建立全局安全體系防范DoS攻擊

3/4/2004來源:教你一招人氣:20171

  盡管多年來全球無數網絡安全專家都在著力開發DoS攻擊的解決辦法,但到目前為止收效不大,這是因為DoS攻擊利用了TCP協議本身的弱點。DoS攻擊使用相對簡單的攻擊方法, 可以使目標系統完全癱瘓,甚至破壞整個網絡。因此Extreme Networks認為,只有從網絡的全局著眼,在網間基礎設施的各個層面上采取應對措施,包括在局域網層面上采用特殊措施,及在網絡傳輸層面上進行必要的安全設置,并安裝專門的DoS識別和預防工具,才能最大限度地減少DoS攻擊所造成的損失。

  建立這樣一個全面系統的網絡安全體系,網絡的基礎架構必須是以三層交換和路由為核心的智能型網絡,并在此基礎上,提供完善的三層以上的安全策略管理工具,并提供對專業的安全管理軟件支持的能力。Extreme Networks 一直是三層及多層交換技術的領導者,在為用戶提供強大的帶寬和速度的同時,也具備一套非常完善的網絡管理工具,特別是針對DoS最難以解決的流量型攻擊, Extreme Ware管理套件提供了有效的識別機制和強硬的控制手段。

  將最先進的三層交換技術和多層安全防范體系結合起來,是認真考慮抵抗DoS攻擊的用戶的最佳選擇。而且在進行網絡的設計階段,就應該從局域網層面和網絡傳輸層面進行合理的布置。

  局域網層面問題

  在局域網層面上,系統管理員可以采取大量的預防措施,防止DoS攻擊帶來的服務不能效應。這些預防措施包括:保持堅實的整體管理和安全程序,針對各類DoS攻擊,實施特定的防衛措施等等。與特定DoS攻擊類型有關的其它方法可以包括:關閉或限制可能被損壞或暗中破壞的特定服務。遺憾的是,這些限制措施還必須與其可能給合法應用(如采用UDP作為傳輸機制的 Real Audio) 帶來的影響進行權衡。如果攻擊者能夠脅迫受害人不使用有益的

  ip服務或合法應用,那么在一定程度上,這些黑客已經達到了自己的目標。

  網絡傳輸層問題

  盡管局域網管理員采取的措施在防止和抗擊DoS攻擊的基礎工作中發揮著關鍵作用,但它們還必須在網絡傳輸層實現某些完善的措施,以對基礎工作進行有效補充。

  保護網絡數據流量

  有效地保護網絡數據流量涉及大量的互補戰略,包括采用多層交換,實現獨立于層的訪問控制;利用可定制的過濾和“信任鄰居”標準;控制非授權用戶的網絡登錄訪問。

  獨立于層的線速服務質量(QoS)和訪問控制選項

  帶有可配置智能軟件、獨立于層的QoS和訪問控制功能的線速多層交換系統的出現,大大改善了網絡傳輸設施保護數據流量完整性的能力。

  在基于傳統路由器的網絡設施中,認證機制如濾除帶有內部地址的假冒分組,要求流量到達路由器邊緣,并與特定訪問控制列表中的標準相符。由于要維護訪問控制列表,這一過程不僅耗時巨大,而且給整體路由器性能帶來了重大開銷。

  相比之下,使用線速多層交換系統允許靈活實現各種基于策略的訪問控制標準,它使用許多相同的機制,這些機制對在整個復雜網絡設施中有效地實現QoS標準至關重要。

  盡管這些多層交換系統在第二層執行線速交換功能,但它們能夠從第一層到第四層及其它信源無縫地采用QoS和訪問控制標準。

  這種獨立于層的訪問控制能力實現了內置靈活性,把安全決策與網絡結構決策完全分開,從而允許網絡管理員有效地部署DoS預防措施,而不必采用次優的路由或交換拓撲。結果,網絡管理員和服務供應商現在能夠把整個城域網、數據中心或企業網環境中基于策略的控制標準無縫地集成起來,而不管其采用的是復雜的基于路由器的核心服務,還是相對簡單的第二層交換本地環路。此外,線速處理標準查表和數據流量認證決策,可以在后臺有效執行DoS應對措施,而很少或沒有性能延遲。

  可以定制的過濾和“信任鄰居”機制

  智能多層訪問控制的另一優點是,它能夠簡便地實現定制過濾操作,如根據特定標準定制對系統響應的控制力度。通過這種方式,可以防止網絡受到DoS攻擊的影響,同時降低因疏忽丟棄合法流量的危險。獨立于層的訪問控制的另一個優點是,它能夠定制路由訪問策略,支持具體系統之間“信任鄰居”關系,從而管理和優化系統間的數據流量。此外,多層交換技術提供了多種選項,可以防止未經授權使用內部路由策略,及防止潛在的破壞活動。

  Extreme Networks(r)公司的Extreme Ware(tm)套裝軟件允許映射和覆蓋IEEE802.1p和DiffServ標記,實現外部看不到的DiffServ功能。通過使用這些策略機制,系統管理員可以針對來自特定相鄰系統的流量,調整內部路由控制策略,而不是在內部強制廣播實際策略。

  由于能夠靈活地區分內部和外部DiffServ和IEEE802.1p標準,ExtremeWare為防止新一輪潛在DoS攻擊(稱為QoS攻擊)提供了有效的工具。

  Extreme Ware能夠維護不可視的內部DiffServ處理策略,使得所有Extreme交換機都能夠簡便地忽略、觀察或處理從可能“不信任的鄰居”收到的任何DiffServ標記。

  定制網絡登錄配置操作

  網絡登錄機制的采用在減少DoS攻擊漏洞中發揮著關鍵作用。網絡登錄采用惟一的用戶名和口令,在用戶獲準進入或傳送分組流量前認證用戶身份,從而防止認證前發生DoS攻擊的危險。

  通過利用DHCP模擬撥號技術采用PPP的方式,網絡登錄可以終止網絡邊緣的非法訪問,減輕給網絡設施帶來的任何消極影響。

  Extreme Networks公司的技術團隊成員參與編寫了IEEE802.1草案,通過利用其中包含的規范中已有的標準,這些網絡登錄機制可以控制用戶對交換機的訪問,最大限度地降低直接DoS攻擊的危險。同時,網絡登錄為管理和跟蹤企業或服務供應商網絡內部的用戶連接和交易提供了一種強健的機制。

  保護網絡基礎設施

  除保護網絡數據流量外,防止網絡基礎設施受到DoS攻擊、確??煽啃院腿蒎e能力也同樣重要。保護基礎設施的關鍵是維護獨立的訪問列表,緊密管理轉發控制和負載均衡功能,及進行嚴格的設計測試,以確保系統容錯能力。

 



河北快3走势图彩 小投资赚钱项目 内部资料三码中特 股票有哪些杠杆平台 股票配资模拟盘 判刑 江西快3* 快乐双彩规则wx15 com 天津时时彩开奖纪录 正规最大的国际外盘期货配资 pk10精准人工计划软件 快乐双彩走势图wx15 com