日期:2016-7-15(原创文章,禁止转载)
几种分布式攻击的防范(3)
8、使用ngrep工具来处理tfn2k攻击
根据使用DNS来跟踪tfn2k驻留程序的原理,现在已出现了称为ngrep的实用工具。经过修改的ngrep可以监听大约5种类型的tfn2k拒绝服务攻击(targa3, SYN f环使用的缓存用来记录DNS和ICMP要求。如果ngrep发觉有攻击行为的话,它会将其缓存中的内容打印出来并继续记录ICMP回应要求。假设攻击者通过ping目标主机的手段来铆定攻击目标的话,在攻击进程中或以后记录ICMP的回应请求是一种捕获粗心的攻击者的方法。由于攻击者还极可能使用其他的服务来核实其攻击的效果(例如web),所以对其他的标准服务也应当有尽可能详细的日志记录治疗癫痫病最好的权威医院。
还应当注意,ngrep采取的是监听络的手段,因此,ngrep没法在交换式的环境中使用。但是经过修改的ngrep可以没必要和你的DNS在同一个段中,但是他必须位于一个可以监听到所有DNS要求的位置。经过修改的ngrep也不关心目标地址,您可以把它放置在DMZ段吉林癫痫哪个医院最好,使它能够检查横贯该络的tfn2k攻击。从理论上讲,它也可以很好的检测出对外的tfn2k攻击。
在ICMP flood事件中,ICMP回应要求的报告中将不包括做为tfn2k flood一部分的ICMP包。Ngrep还可以报告检测出来的除smurf以外的攻击类型(TARGA, UDP, SYN, ICMP等)。混合式的攻击在缺省情况下表现为ICMP攻击,除非你屏蔽了向内的ICMP回应要求,这样它就表现为UDP或SYN攻击。这些攻击的结果都是基本类似的。
9、有关入侵检测系统的建议
由于许多用来击败基于络的入侵检测系统的方法对绝大多数商业入侵检测系统产品依然是有效的,因此建议入侵检测系统应当最少有能重组或发觉碎片的自寻址数据包。下面是部份要注意的事项:
确信包括了现有的所有规则,包括一些针对分布式拒绝服务攻击的新规则。如果遵守了ICMP建议项,许多ICMP会被阻塞,入侵检测系统触发器存在许多机会。任何通常情况下要被阻塞的入站或出站的ICMP数据包可以被触发。 "任何"被你用防火墙分离的络传输都可能是一个潜伏的IDS触发器。
如果你的入侵检测系统支持探测长时间周期的攻击,确信没有把允许通过防火墙的被信任主机排除在外。这也包括虚拟专用。 如果你能训练每一个使用ping的用户在ping主机时使用小数据包癫痫病吃什么药,就可能设置入侵检测系统寻觅超29字节的Echo和Echo应对数据包。
