主题 : 用三层交换阻击DoS攻击
级别: 二分秋色
UID: 1323
精华: 0
发帖: 72
威望: 360 点
无痕币: 4319 WHB
贡献值: 0 点
在线时间: 21(时)
注册时间: 2007-11-27
最后登录: 2018-05-16

0 用三层交换阻击DoS攻击

尽管全球网络安全专家都在着力开发抗DoS攻击的办法,但收效不大,因为DoS攻击利用了TCP协议本身的弱点。在交换机上进行设置,并安装专门的DoS识别和预防工具,能最大限度地减少DoS攻击造成的损失。
  利用三层交换建立全面的网络安全体系,其基础必须是以三层交换和路由为核心的智能型网络,有完善的三层以上的安全策略管理工具。同时,在网络的设计阶段,就应该进行合理布置。
  局域网层
  在局域网层上,网管员可采取很多预防措施。例如,尽管完全消除IP分组假冒现象几乎不可能,但网管员可构建过滤器,如果数据带有内部网的信源地址,则通过限制数据输入流量,可有效降低内部假冒IP攻击。过滤器还可限制外部IP分组流,防止假冒IP的DoS攻击被当作中间系统。
  其他方法还有:关闭或限制特定服务,如限定UDP服务只允许于内部网中用于网络诊断目的。
  遗憾的是,这些限制措施可能给合法应用(如采用UDP作为传输机制的RealAudio)带来负面影响。如果攻击者能胁迫受害者不使用IP服务或其他合法应用,那么这些黑客已经达到了DoS攻击的目的。
  网络传输层
  以下对网络传输层的控制可对以上不足进行补充。
  1、独立于层的线速服务质量(QoS)和访问控制
  带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换机的出现,改善了网络传输设备保护数据流完整性的能力。
  在传统路由器中,认证机制(如滤除带有内部地址的假冒分组)要求流量到达路由器边缘,并与特定访问控制列表中的标准相符。但维护访问控制列表不仅耗时,而且极大增加了路由器开销。
  相比之下,线速多层交换机可灵活实现各种基于策略的访问控制。
  这种独立于层的访问控制能力把安全决策与网络结构决策完全分开,使网管员在有效部署了DoS预防措施的同时,不必采用次优的路由或交换拓扑。结果,网管员和服务供应商能把整个城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来,而不管其采用的是复杂的基于路由器的核心服务,还是相对简单的第二层交换。此外,线速处理数据认证可在后台执行,基本没有性能延迟。
  2.可定制的过滤和“信任邻居”机制
  智能多层访问控制的另一优点是,能简便地实现定制过滤操作,如根据特定标准定制对系统响应的控制粒度。多层交换可把分组推送到指定的最大带宽限制的特定QoS配置文件上,而不是对可能是DoS攻击的组制订简单的“通过”或“丢弃”决策。这种方式,既可防止DoS攻击,也可降低丢弃合法数据包的危险。
  另一个优点是能定制路由访问策略,支持具体系统之间的“信任邻居”关系,防止未经授权使用内部路由。
  以极进网络公司的ExtremeWare套装软件为例,它映射和覆盖了IEEE 802.1p和DiffServ标记,使所有交换机都能忽略、观察或处理从“不信任邻居”发来的任何DiffServ标记。这些机制,可使系统管理员根据来自特定邻居的流量调整内部路由策略。
  3.定制网络登录配置
  网络登录采用惟一的用户名和口令,在用户获准进入前认证身份。网络登录由用户的浏览器把动态主机配置协议(DHCP)递交到交换机上,交换机捕获用户身份,向RADIUS服务器发送请求,进行身份认证,只有在认证之后,交换机才允许该用户发出的分组流量流经网络。
  在IEEE 802.1草案中已规定,网络登录机制可控制用户对交换机的访问,最大限度地降低直接DoS攻击的危险。同时,网络登录为管理和跟踪内部用户提供了一种强健的机制。
[ 此帖被都市小星星在2009-02-21 20:31重新编辑 ]
Total 0.046568(s) query 3, Time now is:03-29 07:58, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛