| 網絡故障(network failure)是指由于硬件的問題���、軟件的漏洞�、病毒的侵入等引起網絡無法提供正常服務或降低服務質量的狀態���。 在網絡使用過程中�,經常會遇到各種網絡攻擊,例如掃描攻擊,DoS攻擊等。 我們公司的企業級路由器具有內置的當前通用網絡攻擊防護措施,支持內部/外部攻擊防護���,并提供諸如掃描攻擊,DoS攻擊,可疑數據包以及包含IP選項的數據包之類的攻擊保護����,并且可以檢測檢測并阻止網絡攻擊�,例如IP地址欺騙����,源路由攻擊,IP /端口掃描,DoS等,并有效地防止Nimda攻擊���。 (路由器僅可防止網絡中的常見攻擊并監視網絡的運行。對于應用層中的應用程序(例如病毒和木馬),我們的路由器不是防病毒軟件�,并不是我設置了一個防火墻或路由器上的攻擊���。保護等方面�,您的計算機將不會感染病毒 打開攻擊防護時�,必須打開路由器“主防火墻交換機”并選擇相應的“啟用攻擊防護”: 
在“安全設置”->“攻擊保護”菜單中,您可以看到路由器針對各種網絡攻擊的保護和設置; 
防范各種常見的網絡攻擊:正確設置各種保護閾值����,可以有效地防范各種攻擊���。請根據您的網絡環境進行相應的設置����。通常�����,您可以使用路由器的默認值�����,也可以自己設置。設置閾值時,請勿將閾值設置得太小�,否則會導致截獲率太高��。可能會將網絡中的正常數據包誤認為是非法數據包,從而使您的網絡無法正常使用�;不要將閾值設置得太大�,這將無法達到防攻擊的效果�����。 
在區域設置中����,您可以在LAN和WAN之間進行選擇�����。如果選擇局域網�����,則可以監視來自局域網的數據包;并且您可以選擇WAN來監視來自外部網絡的數據包����。 1、掃描攻擊防護的主要類型有三種:IP掃描�����,端口掃描和IP欺騙����。 
WAN區域中沒有IP欺騙設置。掃描通常是攻擊的第一步�����。攻擊者可以使用IP掃描和端口掃描來獲取目標網絡的主機信息以及目標主機的端口打開狀態���,然后對主機或主機的端口發起攻擊���。掃描前判斷和保護可以有效地防止攻擊�。我們公司用于掃描攻擊的企業級路由器的基礎是設置時間閾值(微秒級)。如果某些數據包的數量在指定的時間間隔內超過10����,則認為已執行了掃描�����。在接下來的兩秒鐘內,來自同一源的此類掃描數據包將被拒絕�。通常建議將閾值設置得盡可能大�����,最大值是1秒,即1,000,000微秒�,通常建議將0.設置在5-1秒之間。 (閾值越大�,防火墻對掃描的越敏感) 
以下是路由器未啟用攻擊防護時使用端口掃描工具進行掃描的結果: 
啟用路由器的“攻擊保護”: 
此時端口掃描的結果是: 
通過數據包捕獲分析����,路由器檢測到端口掃描攻擊,并進行了相應的攻擊防護����。掃描工具未收到前端計算機返回的信息����,因此在端口掃描期間無法完成端口掃描��。此時��。路由器將系統日志發送到日志服務器,并檢測到存在攻擊����。 打開防火墻的攻擊保護后���,掃描軟件無法正確掃描��。但是,路由器的每次掃描都確定允許十個掃描的數據包通過����。因此�,目標計算機的開放端口可能恰好在十個允許的數據包中并且可以被掃描�����,但是這種可能性非常小��。 日志服務器上記錄了端口掃描攻擊: 
有關日志服務器的使用,請參閱“日志服務器的安裝和使用”�。該日志清楚地記錄了Intranet計算機19 2. 16 8. 1. 100的端口掃描行為。 2、 DoS攻擊主要包括:ICMP Flood����,UDP Flood�,SYN Flood����,Land Attack,WinNuke。 
拒絕服務(DoS--拒絕服務)攻擊的目的是使用大量虛擬信息流來耗盡目標主機的資源�����。目標主機被迫處理虛假信息流�����,從而影響正常信息流的處理�����。如果攻擊來自多個源地址,則稱為分布式拒絕服務DDoS�����。 判斷我們公司的企業級路由器的DoS攻擊的基礎是:如果在指定的時間間隔(1秒)內��,設置一個閾值(單位是每秒PPS的數據包數=每秒的數據包)����,則設置一個閾值���。確定如果數據包超過設置的閾值�,則認為發生了洪泛攻擊��。然后��,在接下來的2秒內,請忽略來自相同攻擊源的此類數據包�����。 此處��,“ DoS攻擊保護”閾值設置與上述“掃描攻擊”閾值正好相反����。值越小,它越“敏感”���,但通常不應太小。普通應用程序不會影響它����。我們可以根據自己的環境進行設置�。實際應用中的動態調整����。 以下是ICMP的示例。當路由器未啟用攻擊防護時�����,請對前端計算機執行ping操作: 使用數據包發送工具以1000pps的速度對前端計算機執行ping操作���,您可以看到前端計算機通過捕獲數據包做出響應���。 具有路由器攻擊保護功能的ICMP Flood攻擊保護功能已打開����,并且閾值設置為100pps�。 
此時執行數據包捕獲分析: 路由器檢測到ICMP Flood攻擊并將日志發送到日志服務器,但是在隨后的ping請求中未收到響應���。有效地防止ICMP Flood攻擊。 在日志服務器中���,您還可以查看相應的攻擊信息: 3、可疑的數據包保護包括五種類型:大型ICMP數據包(大于1024字節)����,不帶標志的TCP數據包��,同時設置SYN和FIN的TCP數據包以及僅具有FIN但沒有A??CK的TCP數據包。 ���,未知協議。 
4�、具有IP選項的數據包保護:在Internet協議(RFC 79 1)中���,指定了一組選項以提供特殊的路由控制�����,診斷工具和安全性。這是IP數據包頭的目的��。協議認為這些選項“對于最常用的通信而言是不必要的�����!痹趯嶋H使用中��,它們很少出現在IP標頭中。這些選項通常用于某些惡意目的�����。 IP選項包括: 
選中要檢查的IP選項的復選框�;清除取消支票的選項�。 通常情況下,以上兩個部分的數據包不會出現。它們是異常數據包��,可能被病毒或攻擊者探測�。如果設置了相應的攻擊保護功能,則路由器將丟棄相應的數據包。 本文主要介紹了本公司企業級路由器的攻擊防護的處理機??制和效果,并通過列舉一些示例進行了詳細說明��。示例中使用的參數僅用于測試�����,可能與實際使用環境不符�����。在特定的使用過程中����,您需要根據實際的網絡使用環境進行調試��,以找到合理的閾值來有效保護您的Internet����。
本文來自本站�,轉載請注明本文網址:
http://www.pc-fly.com/a/tongxingongju/article-366153-1.html
當今,越來越多的業務應用運行于網絡架構之上���,保障網絡的持續、高效�����、安全的運行�����,成為網絡管理者面臨的巨大挑戰。
| 
