第48章 攻击的真猛啊！

不是说没有漏洞，只是没有发现漏洞而已。

第四：改善这个网站的程序和数据库结构，修补一些不应该有的漏洞。这个程序的构架还算是可以的，因为构架好的程序可以通过打补丁和检查漏洞。就如同我们现在用的最多的WINDOWS一样的，那漏洞是一人月出好几个啊。不过WINDOWS的构架绝对是世界上最好的，这点是不可否认的！

张小昊费了半天劲终于做好了这一切，以为可以保证一会的安全。不过完全出乎他的想象，对方的攻击技巧太强了，攻击的太猛烈了。

对方首先扫描网站的漏洞和弱口令，还有端口准备进行连接攻击。什么攻击方式最直接，最简单，而且最有效！我靠，还用说吗？那当然就是DDOS啊！

一波接着一波的DDOS袭击过来，系统的资源占用率明显在提高。对方的攻击流量和攻击的范围是非常巨大的，这也太孙子了啊。不过还好系统还不至于崩溃，因为张小昊用米克记忆编写的防火墙。

传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的，位于在内部专用网的入口处，所以也俗称"边界防火墙"。随着防火墙技术的发展，防火墙技术也得到了发展，出现了一些新的防火墙技术，如电路级网关技术、应用网关技术和动态包过滤技术，在实际运用中，这些技术差别非常大，有的工作在OSI参考模式的网络层；有的工作在传输层，还有的工作在应用层。

在这些已出现的防火墙技术中，静态包过滤是最差的安全解决方案，其应用存在着一些不可克服的限制，最明显的表现就是不能检测出基于用户身份的地址欺骗型数据包，并且很容易受到诸如DDoS（拒绝服务）、IP地址欺诈等黑客攻击。

现在已基本上没有防火墙厂商单独使用这种技术。应用层网关和电路级网关是比较好的安全解决方案，它们在应用层检查数据包。但是，我们不可能对每一个应用都运行这样一个代理服务器，而且部分应用网关技术还要求客户端安装有特殊的软件。

这两种解决方案在性能上也有很大的不足之处。动态包过滤是基于连接状态对数据包进行检查，由于动态包过滤解决了静态包过滤的安全限制，并且比代理技术在性能上有了很大的改善，因而目前大多数防火墙厂商都采用这种技术。但是随着主动攻击的增多，状态包过滤技术也面临着巨大的挑战，更需要其它新技术的辅助。

但是米克记忆所编写的这个防火墙绝对超载以上的所有技术。米克所用的技术是当前最先进的分布式“云”计算技术。可以抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等在内的近百种来自网络内部以及来自Internet的黑客攻击手段。

虽然说是技术很强，但是也不能保证这么大量的DDOS不消耗计算机的系统资源。张小昊那个着急啊，这可怎么办呢？这边的应用服务器这么耗着也不是办法啊！

这边已经遭受着大量DDOS的攻击，那边的数据库的服务器也不好受。这边已经对这个网站的WEB数据为SQLSEVER进行注入！注射式攻击对程序设计语言或者硬件关系密切，但是这些可以通过适当的踩点或者索性将所有常见的注射式攻击都搬出来逐个试一下就知道了。为了确定所采用的技术，攻击者可以考察Web页面的页脚，查看错误页面，检查页面源代码，或者使用诸如Nessus等工具来进行刺探。

如果这么说大家不明白的话，那我们来个简单的例子。比如：你登录一个网站的时候，如果是这个网站的注册用户，你肯定要登录用户名和密码。

你所登录的用户名和密码，都会存入在网站的WEB数据的。而所说的SQL注入就是利用您输入的这些信息，进行数据的攻击。获取的方法有很多最，最常用的还是利用机器的缓存取得得高级权限用户。这样对网站是及其不安全的。张小昊着急了啊，这可怎么办呢？

系统资源占用上升到33%！

系统资源占用上升到34%！

系统资源占用上升到35%！

在这样下次马上就要崩溃了，得想想什么办法啊！那边的数据库安全也被注入。

“啪！”张小昊把手拍在桌子上，真的不好办啊！

我晕啊，米克大神啊，在让我用一条记忆吧，我真晕啊。

人什么时候会被激发出他的潜力，是走投无路的时候，没有退路的时候。

男人永远不能说认输！

男人永远不能说不行！

男人永远不能不坚挺！

男人永远不能不坚持！

我张小昊是个男人，我不能输，我绝对不能输，我什么时候都不能输。

张小昊的潜力完全被挖掘了出来，他想到了对付DDOS攻击和注入的方法。这两种普通的攻击方式完全考虑到对保密性，完整性，可用性，可控性，可审查性五个方面的的检测。

这两台服务器本来一台是放应用程序和数据库的，本来这样挺好的，可是未必啊。张小昊马上应用程序放到两个服务器上，让数据访问的流量分流。这个方法的原理就是：你来来想通过大量的流量进行攻击！本来你攻击的是一台服务器，现在攻击却是两台服务器。所以需要的流量肯定会增加，难度也会增大的。由于有米克的防火墙的保护，两台服务器基本上可以保证安全的。两台服务器基本不会对DDOS的攻击而崩溃。

张小昊对付数据库注入的方法是：增加对文件中对所有接收的参数进行循环判断。

只要出现非法字符、类似注入攻击字符，统统拦截；根据IP地址判断信息的来源，控制其IP段的访问。

（注解一：缓存cookies您所登录的每个网站，都会从网站下载您登录的信息，所以这十分的不安全。大家不要以为有的防火墙有和杀毒软件就安全了，这是非常错误的观点。任何杀毒软件和防火墙都是不安全的，所以大家不要乱登录网站。）