DDOS 解决方案,绝对的有效
DDOS首先要攻击,那么它会找你所开放的端口,那么请先关闭所有的端口,这样子它攻击的时候就是一个无底洞了。斩断扫描你的ROS 的黑手
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="Port scanners to list " disabled=no
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP FIN Stealth scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/FIN scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/RST scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="FIN/PSH/URG scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="ALL/ALL scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP NULL scan"
/ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
请先防止它们扫描,这样子你就安心了。。
记得要封闭IGMP哦。防止它PING,当他在攻击你的时候还以为你已经攻跨了。这样子它可能已经放弃了攻击你的念头,如果还不死心教大家一个绝对的防御方法。如果有条件的朋友可以在OS前面再加一个防火墙,这个防火墙怎么加呢?
那么就需要再增加一台电脑了。。这台电脑主要是WINDOWS系统,主要是做防御DDOS攻击。大家听过冰盾防火墙吧。
当使用这个软件之后,大家记得把这台电脑要做一个内网的一级代理哦。。做好之后内网的ROS连接这台电脑,然后再通过OS控制下面的客服端。至于怎么做这个我就不多说了。其实网上大把的资料。
也就是网吧做了2级代理。希望大家能做得更好。
以上脚本在OS2.9.27中测试通过,,其他版本没测试,大家也可以自己去测试一下。目前以上的脚本就是本服务器中的脚本。
冰盾抗DDOS防火墙 免费版 6.3
http://www.27758.com/article/soft/zmgl/200606/6678.shtml
简介:
全球第一款具备IDS入侵检测功能的专业级抗DDOS防火墙。采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为,防火墙采用MicroKernel微内核和ActiveDefense主动防御引擎技术实现,工作在系统的最底层,充分发挥CPU的效能,仅耗费少许内存即获得惊人的处理效能。可智能辨识多种DDoS攻击,并启用MicroKernel微内核处理技术,能够在系统的底层高效地完成对DDoS攻击的过滤和防护,任何虚假的Syn包文都可以被有效的识别并阻止,从而确保服务器可以正常提供服务
XP2 修改注册表,这个是客服端的,直接写一个批处理就可以解决了。这是内网的防御
有可能不是很全面但是大家也可以再网络上搜索比较全面一点的资料。呵呵。
一下只是告诉大家怎么去修改,在网络上已经存在高手写好的REG文件,所以大家可以直接搜索的。
预防DoS:
在注册表HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形(微软真是的,什么都要做?听说最近又要做防火墙了)在这个工具中,我们可以轻易的定义输入输出包过滤器,例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文
如果大家不喜欢找呢?》
我就帖出来和大家一起分享呵呵。
1、免费DDOS解决方案
通过优化Windows 2000或2003系统的注册表,可有效对抗每秒约1万个左右的SYN攻击,方法是把以下文本内容存盘为ddos.reg然后导入注册表并重新启动即可,当然也可从地址 http://www.bingdun.com/tools/antiddos.reg 直接下载antiddos.reg文件。
Windows Registry Editor Version 5.00
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
此方案的优点是,采用系统自身的能力来解决问题,而无需任何花费,缺点是只能抵御每秒少于10000的SYN攻击,并且无法解决TCP多连接攻击
喜欢的朋友请自己看着做,不喜欢的别唾口水了, 晕,从哪里抄来的?别误导别人,如果真的这么简单,世界上还有人怕DDOS吗?市场上那些昂贵的防DDOS设备还能卖吗? 这个防火墙没用的,ddos不需要扫描你的路由的端口,和你路由建立tcp连接就可以了。
除非你不想用路由做nat,能建立tcp连接,就能ddos你。 你再防tcp的连接协议.
他正常与你路由tcp连接.没什么好办法 屏蔽端口没啥用的,我试过。 我自己测试成功。自己使用过经历,而且我自己攻击自己也测试过了。。P43.0的CPU达到最高60,一般在38左右。内存基本上不变。效果非常好。。 IP PM 我,我测试你一下 DDoS究竟是什么?10个ip同时发起DoS,我们就说是DDoS了?100个? 很多人 把Dos 和DDos 搞混淆了,其实就是拒绝服务攻击 真的要来就不是一个人了,DDOS就是N台电脑一起上,所谓一起上;P
你就算是P8的CPU都没用:lol 刚刚开始将RouterOS付诸实施。正在测试中。不过发现Dude还是比较好用的。:D 无语中。.....
楼上有的兄弟说得对。如果是多台同时攻击你,即使是P8的。也受不了。别说P10了。呵呵。
但是总比不做要好得多。。
要测试首先测试单独的做服务器并单独的攻击,如果能有效的防止,那么说明你可以直接加到ROS前面。
如果不行那么就不必要做了。。做的缺陷是绝对有的。下次等我有更好的解决办法之后在发过来。。不过到时候我想我已经更换成MONO了。也许是PF。呵呵。。
我还是比较熟悉FREEBSD 。。。。 搞得这么复杂,就是一句,禁掉input不得行了 拔掉网线最彻底了 原帖由 bow 于 2006-11-20 19:40 发表
拔掉网线最彻底了
是啊,世界从此安静了!哈哈