 |
 |
|
 |
 首页 >> 网络产品 >> 安全设备 |
|
|
| 平安奥运安全网吧 网络安全精心防范 [安全设备] |
| IT.com.cn(IT世界网) |
| 2008-8-5 8:50:00 文/ |
|
抗内网攻击
内网攻击主要是ARP攻击和内网的DDoS攻击比较多,针对这种攻击,主要有以下三种防范方法。
双向绑定
其中双向绑定是过去比较常用的一种方法,它在路由器或者ROS代理服务器上上绑定内网所有PC的IP地址和MAC地址,在每一台PC上绑定网关的IP地址和MAC地址,形成一个相对固定映射关系来防止ARP欺骗。这种做法对过去的ARP病毒是有效的,随着ARP病毒的演进,新的ARP病毒会在系统运行过程中删除PC的ARP绑定,此时双向绑定将失效,所以众多网吧在双向绑定后依然出现个人数据、财产被盗取的事件。
示例:通过双绑有隐患,不能完全解决掉线问题
在PC上安装过滤软件
在PC上安装过滤软件,PC成为软件防火墙过滤PC发出DDoS报文以及欺骗的ARP报文,一般这类软件称自己为防水墙。通过监控网卡中所有的报文,并将其与软件自身设定的内容进行比对。受限于软件自身的处理能力,该类型的软件一般仅过滤TCP协议,而对网吧中大量游戏、视频应用使用的UDP、ICMP、ARP等报文不做过滤。由于过滤的报文数量众多且持续不断,对PC的性能造成了影响严重,经过测试在30-40M流量下,由于过滤软件的原因很容易导致PC的CPU使用率超过90% 。
比如AntiARP类型的软件是通过包装驱动层NDIS来过滤ARP数据包,每一个流进或流出的数据包都要经过NDIS才能到达网卡,因此这是一个典型的串行系统。
AntiARP在这一层变造数据包修改网关ARP和攻击网管服务器
但这样做有3个危险:
第一、如果AntiARP驱动不稳定,将会导致用户计算机轻则不能上网,重则系统崩溃。
第二、AntiARP驱动在系统0层运行,其实用户相当于将全部权限给了AntiARP,如果这个软件万一染毒,任何杀毒软件都无效。(杀毒软件的权限最高也只有0层)。
第三、可能引起局域网内ARP广播风暴
通过安全交换机过滤非法ARP及DDoS攻击
在经过双向绑定和、安装防ARP欺骗软件之后,目前网吧中出现了另一个依靠硬件的防ARP方法。这种方式在交换机生成每台PC的IP、MAC关系映射表,通过交换机自身的ARP过滤模块,过滤每个端口下连接的PC发出的ARP报文。交换机只转发拥有正确映射关系的ARP报文,对所有IP或MAC不对应的ARP报文自动丢弃。该处理方法无需对PC进行任何操作,节省了PC的资源。
通过安全交换机过滤网络中所有的DDoS攻击,该方法类似于对ARP的防御方法,通过交换机内置硬件DDoS防御模块,每个端口对收到的DDoS攻击报文,进行基于硬件的过滤。同时交换机在开启DDoS攻击防御的同时,启用自身协议保护,保证自身的CPU不被DDoS报文影响。目前已知的,通过交换机可以过滤TCP SYN、UDP SYN、ICMP SYN、Land等常见DDoS攻击,基本涵盖了网吧中常见的各种DDoS攻击。利用交换机防御DDoS攻击,防御效率高,对PC和网络无影响,是目前最经济高效的防御方式。
示例:锐捷安全交换机支持安全地址设置和IP、MAC、交换机端口号三元素绑定
·IT产品报价大全 |
|
|
|
|
[第一页] [上一页] 1 2 3 4 5 [下一页] [最后一页]
|
|
 相关文章 |
|
|
|
|
 |
|
 |
|
|
