通信人家园

标题: 城域网中大量的病毒和恶意攻击解决方案 [讨论] [查看完整版帖子] [打印本页]

时间: 2004-12-18 15:54

作者: wjunjmt 标题: 城域网中大量的病毒和恶意攻击解决方案 [讨论]

城域网中大量的病毒和恶意攻击解决方案

[讨论]http://61.242.172.2/forum/viewthread.php?tid=412&sid=947fL3Yk

在网络中有各种各样的数据，这些数据可能是病毒和攻击数据，会导致网络设备的性能s受到大的影响，无法正常的转发数据。

  如：codered  大量的小包
      sql病毒大量的组播
   还有蠕虫病毒等等
攻击行为：
      DOS、DDOS等

  当出现这些问题之后，我们需要有更好的办法快速消除问题。
  在病毒出现后我们需要对数据进行分析，已判断哪些数据为不正常数据，并能够对这些不正常数据进行限制。在这方面已经有不错的解决方法：如我们经常提到的流量分析系统。
  我们可以先对网络数据前期作一个分析，对数据进行建立模型。
  然后对网络上所有的流量进行分析，并进行告警。
  一般的分析就做到这里的，剩下就需要手工设置。（我们可以采用互动协议与防火墙或核心设备交互，在上面增加一些控制，如添加一条指向null接口的路由等）
在网络攻击上面，再网络设置的时候应该拒绝所有的非公网地址从外网进入。
在攻击方面我们也可以通过流量分析判断。然后增加相应的控制。
对于常见的基于icmp的方式我们不在讨论。
主要关注来自DOS或DDOS等方式。
对于DDOS分析
DDOS数据攻击源地址较为分散，攻击源地址经常伪装成私有地址或直接使用被控制主机地址。对于私有地址我们前面说到可以直接通过acl或firewall限制。对于使用公网地址的我们可能就比较麻烦，就算我们查出所有的地址也无法做到限制(N多acl啊)
比较常见的做法Sink Holes,还有通过tcp syn的限制
在此方面比较完善的cisco解决方案
http://www.cisco.com/en/US/products/ps5888/index.html

  希望通过这个POSTs，大家将网络中碰到的病毒或攻击行为整理出来，然后形成一个通用相对完善的解决方案出来！
http://61.242.172.2/forum/viewthread.php?tid=412&sid=947fL3Yk

时间: 2004-12-24 22:57

作者: wjunjmt

没有人遇到这种问题？？

时间: 2004-12-25 15:07

作者: 2002-7-18

现在有许多安全公司有好的解决方案的。
如安氏

时间: 2013-6-2 18:25

作者: 苦逼的通信

:) 我想学习下这个方面的经验我是做工程的这个不明白求视频

通信人家园 (https://www.txrjy.com/)