ddos攻击防范基本思路_ddos攻击软件防火墙

什么是DDOS攻击?拜托了各位 谢谢

DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。 这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。 高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。编辑本段被DDoS攻击时的现象 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 严重时会造成系统死机 大鸡吧攻击运行原理 如图，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。 但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。编辑本段黑客是如何组织一次DDoS攻击的？ 这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤： 1. 搜集了解目标的情况 下列情况是黑客非常关心的情报： 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽 对于DDoS攻击者来说，攻击互联网上的某个站点，如 ，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供 服务的： 66.218.71.87 66.218.71.88 66.218.71.89 66.218.71.80 66.218.71.81 66.218.71.83 66.218.71.84 66.218.71.86 如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到 的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。 所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。 但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。 2. 占领傀儡机 黑客最感兴趣的是有下列情况的主机： 链路状态好的主机 性能好的主机 安全管理水平差的主机 这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。 首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，象程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。 总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。 3. 实际攻击 经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。 老到的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 DDOS常用的工具软件——CC v2.0 防范DDOS比较出色的防火墙：各种硬件防火墙，look'n'sotp 风云

DDOS攻击 是什么

DDOS是英文Distributed Denial of Service的缩写，意即“分布式拒绝服务”，那么什么又是拒绝服务（Denial of Service）呢？可以这么理解，凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确，就是要阻止合法用户对正常网络资源的访问，从而达成攻击者不可告人的目的。虽然同样是拒绝服务攻击，但是DDOS和DOS还是有所不同，DDOS的攻击策略侧重于通过很多“僵尸主机”（被攻击者入侵过或可间接利用的主机）向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为“洪水式攻击”，常见的DDOS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS则侧重于通过对主机特定漏洞的利用攻击导致网络栈失效、系统崩溃、主机死机而无法提供正常的网络服务功能，从而造成拒绝服务，常见的DOS攻击手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就这两种拒绝服务攻击而言，危害较大的主要是DDOS攻击，原因是很难防范，至于DOS攻击，通过给主机服务器打补丁或安装防火墙软件就可以很好地防范，后文会详细介绍怎么对付DDOS攻击。

最厉害的防火墙

1.Look'n'stop

Look’n’Stop 被誉为世界顶级防火墙！与同类产品相比具有最为突出的强劲功能以及与众不同的特点，不仅功能评测在知名防火墙中是最强的！而且软件大小只有区区600多k十分小巧， 占内存非常小，可以监控dll，更具强大的御防黑客攻击能力

2. Outpost

一款短小精悍的网络防火墙软件，它的功能是同类PC软件中最强的，甚至包括了广告和图片过滤、内容过滤、DNS缓存等功能。它能够预防来自Cookies、广告、电子邮件病毒、后门、窃密软件、解密高手、广告软件和其它 Internet 危险的威胁。该软件不需配置就可使用，这对于许多新手来说，变得很简单。尤为值得一提的是，这是市场上第一个支持插件的防火墙，这样它的功能可以很容易地进行扩展。该软件资源占用也很小。 Outpost的其它强大功能毋庸多说，你亲自试一试就知到了。

3.

ZoneAlarm

ZoneAlarm来保护你的电脑，防止Trojan(特洛伊木马)程序，Trojan也是一种极为可怕的程序。ZoneAlarm可以帮你执行这项重大任务喔。基本版还是免费的。

使用很简单，你只要在安装时填入你的资料，如有最新的ZoneAlarm，你就可以免费网上更新。安装完后从新开机，ZoneAlarm就会自动启动，帮你执行任务。当有程序想要存取Internet时，如网络浏览器可能会出现连不上网络，这时你可以在右下角ZoneAlarm的小图示上按两下鼠标左键，选取Programs的选项，勾选你要让哪些软件上网，哪些不可以上网，利用此种方法来防治一些来路不明的软件偷偷上网。最好的方法是锁住(Lock)网络不让任何程序通过，只有你核准的软件才可以通行无阻。你还可利用它来看看你开机后已经使用多少网络资源，也可以设定锁定网络的时间。这么好用的软件你一定要亲自使用才能感觉到它的威力。

4.

BlackICE

该软件在九九年获得了PC Magazine 的技术卓越大奖，专家对它的评语是：“对于没有防火墙的家庭用户来说，BlackICE是一道不可缺少的防线；而对于企业网络，它又增加了一层保护措施--它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。BlackICE集成有非常强大的检测和分析引擎，可以识别 200 多种入侵技巧，给你全面的网络检测以及系统防护，它还能即时监测网络端口和协议，拦截所有可疑的网络入侵，无论黑客如何费尽心机也无法危害到你的系统。而且它还可以将查明那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或是他目前所使用的IP地址记录下来，以便你采取进一步行动。封言用过后感觉，该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少，是每一位上网朋友的最佳选择。

5.

Tiny Firewall

Tiny Software 公司是一家面向中小型网络路由器和防火墙软件的开发商,最近Tiny Firewall目的是为了妨止非法使用时的不安全性，保障计算机的安全。这一版本是基于通过ICSA认证的 WinRoute Pro安全保障技术，是WinRoute 的子集，只具备防火墙功能。该项技术已经获得成功。 Tiny Personal Firewall可以设置为手工启动，或者设置为一个服务器。其中包括一个桌面管理工具，可用于对本地或远程计算机上的安全引擎进行详细配置。用户的安全设置有高、中、低三级，通过它的包过滤特性（packet-filtering），每一级设置还可进行不同的配置，以满足特殊的需求。高级用户可以建立基于断口，应用，协议和目标的规则，每当遇到新的情况，立即提示，包括拒绝，接受或者建立处理未来动作的规则。其它的特性包括 MD5 签名支持，密码保护，日志功能和高可配置的报告功能，记录特殊的侵入动作。 Tiny Personal Firewall是一个全面，却又简单易用的网络防黑软件。他可以管理你的计算机与国际网络的数据交换，会阻挡任何未经认证的用户进入你的计算机，读取你的档案。支持 MD5签名认证，可以防止特洛依程序使用计算机认可的应用程序来闯入计算机，判断出那个程序安全与否，共有叁个安全等级可设置，可以考虑自己网络活动来作调整。 程序包含主引擎、网络状况监视器、事件纪录簿。如你要打开某个网页，会问你是否允许存取。你也可以作一个过滤器，允许某个连接持续运作，限制使用那个埠(port)或者目的ip。也会纪录所有可疑的活动到日志中，随时可叫出来检查，可说相当方便有强力的一款软件。

6.

Kaspersky

Kaspersky Anti-Hacker 是Kaspersky 公司出品的一款非常优秀的网络安全防火墙！和著名的杀毒软件 AVP是同一个公司的作品！保护你的电脑不被黑客攻击和入侵，全方位保护你的数据安全！所有网络资料存取的动作都会经由它对您产生提示，存取动作是否放行，都由您来决定，能够抵挡来自于内部网络或网际网络的黑客攻击！

与原有版本相比，新版增加了升级模块。

新产品保留了1.5版中所有非常受欢迎的性能，包括友好的用户界面、易用性（这对入门级的用户特别重要）、安装简捷、5级防护水平选择等。系统可在隐形模式下工作，本地的计算机可封锁所有来自外部网络的请求，使用户隐形和安全地在网上遨游。

产品的新性能包括对MS SP2完全兼容，使Windows XP的用户大为受益。

7.

McAfee Desktop Firewall

McAfee公司的一个出色的个人防火墙软件，是基于ConSeal Private Desktop, Signal 9 Solutions 的获得的国际认证个人防火墙软件包。它可以保护你免受来自Internet的黑客和木马程序等攻击。它的特色是：保护个人信息、即时报警、详细事件记录、阻塞特定的互联网系统、多层安全、24小时自动更新，还有就是整合了hackerwatch.com的资源，使得你能查看详细的攻击信息。

能够对客户端进行前瞻性的保护和控制，使其免受新威胁的攻击，这是单纯的防病毒产品无法实现的。 Desktop Firewall 针对网络和应用程序提供了全面的防火墙功能，并与入侵检测技术完美结合。 它可以防止客户端发送或接收非法网络流或应用程序中所携带的恶意攻击。 它还可以防止合法应用程序被入侵者利用，进而在整个网络中发送或接收攻击信息。 McAfee ePolicy Orchestrator 为 Desktop Firewall 提供了可扩展的集中式管理、部署和报告功能。 此外，Desktop Firewall 能够与 McAfee VirusScan Enterprise 和 ePolicy Orchestrator 进行集成，从而提供了无可比拟的客户端安全性和投资回报率

8.

费尔个人防火墙专业版

软件说明：专业级的强大功能、个性化的设计理念、个人网络安全工具的首选。软件完全免费、整套源程序低价出售。1.几乎拥有专业防火墙软件的所有强大功能 2.引入了别具特色的“流量示波器”，使得网络流量一目了然，生动地展现网络状态 3.对代理上网进行了优化，用户再也不用抱怨自己的邮件被代理服务器盲目拦截 4.对网上邻居共享资源进行全面控管，使局域网管理更自由、更安全 5.应用层 / 核心层双重过滤，完全管控TCP/IP网络封包 6.防出墙 / 防入墙双墙防护，防止信息泄漏和外来攻击 7.对ICMP(PING)进行严格控制，有效保护IP地址不被探测 8.全程交互式控管规则自动生成器，对任何情况的网络动作都可以进行动态、交互、自动生成控管规则，最大程度的方便操作 9.把复杂的功能设置进行了有效的条理化分类，做到既可以让普通用户感觉到简单易用，又可以让专业人士进行复杂的安全防范配置 10.漂亮流畅的操作界面，各种人性化的设计，使用起来轻松方便 另外值得注意的是：费尔个人防火墙的整套、包括核心模块的源程序是完全开放出售的，国际化的编程风格、结构化的设计思想、精致详实的源码注释、大量图表的设计文档、毫无保留的全面开放，从系统分析到代码实现，给您一个全方位体验，是您技术提高、赢得商机的有力支持。

9.

AnyView（网络警） V3.34软件说明：AnyView是一款企业级的网络监控软件。一机安装即可监控、记录、控制局域网内其他计算机的上网行为。用于防止单位重要资料机密文件等的泄密；监督审查限制网络使用行为；备份重要网络资源文件。主要功能有：

一、全面监控网内所有收发的邮件。

AnyView能实时记录局域网内所有收发的邮件（包括POP3/SMTP协议和HTTP协议的邮件），同时检测并记录其所用的IP地址、收发时间、标题、收件人/发件人、附件、内容及邮件大小等信息。

二、监控各类聊天工具的使用。

AnyView能实时监控局域网用户对各类聊天工具的使用情况，能检查出在线用户所使用的聊天工具、聊天ID、上线时间等信息，并保存。

三、记录每个员工浏览过的网页，保存上传下载（FTP协议）的文件。

AnyView能实时记录局域网内所有用户浏览过的网页（包括网页标题、网页内容、所属网站、网页大小等），并以网页快照的形式供管理者查看。AnyView能实时记录网内所有用户通过FTP协议上传下载的文件。

四、端口级的上网控制。

1.禁止某些电脑在指定时段上指定的网站；

2.只允许某些电脑在指定时段上指定的网站；

3.禁止某些电脑在指定时段收发邮件；

4.禁止某些电脑在指定时段通过浏览器收发邮件；

5.禁止某些电脑在指定时段使用指定的聊天工具（包括QQ、MSN、Yahoo Messenger、ICQ等）；

6.禁止某些电脑在指定时段使用FTP工具外发资料；

7.允许自定义网页列表阻断：色情列表库、游戏网站列表库、股票网站库、聊天网站库、外发资料网站库；

五、采用C/S管理模式，支持分级权限管理。

AnyView支持服务器和客户端程序分开，支持多客户连接，允许对不同客户端赋予不同的监控权限。

六、其他功能。

1.自动搜索局域网内的电脑，并自动解析出机器名；

2.跨平台监控；被监控电脑也可以是Unix 、Linux 等其他操作系统；

3.不需要在被监视和管理电脑上安装任何软件，一机运行，整网管理；

4.支持拦截内容的压缩、备份、恢复；

5.正式版安装以后，同一网段内，其他机器上的试用版不能正常运行。

10.

天网防火墙

SkyNet-FireWall个人版（简称为天网防火墙）是一款由天网安全实验室制作的给个人电脑使用的网络安全程序。它根据系统管理者设定的安全规则（Security Rules）把守网络，提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击，防止信息泄露，并可与天网安全实验室的网站

相配合，根据可疑的攻击信息，来找到攻击者。天网防火墙把网络分为本地网和互联网，可以针对来自不同网络的信息，来设置不同的安全方案，它适合于任何拨号上网的用户。

11.

瑞星个人防火墙功能列表：

1。支持任何形式的网络接入方式。（如以太网卡/Proxy方式、拨号上网、CableModem接入、ADSL接入、Irad接入等）

2。不影响网络通讯的速度，也不会干扰其它运行中的程序。

3。方便灵活的规则设置功能可使您任意设置可信的网络连接，同时把不可信的网络连接拒之门外。

4。保证您的计算机和私人资料处于安全的状态。

5。提供网络实时过滤监控功能。

6。防御各种木马攻击。如BO、冰河。

7。防御ICMP洪水攻击及ICMP碎片攻击。

8。防御诸如WinNuke,IpHacker之类的OOB攻击。

9。在受到攻击时，系统会自动切断攻击连接，发出报警声音并且闪烁图标提示。

10。详细的日志功能实时记录网络恶意攻击行为和一些网络通讯状况；若受到攻击时，可通过查看日志使攻击者原形毕露。

12.

江民防火墙

软件说明：上网必备安全工具软件：反黑王是一款专为解决个人用户上网安全而设计的网络安全防护工具，产品融入了先进的网络安全四大技术，彻底阻挡黑客攻击、木马程序及互联网病毒等各种网络危险的入侵，全面保护个人上网安全。有了反黑王的保护，网民再不必担心上网帐号、QQ密码、游戏分值、银行帐号、邮件密码、个人隐私及其他重要个人信息的泄漏。

13.

金山网镖

14.

傲盾防火墙

强大的傲盾防火墙

网络安全一直是每一位电脑用户都不可回避问题，然而这又不是任何一位普通的计算机用户就能轻松解决的问题。本文就为大家介绍一款个人防火墙软件——“KFW傲盾防火墙”它能在网络设备和系统之间筑起一道防护堡垒。

主要功能：

1、实时数据包地址 、类型过滤

2、功能强大的包内容过滤

3、包内容的截获

4、先进的应用程序跟踪

5、灵活的防火墙规则设置

6、实用的应用程序规则设置

7、详细的全安纪录

8、专业级别的包内容记录

9、完善的报警系统

10、IP地址翻译

11、简捷方便漂亮的操作界面

12、强大的端口分析功能

13、强大在线模块升级功能

15.

冰盾防火墙

全球第一款具备IDS入侵检测功能的专业级抗DDOS防火墙，来自IT技术世界一流的美国硅谷，由华人留学生Mr.Bingle Wang和Mr.Buick Zhang设计开发，采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为，防火墙采用微内核技术实现，工作在系统的最底层，充分发挥CPU的效能，仅耗费少许内存即获得惊人的处理效能。经高强度攻防试验测试表明：在抗DDOS攻击方面，工作于100M网卡冰盾约可抵御每秒25万个SYN包攻击，工作于1000M网卡冰盾约可抵御160万个SYN攻击包；在防黑客入侵方面，冰盾可智能识别Port扫描、Unicode恶意编码、SQL注入攻击、Trojan木马上传、Exploit漏洞利用等2000多种黑客入侵行为并自动阻止。冰盾防火墙的主要防护功能如下： ★ 阻止DOS攻击：TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、BigPing、OOB等数百种。 ★ 抵御DDOS攻击：SYN/ACK Flood、UDPFlood、ICMP Flood、TCP Flood等所有流行的DDOS攻击。 ★ 拒绝TCP全连接攻击：自动阻断某一IP对服务器特定端口的大量TCP全连接资源耗尽攻击。 ★ 防止脚本攻击：专业防范ASP、PHP、PERL、JSP等脚本程序的洪水式Flood调用导致数据库和WEB崩溃的拒绝服务攻击。 ★ 对付DDOS工具：XDOS、HGOD、SYNKILLER、CC、GZDOS、PKDOS、JDOS、KKDOS、SUPERDDOS、FATBOY、SYNKFW等数十种。 ★ 超强Web过滤：过滤URL关键字、Unicode恶意编码、脚本木马、防止木马上传等。 ★ 侦测黑客入侵：智能检测Port扫描、SQL注入、密码猜测、Exploit利用等2000多种黑客入侵行为并阻断。

16.

天盾防火墙

一款专业的网络防火墙,价格低廉.既使您不付费就可以永久使用.防木马,防黑客,是您网络安全的指南针.

主要功能:

1.网络状态:查看当前网络数据流量及状态.

2.应用程序:管理当前计算机上需要访问网络的程序,防止木马及间谍.

3.网络规则:管控网络其他计算机对您的访问权限,防止黑客及病毒攻击.

4.功能选项:设置保护级别.

5.我要购买:了解注册有关的事项。

17.

趋势PC-cillin

PC-cillin 能立即侦测并清除所有已知和未知的电脑病毒，除了传统的开机型、档案型及巨集型病毒外，亦可主动侦测、清除基于 Internet 全面入侵的 Java、ActiveX 等恶性程序，可全面防堵电子邮件病毒入侵，为你过滤不良网站。PC-cillin 98/2000 拥有增强的病毒扫描引擎，还有最佳的程序相容性及稳定性，占用极少系统资源，更简易的使用介面设计，让你轻轻松松就做好电脑的防毒工作。

18.

安铁诺 19. 诺顿个人防火墙

20.

F-Secure欧洲最好的防火墙,在2003年底,F-SECURE被评为2003 TOP TEN排名第一。该防火墙的特点是利用系统资源少,对系统操作没有任何影响.在欧洲多数的学校和公司都采用F-SECURE的防火墙。

常看见的“DDOS”是指什么？

DDOS全名是Distribution Denial of service (分布式拒绝服务攻击),很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击,DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模. [编辑本段]DDoS攻击概念 DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，当被攻击目标CPU速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了 - 目标对恶意攻击包的"消化能力"加强了不少，例如你的攻击软件每秒钟可以发送3,000个攻击包，但我的主机与网络带宽每秒钟可以处理10,000个攻击包，这样一来攻击就不会产生什么效果。 这时候分布式的拒绝服务攻击手段（DDoS）就应运而生了。你理解了DoS攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10台攻击机同时攻击呢？用100台呢？DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。 高速广泛连接的网络给大家带来了方便，也为DDoS攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G为级别的，大城市之间更可以达到2.5G的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。 [编辑本段]DDOS的产生 DDOS 最早可追述到1996年最初,在中国2002年开始频繁出现,2003年已经初具规模。近几年由于宽带的普及，很多网站开始盈利，其中很多非法网站利润巨大,造成同行之间互相攻击，还有一部分人利用网络攻击来敲诈钱财。同时windows 平台的漏洞大量的被公布， 流氓软件，病毒，木马大量充斥着网络,有些技术的人可以很容易非法入侵控制大量的个人计算机来发起DDOS攻击从中谋利。攻击已经成为互联网上的一种最直接的竞争方式，而且收入非常高，利益的驱使下，攻击已经演变成非常完善的产业链。通过在大流量网站的网页里注入病毒木马，木马可以通过windows平台的漏洞感染浏览网站的人，一旦中了木马，这台计算机就会被后台操作的人控制，这台计算机也就成了所谓的肉鸡，每天都有人专门收集肉鸡然后以几毛到几块的一只的价格出售，因为利益需要攻击的人就会购买，然后遥控这些肉鸡攻击服务器。 [编辑本段]被DDoS攻击时的现象 被攻击主机上有大量等待的TCP连接 网络中充斥着大量的无用的数据包，源地址为假 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 严重时会造成系统死机 大级别攻击运行原理 一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击。请注意控制机与攻击机的区别，对第4部分的受害者来说，DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上，这些程序与正常的程序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了。 有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？"。这就是导致DDoS攻击难以追查的原因之一了。做为攻击者的角度来说，肯定不愿意被捉到，而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门！2. 如何清理日志。这就是擦掉脚印，不让自己做的事被别人查觉到。比较不敬业的黑客会不管三七二十一把日志全都删掉，但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况。这样可以长时间地利用傀儡机。 但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下，黑客也是对这个任务很头痛的。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了。但如果这是控制用的傀儡机的话，黑客自身还是安全的。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低。 [编辑本段]黑客是如何组织一次DDoS攻击的？ 这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单。一般来说，黑客进行DDoS攻击时会经过这样的步骤： 1. 搜集了解目标的情况 下列情况是黑客非常关心的情报： 被攻击目标主机数目、地址情况 目标主机的配置、性能 目标的带宽 对于DDoS攻击者来说，攻击互联网上的某个站点，如 ，有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务。以yahoo为例，一般会有下列地址都是提供 服务的： 66.218.71.87 66.218.71.88 66.218.71.89 66.218.71.80 66.218.71.81 66.218.71.83 66.218.71.84 66.218.71.86 如果要进行DDoS攻击的话，应该攻击哪一个地址呢？使66.218.71.87这台机器瘫掉，但其他的主机还是能向外提供www服务，所以想让别人访问不到 的话，要所有这些IP地址的机器都瘫掉才行。在实际的应用中，一个IP地址往往还代表着数台机器：网站维护者使用了四层或七层交换机来做负载均衡，把对一个IP地址的访问以特定的算法分配到下属的每个主机上去。这时对于DDoS攻击者来说情况就更复杂了，他面对的任务可能是让几十台主机的服务都不正常。 所以说事先搜集情报对DDoS攻击者来说是非常重要的，这关系到使用多少台傀儡机才能达到效果的问题。简单地考虑一下，在相同的条件下，攻击同一站点的2台主机需要2台傀儡机的话，攻击5台主机可能就需要5台以上的傀儡机。有人说做攻击的傀儡机越多越好，不管你有多少台主机我都用尽量多的傀儡机来攻就是了，反正傀儡机超过了时候效果更好。 但在实际过程中，有很多黑客并不进行情报的搜集而直接进行DDoS的攻击，这时候攻击的盲目性就很大了，效果如何也要靠运气。其实做黑客也象网管员一样，是不能偷懒的。一件事做得好与坏，态度最重要，水平还在其次。 2. 占领傀儡机 黑客最感兴趣的是有下列情况的主机： 链路状态好的主机 性能好的主机 安全管理水平差的主机 这一部分实际上是使用了另一大类的攻击手段：利用形攻击。这是和DDoS并列的攻击方式。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。对于一个DDoS攻击者来说，准备好一定数量的傀儡机是一个必要的条件，下面说一下他是如何攻击并占领它们的。 首先，黑客做的工作一般是扫描，随机地或者是有针对性地利用扫描器去发现互联网上那些有漏洞的机器，像程序的溢出漏洞、cgi、Unicode、ftp、数据库漏洞…(简直举不胜举啊)，都是黑客希望看到的扫描结果。随后就是尝试入侵了，具体的手段就不在这里多说了，感兴趣的话网上有很多关于这些内容的文章。 总之黑客现在占领了一台傀儡机了！然后他做什么呢？除了上面说过留后门擦脚印这些基本工作之外，他会把DDoS攻击用的程序上载过去，一般是利用ftp。在攻击机上，会有一个DDoS的发包程序，黑客就是利用它来向受害目标发送恶意攻击包的。 3. 实际攻击 经过前2个阶段的精心准备之后，黑客就开始瞄准目标准备发射了。前面的准备做得好的话，实际攻击过程反而是比较简单的。就象图示里的那样，黑客登录到做为控制台的傀儡机，向所有的攻击机发出命令："预备~ ，瞄准~，开火!"。这时候埋伏在攻击机中的DDoS攻击程序就会响应控制台的命令，一起向受害主机以高速度发送大量的数据包，导致它死机或是无法响应正常的请求。黑客一般会以远远超出受害方处理能力的速度进行攻击，他们不会"怜香惜玉"。 老道的攻击者一边攻击，还会用各种手段来监视攻击的效果，在需要的时候进行一些调整。简单些就是开个窗口不断地ping目标主机，在能接到回应的时候就再加大一些流量或是再命令更多的傀儡机来加入攻击。 防范DDOS攻击的工具软件：CC v2.0 防范DDOS比较出色的防火墙：硬件有Cisco的Guard、Radware的DefensePro，绿盟的黑洞，傲盾软件的傲盾防火墙。软件有冰盾DDOS防火墙、8Signs Firewall等。 [编辑本段]DDOS的主要几个攻击 1.SYN变种攻击 发送伪造源IP的SYN数据包但是数据包不是64字节而是上千字节这种攻击会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。 2.TCP混乱数据包攻击 发送伪造源IP的 TCP数据包，TCP头的TCP Flags 部分是混乱的可能是syn ,ack ,syn+ack ,syn+rst等等，会造成一些防火墙处理错误锁死，消耗服务器CPU内存的同时还会堵塞带宽。 3.针对用UDP协议的攻击 很多聊天室，视频音频软件，都是通过UDP数据包传输的，攻击者针对分析要攻击的网络软件协议，发送和正常数据一样的数据包，这种攻击非常难防护，一般防护墙通过拦截攻击数据包的特征码防护，但是这样会造成正常的数据包也会被拦截， 4.针对WEB Server的多连接攻击 通过控制大量肉鸡同时连接访问网站，造成网站无法处理瘫痪，这种攻击和正常访问网站是一样的，只是瞬间访问量增加几十倍甚至上百倍，有些防火墙可以通过限制每个连接过来的IP连接数来防护，但是这样会造成正常用户稍微多打开几次网站也会被封， 5.针对WEB Server的变种攻击 通过控制大量肉鸡同时连接访问网站，一点连接建立就不断开，一直发送发送一些特殊的GET访问请求造成网站数据库或者某些页面耗费大量的CPU,这样通过限制每个连接过来的IP连接数就失效了，因为每个肉鸡可能只建立一个或者只建立少量的连接。这种攻击非常难防护，后面给大家介绍防火墙的解决方案 6. 针对WEB Server的变种攻击 通过控制大量肉鸡同时连接网站端口，但是不发送GET请求而是乱七八糟的字符，大部分防火墙分析攻击数据包前三个字节是GET字符然后来进行http协议的分析，这种攻击，不发送GET请求就可以绕过防火墙到达服务器，一般服务器都是共享带宽的，带宽不会超过10M 所以大量的肉鸡攻击数据包就会把这台服务器的共享带宽堵塞造成服务器瘫痪，这种攻击也非常难防护，因为如果只简单的拦截客户端发送过来没有GET字符的数据包，会错误的封锁很多正常的数据包造成正常用户无法访问，后面给大家介绍防火墙的解决方案 7.针对游戏服务器的攻击 因为游戏服务器非常多，这里介绍最早也是影响最大的传奇游戏，传奇游戏分为登陆注册端口7000,人物选择端口7100，以及游戏运行端口7200,7300,7400等,因为游戏自己的协议设计的非常复杂，所以攻击的种类也花样倍出，大概有几十种之多，而且还在不断的发现新的攻击种类，这里介绍目前最普遍的假人攻击，假人攻击是通过肉鸡模拟游戏客户端进行自动注册、登陆、建立人物、进入游戏活动从数据协议层面模拟正常的游戏玩家，很难从游戏数据包来分析出哪些是攻击哪些是正常玩家。 以上介绍的几种最常见的攻击也是比较难防护的攻击。一般基于包过滤的防火墙只能分析每个数据包，或者有限的分析数据连接建立的状态，防护SYN,或者变种的SYN,ACK攻击效果不错,但是不能从根本上来分析tcp，udp协议，和针对应用层的协议,比如http,游戏协议，软件视频音频协议，现在的新的攻击越来越多的都是针对应用层协议漏洞,或者分析协议然后发送和正常数据包一样的数据，或者干脆模拟正常的数据流，单从数据包层面，分析每个数据包里面有什么数据，根本没办法很好的防护新型的攻击。 SYN攻击解析 SYN攻击属于DOS攻击的一种，它利用TCP协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源。TCP协议建立连接的时候需要双方相互确认信息,来防止连接被伪造和精确控制整个数据传输过程数据完整有效。所以TCP协议采用三次握手建立一个连接。 第一次握手：建立连接时，客户端发送syn包到服务器，并进入SYN_SEND状态，等待服务器确认； 第二次握手：服务器收到syn包，必须确认客户的SYN 同时自己也发送一个SYN包 即SYN+ACK包，此时服务器进入SYN_RECV状态； 第三次握手：客户端收到服务器的SYN＋ACK包，向服务器发送确认包ACK此包发送完毕，客户端和服务器进入ESTABLISHED状态，完成三次握手。 SYN攻击利用TCP协议三次握手的原理，大量发送伪造源IP的SYN包也就是伪造第一次握手数据包，服务器每接收到一个SYN包就会为这个连接信息分配核心内存并放入半连接队列，如果短时间内接收到的SYN太多，半连接队列就会溢出，操作系统会把这个连接信息丢弃造成不能连接，当攻击的SYN包超过半连接队列的最大值时，正常的客户发送SYN数据包请求连接就会被服务器丢弃, 每种操作系统半连接队列大小不一样所以低于SYN攻击的能力也不一样。那么能不能把半连接队列增加到足够大来保证不会溢出呢，答案是不能，每种操作系统都有方法来调整TCP模块的半连接队列最大数，例如Win2000操作系统在注册表 HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters里 TcpMaxHalfOpen，TcpMaxHalfOpenRetried ，Linux操作系统用变量tcp_max_syn_backlog来定义半连接队列的最大数。但是每建立一个半连接资源就会耗费系统的核心内存，操作系统的核心内存是专门提供给系统内核使用的内存不能进行虚拟内存转换是非常紧缺的资源windows2000 系统当物理内存是4g的时候 核心内存只有不到300M，系统所有核心模块都要使用核心内存所以能给半连接队列用的核心内存非常少。Windows 2003 默认安装情况下，WEB SERVER的80端口每秒钟接收5000个SYN数据包一分钟后网站就打不开了。标准SYN数据包64字节 5000个等于 5000*64 *8(换算成bit)/1024=2500K也就是 2.5M带宽 ，如此小的带宽就可以让服务器的端口瘫痪，由于攻击包的源IP是伪造的很难追查到攻击源,，所以这种攻击非常多。 如何防止和减少DDOS攻击的危害 一、拒绝服务攻击的发展 从拒绝服务攻击诞生到现在已经有了很多的发展，从最初的简单Dos到现在的DdoS。那么什么是Dos和DdoS呢？DoS是一种利用单台计算机的攻击方式。而DdoS（Distributed Denial of Service，分布式拒绝服务）是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如一些商业公司、搜索引擎和政府部门的站点。DdoS攻击是利用一批受控制的机器向一台机器发起攻击，这样来势迅猛的攻击令人难以防备，因此具有较大的破坏性。如果说以前网络管理员对抗Dos可以采取过滤IP地址方法的话，那么面对当前DdoS众多伪造出来的地址则显得没有办法。所以说防范DdoS攻击变得更加困难，如何采取措施有效的应对呢？下面我们从两个方面进行介绍。 二、预防为主保证安全 DdoS攻击是黑客最常用的攻击手段，下面列出了对付它的一些常规方法。 （1）定期扫描 要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。 （2）在骨干节点配置防火墙 防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。 （3）用足够的机器承受黑客攻击 这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。 （4）充分利用网络设备保护网络资源 所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。 （5）过滤不必要的服务和端口 过滤不必要的服务和端口，即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。 （6）检查访问者的来源 使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。 （7）过滤所有RFC1918 IP地址 RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。 （8）限制SYN/ICMP流量 用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。 三、寻找机会应对攻击 如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。 （1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。 （2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后所有计算机都无法访问internet了。 （3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别

希望采纳