|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
DDOS首先要攻击,那么它会找你所开放的端口,那么请先关闭所有的端口,这样子它攻击的时候就是一个无底洞了。
斩断扫描你的ros 的黑手
/ip firewall filter add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="Port scanners to list " disabled=no
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP FIN Stealth scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/FIN scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="SYN/RST scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="FIN/PSH/URG scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="ALL/ALL scan"
/ip firewall filter add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list="port scanners" address-list-timeout=14d comment="NMAP NULL scan"
/ip firewall filter add chain=input src-address-list="port scanners" action=drop comment="dropping port scanners" disabled=no
请先防止它们扫描,这样子你就安心了。。
记得要封闭IGMP哦。防止它PING,当他在攻击你的时候还以为你已经攻跨了。这样子它可能已经放弃了攻击你的念头,如果还不死心教大家一个绝对的防御方法。如果有条件的朋友可以在OS前面再加一个防火墙,这个防火墙怎么加呢?
那么就需要再增加一台电脑了。。这台电脑主要是WINDOWS系统,主要是做防御DDOS攻击。大家听过冰盾防火墙吧。
当使用这个软件之后,大家记得把这台电脑要做一个内网的一级代理哦。。做好之后内网的ROS连接这台电脑,然后再通过OS控制下面的客服端。至于怎么做这个我就不多说了。其实网上大把的资料。
也就是网吧做了2级代理。希望大家能做得更好。
以上脚本在OS2.9.27中测试通过,,其他版本没测试,大家也可以自己去测试一下。目前以上的脚本就是本服务器中的脚本。
冰盾抗DDOS防火墙 免费版 6.3
http://www.27758.com/article/soft/zmgl/200606/6678.shtml
简介:
全球第一款具备IDS入侵检测功能的专业级抗DDOS防火墙。采用国际领先的生物基因鉴别技术智能识别各种DDOS攻击和黑客入侵行为,防火墙采用MicroKernel微内核和ActiveDefense主动防御引擎技术实现,工作在系统的最底层,充分发挥CPU的效能,仅耗费少许内存即获得惊人的处理效能。可智能辨识多种DDoS攻击,并启用MicroKernel微内核处理技术,能够在系统的底层高效地完成对DDoS攻击的过滤和防护,任何虚假的Syn包文都可以被有效的识别并阻止,从而确保服务器可以正常提供服务
XP2 修改注册表,这个是客服端的,直接写一个批处理就可以解决了。这是内网的防御
有可能不是很全面但是大家也可以再网络上搜索比较全面一点的资料。呵呵。
一下只是告诉大家怎么去修改,在网络上已经存在高手写好的REG文件,所以大家可以直接搜索的。
预防DoS:
在注册表HKLM\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters中更改以下值可以帮助你防御一定强度的DoS攻击
SynAttackProtect REG_DWORD 2
EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
KeepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
ICMP攻击:ICMP的风暴攻击和碎片攻击也是NT主机比较头疼的攻击方法,其实应付的方法也很简单,win2000自带一个Routing & Remote Access工具,这个工具初具路由器的雏形(微软真是的,什么都要做?听说最近又要做防火墙了)在这个工具中,我们可以轻易的定义输入输出包过滤器,例如,设定输入ICMP代码255丢弃就表示丢弃所有的外来ICMP报文
如果大家不喜欢找呢?》
我就帖出来和大家一起分享呵呵。
1、免费DDOS解决方案
通过优化Windows 2000或2003系统的注册表,可有效对抗每秒约1万个左右的SYN攻击,方法是把以下文本内容存盘为ddos.reg然后导入注册表并重新启动即可,当然也可从地址 http://www.bingdun.com/tools/antiddos.reg 直接下载antiddos.reg文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"SynAttackProtect"=dword:00000002
"TcpMaxHalfOpen"=dword:000001f4
"TcpMaxHalfOpenRetried"=dword:00000190
此方案的优点是,采用系统自身的能力来解决问题,而无需任何花费,缺点是只能抵御每秒少于10000的SYN攻击,并且无法解决TCP多连接攻击
喜欢的朋友请自己看着做,不喜欢的别唾口水了, |
|