三層交換阻擊DoS攻擊

儘管全球網路安全專家都在著力開發抗dos攻擊的辦法，但收效不大，因為dos攻擊利用了tcp協議本身的弱點。在交換機上進行設定，並安裝專門的dos識別和預防工具，能最大限度地減少dos攻擊造成的損失。

利用三層交換建立全面的網路安全體系，其基礎必須是以三層交換和路由為核心的智慧型網路，有完善的三層以上的安全策略管理工具。同時，在網路的設計階段，就應該進行合理布置。

區域網層

在區域網層上，網管員可採取很多預防措施。例如，儘管完全消除ip分組假冒現象幾乎不可能，但網管員可構建過濾器，如果資料帶有內部網的信源位址，則通過限制資料輸入流量，可有效降低內部假冒ip攻擊。過濾器還可限制外部ip分組流，防止假冒ip的dos攻擊被當作中間系統。

其他方法還有：關閉或限制特定服務，如限定udp服務只允許於內部網中用於網路診斷目的。

遺憾的是，這些限制措施可能給合法應用（如採用udp作為傳輸機制的realaudio）帶來負面影響。如果攻擊者能脅迫受害者不使用ip服務或其他合法應用，那麼這些黑客已經達到了dos攻擊的目的。

網路傳輸層

以下對網路傳輸層的控制可對以上不足進行補充。

1、獨立於層的線速服務質量(qos)和訪問控制

帶有可配置智慧型軟體、獨立於層的qos和訪問控制功能的線速多層交換機的出現，改善了網路傳輸裝置保護資料流完整性的能力。

在傳統路由器中，認證機制（如濾除帶有內部位址的假冒分組）要求流量到達路由器邊緣，並與特定訪問控制列表中的標準相符。但維護訪問控制列表不僅耗時，而且極大增加了路由器開銷。

相比之下，線速多層交換機可靈活實現各種基於策略的訪問控制。

這種獨立於層的訪問控制能力把安全決策與網路結構決策完全分開，使網管員在有效部署了dos預防措施的同時，不必採用次優的路由或交換拓撲。結果，網管員和服務**商能把整個都會網路、資料中心或企業網環境中基於策略的控制標準無縫地整合起來，而不管其採用的是複雜的基於路由器的核心服務，還是相對簡單的第二層交換。此外，線速處理資料認證可在後台執行，基本沒有效能延遲。

2．可定製的過濾和「信任鄰居」機制

智慧型多層訪問控制的另一優點是，能簡便地實現定製過濾操作，如根據特定標準定製對系統響應的控制粒度。多層交換可把分組推送到指定的最大頻寬限制的特定qos配置檔案上，而不是對可能是dos攻擊的組制訂簡單的「通過」或「丟棄」決策。這種方式，既可防止dos攻擊，也可降低丟棄合法資料報的危險。

另乙個優點是能定製路由訪問策略，支援具體系統之間的「信任鄰居」關係，防止未經授權使用內部路由。

以極進網路公司的extremeware套裝軟體為例，它對映和覆蓋了ieee 802.1p和diffserv標記，使所有交換機都能忽略、觀察或處理從「不信任鄰居」發來的任何diffserv標記。這些機制，可使系統管理員根據來自特定鄰居的流量調整內部路由策略。

3．定製網路登入配置

網路登入採用惟一的使用者名稱和口令，在使用者獲准進入前認證身份。網路登入由使用者的瀏覽器把動態主機配置協議（dhcp）遞交到交換機上，交換機捕獲使用者身份，向radius伺服器傳送請求，進行身份認證，只有在認證之後，交換機才允許該使用者發出的分組流量流經網路。

在ieee 802.1草案中已規定，網路登入機制可控制使用者對交換機的訪問，最大限度地降低直接dos攻擊的危險。同時，網路登入為管理和跟蹤內部使用者提供了一種強健的機制

三層交換阻擊DoS攻擊

三層交換阻擊DoS攻擊

三層交換技術

三層交換原理

三層交換阻擊DoS攻擊

三層交換阻擊DoS攻擊

三層交換技術

三層交換原理

相關推薦