使网络更加安全可靠

来源：http://sneezry.com/2011/05/%E4%BD%BF%E7%BD%91%E7%BB%9C%E6%9B%B4%E5%8A%A0%E5%AE%89%E5%85%A8%E5%8F%AF%E9%9D%A0/

我们每天在网络中都会遇到很多潜在的攻击者，大部分攻击者通过特殊手段将木马程序植入用户计算机中，以获取用户数据或对其进行破坏，还有一些特殊的攻击者只是单纯地干扰我们的网络通信，导致我们的网络环境变得不稳定，今天我们就谈一谈防范这样的攻击者的有效途径。

干扰用户网络通信的攻击又称为远程拒绝服务攻击，这类攻击通常把禁止用户和某些特定目标进行通信作为最终目的。这些攻击者一般的目的是抢占网络资源，或者是其他一些特殊的目的。

远程拒绝服务攻击一般可以分为ARP攻击、链接重置攻击、DNS污染攻击和数据包丢弃攻击。ARP攻击大部分防火墙产品都已经可以防范，在此不做讨论，下面多谈谈其他三种攻击。

链接重置攻击。当用户要和某一服务端进行通信时，往往会使用TCP/IP协议进行三次握手，当双方根据特定的协议建立连接后双方开始通信。链接重置攻击即第三方冒充服务端与用户通信，并将链接重置数据包发给用户，做出远程服务端拒绝连接的假象，用户主动断开连接。

DNS污染攻击。顾名思义，即用户键入域名查询得到的ip地址为虚假ip。由于DNS服务协议是先到为主，这样只要攻击者返回的虚假ip信息比真实信息先到，用户就会接受虚假的信息而抛弃真实的信息。

数据包丢弃攻击。这个攻击与前两个攻击不同，这种攻击往往是用户线路路由规则设置导致的，而非是任意第三方可以发起的攻击。如果用户受到此类攻击，应该联系网络管理员或ISP服务商检查路由设置是否出现了问题。

下面谈谈如何防范以上三种攻击。

对于DNS攻击，我们可以使用DNS Proxy^[1]进行防范。LocalDNS的工作原理是当接收到第一个信息包会等待一段时间，如果又接收到了数据包则抛弃第一个数据包。很明显DNS Proxy将DNS服务协议调整为后到为主。

对于链接重置攻击和数据包丢弃攻击我们无法通过在本机上安装软件进行防范，但我们有一个变通的方法。一般大多数链接重置攻击和数据包丢弃攻击都是针 对ipv4协议的链接，对于ipv6链接的影响非常小，所以我们可以使用ipv6协议访问网络。虽然ipv6给我们提供了一个可行的方案，但可惜的是并非 所有的服务端都支持ipv6，所以我们需要一个ipv6和ipv4转换访问的接口。

Google提供了出色的应用服务^[2]，我们之所以会选择Google的服务就是因为Google的服务免费而且支持 ipv6和ipv4双协议，这样用户和Google之间可以使用相对稳定的ipv6协议，而Google和目标服务端直接可以使用普及广泛的ipv4协 议，Google将用户请求的ipv4数据包抓取后，通过ipv6协议再传送回给用户。

整个数据传送过程可以解释为以下步骤：

发起者	信息	接收者	注释
用户	查询DNS	DNS服务器	用户请求查询DNS
攻击者	虚假DNS结果	用户	攻击者进行DNS污染，抢先发送虚假DNS结果，DNS Proxy等待正确结果
DNS服务器	真实DNS结果	用户	DNS服务器返回真实DNS信息，DNS Proxy接受信息
用户	请求远程服务端数据	Google服务器	用户将ipv4请求通过ipv6协议发送给Google服务器
Google服务器	访问目标服务端获取数据	目标服务端	Google服务器通过ipv4协议访问远程服务端获取用户请求数据
目标服务端	发送用户请求数据	Google服务器	目标服务端将用户请求数据通过ipv4发送给Google
Google服务器	发送用户请求数据	用户	Google通过ipv6协议将请求数据返回给用户

 

至此整个信息传递过程结束，用户有效地躲避了以上谈到的三种攻击。另外，有些DNS服务器是不可信的，在此推荐几个可信的DNS服务器：

1、8.8.8.8（Powered by Google）

2、8.8.4.4（Powered by Google）

3、208.67.222.222（Powered by OpenDNS）

4、208.67.220.220（Powered by OpenDNS）

必要时可以配合hosts文件使用。

外部链接：

[1] http://x.co/X3LK

[2] http://x.co/X3Kx

本文不接受“不便展示”的评论，感谢您的配合。

—————————————————————————————————————————

需要翻墙利器? 请安装Wuala，查找和添加gfwblog为好友，就可高速下载翻墙软件，或访问http://tinyurl.com/gfwblog直接下载。

推特用户请点击这里免翻墙上推特

请点击这里下载翻墙软件

更多翻墙方法请发电邮(最好用Gmail)到：fanqiang70ma@gmail.com

请阅读和关注中国数字时代、翻墙技术博客GFW BLOG（免翻墙）

请使用Google Reader订阅中国数字时代中文版（http://chinadigitaltimes.net/chinese/feed），阅读最有价值的中文信息；以及GFW BLOG（功夫网与翻墙）http://feeds2.feedburner.com/chinagfwblog，获取最新翻墙工具和翻墙技巧信息。