安全加固____ping命令

//1.更新系统补丁

//2.开启防火墙禁ping

//3.很古老的用法了

//4.从开发人员来讲 https消耗网上测试的大概是http的5倍多 对于ddos攻击https

//以下转自:https://tieba.baidu.com/p/2277220946?red_tag=0816350512

DOS是denial of service，也就是拒绝服务攻击。本人在第一次听说DOS攻击还以为是通过cmd命令打开命令提示符界面的攻击行为称作DOS攻击呢。不知道是不是大家当时都有这个误区。

DOS攻击顾名思义，拒绝服务攻击。是被攻击者的机器无法提供服就达到了攻击的目的。常见的DOS攻击都是向被攻击者发送大量的垃圾数据包，使被攻击者一直在处理这些垃圾数据包而浪费资源，同时也消耗大量的网络带宽，最后导致被攻击者宕机，或者网络迟缓。下面说下集中最常见的dos攻击方法。

死亡之ping （ping of death）这种方法就是dos攻击中最常见也是最简单最容易实现的一种。其工作原理就是有攻击者一直向被攻击者发送大量的无用的ICMP包，使被攻击者的资源一直在处理这些无用的垃圾数据包，导致资源耗尽。

在早期一台机器的性能很差，如果攻击者的带宽比被攻击者大，性能比被攻击者强，那么这种攻击是非常有用的，网络发展至今这种攻击已经被淘汰！使用这种攻击方法是非常遭到大虾们鄙视的。我们学习死亡之ping是因为我们尊重它！毕竟他是早期的dos攻击方法之一。

比死亡之ping攻击方法更有效的攻击方法Smurf，加入死亡之ping算是明目张胆，那么Smurf则是借刀杀人。我们回忆，如果你向一台机器发出请求建立连接，其对方肯定也是要回应一条信息允许或者不允许。

而Smurf正是利用了这个特性，它将攻击地址作为广播，这时有人会问“如果向广播发送数据包而所有机器在回应一条数据包那么攻击者岂不是死掉了？”而攻击者也不傻，他将源地址作为被攻击者的IP。所有的回应都变成了要攻击者的IP将大量的回应数据包发送给被攻击者。造成对方的网络堵塞，处理大量的回应数据包而大量耗费资源最后的目的还是拒绝服务。

向常见的DOS攻击还有Synflood、Land-based、Teardrop等等，这里本人就不一一介绍了。

Ddos是Distribution Denial of service ，也就是分布式拒绝服务攻击。我们拿它和DOS攻击比较多了一个分布式。那么究竟什么是分布式呢？

刚刚我们理解了dos攻击的让对方无法提供正常的服务，Ddos也是使对方无法提供正常服务攻击的一种，只不过是多台机器一起使用dos攻击造成更大的攻击。通常都是一个人通知多台肉鸡对被攻击者发起攻击。如果把dos攻击当做是一种个人行为单枪匹马的战斗那么ddos攻击则是由组织有纪律的攻击。

死亡之ping，万变不离其宗，我们学习死亡之ping是因为尊重它，虽然现在能用到死亡之ping的不多但是我们还是要学习它。Ddos的死亡之ping和dos的死亡之ping有什么不同呢？

dos的死亡之ping是一个机器响攻击者发送大量的垃圾ICMP数据包，而Ddos则是使用多台电脑一起向攻击者发送大量的垃圾ICMP数据包，以达到消耗对方网络带宽，浪费对方资源导致对方无法无法提供正常的服务。

说完了上面最傻瓜式的攻击方法我们说个高深的，ddos+fyn flooding攻击！此攻击方法目前没有一种合理有效的方法能够杜绝。（针对TCP/IP协议）

TCP/IP建立连接需要3此握手原则，就拿我要访问51CTO为例；首先我要一个sny值为1的数据包给51cto，而51cto也要返回我一个syn值为1、ack值为1的数据包，我在向51cto发送ack包进行确认连接方能建立连接。如果中途发生丢包现象则由发送方继续发送同样的数据包。

而ddos+fyn flooding攻击正是利用了这种特性，控制大量肉鸡向被攻击者仅发送syn值为1的数据包，使被攻击者一直尝试向攻击者发送syn值为1，ack值为1的数据包。持续3-5分钟认为对方不会再连接，放弃发送。如果供给量大的话任何使用TCP/IP通信的电脑都无法防御这种攻击行为。这就是无论多么资深多么权威的安全专家谈之色变，束手无策的攻击方法。(如果有发表错误的地方敬请提出。谢谢)

仅此讨论请勿尝试