当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 防范内网遭受DoS攻击的预防策略

安全基础
漏洞问题 RPC服务器安全配制
活用ftp自动上传文件至肉鸡
利用cmd躲过肉鸡防火墙方法
校园网方便的上网时段控制法
手把手教你穿透ADSL路由入侵内网
利用测试网站检测出你的浏览器安全级别
妙用你的hosts文件过滤插件和广告
个人隐私 你的系统文件保护好了吗
P2P中保障Windows网络安全的五大步骤
消除威胁 通过防火墙堵住VPN安全漏洞
天下无贼 两招解决IP地址盗用问题
DDoS防范和全局网络安全网络的应对
用Windows 2000安全审核让入侵者显形
宽带用户易被攻击 用户需注意七大方面
日志分析两部曲:充分利用日志保护网络
安全设置Windows组策略 有效阻止黑客
Win2000/XP中的自启动“后门”
小心 MSHTA漏洞为黑客大开远程控制之门
如何增强活动目录安全性的五个步骤
各种操作系统中密码文件的位置

安全基础 中的 防范内网遭受DoS攻击的预防策略


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 33 ::
收藏到网摘: n/a

    1.局域网层

    在局域网层上,可采取很多预防措施。例如,尽管完全消除IP分组假冒现象几乎不可能,但网管可构建过滤器,如果数据带有内部网的信源地址,则通过限制数据输入流量,有效降低内部假冒IP攻击。过滤器还可限制外部IP分组流,防止假冒IP的DoS攻击被当作中间系统。

    其他方法还有:关闭或限制特定服务,如限定UDP服务只允许于内部网中用于网络诊断目的。

    但是,这些限制措施可能给合法应用(如采用UDP作为传输机制的RealAudio)带来负面影响。

    2.网络传输层

    以下对网络传输层的控制可对以上不足进行补充。

    独立于层的线速服务质量(QoS)和访问控制

    带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换机的出现,改善了网络传输设备保护数据流完整性的能力。

    在传统路由器中,认证机制(如滤除带有内部地址的假冒分组)要求流量到达路由器边缘,并与特定访问控制列表中的标准相符。但维护访问控制列表不仅耗时,而且极大增加了路由器开销。

    相比之下,线速多层交换机可灵活实现各种基于策略的访问控制。

    这种独立于层的访问控制能力把安全决策与网络结构决策完全分开,使网管员在有效部署了DoS预防措施的同时,不必采用次优的路由或交换拓扑。结果,网管员和服务供应商能把整个城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来,而不管它采用的是复杂的基于路由器的核心服务,还是相对简单的第二层交换。此外,线速处理数据认证可在后台执行,基本没有性能延迟。

    可定制的过滤和“信任邻居”机制

    智能多层访问控制的另一优点是,能简便地实现定制过滤操作,如根据特定标准定制对系统响应的控制粒度。多层交换可把分组推送到指定的最大带宽限制的特定QoS配置文件上,而不是对可能是DoS攻击的组制订简单的“通过”或“丢弃”决策。这种方式,既可防止DoS攻击,也可降低丢弃合法数据包的危险。

    另一个优点是能定制路由访问策略,支持具体系统之间的“信任邻居”关系,防止未经授权使用内部路由。

    定制网络登录配置

    网络登录采用惟一的用户名和口令,在用户获准进入前认证身份。网络登录由用户的浏览器把动态主机配置协议(DHCP)递交到交换机上,交换机捕获用户身份,向RADIUS服务器发送请求,进行身份认证,只有在认证之后,交换机才允许该用户发出的分组流量流经网络。