当前位置: 首页 > 图文教程 > 服务器 > 安全防护 > 几种分布式攻击的防范(3)

安全防护
防止SQL注入攻击的方法
基础教程篇:五个方面何防止网站被挂木马
JavaScript可能成为新的黑客攻击点
辨明是非 文件关联型木马的特殊化查杀
三个小命令 检查电脑是否被安装木马
CC攻击的原理和预防
新手看招:在Linux操作系统下创建锁文件
防范黑客来自网上的攻击的几种方法
Web内容安全过滤设备应注重多层次管理功能
浅谈木马的十大潜伏诡招
防范ASP木马的十大基本原则
拒绝木马入侵 四大绝招来防护
菜鸟安全手册:实战捕获局域网 ARP病毒
安全技术谈:网页挂马工作原理完全分析
用好Windows命令 识别木马蛛丝马迹
安全技巧:利用软件限制策略阻止网马侵袭
Serv-u本地权限提升漏洞的终极防御
七个维护服务器安全的技巧
服务器安全经验:防止非法登陆
服务器存储数据丢失后的正确操作方法

安全防护 中的 几种分布式攻击的防范(3)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 55 ::
收藏到网摘: n/a

8、使用ngrep工具来处理tfn2k攻击

  根据使用DNS来跟踪tfn2k驻留程序的原理,现在已经出现了称为ngrep的实用工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3, SYN flood, UDP flood, ICMP flood 和 smurf),它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话,它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话,在攻击过程中或之后记录ICMP的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还很可能使用其他的服务来核实其攻击的效果(例如web),所以对其他的标准服务也应当有尽量详细的日志记录。

  还应当注意,ngrep采用的是监听网络的手段,因此,ngrep无法在交换式的环境中使用。但是经过修改的ngrep可以不必和你的DNS在同一个网段中,但是他必须位于一个可以监听到所有DNS请求的位置。经过修改的ngrep也不关心目标地址,您可以把它放置在DMZ网段,使它能够检查横贯该网络的tfn2k攻击。从理论上讲,它也可以很好的检测出对外的tfn2k攻击。

  在ICMP flood事件中,ICMP回应请求的报告中将不包括做为tfn2k flood一部分的ICMP包。Ngrep还可以报告检测出来的除smurf之外的攻击类型(TARGA, UDP, SYN, ICMP等)。混合式的攻击在缺省情况下表现为ICMP攻击,除非你屏蔽了向内的ICMP回应请求,这样它就表现为UDP或SYN攻击。这些攻击的结果都是基本类似的。

  9、有关入侵检测系统的建议

  由于许多用来击败基于网络的入侵检测系统的方法对绝大多数商业入侵检测系统产品仍然是有效的,因此建议入侵检测系统应该至少有能重组或发觉碎片的自寻址数据包。下面是部分要注意的事项:

  确信包括了现有的所有规则,包括一些针对分布式拒绝服务攻击的新规则。如果遵循了ICMP建议项,许多ICMP会被阻塞,入侵检测系统触发器存在许多机会。任何通常情况下要被阻塞的入站或出站的ICMP数据包可以被触发。 "任何"被你用防火墙分离的网络传输都可能是一个潜在的IDS触发器。

  如果你的入侵检测系统支持探测长时间周期的攻击,确信没有把允许通过防火墙的被信任主机排除在外。这也包括虚拟专用网。 如果你能训练每个使用ping的用户在ping主机时使用小数据包,就可能设置入侵检测系统寻找超29字节的Echo和Echo应答数据包。