1.简述DOS和DDOS的区别简述dos和ddos的区别
2.在Linux系统中安装使用恶意软件扫描工具及杀毒引擎的教程

简述DOS和DDOS的区别简述dos和ddos的区别

       dns防护怎么做？

       1.授权DNS服务器限制名字服务器递归查询功能，递归dns服务器要限制递归访问的客户（启用白名单IP段）

       2.限制区传送zonetransfer，主从同步的DNS服务器范围启用白名单，不在列表内的DNS服务器不允许同步zone文件

       allow-transfer{ };

       allow-update{ };

       3.启用黑白名单

       å·²çŸ¥çš„攻击IP加入bind的黑名单，或防火墙上设置禁止访问；

       é€šè¿‡acl设置允许访问的IP网段；

       é€šè¿‡acl设置允许访问的IP网段；通过acl设置允许访问的IP网段；

       4.隐藏BIND的版本信息；

       5.使用非root权限运行BIND；

       4.隐藏BIND的版本信息；

       5.使用非root权限运行BIND；

       6.删除DNS上不必要的其他服务。创建一个DNS服务器系统就不应该安装Web、POP、gopher、NNTPNews等服务。

       å»ºè®®ä¸å®‰è£…以下软件包：

       1）X-Windows及相关的软件包；2）多媒体应用软件包；3）任何不需要的编译程序和脚本解释语言；4）任何不用的文本编辑器；5）不需要的客户程序；6）不需要的其他网络服务。确保域名解析服务的独立性，运行域名解析服务的服务器上不能同时开启其他端口的服务。权威域名解析服务和递归域名解析服务需要在不同的服务器上独立提供；

       7.使用dnstop监控DNS流量

       #yuminstalllibpcap-develncurses-devel

       ä¸‹è½½æºä»£ç /tools/dnstop/src/dnstop-.tar.gz

       #；

       9.增强DNS服务器的防范Dos/DDoS功能

       ä½¿ç”¨SYNcookie

       å¢žåŠ backlog,可以一定程度减缓大量SYN请求导致TCP连接阻塞的状况

       ç¼©çŸ­retries次数:Linux系统默认的tcp_synack_retries是5次

       é™åˆ¶SYN频率

       é˜²èŒƒSYNAttack攻击:#echo1>/proc/sys/net/ipv4/tcp_syncookies把这个命令加入/etc/rc.d/rc.local文件中；

       .：对域名服务协议是否正常进行监控，即利用对应的服务协议或采用相应的测试工具向服务端口发起模拟请求，分析服务器返回的结果，以判断当前服务是否正常以及内存数据是否变动。在条件允许的情况下，在不同网络内部部署多个探测点分布式监控；

       .提供域名服务的服务器数量应不低于2台，建议独立的名字服务器数量为5台。并且建议将服务器部署在不同的物理网络环境中;使用入侵检测系统，尽可能的检测出中间人攻击行为;在域名服务系统周围部署抗攻击设备，应对这类型的攻击;利用流量分析等工具检测出DDoS攻击行为，以便及时采取应急措施；

       .：限制递归服务的服务范围，仅允许特定网段的用户使用递归服务；

       .：对重要域名的解析结果进行重点监测，一旦发现解析数据有变化能够及时给出告警提示;部署dnssec；

       .建立完善的数据备份机制和日志管理系统。应保留最新的3个月的全部解析日志，并且建议对重要的域名信息系统采取7×的维护机制保障，应急响应到场时间不能迟于分钟。

       ddos与pdos攻击的区别？

       ç­”:ddos与pdos攻击的区别:Ddos是分布式拒绝服务，Pdos是永久拒绝服务

       å…¨ç§°DistributedDenialofService，中文意思为“分布式拒绝服务”，就是利用大量合法的分布式服务器对目标发送请求，从而导致正常合法用户无法获得服务。通俗点讲就是利用网络节点资源如：IDC服务器、个人PC、手机、智能设备、打印机、摄像头等对目标发起大量攻击请求，从而导致服务器拥塞而无法对外提供正常服务，只能宣布gameover。

       æ°¸ä¹…拒绝服务攻击(PDoS)，也被称为phlashing，是一种严重破坏系统的攻击，需要更换或重新安装硬件。与分布式拒绝服务攻击不同，PDO利用的攻击安全漏洞允许远程管理受害者硬件管理接口中的网络硬件，如路由器、打印机或其他远程管理网络。攻击者利用这些漏洞用修改、损坏或有缺陷的固件映像替换设备固件，合法完成后称为闪存。因此，这种“砖块”装置在维修或更换之前，不可能用于原来的用途。

       PDoS是一种纯粹的硬件目标攻击，与DDoS攻击中使用僵尸网络或根/虚拟服务器相比，速度更快，所需资源更少。由于这些特征以及在启用网络的嵌入式设备(NEED)上的安全漏洞的潜在和高概率，这种技术已经引起许多黑客团体的注意。

       PhlashDance是RichSmith(Hewlett-Packard系统安全实验室的员工)创建的工具，用于在年伦敦EUSecWest应用安全会议上检测和演示PDoS漏洞。

       æœ¬æ–‡æ¥æºï¼š

       d-dos攻击是什么？

       DDoS全称DistributedDenialofService,中文译为“分布式拒绝服务”,就是利用大量合法的分布式服务器向目标发送请求，从而导致正常合法用户无法获得服务。

       æ‰“个比方，如果黑客控制了成千上万的计算机，然后让它们同时去向一台Web服务器发起请求。而该服务器的响应能力是有限的，那么它很快就会因为资源耗尽而停止响应了。

       æœåŠ¡å™¨ç¹å¿™è¯·ç¨åŽå†è¯•æ€Žä¹ˆè§£å†³ï¼Ÿ

       1.检查网络连接是否稳定，建议更换无线网络尝试。

       2.更新软件版本尝试。

       3.设置-应用程序管理器/应用程序-更多-重置应用程序偏好。

       4.将数据备份（联系人，短信，图片等），恢复出厂设置重新安装尝试。

       5.更新下手机系统版本。

       ä»€ä¹ˆæ˜¯DDOS攻击？它的原理是什么？它的目的是什么？越详细越好！谢谢？

       ç½‘站最头痛的就是被攻击，常见的服务器攻击方式主要有这几种：端口渗透、端口渗透、密码破解、DDOS攻击。其中，DDOS是目前最强大，也是最难防御的攻击方式之一。

       é‚£ä»€ä¹ˆæ˜¯DDOS攻击呢？

       æ”»å‡»è€…向服务器伪造大量合法的请求，占用大量网络带宽，致使网站瘫痪，无法访问。其特点是，防御的成本远比攻击的成本高，一个黑客可以轻松发起G、G的攻击，而要防御G、G的成本却是十分高昂。

       DDOS攻击最初人们称之为DOS（DenialofService）攻击，它的攻击原理是：你有一台服务器，我有一台个人电脑，我就用我的个人电脑向你的服务器发送大量的垃圾信息，拥堵你的网络，并加大你处理数据的负担，降低服务器CPU和内存的工作效率。

       ä¸è¿‡ï¼Œéšç€ç§‘技的进步，类似DOS这样一对一的攻击很容易防御，于是DDOS—分布式拒绝服务攻击诞生了。其原理和DOS相同，不同之处在于DDOS攻击是多对一进行攻击，甚至达到数万台个人电脑在同一时间用DOS攻击的方式攻击一台服务器，最终导致被攻击的服务器瘫痪。

       DDOS常见三种攻击方式

       SYN/ACKFlood攻击：最为经典、有效的DDOS攻击方式，可通杀各种系统的网络服务。主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务，由于源都是伪造的故追踪起来比较困难，缺点是实施起来有一定难度，需要高带宽的僵尸主机支持。

       TCP全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的，一般情况下，常规防火墙大多具备过滤TearDrop、Land等DOS攻击的能力，但对于正常的TCP连接是放过的，殊不知很多网络服务程序（如：IIS、Apache等Web服务器）能接受的TCP连接数是有限的，一旦有大量的TCP连接，即便是正常的，也会导致网站访问非常缓慢甚至无法访问，TCP全连接攻击就是通过许多僵尸主机不断地与受害服务器建立大量的TCP连接，直到服务器的内存等资源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的IP是暴露的，因此此种DDOS攻击方式容易被追踪。

       åˆ·Script脚本攻击：这种攻击主要是针对存在ASP、JSP、PHP、CGI等脚本程序，并调用MSSQLServer、MySQLServer、Oracle等数据库的网站系统而设计的，特征是和服务器建立正常的TCP连接，并不断的向脚本程序提交查询、列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。

       å¦‚何防御DDOS攻击？

       æ€»ä½“来说，可以从硬件、单个主机、整个服务器系统三方面入手。

       ä¸€ã€ç¡¬ä»¶

       1.增加带宽

       å¸¦å®½ç›´æŽ¥å†³å®šäº†æ‰¿å—攻击的能力，增加带宽硬防护是理论最优解，只要带宽大于攻击流量就不怕了，但成本非常高。

       2、提升硬件配置

       åœ¨æœ‰ç½‘络带宽保证的前提下，尽量提升CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置，选用知名度高、口碑好的产品。

       3、硬件防火墙

       å°†æœåŠ¡å™¨æ”¾åˆ°å…·æœ‰DDoS硬件防火墙的机房。专业级防火墙通常具有对异常流量的清洗过滤功能，可对抗SYN/ACK攻击、TCP全连接攻击、刷脚本攻击等等流量型DDoS攻击

       äºŒã€å•ä¸ªä¸»æœº

       1、及时修复系统漏洞，升级安全补丁。

       2、关闭不必要的服务和端口，减少不必要的系统加载项及自启动项，尽可能减少服务器中执行较少的进程，更改工作模式

       3、iptables

       4、严格控制账户权限，禁止root登录，密码登录，修改常用服务的默认端口

       ä¸‰ã€æ•´ä¸ªæœåŠ¡å™¨ç³»ç»Ÿ

       1.负载均衡

       ä½¿ç”¨è´Ÿè½½å‡è¡¡å°†è¯·æ±‚被均衡分配到各个服务器上，减少单个服务器的负担。

       2、CDN

       CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率，因此CDN加速也用到了负载均衡技术。相比高防硬件防火墙不可能扛下无限流量的限制，CDN则更加理智，多节点分担渗透流量，目前大部分的CDN节点都有G的流量防护功能，再加上硬防的防护，可以说能应付目绝大多数的DDoS攻击了。

       3.分布式集群防御

       åˆ†å¸ƒå¼é›†ç¾¤é˜²å¾¡çš„特点是在每个节点服务器配置多个IP地址，并且每个节点能承受不低于G的DDoS攻击，如一个节点受攻击无法提供服务，系统将会根据优先级设置自动切换另一个节点，并将攻击者的数据包全部返回发送点，使攻击源成为瘫痪状态。

在Linux系统中安装使用恶意软件扫描工具及杀毒引擎的教程

       恶意软件是指任何旨在干扰或破坏计算系统正常运行的软件程序。虽然最臭名昭著的几种恶意软件如病毒、间谍软件和广告软件，但它们企图引起的危害不一：有的是窃取私密信息，有的是删除个人数据，有的手机积分商城源码则介于两者之间;而恶意软件的另一个常见用途就是控制系统，然后利用该系统发动僵尸网络，形成所谓的拒绝服务(DoS)攻击或分布式拒绝服务(DDoS)攻击。

       换句话说，我们万万不可抱有这种想法“因为我并不存储任何敏感数据或重要数据，所以不需要保护自己的系统远离恶意软件”，因为那些数据并不是恶意软件的唯一目标。

       由于这个原因，glib源码包安装我们将在本文中介绍在RHEL 7.0/6.x(x是版本号)、CentOS 7.0/6.x和Fedora -中，如何安装并配置Linux恶意软件检测工具(又叫MalDet，或简称LMD)和ClamAV(反病毒引擎)。

       这是采用GPL v2许可证发布的一款恶意软件扫描工具，专门为主机托管环境而设计。然而，你很快就会认识到，无论自己面对哪种环境，都会得益于MalDet。

       将LMD安装到RHEL/CentOS 7.0/6.x和Fedora -上

       LMD无法从在线软件库获得，而是vb源文件源码以打包文件的形式从项目官方网站分发。打包文件含有最新版本的源代码，总是可以从下列链接处获得，可使用下列命令来下载：

       代码如下:

       # wget /downloads/maldetect-current.tar.gz

       然后，我们需要解压该打包文件，并进入提取/解压内容的目录。由于当前版本是1.4.2，目录为maldetect-1.4.2。我们会在该目录中找到安装脚本install.sh。

       代码如下:

       # tar -xvf maldetect-current.tar.gz

       # ls -l | grep maldetect

       下载Linux恶意软件检测工具如果我们检查安装脚本，该脚本长度只有行(包括注释)，就会发现，它不仅安装该工具，哈希的remove源码还执行预检测，看看默认安装目录(/usr/local/maldetect)有无存在。要是不存在，脚本就会先创建安装目录，然后执行下一步。

       最后，安装完成后，只要将cron.daily脚本(参阅上图)放入到/etc/cron.daily，就可以排定通过cron(计划任务)的每天执行。这个帮助脚本具有诸多功能，包括清空旧的临时数据，检查新的积分兑换源码大全LMD版本，扫描默认Apache和Web控制面板(比如CPanel和DirectAdmin等)默认数据目录。

       话虽如此，还是按平常那样运行安装脚本：

       代码如下:

       # ./install.sh

         在Linux中安装Linux恶意软件检测工具

       配置Linux恶意软件检测工具

       配置LDM的工作通过/usr/local/maldetect/conf.maldet来处理，所以选项都进行了充分的注释，以便配置起来相当容易。万一你哪里卡住了，还可以参阅/usr/local/src/maldetect-1.4.2/README，了解进一步的指示。

       在配置文件中，你会找到用方括号括起来的下列部分：

       EMAIL ALERTS(邮件提醒)

       QUARANTINE OPTIONS(隔离选项)

       SCAN OPTIONS(扫描选项)

       STATISTICAL ANALYSIS(统计分析)

       MONITORING OPTIONS(监控选项)

       这每个部分都含有几个变量，表明LMD会如何运行、有哪些功能特性可以使用。

       如果你想收到通知恶意软件检测结果的电子邮件，就设置email_alert=1。为了简洁起见，我们只将邮件转发到本地系统用户，但是你同样可以探究其他选项，比如将邮件提醒发送到外部用户。

       如果你之前已设置了email_alert=1，设置email_subj=”Your subject here”和email_addr=username@localhost。

       至于quar_hits，即针对恶意软件袭击的默认隔离操作(0 =仅仅提醒，1 = 转而隔离并提醒)，你告诉LMD在检测到恶意软件后执行什么操作。

       quar_clean将让你决定想不想清理基于字符串的恶意软件注入。牢记一点：就本身而言，字符串特征是“连续的字节序列，有可能与恶意软件家族的许多变种匹配。”

       quar_susp，即针对遭到袭击的用户采取的默认暂停操作，让你可以禁用其所属文件已被确认为遭到袭击的帐户。

       clamav_scan=1将告诉LMD试图检测有无存在ClamAV二进制代码，并用作默认扫描器引擎。这可以获得最多快出四倍的扫描性能和出色的十六进制分析。这个选项只使用ClamAV作为扫描器引擎，LMD特征仍是检测威胁的基矗

       重要提示：

       请注意：quar_clean和quar_susp需要quar_hits被启用(=1)。

       总之，在/usr/local/maldetect/conf.maldet中，有这些变量的行应该看起来如下：

       代码如下:

       email_alert=1

       email_addr=gacanepa@localhost

       email_subj="Malware alerts for $HOSTNAME - $(date +%Y-%m-%d)"

       quar_hits=1

       quar_clean=1

       quar_susp=1

       clam_av=1

       将ClamAV安装到RHEL/CentOS 7.0/6.x和Fedora -上

       想安装ClamAV以便充分利用clamav_scan设置，请遵循这些步骤：

       创建软件库文件/etc/yum.repos.d/dag.repo:

       代码如下:

       [dag]

       name=Dag RPM Repository for Red Hat Enterprise Linux

       baseurl=/packages/RPM-GPG-KEY.dag.txt

       enabled=1

       然后运行命令：

       代码如下:

       # yum update yum install clamd

       注意：这些只是安装ClamAV的基本指令，以便将它与LMD整合起来。我们在ClamAV设置方面不作详细介绍，因为正如前面所述，LMD特征仍是检测和清除威胁的基矗

       测试Linux恶意软件检测工具

       现在就可以检测我们刚刚安装的LMD / ClamAV了。不是使用实际的恶意软件，我们将使用EICAR测试文件(

       # wget .txt

       # wget .zip

       # wget 2.zip

       这时候，你可以等待下一个cron任务运行，也可以自行手动执行maldet。我们将采用第二种方法：

       代码如下:

       # maldet --scan-all /var/www/

       LMD还接受通配符，所以如果你只想扫描某种类型的文件(比如说zip文件)，就可以这么做：

       代码如下:

       # maldet --scan-all /var/www/*.zip

         扫描Linux中的恶意软件

       扫描完成后，你可以查阅LMD发送过来的电子邮件，也可以用下列命令查看报告：

       代码如下:

       # maldet --report -.

         Linux恶意软件扫描报告

       其中-.是SCANID(SCANID与你的实际结果会略有不同)。

       重要提示：请注意：由于eicar.com文件下载了两次(因而导致eicar.com和eicar.com.1)，LMD发现了5次袭击。

       如果你检查隔离文件夹(我只留下了一个文件，删除了其余文件)，我们会看到下列结果：

       代码如下:

       # ls –l

         Linux恶意软件检测工具隔离文件

       你然后可以用下列命令删除所有隔离的文件：

       代码如下:

       # rm -rf /usr/local/maldetect/quarantine/

*

       万一那样，

       代码如下:

       # maldet --clean SCANID

       最后的考虑因素

       由于maldet需要与cron整合起来，你就需要在root的crontab中设置下列变量(以root用户的身份键入crontab –e，并按回车键)，也许你会注意到LMD并没有每天正确运行：

       代码如下:

       PATH=/sbin:/bin:/usr/sbin:/usr/bin

       MAILTO=root

       HOME=/

       SHELL=/bin/bash

       这将有助于提供必要的调试信息。

       结束语

       我们在本文中讨论了如何安装并配置Linux恶意软件检测工具和ClamAV这个功能强大的搭档。借助这两种工具，检测恶意软件应该是相当轻松的任务。

       不过，你要帮自己一个忙，熟悉之前解释的README文件，那样你就能确信自己的系统得到了全面支持和妥善管理。