凌卓网络
扫描关注IDC服务微信公众账号

扫一扫微信二维码

技术干货:IDC机房服务器魔咒招式分解,跟服务器攻击说拜拜

凌卓网络2017-10-06IDC技术

技术干货:IDC机房服务器魔咒招式分解,跟服务器攻击说拜拜!魔咒是一种古老的手段,它能对一个物体施魔法使其以一种不同寻常的方式运转, 进行魔咒的人总是对所咒的人隐蔽自己,并且内容是非理性,纯恶意,以破坏为主的活动。

 

  魔咒招式第一式:DNS劫持,目的就是改变业务原有的域名指向,将用户引导到劫持者指定IP,从而实现劫持者的种种目的。会直接改变业务希望呈现在用户面前的信息,其方式十分凶猛且不容易被用户感知,降低用户体验,使业务和用户的利益都受到损失。

 

 

 

  一个影响比较大的DNS劫持事件就是对家用路由DNS的劫持,这个对国内普通网民来说可能不会关注也不会去修改自己家里路由器的默认密码或者去升级固件,主要是靠360等来减少影响。

  DNS被劫持后的表现有很多,例如:

  1、打开一个正常的网站电脑右下角会莫名的弹窗一些小广告;

  2、打开一个下载链接下载的并不是所需要的东西;

  3、甚至会劫持购物网站的链接,导致打开虚假网站,进而损害大家的隐私以及财产安全等等。

  当然,更多DNS劫持的目的是铺天盖地的乱七八糟广告,明明想访问视频网站看视频,却弹出了许多情色游戏的广告,这就是明显的DNS劫持,虽然没有明显的财产损失,但是已经让用户置身危机当中。

 

2015326195437474.jpg

  下面推荐几个DNS服务器ip:

  国内公共DNS服务器:114DNS服务器

  服务器一:(114.114.114.114,114.114.115.115)

  服务器二:(114.114.114.119,114.114.115.119)

  服务器二:(114.114.114.110,114.114.115.110)

  国外公共DNS服务器:

  Google Public DNS (8.8.8.8, 8.8.4.4)

  Norton DNS (198.153.192.1, 198.153.194.1)

  OpenDNS (208.67.222.222, 208.67.220.220)

  OpenDNS Family (208.67.222.123, 208.67.220.123)

  Comodo Secure DNS (156.154.70.22, 156.156.71.22)

  DNS Advantage (156.154.70.1, 156.154.71.1)

 

  魔咒招式第二式:ARP攻击

 

  地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。ARP攻击具有巨大的危害,将会使得局域网计算机大面积掉线,也导致各种信息系统无法正常运转,从而间接影响了公司的正常工作。为此,必须严防ARP攻击行为。

  什么是ARP攻击?ARP攻击的原理其实就是攻击主机会向局域网计算机广播一个错误的ARP信息,如果网络中存在相同IP地址的主机的时候,就会报告出IP地址冲突的警告。 比如某主机B规定IP地址为192.168.0.2,如果它处于开机状态,那么其他机器A更 改IP地址为192.168.0.2就会造成IP地址冲突。

  其原理就是:主机A在连接网络(或更改IP地址)的时候就会向网络发送ARP包广播自己的IP地址,也就是freearp。如果网络中存在相同IP地址的主机B,那么B就会通过ARP来reply该地址,当A接收到这个reply后,A就会跳出IP地址冲突的警告,当然B也会有警告。 因此用ARP欺骗可以来伪造这个ARPreply,从而使目标一直遭受IP地址冲突警告的困扰。

  一个局域网内通过网关上网,那么连接外部的计算机上的ARP缓存中就存在网关IP-MAC对应记录。如果,该记录被更改,那么该计算机向外发送的数据包总是发送到了错误的网关上,这样,该计算机就不能够上网了。

 

  恢复网络方法: 

  1、使用Sniffer抓包,在网络内任意一台主机上运行抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送请求包,那么这台电脑一般就是病毒源。

  2、利用安全工具软件Antiarp,服务器安全狗

  3、对病毒源的服务器进行断网处理,观察流量并确定抓包判断是否正确。

  误区:不能上网的机器未必是感染了ARP病毒的机器,而应该是被ARP欺骗的机器。 因此在该机器上杀毒是没有意义的。

 

  魔咒终极大招:DDOS攻击

 

  此招属于终极大招,此招精彩不断,且听下回分解。

文章关键词
IDC机房服务器