源埠耗盡

㈠ 在ip協議中,存在源埠與目的埠嗎

存在，在進行IP地址交換時，用到三次握手法，那麼也就有源埠和目的埠了。源埠是發送IP的埠，目的埠是接受IP的埠

㈡ 為什麼發送HTTP請求，源埠要大於1023

0-1023是公認埠號，即已經公認定義或為將要公認定義的軟體保留的；比如FTP：20和21，HTTP：80，TELNET：23等

㈢ 網路通信時，什麼情況下源埠是1~1024的范圍內 搜索時顯示來自NAT的數據是，但沒有詳細解釋，求解

1~~~1024是眾所周知埠，都是固定的，例如埠23就是我們常用的TELNET遠程訪問埠；埠53就是DNS服務等等

㈣ 如何防禦僵屍網路對網站伺服器80埠的不斷攻擊

解讀DDOS及防禦DDOS攻擊指南
一、為何要DDOS？
隨著Internet互聯網路帶寬的增加和多種DDOS黑客工具的不斷發布，DDOS拒絕服務攻擊的實施越來越容易，DDOS攻擊事件正在成上升趨勢。出於商業競爭、打擊報復和網路敲詐等多種因素，導致很多IDC託管機房、商業站點、游戲伺服器、聊天網路等網路服務商長期以來一直被DDOS攻擊所困擾，隨之而來的是客戶投訴、同虛擬主機用戶受牽連、法律糾紛、商業損失等一系列問題，因此，解決DDOS攻擊問題成為網路服務商必須考慮的頭等大事。
二、什麼是DDOS？
DDOS是英文Distributed Denial of Service的縮寫，意即「分布式拒絕服務」，那麼什麼又是拒絕服務（Denial of Service）呢？可以這么理解，凡是能導致合法用戶不能夠訪問正常網路服務的行為都算是拒絕服務攻擊。也就是說拒絕服務攻擊的目的非常明確，就是要阻止合法用戶對正常網路資源的訪問，從而達成攻擊者不可告人的目的。雖然同樣是拒絕服務攻擊，但是DDOS和DOS還是有所不同，DDOS的攻擊策略側重於通過很多「僵屍主機」（被攻擊者入侵過或可間接利用的主機）向受害主機發送大量看似合法的網路包，從而造成網路阻塞或伺服器資源耗盡而導致拒絕服務，分布式拒絕服務攻擊一旦被實施，攻擊網路包就會猶如洪水般湧向受害主機，從而把合法用戶的網路包淹沒，導致合法用戶無法正常訪問伺服器的網路資源，因此，拒絕服務攻擊又被稱之為「洪水式攻擊」，常見的DDOS攻擊手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood等；而DOS則側重於通過對主機特定漏洞的利用攻擊導致網路棧失效、系統崩潰、主機死機而無法提供正常的網路服務功能，從而造成拒絕服務，常見的DOS攻擊手段有TearDrop、Land、Jolt、IGMP Nuker、Boink、Smurf、Bonk、OOB等。就這兩種拒絕服務攻擊而言，危害較大的主要是DDOS攻擊，原因是很難防範，至於DOS攻擊，通過給主機伺服器打補丁或安裝防火牆軟體就可以很好地防範，後文會詳細介紹怎麼對付DDOS攻擊。
三、被DDOS了嗎？
DDOS的表現形式主要有兩種，一種為流量攻擊，主要是針對網路帶寬的攻擊，即大量攻擊包導致網路帶寬被阻塞，合法網路包被虛假的攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，主要是針對伺服器主機的攻擊，即通過大量攻擊包導致主機的內存被耗盡或CPU被內核及應用程序占完而造成無法提供網路服務。
如何判斷網站是否遭受了流量攻擊呢？可通過Ping命令來測試，若發現Ping超時或丟包嚴重(假定平時是正常的)，則可能遭受了流量攻擊，此時若發現和你的主機接在同一交換機上的伺服器也訪問不了了，基本可以確定是遭受了流量攻擊。當然，這樣測試的前提是你到伺服器主機之間的ICMP協議沒有被路由器和防火牆等設備屏蔽，否則可採取Telnet主機伺服器的網路服務埠來測試，效果是一樣的。不過有一點可以肯定，假如平時Ping你的主機伺服器和接在同一交換機上的主機伺服器都是正常的，突然都Ping不通了或者是嚴重丟包，那麼假如可以排除網路故障因素的話則肯定是遭受了流量攻擊，再一個流量攻擊的典型現象是，一旦遭受流量攻擊，會發現用遠程終端連接網站伺服器會失敗。
相對於流量攻擊而言，資源耗盡攻擊要容易判斷一些，假如平時Ping網站主機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問了，而Ping還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在伺服器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在，而ESTABLISHED很少，則可判定肯定是遭受了資源耗盡攻擊。還有一種屬於資源耗盡攻擊的現象是，Ping自己的網站主機Ping不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的伺服器則正常，造成這種原因是網站主機遭受攻擊後導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令，其實帶寬還是有的，否則就Ping不通接在同一交換機上的主機了。
當前主要有三種流行的DDOS攻擊：
1、SYN/ACK Flood攻擊：
這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統的網路服務，主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK包，導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務，由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的僵屍主機支持。少量的這種攻擊會導致主機伺服器無法訪問，但卻可以Ping的通，在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不響應鍵盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。
2、TCP全連接攻擊：
這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆大多具備過濾TearDrop、Land等DOS攻擊的能力，但對於正常的TCP連接是放過的，殊不知很多網路服務程序（如：IIS、Apache等Web伺服器）能接受的TCP連接數是有限的，一旦有大量的TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多僵屍主機不斷地與受害伺服器建立大量的TCP連接，直到伺服器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多僵屍主機，並且由於僵屍主機的IP是暴露的，因此容易被追蹤。
3、刷Script腳本攻擊：
這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並調用MSSQLServer、MySQLServer、Oracle等資料庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連接，並不斷的向腳本程序提交查詢、列表等大量耗費資料庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的，而伺服器為處理此請求卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的資料庫伺服器很少能支持數百個查詢指令同時執行，而這對於客戶端來說卻是輕而易舉的，因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令，只需數分鍾就會把伺服器資源消耗掉而導致拒絕服務，常見的現象就是網站慢如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護，輕松找一些Proxy代理就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP地址。
四、怎麼抵禦DDOS？
對付DDOS是一個系統工程，想僅僅依靠某種系統或產品防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵禦90%的DDOS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了DDOS攻擊。以下為筆者多年以來抵禦DDOS的經驗和建議，和大家分享！
1、採用高性能的網路設備
首先要保證網路設備不能成為瓶頸，因此選擇路由器、交換機、硬體防火牆等設備的時候要盡量選用知名度高、口碑好的產品。再就是假如和網路提供商有特殊關系或協議的話就更好了，當大量攻擊發生的時候請他們在網路接點處做一下流量限制來對抗某些種類的DDOS攻擊是非常有效的。
2、盡量避免NAT的使用
無論是路由器還是硬體防護牆設備要盡量避免採用網路地址轉換NAT的使用，因為採用此技術會較大降低網路通信能力，其實原因很簡單，因為NAT需要對地址來回轉換，轉換過程中需要對網路包的校驗和進行計算，因此浪費了很多CPU的時間，但有些時候必須使用NAT，那就沒有好辦法了。
3、充足的網路帶寬保證
網路帶寬直接決定了能抗受攻擊的能力，假若僅僅有10M帶寬的話，無論採取什麼措施都很難對抗現在的SYNFlood攻擊，當前至少要選擇100M的共享帶寬，最好的當然是掛在1000M的主幹上了。但需要注意的是，主機上的網卡是1000M的並不意味著它的網路帶寬就是千兆的，若把它接在100M的交換機上，它的實際帶寬不會超過100M，再就是接在100M的帶寬上也不等於就有了百兆的帶寬，因為網路服務商很可能會在交換機上限制實際帶寬為10M，這點一定要搞清楚。
4、升級主機伺服器硬體
在有網路帶寬保證的前提下，請盡量提升硬體配置，要有效對抗每秒10萬個SYN攻擊包，伺服器的配置至少應該為：P4 2.4G/DDR512M/SCSI-HD，起關鍵作用的主要是CPU和內存，若有志強雙CPU的話就用它吧，內存一定要選擇DDR的高速內存，硬碟要盡量選擇SCSI的，別只貪IDE價格不貴量還足的便宜，否則會付出高昂的性能代價，再就是網卡一定要選用3COM或Intel等名牌的，若是Realtek的還是用在自己的PC上吧。

5、把網站做成靜態頁面
大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩，至少到現在為止關於HTML的溢出還沒出現，看看吧！新浪、搜狐、網易等門戶網站主要都是靜態頁面，若你非需要動態腳本調用，那就把它弄到另外一台單獨主機去，免的遭受攻擊時連累主伺服器，當然，適當放一些不做資料庫調用腳本還是可以的，此外，最好在需要調用資料庫的腳本中拒絕使用代理的訪問，因為經驗表明使用代理訪問你網站的80%屬於惡意行為。
6、增強操作系統的TCP/IP棧
Win2000和Win2003作為伺服器操作系統，本身就具備一定的抵抗DDOS攻擊的能力，只是默認狀態下沒有開啟而已，若開啟的話可抵擋約10000個SYN攻擊包，若沒有開啟則僅能抵禦數百個，具體怎麼開啟，自己去看微軟的文章吧！《強化 TCP/IP 堆棧安全》。也許有的人會問，那我用的是Linux和FreeBSD怎麼辦？很簡單，按照這篇文章去做吧！《SYN Cookies》

㈤ 目的埠做限制，源埠不限制 是擴展訪問ACL 做么

擴展ACL是源和目的都限制哦

㈥ 通常我們所說的TCP、UDP的埠號是源埠號還是目的埠號

TCP中的源埠號的意思是，你這個包是從哪裡來，目的埠號是你這個包要去回哪裡。
記住一點，源答埠號跟目的埠號是不一定要相同的，比如說，你去訪問網頁，那麼你的目的埠號肯定是80了，那源埠號是大於1024的隨機埠.
反正就是你要什麼服務，目的埠號就一樣，而源埠與就是隨機拿個1024的埠去跟這個目的埠形成連接tcp udp 是協義
tcp類似於掛號信，對方收到後會給發送方一下回執。udp類似電報只管發不必要知道對方收沒收到。
emule的使用很簡單，先看看介面再好好想想就會用了。一般說來 windows的埠號是一個無符號整形的數 也就是從0~65535之間的所有數 在系統裡面UDP和TCP是分開的 也就是說 UDP佔用的埠號可以從0~65535 TCP的也可以從0~65535 而且兩者是獨立的
舉個例子
一個程序可以用TCP佔用2000號埠 另一個程序可以用UDP佔用2000號埠 兩者互不幹涉

㈦ 路由器後台進不去，埠頻繁被改怎麼辦

巧用ACL功能，遠離病毒攻擊現在的網路病毒可謂隨處可見，它們的攻擊力之強、破壞力之大，足以讓任何人對它敬而遠之。不過，任何一種網路病毒都是藉助網路通道進行傳輸、擴散的，它的數據報文也是按照TCP/IP協議標准進行通信傳輸的，因此每一個病毒數據包都包含目的IP地址、源IP地址，同時包含目的傳輸埠、源傳輸埠，類型相同的網路病毒所使用的目的傳輸埠一般都是相同的，比方說震盪波病毒全部使用445埠、沖擊波病毒全部使用135埠等;如果我們想辦法在路由器的後台管理界面中對這些病毒通信埠進行適當的限制，那麼來自Internet網路的一些病毒就不會通過路由器，進入到單位區域網網路了，如此一來區域網中的所有工作站包括路由器設備遭受到病毒攻擊的可能性就大大降低了。要讓路由器遠離病毒攻擊，我們可以巧妙地利用路由器設備自帶的ACL功能，來對特定網路埠的數據網路報文進行限制，我們既可以對區域網內部通信介面的數據報文進行過濾，也可以對外部通信介面的數據報文進行過濾，這么一來就能確保網路病毒的數據報文不會消耗路由器設備的系統資源，同時也不會消耗有限的網路帶寬資源，那樣的話路由器設備出現掉線的機率就會大大降低。限制NAT鏈接，謹防資源耗盡一般來說，單位區域網中包含的工作站數量少則幾十台，多則幾百台，而本地ISP服務商由於手頭的IP地址資源本就非常有限，他們通常只會給單位區域網分配一到兩個公網IP地址，這么少的IP地址顯然是不夠分配的，那麼我們如何利用這一到兩個公網IP地址讓區域網中的所有工作站都能接入到Internet網路中呢?其實很簡單，我們只要善於使用路由器設備的NAT功能就可以了。當區域網中的內部工作站要訪問Internet網路中的資源時，我們可以在路由器設備的後台管理界面創建一個對應列表，這個列表中包含的信息有內部工作站的IP地址、外部目標網站IP地址、內部網路通信埠、外部網站的通信埠等，區域網用戶每一次的網路訪問操作都會自動在路由器設備的後台創建對應關系列表，要是列表中的網路鏈接記錄有數據在傳輸，那麼這些列表記錄將會一直存儲在路由器設備中，一旦某個網路鏈接項目沒有數據在傳輸時，那麼要不了多長時間該鏈接記錄就會自動消失。倘若區域網中的某台工作站不幸感染了某種特殊網路病毒，該病毒可能在短暫的時間內，向路由器設備同時連續發出成千上萬個針對不同目標工作站的網路鏈接請求，如此一來路由器設備就必須騰出適當的系統資源來為這些成千上萬個鏈接請求創建對應列表。而路由器設備本身能夠支持的NAT網路鏈接數量是十分有限的，要是這些鏈接資源全部被網路病毒給佔用的話，那麼區域網中的其他用戶再嘗試通過路由器設備訪問外部網路時，路由器設備就無法騰出有效的NAT鏈接資源給其他工作站了，那麼其他工作站自然就會發生無法訪問網路的故障，這種上網掉線故障事實上就是由於網路病毒耗盡NAT資源引起的。為了避免由NAT資源耗盡引起的路由器掉線故障，我們可以進入到路由器設備的後台管理界面，將其中的NAT網路鏈接數量設置到最大數值(當然這需要路由器設備在自身性能方面能夠承受)，如果路由器設備自身性能有限的話，我們必須對NAT網路鏈接數量進行適當限制，採取的限制措施既可以針對區域網中的所有工作站，也可以只針對其中的某一台工作站。當然，要是我們從路由器設備的後台管理界面中，看到來自內網某台工作站的NAT網路鏈接數量比較多時，我們不妨嘗試斷開那台內網工作站，然後再進行網路訪問測試，看看路由器設備是否還會繼續發生頻繁掉線故障，要是掉線故障現象立即就消失了的話，那就說明那台內網工作站感染了病毒，此時我們只要對那台特定的內網工作站執行病毒查殺操作就可以了。預防ping攻擊，避免系統拖跨為了測試某個網站的連通性，相信多數朋友都會使用Ping命令，來對目標網站執行Ping測試操作，而目標網站接受到工作站的Ping連接請求後，往往需要騰出一定的系統資源來應答這個請求;同樣地，如果目標網站同時接收到大量的Ping測試請求，那麼目標工作站就需要耗費更多的系統資源進行應答，而在此刻如果有用戶在嘗試訪問該目標網站時，那麼該網站系統可能就騰不出系統資源進行及時應答這個用戶的上網請求了，所以該用戶也就會遇到上網掉線故障了。而網路病毒或黑客在對目標網路或設備發動攻擊之前，往往要對目標網路中的各個工作站地址進行依次Ping掃描，如果某個網路設備或工作站進行了應答，那說明該網路設備或主機是可以攻擊的，於是病毒或木馬就會對目標主機發動Ping攻擊，直到把目標主機系統拖跨為止。為了避免路由器設備遭受ping攻擊，從而導致路由器無法正常處理上網請求，我們可以對路由器設備的WAN埠進行設置，啟用防Ping功能，以便阻止來自外部網路的數據包對路由器執行ping攻擊，這么一來路由器設備日後對所有來自外部網路的ping數據請求都作棄權處理，那樣的話路由器設備不但不會暴露自己，而且還能預防ping攻擊，從而保證路由器設備能夠安全、穩定地工作。 合適分配帶寬，有效限制速度我們知道，現在的區域網出口帶寬多數都是2MB或10MB標准，每一台工作站所能享受到的帶寬資源平均為100KB左右，在這種上網環境中，要是有幾台工作站同時進行BT下載，那麼區域網中有限的出口帶寬資源很快就會被揮霍一空，那麼其他人再嘗試上網時，就會明顯感覺到網路訪問速度緩慢，甚至會頻繁發生掉線故障。為了讓路由器設備遠離由帶寬沒有限制引起的掉線現象，我們可以進入到路由器設備的後台管理界面，對所有工作站的出口帶寬速度進行合適限制，以避免某幾台工作站過度消耗區域網的有限帶寬資源。當然，我們也可以在區域網工作站中，對信息上傳速度和信息下載速度進行限制，確保網路帶寬資源不會被非法使用。

㈧ 怎麼保留用戶源埠號啊，公安要求來了

一些文獻關於TCP報頭中源埠和目的埠的描述：欄位長度各為16位（兩個位元組），他們封裝的數據指定了源和目地的應用程序。這些埠號與應用程序所在主機的IP地址統稱為「套接字」。在網路上，套接字唯一地標示了每一個應用程序。

㈨ 為什麼客戶端連續向伺服器發起多次請求不會爆本地埠被耗盡

一個連接的 tcp socket 描述符代表一條 tcp 連接， 一條 tcp 連接不止由本地的 ip 和本地埠決定專，一條 tcp 連接是由 本地 ip、本地埠、對屬方 ip 、對方埠共同決定的，在本地可以存在具有同樣的本地 ip 和本地埠的 socket ，只要對方的 ip 或者埠不一樣就行（許多基於 tcp 的伺服器就是這種情況，包括 http），理論上講只要四個元素（本地 ip、本地埠、對方 ip 、對方埠）中 有一個不同，就可以存在無數個 tcp 連接， 不過操作系統可能對 tcp 連接的數目有限制。

㈩ 知道源ip怎麼知道源埠呀

知道源ip不能知道源埠，一般是通過提供的服務(比如http、ftp)來知道服務的默認埠。埠可以自定義，只要不和常用的沖突。