SYN Flood及新版的ARP攻擊是近來(lái)企業(yè)最常面臨的洪水攻擊。SYN Flood是DoS(拒絕服務(wù)攻擊)與DDoS(分布式拒絕服務(wù)攻擊)方式之一,其攻擊方式是利用TCP協(xié)議缺陷,發(fā)送大量偽造的TCP連接請(qǐng)求,從而使得被攻擊方資源耗盡,CPU滿負(fù)荷或內(nèi)存不足。ARP攻擊則是基于ARP協(xié)議特性,攻擊方向受攻擊計(jì)算機(jī)不斷發(fā)送欺詐性質(zhì)的ARP數(shù)據(jù)包,數(shù)據(jù)包內(nèi)包含有與當(dāng)前設(shè)備重復(fù)的Mac地址,使對(duì)方在響應(yīng)報(bào)文時(shí),由于簡(jiǎn)單的地址重復(fù)錯(cuò)誤而導(dǎo)致不能進(jìn)行正常的網(wǎng)絡(luò)通信。
Qno俠諾引入路由器產(chǎn)品的一些功能,能讓用戶有更多彈性因應(yīng)這些新形態(tài)的攻擊作相對(duì)的配置。以下針對(duì)不同的攻擊說(shuō)明這些新導(dǎo)入的功能。
•洪水攻擊防御的加強(qiáng):洪水攻擊屬于DOS攻擊的一種,它利用網(wǎng)絡(luò)協(xié)議缺陷,通過(guò)發(fā)送大量的半連接請(qǐng)求,耗費(fèi)CPU和內(nèi)存資源。受攻的擊路由器將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求,或最后產(chǎn)生TCP/IP堆棧溢出崩潰死機(jī)。
針對(duì)這種攻擊,Qno俠諾路由器軟件中的防火墻功能加上洪水攻擊的閥值機(jī)制,用戶可針對(duì)網(wǎng)絡(luò)廣域網(wǎng)及局域網(wǎng)每秒網(wǎng)絡(luò)包或是單一IP每秒發(fā)出網(wǎng)絡(luò)包,設(shè)定閥值,如果超過(guò)特定閥值,則阻擋該IP或是整個(gè)網(wǎng)絡(luò)的上網(wǎng)需求。在這個(gè)設(shè)定中,具有關(guān)鍵地位的是針對(duì)單一IP設(shè)定的閥值,根據(jù)俠諾的技術(shù)支持經(jīng)驗(yàn)發(fā)現(xiàn),設(shè)定在每秒2000個(gè)包,應(yīng)可有效抵抗攻擊。值得注意的是,當(dāng)設(shè)定閥值太低時(shí),對(duì)于QQ視頻或是相似的應(yīng)用,會(huì)產(chǎn)生影響,因此也不能設(shè)定太低。
 |
| 圖四 |
另外,以往的攻擊往往利用TCP協(xié)議進(jìn)行,最近發(fā)現(xiàn)UDP及ICMP的攻擊形式也漸漸增加,因此在產(chǎn)品中加進(jìn)了這個(gè)功能。
