以下介紹Qno俠諾新近研發(fā)并推出的FVR360v/FVR420v路由器的一些功能,方便用戶(hù)有更多彈性來(lái)應(yīng)對(duì)新形態(tài)的攻擊,并作出相對(duì)的配置。以下功能導(dǎo)入于FVR300、FVR360/FVR360v、FVR420/FVR420v,針對(duì)不同的攻擊,說(shuō)明必須新導(dǎo)入的功能。
FVR360v/FVR420v路由器新防衛(wèi)功能
1、洪水攻擊防御的加強(qiáng):洪水攻擊攻擊屬于DOS攻擊的一種,它利用網(wǎng)絡(luò)協(xié)議缺陷,通過(guò)發(fā)送大量的半連接請(qǐng)求,耗費(fèi)CPU和內(nèi)存資源。受攻擊路由器將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶(hù)的正常請(qǐng)求,或最后產(chǎn)生TCP/IP堆棧溢出崩潰死機(jī)。
針對(duì)這種攻擊,F(xiàn)VR360v/FVR420v軟件中的防火墻功能加上洪水攻擊的門(mén)坎機(jī)制,用戶(hù)可針對(duì)網(wǎng)絡(luò)廣域網(wǎng)及局域網(wǎng)每秒網(wǎng)絡(luò)包或是單一IP每秒發(fā)出網(wǎng)絡(luò)包,設(shè)定門(mén)坎,如果超過(guò)特定門(mén)坎,則阻擋該IP或是整個(gè)網(wǎng)絡(luò)的上網(wǎng)需求。在這個(gè)設(shè)定中,具有關(guān)鍵性地位的是針對(duì)單一IP設(shè)定的門(mén)坎,根據(jù)Qno俠諾技術(shù)工程師實(shí)際的工作經(jīng)驗(yàn)發(fā)現(xiàn),設(shè)定在每秒2000個(gè)包,應(yīng)可有效抵抗攻擊。值得注意的是,當(dāng)設(shè)定門(mén)坎太低時(shí),對(duì)于QQ視頻或是相似的應(yīng)用,會(huì)產(chǎn)生影響,因此也不能設(shè)定太低。
![""]("http://network.51cto.com/files/uploadimg/20070115/1109010.jpg") 498)this.style.width=498;" border=0> |
| 圖一:UDP及ICMP網(wǎng)絡(luò)協(xié)議的攻擊也很普遍 |
圖一:要對(duì)抗洪水攻擊,必須針對(duì)大量發(fā)出網(wǎng)絡(luò)包的IP地址加以管制,除了TCP協(xié)議外,現(xiàn)在UDP及ICMP網(wǎng)絡(luò)協(xié)議的攻擊也很普遍。
2、MAC/IP欺騙型ARP攻擊防御的加強(qiáng)
另外,以往的攻擊經(jīng)常利用TCP協(xié)議進(jìn)行,最近發(fā)現(xiàn)UDP及ICMP的攻擊型式也漸漸增加,因此在我們?cè)谕瞥龅腇VR360v與FVR420v兩款新產(chǎn)品中加進(jìn)了這個(gè)功能。
ARP攻擊利用廣播封包,影響網(wǎng)絡(luò)的運(yùn)作。Qno俠諾之前推廣了雙向綁定的解決方案,即在客戶(hù)端及路由器端都必須進(jìn)行ARP協(xié)議的綁定,可預(yù)防受到干擾。但是新版ARP變型攻擊軟件采取自動(dòng)變換IP及MAC的方式,不斷發(fā)出網(wǎng)絡(luò)包給路由器,讓路由器忙于處理無(wú)用的數(shù)據(jù)包,而影響正常的運(yùn)作。
在新版的FVR360v/FVR420v軟件中,加入了自動(dòng)判別的功能,可以不理會(huì)非正常MAC或IP所發(fā)出的數(shù)據(jù)包,也不加以轉(zhuǎn)發(fā),可減少攻擊所產(chǎn)生的影響。用戶(hù)可在配置路由器時(shí),進(jìn)行學(xué)習(xí)功能,并確認(rèn)正當(dāng)?shù)腎P及MAC,此后路由器即可拒絕其它的網(wǎng)絡(luò)包,以降低ARP攻擊的影響。一旦本機(jī)作用,受到影響的只會(huì)是發(fā)動(dòng)攻擊的計(jì)算機(jī),因?yàn)槊τ诠舴胚\(yùn)作緩慢,但是其它用戶(hù)不會(huì)受到影響。
4、語(yǔ)音告警功能:
新版的Qno俠諾FVR360v/FVR420v內(nèi)建發(fā)音功能,配合以上的功能,在第一時(shí)間可以針對(duì)新型態(tài)攻擊阻擋,同時(shí)會(huì)以語(yǔ)音警示的形式發(fā)出遭受攻擊的訊息。此時(shí)網(wǎng)管可實(shí)時(shí)了解受到攻擊的情況,并可通過(guò)日志功能找出問(wèn)題的來(lái)源并加以隔離,有效控制受害。Qno俠諾強(qiáng)調(diào),抵擋攻擊與實(shí)時(shí)通知兩方面都要作好,才能真正協(xié)助用戶(hù)改善網(wǎng)絡(luò)安全問(wèn)題。
![FVR360v/FVR420v語(yǔ)音路由器]("http://network.51cto.com/files/uploadimg/20070115/1109011.jpg") 498)this.style.width=498;" border=0> |
| 圖二:FVR360v/FVR420v語(yǔ)音發(fā)出遭受攻擊的訊息 |
圖二:新版Qno俠諾FVR360v/FVR420v內(nèi)建發(fā)音功能,在第一時(shí)間可以針對(duì)新型態(tài)攻擊阻擋,同時(shí)會(huì)以語(yǔ)音發(fā)出遭受攻擊的訊息。
整體解決之道
除了路由器的配置以外,Qno俠諾技術(shù)服務(wù)部門(mén)也總結(jié)了全國(guó)許多資深網(wǎng)管的經(jīng)驗(yàn),另外提供兩個(gè)值得參考的改善點(diǎn):
1、減少用戶(hù)使用外掛軟件機(jī)會(huì)
很多環(huán)境發(fā)生攻擊的事件,通常是因?yàn)橛脩?hù)用了外掛軟件,因此如能減少用戶(hù)使用外掛軟件,就能減少攻擊。在國(guó)內(nèi)一些較先進(jìn)的網(wǎng)吧,已經(jīng)提供完整的外掛軟件,不讓用戶(hù)自己從網(wǎng)絡(luò)下載軟件,這樣可以減少攻擊情況的發(fā)生。這點(diǎn)對(duì)于一些網(wǎng)吧而言,可能不太習(xí)慣,但是不失為一個(gè)有效管制方法。
2、配合三層交換管制網(wǎng)絡(luò)
國(guó)內(nèi)許多中大型網(wǎng)吧采用三層交換機(jī)作為骨干交換機(jī),由于三層交換機(jī)也具備許多管制功能,因此如能善用三層交換機(jī)之功能,也可較好的針對(duì)攻擊加以抵抗。有些網(wǎng)管在使用時(shí),只是把三層交換機(jī)當(dāng)成一般的交換機(jī)使用,是有些可惜了!
