了更大的舞台。他們可以通過網路監聽等方法進一步擴充被侵入的主機群。
黑客所作的第二步是在所侵入的主機上安裝攻擊軟體。這里,攻擊軟體包括攻擊伺服器和攻擊執行器。其中攻擊伺服器僅占總數的很小一部分,一般只有幾台到幾十台左右。設置攻擊伺服器的目的是隔離網路聯系,保護攻擊者,使其不會在攻擊進行時受到監控系統的跟蹤,同時也能夠更好的協調進攻。因為攻擊執行器的數目太多,同時由一個系統來發布命令會造成控制系統的網路阻塞,影響攻擊的突然性和協同性。而且,流量的突然增大也容易暴露攻擊者的位置和意圖。剩下的主機都被用來充當攻擊執行器。執行器都是一些相對簡單的程序,它們可以連續向目標發出大量的鏈接請求而不作任何回答。現在已知的能夠執行這種任務的程序主要包括trin00,TFN(TribeFloodNetwork)、randomizer以及它們的一些改進版本,如TFN2k等。
黑客所作的最後一步,就是從攻擊控制台向各個攻擊伺服器發出對特定目標的攻擊命令。由於攻擊主控台的位置非常靈活,而且發布命令的時間很短,所以非常隱蔽,難以定位。一旦攻擊的命令傳送到伺服器,主控台就可以關閉或脫離網路,以逃避追蹤。接著,攻擊伺服器將命令發布到各個攻擊器。在攻擊器接到攻擊命令後,就開始向目標主機發出大量的服務請求數據包,這些數據包經過偽裝,無法識別它的來源。而且,這些數據包所請求的服務往往要消耗較大的系統資源,如CPU或網路帶寬。如果數百台甚至上千台攻擊器同時攻擊一個目標,就會導致目標主機網路和系統資源的耗盡,從而停止服務。有時,甚至會導致系統崩潰。另外,這樣還可以阻塞目標網路的防火牆和路由器等網路設備,進一步加重網路擁塞狀況。這樣,目標主機根本無法為用戶提供任何服務。攻擊者所用的協議都是一些非常常見的協議和服務。這樣,系統管理員就難於區分惡意請求和正常鏈接請求,從而無法有效分離出攻擊數據包。
除了上述類型的攻擊以外,其他種類的拒絕服務襲擊有,從電腦中刪除啟動文件,使之無法啟動,或刪除某個網路伺服器的網頁等。為什麼有人要發起這種類型的襲擊呢?因為他們所闖入的伺服器並沒有什麼秘密數據。其實,這種襲擊也是出於各種原因,有政治的,不正當商業競爭為原因的、也有的是作為一種大規模襲擊的一個組成部分。比如,巴勒斯坦的黑客為了抗議以色列的猶太人政權而發起的對以色列政府網站的攻擊;某惡意電子商務網站為爭奪客戶而發起的針對競爭對手的拒絕服務攻擊。拒絕服務襲擊也可以用來關閉某位黑客想要欺詐的伺服器。比如,黑客可能會為了獲得客戶PIN碼或信用卡號碼而對一家銀行的伺服器進行攻擊等,這類襲擊是「比其他類型的襲擊要突出得多的、最普遍的安全隱患」。當然,這種襲擊的主要損失是系統不能正常運行而耽誤的時間,而且系統很容易就可以通過重新啟動的方式而恢復運行。然而,任何注重品牌聲譽的企業都明白,在互聯網世界中,品牌聲譽可能會因一次安全性攻擊而毀於一旦,因此,黑客攻擊行為(尤其是拒絕服務攻擊)已成為當今企業所面臨的最大威脅中的一部分。
一個企業的網上服務即使沒有遭到拒絕服務的攻擊,它還會面臨另外一種風險,即成為攻擊者的跳台的危險。在實際發生的大規模拒絕服務攻擊的案例當中,往往是那些網路安全管理不嚴格的企業或組織的系統,被黑客侵入,在系統內被植入攻擊時使用的黑客程序。而攻擊犯罪發生以後,由於黑客的消蹤滅跡的手段很高明,所以最後被偵破機關追索到的攻擊源往往是那些成為攻擊跳台的網路。雖然,企業本身沒有遭到損失,但是由於成為攻擊跳台,而帶來的合作夥伴的疑慮和商業信用的損失卻是無法估計的。