惡意攻擊的命令或行為

㈠ 如何正確的防範惡意攻擊

一、一般網路惡意攻擊分為3類

分別為ARP欺騙攻擊、CC攻擊、DDoS流量攻擊。

（ 1 ） ARP欺騙攻擊

         地址解析協議（ARP）是TCP/IP棧中的一個網路層，它將一個IP地址解析為MAC地址。ARP協議的基本功能是通過目標設備的IP地址查詢目標設備的MAC地址，保證通信的進行。ARP攻擊只能在乙太網(LAN，如:機房、內部網、企業網路等)中進行，無法攻擊外部網路(Internet、非本地區域網)。

（ 2 ） CC攻擊

        相對而言，這種攻擊比較有害。主機空間中有一個參數IIS連接數。當所訪問的網站超過IIS連接數時，網站將出現不可用的服務。攻擊者使用受控制的機器不斷地向被攻擊的網站發送訪問請求，迫使IIS超過其連接限制數，當CPU或帶寬資源耗盡時，網站將被攻擊至關閉。對於高達100兆位元組的攻擊，防火牆是相當費力的，有時甚至會導致防火牆CPU資源耗盡而導致防火牆崩潰。高達100兆以上，在上層路由時操作員通常會阻止攻擊的IP。CC攻擊對動態網站造成的破壞最大，通常幾台的電腦就可以搞垮一個網站。

（3）DDoS攻擊

       這是一種DDoS攻擊，而且這種攻擊是最有害的。其原理是向目標伺服器發送大量數據包，佔用其帶寬。對於流量攻擊，簡單地添加防火牆是無用的，必須有足夠的帶寬與防火牆配合進行防禦。

二、 解決辦法

（1） ARP欺騙

       1）ARP欺騙是通過重復應答實現的，那麼只需要在本機添加一條靜態的ARP映射，這樣就不需要詢問網關MAC地址了，這種方法只對主機欺騙有效。對於網關欺騙還需要在網關中也添加一條到主機的靜態ARP映射。1.用管理身份運行命令提示符；輸入netsh i i show in，查看一下本機有哪些網路連接；

      2）查看一下網關的MAC地址。注意如果正遭受ARP欺騙攻擊，通過此方法查處的可能是虛假的MAC地址。輸入arp -a命令查詢本機的arp映射表，如果找不到網關的信息，可以先ping一下網關；

      3）輸入：netsh -c 「i i」 add neighbors 連接的Idx號 網關IP 網關MAC 添加一條靜態映射,我已經添加過了，所以會顯示 對象已存在。

（2） CC攻擊防禦策略

      1）取消域名綁定

        一般來說，cc攻擊的目標是網站的域名。例如，如果我們的網站域名是「mj007.cn」，攻擊者會在攻擊工具中將目標設置為域名，然後進行攻擊。我們對這種攻擊的反應是在IIS上解綁定域名，使CC攻擊沒有目標。具體步驟如下：打開「IIS管理器」來定位特定網站點擊右鍵「屬性」打開網站屬性面板中，單擊「高級」按鈕右邊的IP地址，選擇域名條目進行編輯，刪除「主機頭值」或改變到另一個值(域名)。

        經過模擬測試，取消域名綁定後，Web伺服器的CPU立即恢復正常狀態，通過IP接入連接一切正常。然而，同樣明顯的是，取消域名或更改域名不會改變其他人的訪問許可權。此外，針對IP的CC攻擊是無效的，即使更改域名攻擊者發現後，他也會攻擊新域名。

      2）域名欺騙解析

       如果發現針對域名的CC攻擊，我們可以把被攻擊的域名解析到127.0.0.1這個地址上。我們知道127.0.0.1是本地回環IP是用來進行網路測試的，如果把被攻擊的域名解析到這個IP上，就可以實現攻擊者自己攻擊自己的目的，這樣他再多的肉雞或者代理也會宕機，讓其自作自受。

        另外，當我們的Web伺服器遭受CC攻擊時把被攻擊的域名解析到國家有權威的政府網站或者是網警的網站，讓其網警來收拾他們。現在一般的Web站點都是利用類似"新網"這樣的服務商提供的動態域名解析服務，大家可以登錄進去之後進行設置。

       3）更改Web埠

        一般情況下Web伺服器通過80埠對外提供服務，因此攻擊者實施攻擊就以默認的80埠進行攻擊，所以，我們可以修改Web埠達到防CC攻擊的目的。運行IIS管理器，定位到相應站點，打開站點"屬性"面板，在"網站標識"下有個TCP埠默認為80，我們修改為其他的埠就可以了。

        4）IIS屏蔽IP

        我們通過命令或在查看日誌發現了CC攻擊的源IP，就可以在IIS中設置屏蔽該IP對Web站點的訪問，從而達到防範IIS攻擊的目的。在相應站點的"屬性"面板中，點擊"目錄安全性"選項卡，點擊"IP地址和域名現在"下的"編輯"按鈕打開設置對話框。在此窗口中我們可以設置"授權訪問"也就是"白名單"，也可以設置"拒絕訪問"即"黑名單"。比如我們可以將攻擊者的IP添加到"拒絕訪問"列表中，就屏蔽了該IP對於Web的訪問。

        5）採用防護CDN

        前4種方法都是對網站訪問有很大的傷害的，而採用CDN話是可以智能識別別並攔截CC攻擊，有效減少了誤殺率，讓網站可以達到正常訪問的效果，國內以阿里雲WAF防火牆、蔓捷信息高防最為出名，其中蔓捷信息高防物傷力高，防禦能力強，推薦使用。

（3） DDoS攻擊防禦方法

      1）選擇帶有DDoS硬體防火牆的機房

         目前大部分的硬防機房對100G以內的DDoS流量攻擊都能做到有效防護。選擇硬防主要是針對DDoS流量攻擊這一塊的，如果你的企業網站一直遭受流量攻擊的困擾，那你可以考慮將你的網站伺服器放到DDoS防禦機房。但是有的企業網站流量攻擊超出了硬防的防護范圍了，那就得考慮下面第二種了。

       2）CDN流量清洗防禦

        目前，大多數的CDN服務提供商是普通的CDN，不具有保護功能，購買CDN應注意檢查，購買可以防止600 Gbps的 DDoS攻擊，可以說應對當前絕大多數的DDoS攻擊是沒問題的。同時，CDN技術不僅對企業網站流量攻擊具有保護功能，也可以加快企業的網站的速度（前提應該基於CDN節點的位置），解決某些地方的緩慢網站打開。

       3）負載均衡技術

         這種類型主要針對DDoS攻擊中的CC攻擊進行防護，它使web伺服器或其他類型的伺服器超載，這些伺服器具有大量的網路流量，通常由頁面或鏈接生成。當然，這種現象也可能發生在訪問量很大的網站上，但我們必須將這些正常的現象與分布式拒絕服務攻擊區分開來。將負載均衡方案添加到企業網站後，不僅可以保護網站不受CC攻擊，還可以平衡用戶對各個web伺服器的訪問，減輕單個web伺服器的負擔，加快網站訪問速度。