路由器僵屍網路預警

A. 電腦中了僵屍網路怎麼辦

第一劍：採用Web過濾服務

Web過濾服務是迎戰僵屍網路的最有力武器。這些服務掃描Web站點發出的不正常的行為，或者掃描已知的惡意活動，並且阻止這些站點與用戶接觸。

第二劍：轉換瀏覽器

防止僵屍網路感染的另一種策略是瀏覽器的標准化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox。當然這兩者確實是最流行的，不過正因為如此，惡意軟體作者們通常也樂意為它們編寫代碼。

第三劍：禁用腳本

另一個更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時候這會不利於工作效率，特別是如果雇員們在其工作中使用了定製的、基於Web的應用程序時，更是這樣。

第四劍：部署入侵檢測和入侵防禦系統

另一種方法是調整你的IDS(入侵檢測系統)和IPS(入侵防禦系統)，使之查找有僵屍特徵的活動。例如，重復性的與外部的IP地址連接或非法的DNS地址連接都是相當可疑的。另一個可以揭示僵屍的徵兆是在一個機器中SSL通信的突然上升，特別是在某些埠上更是這樣。這就可能表明一個僵屍控制的通道已經被激活了。您需要找到那些將電子郵件路由到其它伺服器而不是路由到您自己的電子郵件伺服器的機器，它們也是可疑的。

第五劍：保護用戶生成的內容

還應該保護你的WEB操作人員，使其避免成為「稀里糊塗」的惡意軟體犯罪的幫凶。如果你並沒有朝著WEB 2.0社會網路邁進，你公司的公共博客和論壇就應該限制為只能使用文本方式。如果你的站點需要讓會員或用戶交換文件，就應該進行設置，使其只允許有限的和相對安全的文件類型，如那些以.jpeg或mp3為擴展名的文件。(不過，惡意軟體的作者們已經開始針對MP3等播放器類型，編寫了若干蠕蟲。而且隨著其技術水平的發現，有可能原來安全的文件類型也會成為惡意軟體的幫凶。)

第六劍：使用補救工具

如果你發現了一台被感染的計算機，那麼一個臨時應急的重要措施就是如何進行補救。像Symantec等公司都宣稱，他們可以檢測並清除即使隱藏最深的rootkit感染。Symantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術的使用，特別是VxMS讓反病毒掃描器繞過Windows 的文件系統的API。(API是被操作系統所控制的，因此易於受到rootkit的操縱)。其它的反病毒廠商也都試圖保護系統免受rootkit的危害，如McAfee 和FSecure等。

B. 高手幫忙，網路掉線，PING通不掉包，有的網能打開有的不能打開

你好

實在不行就找個技術好點的，幫我解決吧。

你說的這種情況，一般都是由 運營商線路、貓、路由器、等引起的。

1 查看下網線水晶頭、電話線水晶頭,有沒有老化、生銹，如果不行了就重做過，要不會然有影響的。

2 貓長期開著，很熱發燙,建議 盡量將貓放置在通風處，不要和路由器重疊。以免溫度過高。實在不行 建議換個性能好的貓(我打電話去電信，免費換過的).(cqjiangyong 總結，好多出現dsl燈閃的都是貓的問題)
3 好幾台電腦共用網路，由於路由器太差，別人用p2p 看電影等，會拖死路由器的，重啟下路由器會好點， 長期解決辦法是，建議換好點的企業級路由器。

4 運營商機房離你們家很遠，超出了adsl 距離、線路故障等，那就要他們來測信號強度，和線路情況（ 有時候兩條線，斷了一條也可以上網的，但就是網速慢，容易掉線，普通人發現不了的）

請從上面幾點，查找問題，希望能幫到你！！！

不明白hi 我！！

最佳吧。。

C. 僵屍網路的應對

Web過濾服務是迎戰僵屍網路的最有力武器。這些服務掃描Web站點發出的不正常的行為，或者掃描已知的惡意活動，並且阻止這些站點與用戶接觸。
Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以實時地監視互聯網，並查找從事惡意的或可疑的活動的站點，如下載JavaScript或執行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務：通知Web站點操作人員及ISP等惡意軟體已經被發現，因此黑客攻擊的伺服器能被修復，他們如是說。 另一種方法是調整你的IDS(入侵檢測系統)和IPS(入侵防禦系統)，使之查找有僵屍特徵的活動。例如，重復性的與外部的IP地址連接或非法的DNS地址連接都是相當可疑的。雖然難於發現，不過，另一個可以揭示僵屍的徵兆是在一個機器中SSL通信的突然上升，特別是在某些埠上更是這樣。這就可能表明一個僵屍控制的通道已經被激活了。您需要找到那些將電子郵件路由到其它伺服器而不是路由到您自己的電子郵件伺服器的機器，它們也是可疑的。僵屍網路的專家Gadi Evron進一步建議，您應該學會監視在高層對Web進行訪問的傢伙。它們會激活位於一個Web頁面上的所有的鏈接，而一個高層次的訪問可能會指明一台機器正被一個惡意的Web站點所控制。
一個IPS或IDS系統可以監視不正常的行為，這些行為指明了難於發現的、基於HTTP的攻擊和來自遠程過程的攻擊、Telnet和地址解析協議(即ARP)欺騙等等。然而，值得注意的是，許多IPS檢測器使用基於特徵的檢測技術，也就是說，這些攻擊被發現時的特徵被添加到一個資料庫中，如果資料庫中沒有有關的特徵就無法檢測出來。因此，IPS或IDS就必須經常性的更新其資料庫以識別有關的攻擊，對於犯罪活動的檢測需要持續不斷的努力。 還應該保護你的WEB操作人員，使其避免成為「稀里糊塗」的惡意軟體犯罪的幫凶。如果你並沒有朝著WEB 2.0社會網路邁進，你公司的公共博客和論壇就應該限制為只能使用文本方式，這也是Web Crossing的副總裁Michael Krieg的觀點，他是社會化網路軟體和主機服務的創造者。
Krieg 說，「我並不清楚我們成千上萬的用戶有哪一個在消息文本中允許了JavaScript，我也不清楚誰在其中嵌入了代碼和其它的HTML標簽。我們不允許人們這樣做。我們的應用程序在默認情況下要將這些東西剝離出去。」
Dan Hubbard是Websense安全研究的副總裁，他補充說，「那是用戶創建內容站點的一個嚴重問題，即Web 2.0現象。你怎麼才能在允許人們上傳內容的強大功能與不允許他們上傳不良的東西之間尋求平衡呢?」
這個問題的答案是很明確的。如果你的站點需要讓會員或用戶交換文件，就應該進行設置，使其只允許有限的和相對安全的文件類型，如那些以。jpeg或mp3為擴展名的文件。(不過，惡意軟體的作者們已經開始針對MP3等播放器類型，編寫了若干蠕蟲。而且隨著其技術水平的發現，有可能原來安全的文件類型也會成為惡意軟體的幫凶。) 如果你發現了一台被感染的計算機，那麼一個臨時應急的重要措施就是如何進行補救。像Symantec等公司都宣稱，他們可以檢測並清除即使隱藏最深的rootkit感染。Symantec在這里指明了Veritas和VxMS(Veritas Mapping Service)技術的使用，特別是VxMS讓反病毒掃描器繞過Windows 的文件系統的API(API是被操作系統所控制的，因此易於受到rootkit的操縱)。其它的反病毒廠商也都試圖保護系統免受rootkit的危害，如McAfee 和FSecure等。
不過，Evron認為，事後進行的檢測所謂的惡意軟體真是一個錯誤!因為它會使IT專家確信他們已經清除了僵屍，而其實呢，真正的僵屍代碼還駐留在計算機上。他說，「反病毒並非是一個解決方案，因為它是一個自然的反應性的東西。反病毒能夠識別有關的問題，因而反病毒本身也會被操縱、利用。」 這並不是說你不應該設法實施反病毒軟體中最好的對付rootkit的工具，不過你要注意這樣做就好似是在你丟失了貴重物品後再買個保險箱而已。用一句成語講，這就叫做「亡羊補牢」。Evron相信，保持一台計算機絕對安全乾凈、免受僵屍感染的方法是對原有的系統徹底清楚，並從頭開始安裝系統。
不要讓你的用戶訪問已知的惡意站點，並監視網路中的可疑行為，保護你的公共站點免受攻擊，你的網路就基本上處於良好狀態。這是安全專家們一致的觀點。
可以注意到，如果一個網路工作人員對於網路安全百思不得其解，並會油然而生這樣一種感覺，『我應該怎麼對付這些數以百萬的僵屍呢?』。「其實，答案非常簡單。正如，FaceTime 的惡意軟體研究主管Chris Boyd所言，」只需斷開你的網路，使其免受感染─病毒、木馬、間諜軟體或廣告軟體等……。將它當作一台PC上的一個流氓文件來進行清除(不過，誰又能保證真正清除干凈呢?)。這就是你需要做的全部事情。 手機流量總不夠用、自動安裝陌生軟體、彈通知欄廣告，你可能遇到了中國最大的安卓手機僵屍網路的攻擊。這
是一款叫做Android.Troj.mdk的後門程序（簡稱MDK），感染率高達千分之七，總計感染了不少於105萬部智能手機。用戶手機中招後，流量消耗劇增、廣告頻繁彈出、機器變卡變慢，隱私被竊取甚至存在被監聽被跟蹤的隱患。 惡意廣告作者將正常的游戲應用，流行應用進行重新打包，然後再發布到市場，由於帶有正常游戲或正常應用功能因此用戶很難發現問題 ，並有可能會將游戲推薦給你身邊的朋友。同時，惡意廣告作者會進行後台刷榜，一提升用戶熱度，從而用戶將流失流量。

D. 怎樣檢測路由器中中了病毒

路由器是否中病毒主要看路由是否能連上網路。

防止蠕蟲的入侵措施：
1.使用強健而安全的口令
要知道，路由器蠕蟲依賴於強力字典攻擊(不斷地努力猜測口令)，所以我們應當使用不易被猜測的口令。不要使用什麼「admin」、「router」、「12345」等作為路由器的口令，而要使用一種混合性的組合，如rDF4m9Es0yQ3ha等。其中至少要包括大小寫字母，並利用數字和字母。雖然這種口令不易記憶，但我們可以將其存放於可以某個文件(如文本文件)中，再用TrueCrypt、Cryptainer LE等軟體為各種保存密碼的文件加密。
2.保障遠程連接的加密
例如，盡量不要使用HTTP方式傳送，因為它使用的是明文傳送，而可考慮使用HTTPS來傳送基於Web的訪問。可以打開路由器配置程序的遠程訪問設置，選擇「https」選項。如果需要命令行才能訪問路由器，可使用SSH。因為SSH是一個加密的協議。使用加密的連接並不是防止路由器蠕蟲的必須措施，但它可以加強路由器的總體安全性。如下圖2所示：

3.改變默認埠
蠕蟲僵屍可通過這些遠程連接的默認埠侵入，如通過HTTP Web 訪問的80或8080埠、加密Web訪問的443埠、SSH的22號埠等。因此，一台在非默認埠上接收連接的路由器更為安全。很多路由器在緊挨著遠程連接設置功能的位置有一個埠(Port)欄位，在此輸入想要使用的埠號碼。例如，鍵入路由器所在位置的面向互聯網的IP地址，加上一個冒號，然後是埠號。如果是通過SSH進行連接，你需要在SSH客戶端程序的連接設置中指定埠號。

4.使用入站過濾器
其實我們可以對有些路由器進行配置，使其過濾哪些IP地址或范圍准許使用進入的連接，如此便可以阻止不在列表中的任何IP地址的蠕蟲。為此，首先，可以看一下是否可以在路由器的遠程管理設置中定義IP地址或IP地址范圍。然後，檢查路由器是否可以設置入站的連接設置。

5.保障路由器的固件最新
路由器固件所所使用的軟體也使路由器易於受到蠕蟲攻擊，因此保持路由器總是載入最新的固件版本可有助於防止這種漏洞。路由器的製造商們和固件替換項目會定期發布這些固件的更新，用以修補已知的安全漏洞。
要更新路由器的固件，應從廠商的網站下載新的鏡像。然後登錄進入路由器的配置程序，打開「Admin」/「Misc」或「System」部分，選擇最新的固件，並載入它即可。

6.清除蠕蟲：還路由器的清潔之軀
前面所討論的預防性措施可防止路由器受到蠕蟲的攻擊和危害。記住，如果不需要遠程訪問就不要啟用它。如果有必要採用此功能，我建議你把用戶名和口令復雜一些，多用一些大小寫、數字等混合的口令，並要通過SSH或HTTPS傳輸，還要考慮使用非默認埠，並盡量採用任何的入站過濾器。
如果路由器已經受到感染，肯定會發生一些不可思議的事情。例如，據報告，Psyb0t會阻止22號埠、23號埠、80號埠的通信。
要清除蠕蟲，最徹底的解決方法是將路由器恢復到出廠默認值，這樣做可以保證清除蠕蟲。按下路由器背面的復位按鈕，並且過上幾秒鍾(不同的廠商要求不一樣，如筆者的路由器要求按下30秒鍾以上才可以)，就可以恢復到出廠狀態。

E. 如何防禦僵屍網路對網站伺服器80埠的不斷攻擊

1、採用高性能的網路設備 首先要保證網路設備不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。 2、盡量避免NAT的使用 無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用，因為採用此技術會較大降低網路通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網路包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。 3、充足的網路帶寬保證 網路帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論採取什麼措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主幹上了。但需要注意的是，主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，因為網路服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。 4、升級主機伺服器硬體 在有網路帶寬保證的前提下，請盡量提升硬體配置，要有效對抗每秒10萬個SYN攻擊包，伺服器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有志強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬碟要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。 5、把網站做成靜態頁面 大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關於HTML的溢出還沒出現，看看吧！新浪、搜狐、網易等門戶網站主要都是靜態頁面，若你非需要動態腳本調用，那就把它弄到另外一台單獨主機去，免的遭受攻擊時連累主伺服器，當然，適當放一些不做資料庫調用腳本還是可以的，此外，最好在需要調用資料庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬於惡意行為。 6、增強操作系統的TCP/IP棧 Win2000和Win2003作為伺服器操作系統，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵禦數百個。

F. 電腦中了僵屍網路怎麼辦

僵屍網路防禦方法

如果一台計算機受到了一個僵屍網路的DoS攻擊，幾乎沒有什麼選擇。一般來說，僵屍網路在地理上是分布式的，我們難於確定其攻擊計算機的模式。

被動的操作系統指紋識別可以確認源自僵屍網路的攻擊，網路管理員可以配置防火牆設備，使用被動的操作系統指紋識別所獲得的信息，對僵屍網路採取行動。最佳的防禦措施是利用安裝有專用硬體的入侵防禦系統。

一些僵屍網路使用免費的DNS託管服務將一個子域指向一個窩藏「肉雞」的IRC伺服器。雖然這些免費的DNS服務自身並不發動攻擊，但卻提供了參考點。清除這些服務可以破壞整個僵屍網路。近來，有些公司想方設法清除這些域的子域。僵屍社團將這種路由稱之為「空路由」，因為DNS託管服務通常將攻擊性的子域重新定向到一個不可訪問的IP地址上。

前述的僵屍伺服器結構有著固有的漏洞和問題。例如，如果發現了一個擁有僵屍網路通道的伺服器，也會暴露其它的所有伺服器和其它僵屍。如果一個僵屍網路伺服器缺乏冗餘性，斷開伺服器將導致整個僵屍網路崩潰。然而，IRC伺服器軟體包括了一些掩飾其它伺服器和僵屍的特性，所以發現一個通道未必會導致僵屍網路的消亡。

基於主機的技術使用啟發式手段來確認繞過傳統的反病毒機制的僵屍行為。而基於網路的方法逐漸使用上述技術來關閉僵屍網路賴以生存的伺服器，如「空路由」的DNS項目，或者完全關閉IRC伺服器。

但是，新一代的僵屍網路幾乎完全都是P2P的，將命令和控制嵌入到僵屍網路中，通過動態更新和變化，僵屍網路可以避免單個點的失效問題。間諜軟體可以將所有可疑的口令用一種公鑰「硬編碼」到僵屍軟體中。只能通過僵屍控制者所掌握的私鑰，才能讀取僵屍網路所捕獲的數據。

必須指出，新一代僵屍網路能夠檢測可以分析其工作方式的企圖，並對其作出響應。如大型的僵屍網路在檢測到自己正在被分析研究時，甚至可以將研究者從網路中斷開。所以單位需要專業的僵屍網路解決

僵屍網路解決方案

好消息是在威脅不斷增長時，防禦力量也在快速反應。如果你是一家大型企業的負責人，你可以使用一些商業產品或開源產品，來對付這些威脅。

首先是FireEye的產品，它可以給出任何攻擊的清晰視圖，而無需求助於任何簽名。FireEye的虛擬機是私有的,這就減輕了攻擊者學會如何破壞這種虛擬機的危險。FireEye可以識別僵屍網路節點，阻止其與客戶端網路的通信。這使得客戶的IT人員在FireEye發現僵屍網路攻擊時就可以採取行動，然後輕松地重新構建被感染的系統。在網路訪問不太至關重要時，可以立即禁止受感染的機器。Damballa創建了其自己的技術來跟蹤並防禦僵屍網路。這家公司的Failsafe解決方案能夠確認企業網路內的受損害的主機，而無需使用簽名技術或基於行為的技術。此外，SecureWorks和eEye Digital Security也擁有自己對付僵屍網路的專用技術。

著名的大型公司，如谷歌等，不太可能被僵屍網路擊垮。其原因很簡單，它們主要依賴於分布式伺服器。DDoS攻擊者將不得不征服這種全球性的分布式網路，而這幾乎是不太可能的，因為這種網路可以處理的數據量可達每秒鍾650Gb。小型公司可通過謹慎選擇其互聯網供應商來防禦DDoS攻擊，如果供應商能夠在高速鏈路接入水平上確認和過濾攻擊就是一個好主意。

不過，由於DDoS攻擊活動太容易被發現而且強度大，防禦者很容易將其隔離並清除僵屍網路。犯罪組織典型情況下會保留其資源用於那種既可為其帶來更多金錢又能將暴露程度減少到最小的任務中。

G. 路由器能做到網路安全防護么

有防火牆過濾功能的路由器，都有網路防護作用啦。通過安全設置，就具有基本的網路安全防護功能了。

H. 如何防禦僵屍網路對網站伺服器80埠的不斷攻擊

解讀DDOS及防禦DDOS攻擊指南
一、為何要DDOS？
隨著Internet互聯網路帶寬的增加和多種DDOS黑客工具的不斷發布，DDOS拒絕服務攻擊的實施越來越容易，DDOS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網路敲詐等多種因素，導致很多IDC託管機房、商業站點、游戲伺服器、聊天網路等網路服務商長期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題，因此，解決DDOS攻擊問題成為網路服務商必須考慮的頭等大事。
二、什麼是DDOS？
DDOS是英文Distributed Denial of Service的縮寫，意即「分布式拒絕服務」，那麼什麼又是拒絕服務（Denial of Service）呢？可以這么理解，凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網路資源的訪問，從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側重於通過很多「僵屍主機」（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網路包，從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務，分布式拒絕服務攻擊一旦被實施，攻擊網路包就會猶如洪水般湧向受害主機，從而把合法用戶的網路包淹沒，導致合法用戶無法正常訪問伺服器的網路資源，因此，拒絕服務攻擊又被稱之為「洪水式攻擊」，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側重於通過對主機特定漏洞的利用攻擊導致網路棧失效、系統崩潰、主機死機而無法提供正常的網路服務功能，從而造成拒絕服務，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防範，至於DOS攻擊，通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範，後文會詳細介紹怎麼對付DDOS攻擊。
三、被DDOS了嗎？
DDOS的表現形式主要有兩種，一種為流量攻擊，主要是針對網路帶寬的攻擊，即大量攻擊包導致網路帶寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務。
如何判斷網站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發現Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽，否則可採取Telnet主機伺服器的網路服務埠來測試，效果是一樣的。不過有一點可以肯定，假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的，突然都Ping不通了或者是嚴重丟包，那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠程終端連接網站伺服器會失敗。
相對於流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的伺服器則正常，造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDOS攻擊：
1、SYN/ACK Flood攻擊：
這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統的網路服務，主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK包，導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務，由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵屍主機支持。少量的這種攻擊會導致主機伺服器無法訪問，但卻可以Ping的通，在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不響應鍵盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。
2、TCP全連接攻擊：
這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力，但對於正常的TCP連接是放過的，殊不知很多網路服務程序（如：IIS、Apache等Web伺服器）能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接，直到伺服器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多僵屍主機，並且由於僵屍主機的IP是暴露的，因此容易被追蹤。
3、刷Script腳本攻擊：
這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用MSSQLServer、MySQLServer、Oracle等資料庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連接，並不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的資料庫伺服器很少能支持數百個查詢指令同時執行，而這對於客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令，只需數分鍾就會把伺服器資源消耗掉而導致拒絕服務，常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP地址。
四、怎麼抵禦DDOS？
對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵禦90%的DDOS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了DDOS攻擊。以下為筆者多年以來抵禦DDOS的經驗和建議，和大家分享！
1、採用高性能的網路設備
首先要保證網路設備不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用，因為採用此技術會較大降低網路通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網路包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。
3、充足的網路帶寬保證
網路帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論採取什麼措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主幹上了。但需要注意的是，主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，因為網路服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。
4、升級主機伺服器硬體
在有網路帶寬保證的前提下，請盡量提升硬體配置，要有效對抗每秒10萬個SYN攻擊包，伺服器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有志強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬碟要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5、把網站做成靜態頁面
大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關於HTML的溢出還沒出現，看看吧！新浪、搜狐、網易等門戶網站主要都是靜態頁面，若你非需要動態腳本調用，那就把它弄到另外一台單獨主機去，免的遭受攻擊時連累主伺服器，當然，適當放一些不做資料庫調用腳本還是可以的，此外，最好在需要調用資料庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬於惡意行為。
6、增強操作系統的TCP/IP棧
Win2000和Win2003作為伺服器操作系統，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵禦數百個，具體怎麼開啟，自己去看微軟的文章吧！《強化 TCP/IP 堆棧安全》。也許有的人會問，那我用的是Linux和FreeBSD怎麼辦？很簡單，按照這篇文章去做吧！《SYN Cookies》

I. 無線路由器這存在的安全隱患

無線路由器這存在的安全隱患

近期，針對家庭無線路由器的網路攻擊，頻頻占據安全新聞的頭條。下面是我整理的無線路由器這存在的安全隱患，希望對你有所幫助!

Broadband Genie最近委託安全機構對無線路由器進行安全調查，發現超過一半英國用戶的路由器採用默認的路由器賬戶設置，存在被黑客攻擊的風險。

同時，還有54%的用戶擔心自己被黑客攻擊。在對近2000名家庭用戶的調查中發現，有53%的用戶在家中的路由器上保持了默認的設置。

隨著移動設備的普及，家庭物聯網設備的快速發展，無線路由器不僅僅是家庭的網路中心，還是家庭的智能控制中心。一旦遭到網路攻擊，不僅用戶的個人信息和財產會都是，更會讓自己的生活被黑客打擾。除了廠商的固件存在未修補的漏洞外，許多用戶在配置無線路由器時，沒有考慮到安全問題，沒有基本的網路安全防範意識。

調查顯示，只有19%的用戶訪問了路由器上的'“系統管理”功能，22%的用戶檢查了都有哪些設備連接到了自己的網路，17%的用戶更改了管理員密碼，14%的用戶更新過路由器的固件。調查結果簡直聳人聽聞，家庭無線路由器非常脆弱，如果用戶還不能自己手動進行設置，路由器的弱點就會一直存在。無論是運營商還是設備製造商，都使得用戶忽略了路由器安全的重要性。

想一想上面所說的，是不是同樣也發生在了自己身上呢?在此我們建議用戶立即更新廠商發布的最新固件，並且修改路由器後台的默認管理密碼。

家中的WiFi密碼和管理員密碼，最好設置成“數字+字母+符號”的形式，這種形式最難被人破解。別再使用相同的或者有邏輯性的數字了，最容易被攻擊。同時，還要在路由器後台關閉遠程管理埠，避免路由器被控製成為僵屍網路的一員。 ;

J. 路由器為什麼會被劫持

路由器被劫持怎麼辦
路由器遭受劫持的最明顯特徵是訪問網頁時會自動跳轉到其它頁面，或者出現無法打開網頁的情形。出現此類情況的重要原因是電腦受到木馬病毒的侵襲所致。對此我們需要採取以下方法來進行修復操作。
方法/步驟
1 重新設置路由器DNS：
登陸路由器管理界面。管理界面入口地址可以從路由器背面的銘牌上獲取登陸地址和用戶名、密碼。
2 然後打開瀏覽器，輸入路由器管理地址「Http：//192.168.0.1」進行登陸操作，並輸入用戶名「admin」和密碼「admin」進行登陸操作。
3 接著點擊「網路參數」->「WLAN」->「高級」，然後重新設置一下DNS。
4 接下來需要重設一下密碼：依次展開「系統工具」->「修改密碼」，然後在彈出的窗口中進入密碼重設操作。
5 當然，如果覺得以上設置方法過於麻煩或無法實現恢復功能時，我們可以通過恢復路由器出廠設置來實現。按住路由器後面板上的「復位」按鈕不放，直到路由器重啟，即可恢復出廠設置。然後就可以重新設置一下路由器。
6 另外，我們需要給電腦安裝相關防護類軟體，從而保護上網安裝，防止路由器DNS被修改。