IDC防范SYN洪水攻击与ARP欺骗的解决方案_安全焦点_黑客防线网安服务器维护基地--Powered by WWW.RONGSEN.COM.CN

IDC防范SYN洪水攻击与ARP欺骗的解决方案

作者:黑客防线网安网站维护基地 来源:黑客防线网安网站维护基地 浏览次数:0

黑客防线网安网讯:根 据黑客攻击心理学分析,通常黑客攻击的目标是一个明确的Web  服务器,目的通常是让其无法正常访问。通常黑客在实施一次攻击之前会先进行小规模试探性攻击,例如制造几分钟的大量SYN数据包并观察目标网站的访问是

应用实施方案

桥接透明模式

将我们的防火墙连接在路由器与现有防火墙之间,并设置它工作为透明桥接模式,当攻击发生时,可以直接在此处拦截并过滤掉网络攻击。 当硬件故障或其他意外发生时恢复之前的网络结构也很容易,简单的就像替换掉一根坏了的网线一样把它短接过去就可以了。

路由+旁听模式

我 们也可以把它配制好并放在一边,当侦听到有攻击的时候,就像设置黑洞路由一样,把受攻击主机的IP地址路由到这台设备的IP上,再此设备上为受攻击主机分 析数据并过滤掉攻击数据包,然后再把干净的网络流量路由给目标主机。 这种按需使用的方式可减少增加由于网络设备所造成的细微性能开销,和硬件问题造成的隐患。缺点是手动的工作多了一些,别嫌麻烦就行。。。

应用实施案例

受影响网络: 210.72.224.0/24
时间:2008-3-5 凌晨
情况:突然爆发了大量并发连接数的DDoS攻击,造成224网段的防火墙超出最大连接数,导致224整个网段瘫痪。
难点:必须想办法让黑客停止攻击,否则即便我们可以用黑洞路由化解掉这个流量,但他仍然浪费了我们大量的有效连接资源和带宽。
处理:将受攻击IP 210.72.224.145 通过路由的方式单独提到210.72.225.248这台跨网段并具备数据包过滤功能的路由器上,进行过滤后再把安全的流量路由回 210.72.224.145。这样224网段减少了数据包流量,因此224恢复了正常。在过滤掉攻击数据包之后,受攻击的服务器224.145也恢复了 访问,在此后不到10分钟的时间内,黑客停止的攻击,至今没有再攻。
受影响网络: 210.72.225.0/24
时间:2007 中旬 
情况:基于ARP欺骗的病毒在此期间大量爆发,经常发生由于路由器地址被病毒欺骗导致的网络中断。
难点:由于ARP欺骗仅发生在网络交换机内部,因此任何防火墙对他都没有效果,而交换机设备仅仅是一个没有操作系统的硬件,我们无法察看交换机上的数据。 我们也不能拦截所有的ARP通讯,因为网络需要依赖ARP协议来寻找地址。
处理:由UNIX系统日至所记载ARP变更警告来迅速锁定中病毒的机器。并配合tcpdump来实施基于硬件链路层的ARP数据包侦听。 例如:MAC地 址为A的机器对B说,网关的MAC地址为A主机的MAC,这显然是A在发送欺骗数据包,而这一切动作都在tcpdump下看的一清二楚。
    黑客防线网安服务器维护方案本篇连接:http://www.rongsen.com.cn/show-19308-1.html
网站维护教程更新时间:2012-12-15 14:45:04  【打印此页】  【关闭
我要申请本站N点 | 黑客防线官网 |  
专业服务器维护及网站维护手工安全搭建环境,网站安全加固服务。黑客防线网安服务器维护基地招商进行中!QQ:29769479

footer  footer  footer  footer