根域名服务器的故障事件

在2002年的10月21日美国东部时间下午4：45开始，这13台服务器又遭受到了有史以来最为严重的也是规模最为庞大的一次网络袭击。此次受到的攻击是DDoS攻击，超过常规数量30至40倍的数据猛烈地向这些服务器袭来并导致其中的9台不能正常运行。7台丧失了对网络通信的处理能力，另外两台也紧随其后陷于瘫痪。

2002年10月21日的这次攻击对于普通用户来说可能根本感觉不到受到了什么影响。如果仅从此次事件的“后果”来分析，也许有人认为“不会所有的根域名服务器都受到攻击，因此可以放心”，或者“根域名服务器产生故障也与自己没有关系”，还为时尚早。但他们并不清楚其根本原因是：

并不是所有的根域名服务器全部受到了影响；攻击在短时间内便告结束；攻击比较单纯，因此易于采取相应措施。由于对于DDoS攻击还没有什么特别有效的解决方案，设想一下如果攻击的时间再延长，攻击再稍微复杂一点，或者再多有一台服务器瘫痪，全球互联网将会有相当一部分网页浏览以及e-mail服务会彻底中断。

而且，我们更应该清楚地认识到虽然此次事故发生的原因不在于根域名服务器本身，而在于因特网上存在很多脆弱的机器，这些脆弱的机器植入DDoS客户端程序（如特洛伊木马），然后同时向作为攻击的根域名服务器发送信息包，从而干扰服务器的服务甚至直接导致其彻底崩溃。但是这些巨型服务器的漏洞是肯定存在的，即使2002年没有被发现，2002以后也肯定会被发现。而一旦被恶意攻击者发现并被成功利用的话，将会使整个互联网处于瘫痪之中。 2014年1月21日下午15时左右开始，全球大量互联网域名的DNS解析出现问题，一些知名网站及所有不存在的域名，均被错误的解析指向65.49.2.178（Fremont， California， United States，Hurricane Electric）。中国DNS域名解析系统出现了大范围的访问故障，包括DNSPod在内的多家域名解析服务提供商予以确认，此次事故波及全国，有近三分之二的网站不同程度的出现了不同地区、不同网络环境下的访问故障，其中百度、新浪等知名网站也受到了影响。

一，首先服务器一定要把administrator禁用，设置一个陷阱账号:"Administrator"把它权限降至最低,然后给一套非常复杂的密码，重新建立

一个新账号，设置上新密码，权限为administraor

然后删除最不安全的组件：

建立一个BAT文件,写入

regsvr32/u C:\WINDOWS\System32\wshom.ocx

del C:\WINDOWS\System32\wshom.ocx

regsvr32\u C:\WINDOWS\system32\shell32.dll

del C:\WINDOWS\system32\shell32.dll

二，IIS的安全：

1、不使用默认的Web站点，如果使用也要将 将IIS目录与系统磁盘分开。

2、删除IIS默认创建的Inetpub目录(在安装系统的盘上)。

3、删除系统盘下的虚拟目录，如:_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

4、删除不必要的IIS扩展名映射。

右键单击“默认Web站点→属性→主目录→配置”，打开应用程序窗口，去掉不必要的应用程序映射。主要为.shtml, .shtm, .stm

5、更改IIS日志的路径

右键单击“默认Web站点→属性-网站-在启用日志记录下点击属性

6、如果使用的是2000可以使用iislockdown来保护IIS，在2003运行的IE6.0的版本不需要。

八、其它

1、 系统升级、打操作系统补丁，尤其是IIS 6.0补丁、SQL SP3a补丁，甚至IE 6.0补丁也要打。同时及时跟踪最新漏洞补丁

2、停掉Guest 帐号、并给guest 加一个异常复杂的密码，把Administrator改名或伪装!

3、隐藏重要文件/目录

可以修改注册表实现完全隐藏:“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi

-dden\SHOWALL”，鼠标右击 “CheckedValue”，选择修改，把数值由1改为0

4、启动系统自带的Internet连接防火墙，在设置服务选项中勾选Web服务器。

5、防止SYN洪水攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为SynAttackProtect，值为2

EnablePMTUDiscovery 值为0

NoNameReleaseOnDemand 值为1

EnableDeadGWDetect 值为0

KeepAliveTime 值为300,000

PerformRouterDiscovery 值为0

EnableICMPRedirects 值为0

6. 禁止响应ICMP路由通告报文

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface

新建DWORD值，名为PerformRouterDiscovery 值为0

7. 防止ICMP重定向报文的攻击

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

将EnableICMPRedirects 值设为0

8. 不支持IGMP协议

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

新建DWORD值，名为IGMPLevel 值为0

9、禁用DCOM:

运行中输入 Dcomcnfg.exe。 回车， 单击“控制台根节点”下的“组件服务”。 打开“计算机”子文件夹。

对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。选择“默认属性”选项卡。

清除“在这台计算机上启用分布式 COM”复选框。

10.禁用服务里的

Workstation 这服务开启的话可以利用这个服务，可以获取服务器所有帐号.

11阻止IUSR用户提升权限

三，这一步是比较关键的（禁用CMD运行）

运行-gpedit.msc-管理模板-系统

-阻止访问命令提示符

-设置

-已启用(E)

-也停用命令提示符脚本处理吗?

(是)

四，防止SQL注入

打开SQL Server，在master库用查询分析器执行以下语句:

exec sp_dropextendedproc 'xp_cmdshell

使用了以上几个方法后，能有效保障你的服务器不会随便被人黑或清玩家数据，当然我技术有限，有的高手还有更多方法入侵你的服务器，这

需要大家加倍努力去学习防黑技术，也希望高手们对我的评论给予指点，修正出更好的解决方案，对玩家的数据做出更有力的保障~~~

1、切断网络

对服务器所有的攻击都来源于网络，因此，当服务器遭受攻击的时候，首先就要切断网络，一方面能够迅速切断攻击源，另一方面也能保护服务器所在网络的其他主机。

2、查找攻击源

要根据自身经验和综合判断能力，通过分析系统日志或登录日志文件，找出可疑信息，分析可疑程序。

3、分析入侵原因和途径

一定要查清楚遭受攻击的具体原因和途径，有可能是系统漏洞或程序漏洞等多种原因造成的，只有找到问题根源，才能够及时修复系统。

4、备份好用户数据

当服务器遭受攻击的时候，就要立刻备份好用户数据，同时也要注意这些数据是否存在攻击源。如果其中有攻击源的话，就要彻底删除它，再将用户数据备份到一个安全的地方。

5、重装系统

这是最简单也是最安全的办法，已经遭受到攻击的系统中的攻击源是不可能彻底清除的，只有重装系统才能够彻底清除攻击源。

6、修复程序或系统漏洞

如果已经发现了系统漏洞或程序漏洞之后，就要及时修复系统漏洞或修改程序bug。

7、恢复数据和连接网络

将已经备份好的数据重新复制到重装好的系统中，随后将服务器开启网络连接，恢复对外服务。

---