通信人家园

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

  三级通信军士

注册:2002-12-11
跳转到指定楼层
1#
发表于 2004-12-18 15:54:00 |只看该作者 |倒序浏览
城域网中大量的病毒和恶意攻击解决方案

[讨论]http://61.242.172.2/forum/viewthread.php?tid=412&sid=947fL3Yk

在网络中有各种各样的数据,这些数据可能是病毒和攻击数据,会导致网络设备的性能s受到大的影响,无法正常的转发数据。

  如:codered  大量的小包
        sql病毒    大量的组播
       还有蠕虫病毒等等
   攻击行为:
         DOS、DDOS等

  当出现这些问题之后,我们需要有更好的办法快速消除问题。
  在病毒出现后我们需要对数据进行分析,已判断哪些数据为不正常数据,并能够对这些不正常数据进行限制。在这方面已经有不错的解决方法:如我们经常提到的流量分析系统。
  我们可以先对网络数据前期作一个分析,对数据进行建立模型。
  然后对网络上所有的流量进行分析,并进行告警。
  一般的分析就做到这里的,剩下就需要手工设置。 (我们可以采用互动协议与防火墙或核心设备交互,在上面增加一些控制,如添加一条指向null接口的路由等)
   在网络攻击上面,再网络设置的时候应该拒绝所有的非公网地址从外网进入。
   在攻击方面我们也可以通过流量分析判断。然后增加相应的控制。
   对于常见的基于icmp的方式我们不在讨论。
   主要关注来自DOS或DDOS等方式。
   对于DDOS分析
   DDOS数据攻击源地址较为分散,攻击源地址经常伪装成私有地址或直接使用被控制主机地址。对于私有地址我们前面说到可以直接通过acl或firewall限制。对于使用公网地址的我们可能就比较麻烦,就算我们查出所有的地址也无法做到限制(N多acl啊)
   比较常见的做法Sink Holes,还有通过tcp syn的限制
   在此方面比较完善的cisco解决方案
   http://www.cisco.com/en/US/products/ps5888/index.html

  希望通过这个POSTs,大家将网络中碰到的病毒或攻击行为整理出来,然后形成一个通用相对完善的解决方案出来!
http://61.242.172.2/forum/viewthread.php?tid=412&sid=947fL3Yk

举报本楼

本帖有 3 个回帖,您需要登录后才能浏览 登录 | 注册
您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系我们 |网站地图  

GMT+8, 2024-11-18 07:36 , Processed in 0.106732 second(s), 16 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部