网站被攻击了怎么办? 我们应该如何防止网站被攻击? 对于一些网友自己经常访问的网站不能访问,往往有的痛骂,也有的建议加硬防。对于网站站长来说,虽然接触网络的时间都不短,但对于IDC 方面的了解还是比较欠缺,还有不少站长把入侵和攻击混为一谈。在这里我就一些IDC方面的知识与大家分享。 *攻击:攻击网站一般分为3类,它们分别为ARP欺骗攻击攻击、流量攻击。 arp欺骗攻击:如果要发起ARP欺骗攻击,首先要与网站为同一个机房、同一个IP段、同一个VLAN 的服务器的控制权,采用入侵别的服务器的方常籂败饺汁祭伴熄宝陇式。拿到控制权后利用程序伪装被控制的机器为网关欺骗目标服务器。这种攻击一般在网页中潜入代码或者拦截一些用户名和密码。对付这类攻击比较容易,直接通知机房处理相应的被控制的机器就可以了。 CC 攻击:相对来说,这种攻击的危害大一些。主机空间都有一个参数 IIS 连接数,当被访问网站超出IIS 连接数时,网站就会出现Service Unavailable 。攻击者就是利用被控制的机器不断地向被攻击网站发送访问请求,迫使IIS 连接数超出限制,当CPU 资源或者带宽资源耗尽,那么网站也就被攻击垮了。对于达到百兆的攻击,防火墙就相当吃力,有时甚至造成防火墙的CPU资源耗尽造成防火墙死机。达到百兆以上,运营商一般都会在上层路由封这个被攻击的IP。 流量攻击:就是DDOS,这种攻击的危害是最大的。原理就是向目标服务器发送大量数据包,占用其带宽。对于流量攻击,单纯地加防火墙没用,必须要有足够的带宽和防火墙配合起来才能防御。如果想防御10G 的流量攻击,那就必须用大约20G 的硬件防火墙加上近20G 的带宽资源,那么就需要5台4G 的硬防做集群防护,成本相当高。 qq234732
这个问题我觉得你应该仔细分析一下,从你的描述看来,我得出以下假设:
1、你路由器的MAC地址表有部分客户机的静态绑定;
2、你每台客户机都作了“arp -s 网关ip 网关mac”的静态绑定;
3、某台机器掉线时它的arp表里的网关的IP-MAC是正确的,而路由器里对应该客户机IP的MAC地址不正确。
基于以上三点假设,为什么有的客户机还是会掉线呢?如果你理解了ARP协议,这就很好解释了。比如你某台客户机中了ARP欺骗病毒,那么该机会每隔一段时间对该网段内所有IP进行一次扫描,比如你的IP是192.168.0.1-192.168.0.254,那么中病毒的电脑会对这254个IP地址分别发送一个ARP Response消息(也可能是多个指向广播地址的ARP Response消息),这个消息可以更新所有这254台电脑的ARP表,更改的结果是所有电脑的ARP表内IP是网关的IP,而MAC地址却是中病毒的电脑的MAC地址。这个病毒之所以设计成这样是因为这样可使这个网段内所有的流量通过中病毒的那台主机,然后再通过路由器,专业术语叫做“man in the middle”,也就是中间人攻击,此举可以盗取该网段所有密码信息(因为所有流量都通过了中病毒主机,所以它可以任意监听感兴趣的信息并加以记录)。
现在再说你的情况,你的每台客户机都作了静态绑定,所以它们不受这个ARP Response消息的影响。(前提是你的客户机都是WinXP及以上的操作系统,WinXP以下的系统不能创建永久的静态绑定,也就是说就算你绑定了,隔一段时间后绑定信息会超时)。但是据你所说你在路由器上只绑定了部分客户机的IP-MAC,那么问题就出来了。比如说你在路由器上绑定了192.168.0.1-192.168.0.200的客户机的IP和MAC,那么在路由器接收到刚才所说的ARP Response消息时,会把192.168.0.201-192.168.0.254之内的所有IP所对应的MAC绑定为中病毒电脑的MAC。这时,这54个IP地址所对应的客户机可以正常的找到路由器,但是路由器却不能正确地找到该客户机,也就是说通信只能从客户机到路由器,不能从路由器到客户机。所以你的部分客户机无法上网。
解决办法是:
1、所有客户机静态绑定网关,网关路由器绑定所有客户机的IP-MAC。
2、在局域网内的某台电脑上安装Sniffer_Pro或者OmniPeek等协议分析软件(也就是俗称的抓包软件),然后在连接这台电脑的交换机端口上配置port mirror,如果是傻瓜交换机,那么你就在这个端口上接一个集线器(一定要是集线器,物理层设备),然后把装OmniPeek的电脑接到这个集线器上,然后抓包分析。当你看到某台机器没有发出ARP Request却收到了ARP Response,那么发送ARP Response的主机的MAC地址就是种病毒的电脑的MAC地址。有了MAC地址就可以找到种病毒的电脑了。
第一步:既然无线出现了问题,那么连接有线网络来检查检查。
第二步:登录无线路由器的管理界面,找到“无线”参数的“基本设置”选项。将默认的发射频段进行了修改,从11改为了
7。
第三步:保存后路由器重新启动,接下来浏览速度提高了不少,看来这个问题还是无线信号发射信道惹的祸。
第四步:无线设置里虽然启用了WEP加密,但是依然容许了SSID广播,有了一定的网络维护经验,广播数据包是非常占用网络资源,影响速度的。所以再次登录无线路由器的管理界面,将容许广播SSID选项取消。保存后再次上网发现网络速度恢复了正常,下载浏览没有一点延迟了。
网络丢包是我们在使用ping(检测某个系统能否正常运行)对目站进行询问时,数据包由于各种原因在信道中丢失的现象。
ping使用了ICMP回送请求与回送回答报文。ICMP回送请求报文是主机或路由器向一个特定的目的主机发出的询问,收到此报文的机器必须给源主机发送ICMP回送回答报文。
这种询问报文用来测试目的站是否可到达以及了解其状态。需要指出的是,ping是直接使用网络层ICMP的一个例子,它没有通过运输层的UDP或TCP。
ARP病毒也叫ARP地址欺骗类病毒,这是一类特殊的病毒。该病毒一般属于木马病毒,不具备主动传播的特性,不会自我复制,但是由于其发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。
ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分电脑不能上网,或者所有电脑均不能上网,无法打开网页或打开网页慢以及局域网连接时断时续并且网速较慢等现象,严重影响到企业网络、网吧、校园网络等局域网的正常运行。
以下六个步骤,即可有效防范ARP病毒:
1、做好IP-MAC地址的绑定工作(即将IP地址与硬件识别地址绑定),在交换机和客户端都要绑定,这是可以使局域网免疫ARP病毒侵扰的好办法。
2、全网所有的电脑都打上MS06-014和MS07-017这两个补丁,这样可以免疫绝大多数网页木马,防止在浏览网页的时候感染病毒。
MS06-014 中文版系统补丁下载地址:
/china//security/bulletin/MS06-014.mspx
MS07-017 中文版系统补丁下载地址:
/china//security/bulletin/MS07-017.mspx
3、禁用系统的自动播放功能,防止病毒从U盘、移动硬盘、MP3等移动存储设备进入到计算机。禁用Windows 系统的自动播放功能的方法:在运行中输入 gpedit.msc 后回车,打开组策略编辑器,依次点击:计算机配置->管理模板->系统->关闭自动播放->已启用->所有驱动器->确定。
4、在网络正常时候保存好全网的IP-MAC地址对照表,这样在查找ARP中毒电脑时很方便。
5、部署网络流量检测设备,时刻监视全网的ARP广播包,查看其MAC地址是否正确。
6、安装杀毒软件,及时升级病毒库,定期全网杀毒。
丢包太多原因有很多,一般为:木马.病毒,风暴.等造成大流量的攻击,一般的解决方法就是每一台都杀一下毒.特殊原因除外,如网卡引起的风暴.环路等. 高峰期丢包就是因为带宽阻塞导致的,尽可能不要下载文件或看视频浏览网页,可以缓解一下。
你注意过你的猫吗?一般2灯亮1灯断续亮。 是不是你的猫有问题了
QQ医生也是可以有效拦截一些ARP攻击的!
360推出的系列安全小工具之
一,专门针对局域网内ARP攻击进行拦截,是比较有效的ARP攻击拦截工具之
一。
安装并开启奇虎ARP防火墙后将会立即对您的系统提供保护(仅针对ARP病毒攻击,无法替代360安全卫士保护功能),当检测到ARP攻击时将会划出提示信息,建议您与所在网段的网管进行联系,排查局域网中中毒机器。
360ARP防火墙通过在系统内核层拦截ARP攻击数据包,确保网关正确的MAC地址不被篡改,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,完美的解决局域网内ARP攻击问题。