久久无码高潮喷水抽搐,极品馒头泬19p,久久人人爽精品玩人妻av,精品国产成人国产在线视,精品视频一区二区三区在线观看

　　DoS (Denial of Service)攻擊就是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使合法用戶無法得到服務(wù)的響應(yīng)。vH9紅軟基地

　　dos攻擊的方法很多，但它們都具有一些共同的典型特征，例如：使用欺騙的源地址、使用網(wǎng)絡(luò)協(xié)議的缺陷、使用操作系統(tǒng)或軟件的漏洞、在網(wǎng)絡(luò)上產(chǎn)生大量的無用數(shù)據(jù)包消耗服務(wù)資源等。因此，要防御dos攻擊，就必須從這些攻擊的特征入手，分析其特征，制定合適的策略和方法。vH9紅軟基地

　　Smurf攻擊的特征描述vH9紅軟基地

　　Smurf攻擊是根據(jù)它的攻擊程序命名的，是一種ICMP echo flooding攻擊。vH9紅軟基地

　　在這樣的攻擊中，ping包中包含的欺騙源地址指向的主機是最終的受害者，也是主要的受害者;而路由器連接的廣播網(wǎng)段成為了攻擊的幫兇(類似一個放大器，使網(wǎng)絡(luò)流量迅速增大)，也是受害者。vH9紅軟基地

　　防御Smurf攻擊的方法vH9紅軟基地

　　根據(jù)Smurf攻擊的特征，可以從兩個方面入手來防御Smurf的攻擊：一是防止自己的網(wǎng)絡(luò)成為攻擊的幫兇即第一受害者 ;二是從最終受害者的角度來防御Smurf攻擊。下面就從這兩個方面來討論防御的的測路和方法。vH9紅軟基地

　　一、拒絕成為攻擊的幫兇vH9紅軟基地

　　Smurf要利用一個網(wǎng)絡(luò)作為“流量放大器”，該網(wǎng)絡(luò)必定具備以下特征：vH9紅軟基地

　　1、路由器允許有IP源地址欺騙的數(shù)據(jù)包通過 ;vH9紅軟基地

　　2、路由器將定向廣播(發(fā)送到廣播地址的數(shù)據(jù)包)轉(zhuǎn)換成為第二層(MAC層)的廣播并向連接網(wǎng)段廣播 ;vH9紅軟基地

　　3、廣播網(wǎng)絡(luò)上的主機允許對ping廣播作出回應(yīng) ;vH9紅軟基地

　　4、路由器對主機回應(yīng)的ping數(shù)據(jù)流量未做限制 ;vH9紅軟基地

　　所以，可以根據(jù)以上四點來重新規(guī)劃網(wǎng)絡(luò)，以使自己的網(wǎng)絡(luò)不具備會成為“流量放大器”的條件 。vH9紅軟基地

　　防止IP源地址欺騙vH9紅軟基地

　　IP源地址欺騙可以應(yīng)用在多種不同的攻擊方式中，例如：TCP SYN flooding、UDP flooding、ICMP flooding等。vH9紅軟基地

　　偽造的源地址可以是不存在(不允許在公網(wǎng)上發(fā)布)的地址，或者是最終攻擊目標的地址。vH9紅軟基地

　　在UDP flooding中，攻擊者則是通過連接目標系統(tǒng)的changen端口到偽造源地址指向的主機的echo端口，導(dǎo)致changen端口產(chǎn)生大量的隨機字符到echo端口，而echo端口又將接收到的字符返回，最后導(dǎo)致兩個系統(tǒng)都因耗盡資源而崩潰。vH9紅軟基地

　　注意：為了防御UDP flooding，我們必須防止路由器的診斷端口或服務(wù)向管理域之外的區(qū)域開放，如果不需要使用這些端口或者服務(wù)，應(yīng)該將其關(guān)閉。vH9紅軟基地

　　防止IP源地址欺騙的最有效方法就是驗證源地址的真實性，在Cisco路由器上，我們可以采用下列兩種方法：vH9紅軟基地

　　a、在網(wǎng)絡(luò)邊界實施對IP源地址欺騙的過濾vH9紅軟基地

　　阻止IP源地址欺騙的一個最簡單有效的方法是通過在邊界路由器使用向內(nèi)的訪問列表，限制下游網(wǎng)絡(luò)發(fā)進來的數(shù)據(jù)包確實是在允許接受的地址范圍，不在允許范圍的數(shù)據(jù)將被刪除。同時，為了追溯攻擊者，可以使用log記錄被刪除的數(shù)據(jù)信息 。vH9紅軟基地

　　b、使用反向地址發(fā)送vH9紅軟基地

　　使用訪問控制列表在下游入口處做ip限制，是基于下游ip地址段的確定性 。但在上游入口處，流入數(shù)據(jù)的ip地址范圍有時是難于確定的。在無法確定過濾范圍時，一個可行的方法是使用反向地址發(fā)送(Unicast Reverse Path Forwarding)。vH9紅軟基地

　　反向地址發(fā)送是Cisco路由器的新版IOS提供的一項特性，簡稱uRPF。vH9紅軟基地

　　uRPF的工作原理是：當路由器在一個接口上收到一個數(shù)據(jù)包時，它會查找CEF(Cisco Express Forward)表，驗證是否存在從該接收接口到包中指定的源地址之間的路由，即反向查找路徑，驗證其真實性，如果不存在這樣的路徑就將數(shù)據(jù)包刪除。vH9紅軟基地

　　相比訪問控制列表，uRPF具有很多優(yōu)點，例如：耗費CPU資源少、可以適應(yīng)路由器路由表的動態(tài)變化(因為CEF表會跟隨路由表的動態(tài)變化而更新)，所以維護量更少，對路由器的性能影響較小。vH9紅軟基地

　　uRPF是基于接口配置的，配置命令如下：vH9紅軟基地

　　(config)# ip cefvH9紅軟基地

　　(config-if)# ip verify unicast reverse-pathvH9紅軟基地

　　注意：uRPF的實施，CEF必須是全局打開，并在配置接口上也是啟用的。vH9紅軟基地

　　禁止定向廣播vH9紅軟基地

　　在Smurf攻擊中，攻擊者將ping數(shù)據(jù)包發(fā)向一個網(wǎng)絡(luò)的廣播地址，例如：192.168.1.255。大多數(shù)情況下，路由器在接收到該廣播包之后，默認會將這個第三層廣播轉(zhuǎn)換成第二層廣播，即將192.168.1.255轉(zhuǎn)換成為以太網(wǎng)的FF:FF:FF:FF:FF:FF 。而該廣播網(wǎng)段上的所有以太網(wǎng)接口卡在接收到這個第二層廣播之后，就會向主機系統(tǒng)發(fā)出中斷請求，并對這個廣播作出回應(yīng)，從而消耗了主機資源，并且做出的回應(yīng)可能造成對源地址所指目標的攻擊。vH9紅軟基地

　　所以，在絕大多數(shù)情況下，應(yīng)該在邊界路由器上禁止定向廣播，使用以下接口命令禁止vH9紅軟基地

　　(config)# no ip directed-broadcastvH9紅軟基地

　　注：在絕大部分情況下，是不需要使用路由器的定向廣播功能的，會使用定向廣播的特例也有，例如，如果一臺SMB或者NT服務(wù)器需要讓一個遠程的LAN能夠看到自己，就必須向這個LAN發(fā)送定向廣播，但對于這種應(yīng)用可以通過使用WINS服務(wù)器解決。vH9紅軟基地

　　禁止主機對ping廣播作出反應(yīng)vH9紅軟基地

　　當前絕大部分的操作系統(tǒng)都可以通過特別的設(shè)置，使主機系統(tǒng)對于ICMP ECHO廣播不做出回應(yīng)。vH9紅軟基地

　　通過阻止“放大器”網(wǎng)絡(luò)上的主機對ICMP ECHO(ping)廣播做出回應(yīng)，可以阻止該廣播網(wǎng)絡(luò)成為攻擊的幫兇。vH9紅軟基地

　　限制icmp echo的流量vH9紅軟基地

　　當大量的數(shù)據(jù)涌入一個接口的時候，即使使用了訪問策略對ICMP包進行了刪除，接口還是可能會因為忙于不斷刪除大量數(shù)據(jù)而導(dǎo)致接口不能提供正常服務(wù)。vH9紅軟基地

　　與被動的刪除數(shù)據(jù)相比，一個主動的方法是，在接口上設(shè)置承諾速率限制(committed access rate，簡稱CAR)，將特定數(shù)據(jù)的流量限制在一個范圍之內(nèi)，允許其適量的通過，同時保證了其它流量的正常通過。vH9紅軟基地

　　例：使用CAR限制ICMP echo floodingvH9紅軟基地

　　!建立訪問列表，分類要過濾的數(shù)據(jù)vH9紅軟基地

　　access-list 102 permit icmp any any echovH9紅軟基地

　　access-list 102 permit icmp any any echo-replyvH9紅軟基地

　　!在接口上配置CAR，將ICMP echo流量vH9紅軟基地

　　!限制在256k，允許突發(fā)8kvH9紅軟基地

　　interface Serial3/0/0vH9紅軟基地

　　rate-limit input access-group 102 256000 8000 8000 conform-action transmit exceed-action drop 二、受害者的策略vH9紅軟基地

　　由Smurf攻擊產(chǎn)生的攻擊數(shù)據(jù)流量在經(jīng)過了“放大器網(wǎng)絡(luò)“放大之后，當?shù)竭_最終攻擊目標時，數(shù)據(jù)流量可能是非常巨大的。為了保護被攻擊的系統(tǒng)免于崩潰，我們可以采取以下兩種策略：vH9紅軟基地

　　使用控制訪問列表過濾數(shù)據(jù)vH9紅軟基地

　　在最終攻擊目標的網(wǎng)絡(luò)邊界路由器上使用訪問控制列表，拒絕將ping攻擊數(shù)據(jù)包發(fā)往被攻擊的主機。但這是一個粗努的方法，因為當你在路由器上完全限制了發(fā)往被攻擊主機的ping數(shù)據(jù)包之后，其它希望正常通過的ping數(shù)據(jù)包也將無法通過。另外，在邊界路由器上使用訪問控制列表過濾ping數(shù)據(jù)之后，雖然可以保護路由器連接的內(nèi)部網(wǎng)絡(luò)免受攻擊，但攻擊的數(shù)據(jù)還是會大量涌入路由器，導(dǎo)致路由器接口的阻塞。vH9紅軟基地

　　使用CAR限制速率vH9紅軟基地

　　在最終攻擊目標的網(wǎng)絡(luò)邊界路由器上使用CAR限制是一種更為可取的方法。通過CAR可以將流入網(wǎng)絡(luò)的某一類數(shù)據(jù)包的總流量限制在一定的范圍，從而可以保證其它數(shù)據(jù)的正常通過。vH9紅軟基地

　　結(jié)論vH9紅軟基地

　　本文討論的基于路由器配置來防御dos攻擊的方法在實際應(yīng)用中有非常顯著的效果。當前絕大部分的網(wǎng)絡(luò)仍然使用路由器作為邊界連接設(shè)備，所以本文闡述的方法具有普遍實施的意義。vH9紅軟基地

來源：紅訊頻道