《2022年几种分布式攻击的防范(3).docx》由会员分享,可在线阅读,更多相关《2022年几种分布式攻击的防范(3).docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2022年几种分布式攻击的防范(3)8、运用ngrep工具来处理tfn2k攻击依据运用DNS来跟踪tfn2k驻留程序的原理,现在已经出现了称为ngrep的好用工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3,SYNflood,UDPflood,ICMPflood和smurf),它还有一个循环运用的缓存用来记录DNS和ICMP恳求。假如ngrep发觉有攻击行为的话,它会将其缓存中的内容打印出来并接着记录ICMP回应恳求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话,在攻击过程中或之后记录ICMP的回应恳求是一种捕获马虎的攻击者的方法。由于攻击者还很可
2、能运用其他的服务来核实其攻击的效果(例如web),所以对其他的标准服务也应当有尽量具体的日志记录。还应当留意,ngrep采纳的是监听网络的手段,因此,ngrep无法在交换式的环境中运用。但是经过修改的ngrep可以不必和你的DNS在同一个网段中,但是他必需位于一个可以监听到全部DNS恳求的位置。经过修改的ngrep也不关切目标地址,您可以把它放置在DMZ网段,使它能够检查横贯该网络的tfn2k攻击。从理论上讲,它也可以很好的检测出对外的tfn2k攻击。在ICMPflood事务中,ICMP回应恳求的报告中将不包括做为tfn2kflood一部分的ICMP包。Ngrep还可以报告检测出来的除smur
3、f之外的攻击类型(TARGA,UDP,SYN,ICMP等)。混合式的攻击在缺省状况下表现为ICMP攻击,除非你屏蔽了向内的ICMP回应恳求,这样它就表现为UDP或SYN攻击。这些攻击的结果都是基本类似的。9、有关入侵检测系统的建议由于很多用来击败基于网络的入侵检测系统的方法对绝大多数商业入侵检测系统产品仍旧是有效的,因此建议入侵检测系统应当至少有能重组或发觉碎片的自寻址数据包。下面是部分要留意的事项:确信包括了现有的全部规则,包括一些针对分布式拒绝服务攻击的新规则。假如遵循了ICMP建议项,很多ICMP会被堵塞,入侵检测系统触发器存在很多机会。任何通常状况下要被堵塞的入站或出站的ICMP数据包可以被触发。 任何被你用防火墙分别的网络传输都可能是一个潜在的IDS触发器。假如你的入侵检测系统支持探测长时间周期的攻击,确信没有把允许通过防火墙的被信任主机解除在外。这也包括虚拟专用网。 假如你能训练每个运用ping的用户在ping主机时运用小数据包,就可能设置入侵检测系统找寻超29字节的Echo和Echo应答数据包。