国产黄网站在线观看_日本乱人伦中文在线播放_亚洲六月丁香缴情久久丫_色播.com

物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護設(shè)計方法

物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護設(shè)計方法 百恒物聯(lián) 2018-07-05 2536

  物聯(lián)網(wǎng)網(wǎng)絡(luò)層路由攻擊防護設(shè)計方法


  1、更新路由器操作系統(tǒng):路由器操作系統(tǒng)需要經(jīng)常更新,以便糾正編程錯誤、軟件瑕痕和緩存溢出的問題。

  2、修改默認的口令:據(jù)卡內(nèi)基梅隆大學的計算機應(yīng)急反應(yīng)小組稱,80%的安全事件都是由于較弱或者默認的口令引起的。避免使用普通的口令,并且使用大小寫字母混合的方式作為更強大的口令規(guī)則。

  3、禁用HTTP設(shè)置和SNMP(簡單網(wǎng)絡(luò)管理協(xié)議):路由器的HTTP設(shè)置對路由器來說是一個安全問題。如果路由器有一個命令行設(shè)置,禁用HTTP方式并且使用命令行設(shè)置方式。如果不使用路由器上的SNMP,就不需要啟用這個功能。

  4、封鎖ICMP(互聯(lián)網(wǎng)控制消息協(xié)議)ping請求:ping和其他ICMP功能對于網(wǎng)絡(luò)管理員和黑客都是非常有用的工具。黑客能夠利用路由器上啟用的ICMP功能找出可用來攻擊網(wǎng)絡(luò)的信息。

  5、禁用來自互聯(lián)網(wǎng)的telnet命令:在大多數(shù)情況下,不需要來自互聯(lián)網(wǎng)接口的主動的 telnet會話。如果從內(nèi)部訪問路由器設(shè)置,則會更安全一些。

  6、禁用IP定向廣播:IP定向廣播可能對設(shè)備實施拒絕服務(wù)攻擊。一臺路由器的內(nèi)存和CPU難以承受太多的請求,這種結(jié)果會導(dǎo)致緩存溢出。

  7、禁用IP路由和IP重新定向:重新定向允許數(shù)據(jù)包從一個接口進來然后從另一個接口出去。不需要把精心設(shè)計的數(shù)據(jù)包重新定向到專用的內(nèi)部網(wǎng)路。

  8、包過濾:包過濾僅傳遞被允許的數(shù)據(jù)包進入特定網(wǎng)絡(luò),許多公司僅允許使用80端口(HTTP)110/25端口(電子郵件)。此外,可以封鎖和允許lP地址和范圍。

  9、審查安全記錄:通過審查記錄文件,會看到明顯的攻擊方式,甚至安全漏洞。

  10、禁用不必要的服務(wù):路由器、服務(wù)器和工作站上的不必要的服務(wù)都要禁用。

  物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊(即網(wǎng)絡(luò)層拒絕服務(wù)攻擊)防護設(shè)計方法


  這種攻擊使用偽造地址的攻擊節(jié)點向目標主機發(fā)送大量攻擊數(shù)據(jù)包(如TCP包等),利用TCP的三次握手機制使目標服務(wù)器為維護一個非常大的半開放連接列表,從而消耗非常多的CPU和內(nèi)存資源,最終因為堆棧溢出而導(dǎo)致系統(tǒng)崩潰無法為正常用戶提供服務(wù)。


物聯(lián)網(wǎng)網(wǎng)絡(luò)層的阻塞攻擊和路由攻擊防護設(shè)計方法


  典型的DDoS攻擊包括帶寬攻擊和應(yīng)用攻擊。在帶寬攻擊中,網(wǎng)絡(luò)資源或網(wǎng)絡(luò)設(shè)備被高流量數(shù)據(jù)包所消耗。在應(yīng)用攻擊中,TCP或HTTP資源無法被用來處理交易或請求。發(fā)動攻擊時,入侵者只需運行一個簡單的命令,一層一層發(fā)送命令到所有控制的攻擊點上,讓這些攻擊點一齊發(fā)送攻擊包,即向目標傳送大量的無用數(shù)據(jù)包,從而使占滿攻擊目標的網(wǎng)絡(luò)帶寬,耗盡路由器處理能力。由于DDoS通常利用Internet的開放性和從任意源地址向任意目標地址提交數(shù)據(jù)包,因此人們很難區(qū)分非法的數(shù)據(jù)包與合法的數(shù)據(jù)包。

  在遭遇DDoS攻擊時,一些用戶會選擇直接丟棄數(shù)據(jù)包的過濾手段。通過改變數(shù)據(jù)流的傳送方向,將其丟棄在一個數(shù)據(jù)“黑洞”中,以阻止所有的數(shù)據(jù)流。這種方法的缺點是所有的數(shù)據(jù)流(不管是合法的還是非法的)都被丟棄,業(yè)務(wù)應(yīng)用被中止。數(shù)據(jù)包過濾和速率限制等措施也會關(guān)閉所有應(yīng)用,從而拒絕為合法用戶提供接入。

  通過配置路由器過濾不必要的協(xié)議可以阻止簡單的ping攻擊以及無效的IP地址,但是通常不能有效地阻止更復(fù)雜的嗅探攻擊和使用有效IP地址發(fā)起的應(yīng)用級攻擊。而防火墻可以阻擋與攻擊相關(guān)的特定數(shù)據(jù)流,不過與路由器一樣,防火墻不具備反嗅探功能,所以防范手段仍日是被動和不可靠的。目前常見的入侵檢測系統(tǒng)(IDS)能夠進行異常狀況檢測,但它不能自動配置,需要技術(shù)水平較高的安全專家進行手工調(diào)整,因此對新型攻擊的反應(yīng)速度較慢。

  探究各種防范措施對DDoS攻擊束手無策的原因可知,變幻莫測的攻擊來源和層出不窮的攻擊手段是癥結(jié)所在。為了徹底打破這種被動局面,在網(wǎng)絡(luò)中配置整體聯(lián)動的安全體系,通過軟件與硬件技術(shù)結(jié)合、深入網(wǎng)絡(luò)終端的全局防范措施,以加強實施網(wǎng)絡(luò)安全管理的能力。

  首先,在網(wǎng)絡(luò)中針對所有要求進行網(wǎng)絡(luò)訪問的行為進行統(tǒng)一的注冊,沒有經(jīng)過注冊的網(wǎng)絡(luò)訪問行為將不被允許訪問網(wǎng)絡(luò)。通過安全策略平臺的幫助,管理員可以有效地了解整個網(wǎng)絡(luò)的運行情況,進而對網(wǎng)絡(luò)中存在的危及安全行為進行控制。在具體防范DDoS攻擊的過程中每一個在網(wǎng)絡(luò)中發(fā)生的訪問行為都會被系統(tǒng)檢測并判斷其合法性,一旦發(fā)覺這一行為存在安全威脅,系統(tǒng)將自動調(diào)用安全策略,采取直接阻止訪問、限制該終端訪問網(wǎng)絡(luò)區(qū)域(如避開網(wǎng)絡(luò)內(nèi)的核心數(shù)據(jù)或關(guān)鍵服務(wù)區(qū),以及限制訪問權(quán)限等)和限制該終端享用網(wǎng)絡(luò)帶寬速率的方式,將DDoS攻擊發(fā)作的危害降到最低。

  在終端用戶的安全控制方面,對所有進入網(wǎng)絡(luò)的用戶系統(tǒng)安全性進行評估,杜絕網(wǎng)絡(luò)內(nèi)終端用戶成為DDoS攻擊來源的威脅。從用戶終端接入網(wǎng)絡(luò)時,安全客戶端會自動檢測終端用戶的安全狀態(tài)。一旦檢測到用戶系統(tǒng)存在安全漏洞(未及時安裝補丁等),該用戶會從網(wǎng)絡(luò)正常區(qū)域中被隔離開,并自動置于系統(tǒng)修復(fù)區(qū)域內(nèi)加以修復(fù),直到完成系統(tǒng)規(guī)定的安全策略才能進入正常的網(wǎng)絡(luò)環(huán)境中。這樣一來,不僅可以杜絕網(wǎng)絡(luò)內(nèi)部各個終端產(chǎn)生安全隱患的威脅,也可使網(wǎng)絡(luò)內(nèi)各個終端用戶的訪問行為得到有效的控制。
400-680-9298,0791-88117053
掃一掃關(guān)注百恒網(wǎng)絡(luò)微信公眾號
歡迎您的光顧,我們將竭誠為您服務(wù)×
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售后服務(wù) 售后服務(wù)
 
售后服務(wù) 售后服務(wù)
 
×