1. 如何防禦僵屍網路對網站伺服器80埠的不斷攻擊
解讀DDOS及防禦DDOS攻擊指南
一、為何要DDOS?
隨著Internet互聯網路帶寬的增加和多種DDOS黑客工具的不斷發布,DDOS拒絕服務攻擊的實施越來越容易,DDOS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網路敲詐等多種因素,導致很多IDC託管機房、商業站點、游戲伺服器、聊天網路等網路服務商長期以來一直被DDOS攻擊所困擾,隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題,因此,解決DDOS攻擊問題成為網路服務商必須考慮的頭等大事。
二、什麼是DDOS?
DDOS是英文Distributed Denial of Service的縮寫,意即「分布式拒絕服務」,那麼什麼又是拒絕服務(Denial of Service)呢?可以這么理解,凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確,就是要阻止合法用戶對正常網路資源的訪問,從而達成攻擊者不可告悉搭尺人的目的。雖然同樣是拒絕服務攻擊,但是DDOS和DOS還是有所不同,DDOS的攻擊策略側重於通過很多「僵屍主機」(被攻擊者入侵過或可間接利用的主機)向受害主機發送大量看似合法的網路包,從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務,分布式拒絕服務攻擊一旦被實施,攻擊網路包就會猶如洪水般湧向受害主機,從而把合法用戶的網路包淹沒,導致合法用戶無法正常訪問伺服器的網路資源,因此,拒絕服務攻擊又被稱之為「洪水式攻擊」,常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等;而DOS則側重於通過對主機特定漏洞的枝老利用攻擊導致網路棧失效、系統崩潰、主機死機而無法提供正常的網路服務功能,從而造成拒絕服務,常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言,危害較大的主要是DDOS攻擊,原因是很難防範,至於DOS攻擊,通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範,後文睜高會詳細介紹怎麼對付DDOS攻擊。
三、被DDOS了嗎?
DDOS的表現形式主要有兩種,一種為流量攻擊,主要是針對網路帶寬的攻擊,即大量攻擊包導致網路帶寬被阻塞,合法網路包被虛假的攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,主要是針對伺服器主機的攻擊,即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務。
如何判斷網站是否遭受了流量攻擊呢?可通過Ping命令來測試,若發現Ping超時或丟包嚴重(假定平時是正常的),則可能遭受了流量攻擊,此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了,基本可以確定是遭受了流量攻擊。當然,這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽,否則可採取Telnet主機伺服器的網路服務埠來測試,效果是一樣的。不過有一點可以肯定,假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的,突然都Ping不通了或者是嚴重丟包,那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊,再一個流量攻擊的典型現象是,一旦遭受流量攻擊,會發現用遠程終端連接網站伺服器會失敗。
相對於流量攻擊而言,資源耗盡攻擊要容易判斷一些,假如平時Ping網站主機和訪問網站都是正常的,發現突然網站訪問非常緩慢或無法訪問了,而Ping還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是,Ping自己的網站主機Ping不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的伺服器則正常,造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令,其實帶寬還是有的,否則就Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDOS攻擊:
1、SYN/ACK Flood攻擊:
這種攻擊方法是經典最有效的DDOS方法,可通殺各種系統的網路服務,主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK包,導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務,由於源都是偽造的故追蹤起來比較困難,缺點是實施起來有一定難度,需要高帶寬的僵屍主機支持。少量的這種攻擊會導致主機伺服器無法訪問,但卻可以Ping的通,在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態,大量的這種攻擊會導致Ping失敗、TCP/IP棧失效,並會出現系統凝固現象,即不響應鍵盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。
2、TCP全連接攻擊:
這種攻擊是為了繞過常規防火牆的檢查而設計的,一般情況下,常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力,但對於正常的TCP連接是放過的,殊不知很多網路服務程序(如:IIS、Apache等Web伺服器)能接受的TCP連接數是有限的,一旦有大量的TCP連接,即便是正常的,也會導致網站訪問非常緩慢甚至無法訪問,TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接,直到伺服器的內存等資源被耗盡而被拖跨,從而造成拒絕服務,這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的,缺點是需要找很多僵屍主機,並且由於僵屍主機的IP是暴露的,因此容易被追蹤。
3、刷Script腳本攻擊:
這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序,並調用MSSQLServer、MySQLServer、Oracle等資料庫的網站系統而設計的,特徵是和伺服器建立正常的TCP連接,並不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用,典型的以小博大的攻擊方法。一般來說,提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的,而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄,這種處理過程對資源的耗費是很大的,常見的資料庫伺服器很少能支持數百個查詢指令同時執行,而這對於客戶端來說卻是輕而易舉的,因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令,只需數分鍾就會把伺服器資源消耗掉而導致拒絕服務,常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護,輕松找一些Proxy代理就可實施攻擊,缺點是對付只有靜態頁面的網站效果會大打折扣,並且有些Proxy會暴露攻擊者的IP地址。
四、怎麼抵禦DDOS?
對付DDOS是一個系統工程,想僅僅依靠某種系統或產品防住DDOS是不現實的,可以肯定的是,完全杜絕DDOS目前是不可能的,但通過適當的措施抵禦90%的DDOS攻擊是可以做到的,基於攻擊和防禦都有成本開銷的緣故,若通過適當的辦法增強了抵禦DDOS的能力,也就意味著加大了攻擊者的攻擊成本,那麼絕大多數攻擊者將無法繼續下去而放棄,也就相當於成功的抵禦了DDOS攻擊。以下為筆者多年以來抵禦DDOS的經驗和建議,和大家分享!
1、採用高性能的網路設備
首先要保證網路設備不能成為瓶頸,因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了,當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用,因為採用此技術會較大降低網路通信能力,其實原因很簡單,因為NAT需要對地址來回轉換,轉換過程中需要對網路包的校驗和進行計算,因此浪費了很多CPU的時間,但有些時候必須使用NAT,那就沒有好辦法了。
3、充足的網路帶寬保證
網路帶寬直接決定了能抗受攻擊的能力,假若僅僅有10M帶寬的話,無論採取什麼措施都很難對抗現在的SYNFlood攻擊,當前至少要選擇100M的共享帶寬,最好的當然是掛在1000M的主幹上了。但需要注意的是,主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的,若把它接在100M的交換機上,它的實際帶寬不會超過100M,再就是接在100M的帶寬上也不等於就有了百兆的帶寬,因為網路服務商很可能會在交換機上限制實際帶寬為10M,這點一定要搞清楚。
4、升級主機伺服器硬體
在有網路帶寬保證的前提下,請盡量提升硬體配置,要有效對抗每秒10萬個SYN攻擊包,伺服器的配置至少應該為:P4 2.4G/DDR512M/SCSI-HD,起關鍵作用的主要是CPU和內存,若有志強雙CPU的話就用它吧,內存一定要選擇DDR的高速內存,硬碟要盡量選擇SCSI的,別只貪IDE價格不貴量還足的便宜,否則會付出高昂的性能代價,再就是網卡一定要選用3COM或Intel等名牌的,若是Realtek的還是用在自己的PC上吧。
5、把網站做成靜態頁面
大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩,至少到現在為止關於HTML的溢出還沒出現,看看吧!新浪、搜狐、網易等門戶網站主要都是靜態頁面,若你非需要動態腳本調用,那就把它弄到另外一台單獨主機去,免的遭受攻擊時連累主伺服器,當然,適當放一些不做資料庫調用腳本還是可以的,此外,最好在需要調用資料庫的腳本中拒絕使用代理的訪問,因為經驗表明使用代理訪問你網站的80%屬於惡意行為。
6、增強操作系統的TCP/IP棧
Win2000和Win2003作為伺服器操作系統,本身就具備一定的抵抗DDOS攻擊的能力,只是默認狀態下沒有開啟而已,若開啟的話可抵擋約10000個SYN攻擊包,若沒有開啟則僅能抵禦數百個,具體怎麼開啟,自己去看微軟的文章吧!《強化 TCP/IP 堆棧安全》。也許有的人會問,那我用的是Linux和FreeBSD怎麼辦?很簡單,按照這篇文章去做吧!《SYN Cookies》
2. 僵屍網路的4個發展階段 如何防禦僵屍網路(一)
因為,如今每一個僵屍網路都似乎在用最高級的技術並且使用高質量的軟體流程,挑釁著當前入侵檢測系統(IPS)的防禦策略。 因此,我們在這篇文章中先重點介紹一下僵屍網路和隱蔽軟體的技術狀況及其產業發展情況。 一個僵屍網路是一個被惡意軟體控制的分布式計算機或者系統的集合。因此,這些計算機也經常被稱作僵屍電腦。僵屍電腦由一個僵屍牧人(bot-herder)通過一台或者多台指揮與控制伺服器控制或者指揮。最常見的情況是僵屍牧人使用指揮與控制伺服器控制僵屍電腦,通過IRC(互聯網中繼聊天)或者P2P等網路通訊實施控制。僵屍電腦軟體一般是通過惡意軟體、蠕蟲、木馬程序或者其它後門渠道安裝的。 各個機構報告的僵屍電腦規模與增長的統計數據有很大差別。據安全公司賽門鐵克的「Threat Horizon Report」(威脅視野報告)稱,每天能夠檢測到5.5萬個新的僵屍網路節點。而《今日美國》報紙2008年的一篇報告稱,平均每天連接到互聯網的8億台電腦中有40%的電腦是用來發送垃圾郵件、病毒和竊取敏感個人數據的僵屍電腦。《今日美國》還報道稱,2008年的僵屍網路威脅比2007年增加了10倍。許多消息來源預測稱,最著名的僵屍網路Storm、Kraken和Conficker已經感染了大量的計算機。這些數字包括Storm(風暴)感染了8.5萬台計算機,Kraken感染了49.5萬台計算機,Conficker感染了900萬台計算機。 地下經濟與僵屍網路的發展 同任何由金錢驅動的市場一樣,僵屍網路開發者就像經營一個合法的生意那樣工作:他們利用合作、貿易和開發流程以及質量等好處。最近,僵屍網路已經開始使用生命周期管理工具、同行審查、面向對象和模塊化等通用的軟體質量做法。僵屍網路開發者正在銷售其軟體和感染載體,提供說明書和技術支持,並且收集用戶的反饋意見和要求。 在僵屍網路團體中,一致的經濟目標是推動技術創新、合作和風險教育。在線易貨貿易和市場網站已經開始為這種地下經濟團體服務,向僵屍牧人提供更好的易貨貿易和交易方式、在線技術支持以及租借和租賃等服務。這種合作已經催生了一個非常成熟的經濟。這里可以銷售和購買僵屍網路節點或者僵屍網路群。僵屍牧人在對一個實體展開攻擊的時候會在這里尋求合作。僵屍網路可以被租借用於發送垃圾郵件。竊取的身份證和賬戶可以在這個地下市場的參與者之間交換和出售。 僵屍網路的生命周期 僵屍網路的生命周期一般包括四個階段:傳播、感染、指揮與控制和攻擊,見圖1。圖1 僵屍網路的生命周期(來源:英特爾公司,2009年) 傳播階段。在許多僵屍網路的傳播階段,僵屍電腦程序到處傳播和感染系統。僵屍電腦能夠通過各種手段傳播,如垃圾郵件、網路蠕蟲、以及在用戶不知情的情況下通過網路下載惡意軟體。由於傳播階段的目標主要是感染系統,僵屍牧人或者採取引誘用戶安裝惡意軟體負載,或者通過應用程序或瀏覽器利用用戶的系統中的安全漏洞傳播惡意軟體負載。 感染階段。一旦安裝到系統,這個惡意軟體負載就使用各種技術感染機器和隱藏自己。僵屍電腦感染能力的進步包括隱藏感染的技術和通過攻擊殺毒工具和安全服務延長感染壽命的技術等。殺毒工具和安全服務一般能夠發現和清除這種感染。僵屍網路使用當前病毒使用的許多標準的惡意軟體技術。多形性和「rootkitting」是兩種最常用的技術。 ·通過多形性,惡意軟體每一次進行新的感染時都會改變代碼,從而使殺毒軟體產品很難檢測到它。而且,僵屍網路的開發者目前還使用軟體開發人員用來防止軟體盜版和反向工程的增強代碼的技術。這些技術包括代碼迷惑、加密和進一步隱藏惡意代碼真實性質的編碼以及讓殺毒軟體廠商更難分析的編碼。許多跡象表明,惡意軟體和僵屍網路開發者正在開始研究高級的「rootkitting」技術,以便更深地隱藏惡意軟體。 ·通過利用「rootkitting」技術,也就是隱蔽地安裝惡意軟體的技術,每一次系統啟動的時候這個名為「rootkit」的惡意軟體都會啟動。rootkit是很難發現的,因為這種惡意軟體在電腦的操作系完全啟動之前就啟動了。rootkit技術的進步包括超劫持和基於虛擬化的rootkit以及發現和利用新目標以便注入固件和BIOS等代碼。 虛擬機監視器(VMM)或者在一個操作系統下面運行的管理程序是僵屍網路和惡意軟開發者控制計算機系統的一個非常有用的手段。超劫持包括安裝一個能夠完全控制這個系統的惡意管理程序。普通的安全措施很難對付這種管理程序,因為操作系統不知道這個機器已經被攻破了,殺毒軟體和本地防火牆也不能發現它們。 僵屍網路開發者目前使用的另一個技術是主動攻擊殺毒軟體、本地防火牆以及入侵防禦與檢測軟體(IPS/ IDS)和服務。僵屍網路攻擊殺毒軟體和防火牆軟體使用的技術包括殺死安全軟體流程或者阻止其更新能力等手段。下面是我們了解的僵屍網路封鎖安全軟體更新的兩個例子: ·一個僵屍網路改變了被感染的系統的本地DNS設置以阻止殺毒軟體訪問其更新網站。 ·僵屍網路主動檢查安全軟體連接其更新網站的企圖並且封鎖這個連接。 這些封鎖安全軟體更新的技術阻止安全軟體獲得其廠商提供的更新的惡意軟體特徵,或者阻止安全軟體向中心廠商伺服器報告異常情況和獲得更新,從而阻止安全軟體發布對抗僵屍網路的新版本程序。 僵屍網路開發者使用的另一種感染技術是把感染的時間定在安全軟體實施惡意軟體檢測服務掃描的間隔時間里。僵屍電腦程序緩慢地感染一個系統不會引起入侵檢測軟體服務發出報警。 其它高級的僵屍電腦程序能夠欺騙IDS/IPS系統和殺毒軟體執行的本地和遠程掃描。在這種情況下,這個僵屍網路的惡意軟體會向進行掃描的殺毒軟體展示虛假的內存鏡像或者虛假的硬體鏡像,或者這個軟體通過丟棄數據包中斷安全漏洞掃描,欺騙網路的響應或者重新定向來自安全漏洞掃描器的通訊。 指揮與控制。僵屍網路指揮與控制伺服器使用若干協議中的一個協議進行通訊,目前最常用的一個協議是IRC。然而,最近開始出現一種使用增強的或者保護的協議的趨勢。例如,Storm(風暴)僵屍網路使用加密的P2P協議(eDonkey/Overnet)。指揮與控制技術的進步對於僵屍牧人防止其僵屍網路被發現和關閉是非常重要的。要達到這個目的,僵屍網路已經開始利用在網路上常用的HTTP和P2P等協議,從而使僵屍網路更難發現。HTTP協議對於僵屍網路是特別有利的,因為目前來自系統的HTTP通訊量非常大並且具有多種類型的通訊。此外,僵屍網路軟體還能夠利用本地瀏覽器軟體的許多功能和通訊棧,利用HTTP協議穿過防火牆的能力。其它即將出現的技術還包括使用VoiP、Web服務和HTTP通訊棧中的腳本等技術。另一個高級的技術是使用直接發送的方式,就是利用用戶能夠匿名發布信息的互聯網論壇或者新聞組等網站傳播僵屍網路軟體。僵屍網路節點能夠在這種網站上發布信息。僵屍牧人能夠匿名地查看自己的節點發送的信息並且發布指令。然後,這個僵屍網路節點能夠查詢這個網站了解新的指令和進行其它基於消息的指揮與控制通訊。 現代僵屍網路發展的一個關鍵功能是在感染一個系統之後能夠重新編程或者更新這個僵屍網路節點。這個指揮與控制指令可以讓這個節點直接下載更新軟體或者去一個被感染的具體網址下載這個更新軟體。具有可重新編程能力的僵屍網路在這種地下經濟中有很高的價值,因為這些僵屍網路能夠隨著發展而擴大以執行新的和高級的攻擊和隱蔽的任務。 如上所述,隱蔽是僵屍網路技術的一個關鍵的功能。Kracken和Conficker僵屍網路都攻擊和關閉安裝在系統中的殺毒軟體。其它僵屍網路故意通過客戶化制定感染的時機和通訊的頻繁程度以避開門限檢測軟體,防止本地的和網路的安全產品發現其蹤跡。演算法技術是下一種方式。僵屍網路開發者計劃利用這種技術避開檢測。這種技術包括使用隱蔽的通訊頻道和基於速記式加密的信息,如模仿和嵌入內容(也就是嵌入在圖像、流媒體、VoiP等內容中的消息)。 攻擊階段。僵屍網路生命周期的最後階段是攻擊階段。在許多情況下,這種攻擊只是簡單地發送攜帶感染病毒的垃圾郵件。當攻擊成功的時候,這個僵屍網路本身的規模將擴大。僵屍網路還經常用於發送垃圾郵件,作為實物交易和租借交易的一部分。這樣,釣魚攻擊者、黑客、垃圾郵件製造者和病毒作者就能夠利用僵屍網路銷售信息和服務。僵屍網路還用來實施大規模拒絕服務攻擊,攻擊的目標包括政府和企業系統,甚至還攻擊其它僵屍網路。一些新的僵屍網路能夠升級到使用各種黑客工具和故障注入器等技術進一步攻擊它們已經滲透進去的網路。例如,Asprox僵屍網路包含一種SQL注入攻擊工具,另一種僵屍網路包括一個蠻力SSH攻擊引擎。除了實施遠程攻擊之外,僵屍網路還能夠實施持續的本地攻擊,竊取被感染的系統及其用戶的身份證和賬戶。
3. DDoS攻擊是什麼應該如何避免
分布式拒絕服務(DDoS)攻擊是一種惡意企圖,通過大量互聯網流量壓倒目標或其周圍的基礎架構來破壞目標伺服器,服務或網路的正常流量。DDoS攻擊通過利用多個受損計算機系統作為攻擊流量來源來實現有效性。被利用的機器可以包括計算機和其他網路資源,例如物聯網設備。從高層次來看,DDoS攻擊就像堵塞高速公路的交通堵塞,阻止了常規交通到達其所需的目的地。
DDoS攻擊需要攻擊者控制在線計算機網路才能進行攻擊。計算機和其他計算機(如物聯網設備)感染了惡意軟體,將每個計算機轉變為機器人(或僵屍)。然後,攻擊者可以遠程式控制制僵屍程序組,這稱為僵屍網路。
一旦僵屍網路建立,攻擊者就可以通過遠程式控制制方神鋒法向每個機器人發送更新的指令來指導機器。當受害者的IP地址被僵屍網路作為目標時,每個僵屍程序將通過向目標發送請求來響應,可能導致目標伺服器或網路溢出容量,從而導致對正常流量的拒絕服務。由於每個機器人都是合法的Internet設備,因此將攻擊流量與正常流量御吵分開可能很困難。
什麼是常見類型的DDoS攻擊?
不同的DDoS攻擊向量針對網路連游拆晌接的不同組件。為了理解不同的DDoS攻擊是如何工作的,有必要知道如何建立網路連接。網際網路上的網路連接由許多不同的組件或「層」組成。就像從頭開始建造房屋一樣,模型中的每一步都有不同的目的。
最有效的防止手段就是建立防火牆主動式殺毒軟體建立虛擬沙盤旁路檢測。
4. 如何清除僵屍網路威脅
僵屍病毒 僵屍網路病毒,通過連接IRC伺服器進行通信從而控制被攻陷的計算機。僵屍網路(英文名稱叫BotNet),是互聯網上受到黑客集中控制的一群計算機,往往被黑客用來發起大規模的網路攻擊,如分布式拒絕服務攻擊(DDoS)、海量垃圾郵件等,同時黑客控制的這些計算機所保存的信息也都可廳襲高被黑客隨意「取用」。因此,不論是對網路安全運行還是用戶數據安全的保護來說,僵屍網路都是極具威脅的隱患。僵屍網路的威脅也因此成為目前一個國際上十分關注的問題。然而,發現一個僵屍網路是非常困難的,因為黑客通常遠程、隱蔽地控制分散在網路上的「僵屍主機」,這些主機的用戶往往並不知情。因此,僵屍網路是目前互聯網上黑客最青睞的作案工具。 此病毒有如下特徵: 1、連接IRC伺服器; 1)連接IRC伺服器的域名、IP、連接埠情況如下: 域名IP 埠 所在國家 0x80 194 64 194 64.202.167.129 TCP/6556,TCP/1023 美國 0x80.my-secure.name 194.109.11.65 TCP/6556,TCP/1023 荷蘭 0xff.memzero.info 無法解析 TCP/6556,TCP/1023 2)連接頻道:#26#,密碼:g3t0u7。 2、掃描隨機產生的IP地址,並試圖感染這些主機; 3、運行後將自身復制到System\netddesrv.exe; 4、在系統中添加名為NetDDE Server的服務,並受系統進程services.exe保護。 按照以下方法進行清除: 該蠕蟲在安全模式下也可以正常運行。但可以通過清除注冊表的方式在正常模式下清除蠕蟲。手工清除該蠕蟲的相關操作如下: 1、斷開網路; 2、恢復注冊表; 打開注冊表編輯器,在左邊的面板中打開並刪除以下鍵值: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minmal\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\禪緩CurrentControlSet\Control\SafeBoot\Network\NetDDEsrv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetDDEsrv 3、需要重新啟動計算機; 4、必須刪除蠕蟲釋放的文件; 刪除在system下的netddesrv.exe文件。(system是系統目錄,在win2000下為c:\winnt\system32,在winxp下為 c:\windows\system32) 5、運行殺毒軟體,對電扮尺腦系統進行全面的病毒查殺; 6、安裝微軟MS04-011、MS04-012、MS04-007漏洞補丁
5. 電腦僵屍網路病毒如何查殺及防範
僵屍網路病毒,通過連接IRC伺服器進行通信從而控制被攻陷的計算機。遇到感染類的僵屍病毒可以這樣,先下載360系統急救箱保存到D盤,重啟按F8進入帶網路連接的安全模式,使用360系統急救箱進行查殺 這樣就查殺的比較徹底了,然後啟動360殺毒 360安全衛士的木馬雲查殺功能查殺清除殘留就可以了.
6. 挖礦僵屍網路怎麼整改
挖礦僵屍網路通過防護體系整改。挖礦木馬病毒特徵變化快,很難通過一個安全產品實現有效的防護,需要基於縱深式防護體系構建多重防護機制,結合病毒特性,進行有針對性的多重檢測保護。方案建議伍談世從挖礦木馬病毒的監測、分析、處置、溯源的閉環處置方案進行規劃和設腔肢計,通過在安全管理中心部署全局態勢感知平台提供威脅情報侍神與包括挖礦木馬病毒在內的威脅行為監測能力。
7. 電腦中了僵屍網路怎麼辦
僵屍網路防禦方法
如果一台計算機受到了一個僵屍網路的DoS攻擊,幾乎沒有什麼選擇。一般來說,僵屍網路在地理上是分布式的,我們難於確定其攻擊計算機的模式。
被動的操作系統指紋識別可以確認源自僵屍網路的攻擊,網路管理員可以配置防火牆設備,使用被動的操作系統指紋識別所獲得的信息,對僵屍網路採取行動。最佳的防禦措施是利用安裝有專用硬體的入侵防禦系統。
一些僵屍網路使用免費的DNS託管服務將一個子域指向一個窩藏「肉雞」的IRC伺服器。雖然這些免費的DNS服務自身並不發動攻擊,但卻提供了參考點。清除這些服務可以破壞整個僵屍網路。近來,有些公司想方設法清除這些域的子域。僵屍社團將這種路由稱之為「空路由」,因為DNS託管服務通常將攻擊性的子域重新定向到一個不可訪問的IP地址上。
前述的僵屍伺服器結構有著固有的漏洞和問題。例如,如果發現了一個擁有僵屍網路通道的伺服器,也會暴露其它的所有伺服器和其它僵屍。如果一個僵屍網路伺服器缺乏冗餘性,斷開伺服器將導致整個僵屍網路崩潰。然而,IRC伺服器軟體包括了一些掩飾其它伺服器和僵屍的特性,所以發現一個通道未必會導致僵屍網路的消亡。
基於主機的技術使用啟發式手段來確認繞過傳統的反病毒機制的僵屍行為。而基於網路的方法逐漸使用上述技術來關閉僵屍網路賴以生存的伺服器,如「空路由」的DNS項目,或者完全關閉IRC伺服器。
但是,新一代的僵屍網路幾乎完全都是P2P的,將命令和控制嵌入到僵屍網路中,通過動態更新和變化,僵屍網路可以避免單個點的失效問題。間諜軟體可以將所有可疑的口令用一種公鑰「硬編碼」到僵屍軟體中。只能通過僵屍控制者所掌握的私鑰,才能讀取僵屍網路所捕獲的數據。
必須指出,新一代僵屍網路能夠檢測可以分析其工作方式的企圖,並對其作出響應。如大型的僵屍網路在檢測到自己正在被分析研究時,甚至可以將研究者從網路中斷開。所以單位需要專業的僵屍網路解決
僵屍網路解決方案
好消息是在威脅不斷增長時,防禦力量也在快速反應。如果你是一家大型企業的負責人,你可以使用一些商業產品或開源產品,來對付這些威脅。
首先是FireEye的產品,它可以給出任何攻擊的清晰視圖,而無需求助於任何喊嫌舉簽名。FireEye的虛擬機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵屍網路節點,阻止其與客戶端網路的通信。這使得客戶的IT人員在FireEye發現僵屍網路攻擊時就可以採取行動,然後輕松地重新構建被感染的系統。在網路訪問不太至關重要時,可以立即禁止受感染的機器。Damballa創建了其自己的技術來跟蹤並防禦僵屍網路。這家公司的Failsafe解決方案能夠確認企業網路內的受損害的主機,而無需使用簽名技術或基於行為的技術。此外,SecureWorks和eEye Digital Security也擁有自己對付僵屍網路的專用技術。
著名的大型公鄭碧司,如谷歌等,不太可能被僵屍網路擊垮。其原因很簡單,它們主要依賴於分布式伺服器。DDoS攻擊者將不得不征服這種全球性的分布式網路,而這幾乎是不太可能的,因為這種網路可以處理的數據量可達每秒鍾650Gb。小型公司可通過謹慎選擇其互聯網供應商來防禦DDoS攻擊,如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是一個好主意。
不過,由於DDoS攻擊活動太容易被發現而且強度大,防禦者很容易將其隔離並清除僵屍網路。犯罪組織典型情況下會保留其資源用於那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務者陵中。
8. 僵屍網路攻擊無法中斷
需要提前攔截僵屍網路攻擊。
這是由火絨「僵屍網路防護」功能發起的病毒攻擊攔截,使用火絨進行全盤查殺病毒後,攔截提示不再出現。
僵屍網路(源自「機器人網路」)是一大群受惡意軟體感染的互聯網連接設備和由單個操作員控制的計算機。攻擊者使用這些受感染的設備發起大規模攻擊手唯,以破壞服務、竊取憑據並未經授權訪問關鍵系統。僵屍網路命令和控制模型允許攻擊者接管這些設備的操世絕作以遠程式控制制它們。僵屍網路的優勢在於包含的受感染機器的數量。攻擊者可以遠程式控制制僵屍網路並從它們那裡接搜薯姿收軟體更新,使用這些更新快速改變他們的行為。