+设为首页 +添加到收藏夹
阻塞smurf的反弹站点:用户可以有两种选择以阻塞smurf攻击的反弹站点.第一种方法可以简单地阻塞所有入站echo请求,这们可以防止这些分组到达自己的网络.如果不能阻塞所有入站echo请求,用户就需要让自己的路由器把网络广播地址映射成为lan广播地址.制止了这个映射过程,自己的系统就不会再收到这些echo请求. 【程序编程相关:Email营销效果调查报告】
阻塞smurf攻击的源头:smurf攻击依靠攻击者的力量使用欺骗性源地址发送echo请求.用户可以使用路由路的访问保证内部网络中发出的所有传输信息都具有合法的源地址,以防止这种攻击.这样可以使欺骗性分组无法找到反弹站点. 【推荐阅读:调查报告:用户更换Email地址的影响不】
防止smurf攻击目标站点:除非用户的isp愿意提供帮助,否则用户自己很难防止smurf对自己的wan接连线路造成的影响.虽然用户可以在自己的网络设备中阻塞这种传输,但对于防止smurf吞噬所有的wan带宽已经太晚了.但至少用户可以把smurf的影响限制在外围设备上.通过使用动态分组过滤技术,或者使用防火墙,用户可以阻止这些分组进入自己的网络.防火墙的状态表很清楚这些攻击会话不是本地网络中发出的(状态表记录中没有最初的echo请求记录),因些它会象对待其它欺骗性攻击行为那样把这样信息丢弃. 【扩展信息:退信:Email营销最大的障碍】
阻止smurf平台:为防止系统成为 smurf攻击的平台,要将所有路由器上ip的广播功能都禁止.一般来讲,ip广播功能并不需要. 如果攻击者要成功地利用你成为攻击平台,你的路由器必须要允许信息包以不是从你的内网中产生的源地址离开网络.配置路由器,让它将不是由你的内网中生成的信息包过滤出去,这是有可能做到的.这就是所谓的网络出口过滤器功能.
4.udp flood防范
以前文提到的trinoo为例,分析如下:
在master程序与代理程序的所有通讯中,trinoo都使用了udp协议.入侵检测软件能够寻找使用udp协议的数据流(类型17).
trinoo master程序的监听端口是27655,攻击者一般借助telnet通过tcp连接到master程序所在计算机.入侵检测软件能够搜索到使用tcp (类型6)并连接到端口27655的数据流.
所有从master程序到代理程序的通讯都包含字符串"l44",并且被引导到代理的udp 端口27444.入侵检测软件检查到udp 端口27444的连接,如果有包含字符串l44的信息包被发送过去,那么接受这个信息包的计算机可能就是ddos代理.... 下一页