DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求就无法通过。连通性攻击指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。
如何有效防护DOS的攻击相信是不少网络管理人员非常头疼的问题。今天笔者就为大家带来纽盾科技NBADswitchII+系列交换机产品,让我们针对该款产品进行网络防护原理的解析。
DoS的攻击防护
攻击实现原理
开头我们就讲了,发动DOS攻击的攻击者是通过发送超大ICMP风暴进行分片、重组后进行攻击的。攻击者通过任意源MAC地址到目的地址为广播地址的ICMP echo封包,造成局域网大量主机回应ICMP Reply给受害主机。
实验拓扑
实验步骤
Step1:使用UDP Attack攻击工具
Step2:UDP 7 、UDP 19 Chargen
Step3:通过Ping来制造ICMP Fragment
防范措施
Step1:通过NBADswitchII+的UDP Echo、Chargen防护,过滤相应的攻击。
Step2:通过NBADswitchII+的ICMP Fragment防护,来过滤ICMP分片包的攻击。
Step3:通过NBADswitchII+的ICMP Smurf防护攻击。
Step4:对于其他一些ODS特征ACL,使用Rate limiter来控制流量。
Limited参数可根据网络规模用户数量实际设定。
相信通过这篇攻防兼具的实战解析,大家对于DoS攻击想必也有了更进一步的了解。对于采用纽盾的NBADswitchII+系列交换机产品的用户来说,能够有效地防止DoS攻击可谓是小菜一碟。同样,我们也相信通过这篇文章,纽盾这个国内新兴网络安全设备供应商,定能在不久的将来占据网络安全厂商市场的一席之地。
>
网友评论