一、 「雙向繫結」輕鬆應對arp攻擊
這種arp攻擊的防範方式是以arp echo指令方式應對,可以解決只是為了盜寶為目的傳統arp攻擊。對於整體網路不會有影響。網際網路上可以很容易找到相關的資訊。
在arp echo的解決方法提出後,arp攻擊開始進行演化。新的arp攻擊方式,使用更高頻率的arp echo,壓過使用者的arp echo廣播。由於發出廣播包的次數太多,因此會使整個區域網變慢,或占用閘道器運算能力,發生內網很慢或上網絡卡的現象。如果嚴重時,通常就發生瞬斷或全網掉線的情況。
此外,內網ip欺騙是在arp攻擊另乙個變型攻擊方式。攻擊計算機會偽裝成一樣的ip,讓受攻擊的計算機產生ip衝突,無法上網。這種攻擊,往往影響的計算機有限,而不是大規模影響。
內網ip欺騙採用雙向繫結方式,可以有效解決。先作好繫結配置的計算機,不會受到後來的偽裝計算機的影響。因此,等於一次因應arp及內網ip欺騙解決。若是採用其它的arp防制方法,則要採用另行的方法應對。
二、「動態智慧型頻寬管理」防範dos攻擊
dos攻擊是從發出大量網路包,占用內網頻寬或是路由器運算能力來進行攻擊。
當網管發現內網很慢,ping路由掉包,不知是那一台影響時,通常就是受到dos攻擊。很多內網攻擊的原因經常是使用者安裝了外掛程式軟體,變成發出攻擊的計算機。有的內網攻擊會自行變換ip,讓網管更難找出是誰發出的網路包。
qno俠諾提出內網攻擊的解決方案,是從路由器判別,阻斷發出網路包計算機的上網能力。因此使用者會發現如果用攻擊程式測試,立刻就發生掉線的情況,這就是因為被路由器認定為發出攻擊計算機,自動被切斷所致。正確的測試方法是用兩台測試,一台發出攻擊包給路由器,另一台看是否能上網。對於內網攻擊,另外的解決之道是採用聯防的交換機,直接把不正常計算機的實體聯機切斷,不過具聯防能力交換器的成本較高,有時比路由器還要貴。
外網流量攻擊,可以用聯機數加以輔助判斷,但是不容易解決。有些地區可以要求isp更換ip,但經常是幾天後攻擊又來了。有些使用者搭配多條動態ip撥接的adsl備援,動態ip就較不易成為攻擊的目標。外網流量攻擊屬於犯法行為,可通知isp配合執法單位追查,但現在看起來效果並不大。qno俠諾也曾呼御有關主管單位加以重視,但並沒有較好的響應。這現在是最難處理的攻擊。
qno俠諾推出的**artqos功能,就是乙個針對前述的需求而研發的新功能。「動態智慧型qos」主要配置引數為整體對外頻寬大小及單一使用者最多可占用頻寬大小,路由器就可進行動態的智慧型管理,突發的頻寬需要會被允許,只有真的持續占用頻寬的使用者會被限制,同時又能提高路由器效能。
雖然配置簡單,但「動態智慧型頻寬管理」結合了聯機數限制、spi包檢測、二次懲罰機制等多種先進技術來完成。其中二次懲罰機制也為qno俠諾首先提出的概念,它容許內網使用者短期間占用大頻寬,但是若是持續占用,路由器會不斷縮小其可使用的頻寬,直至無法上網為止。這個機制對於新式攻擊軟體,可以起到有效管制的作用。
三、小結
CSRF 攻擊的原理和防範措施
使用者c訪問正常 a時進行登入,瀏覽器儲存a的cookie 而攻擊 b在訪問 a的時候,瀏覽器會自動帶上 a的cookie 所以 a在接收到請求之後可判斷當前使用者是登入狀態,所以根據使用者的許可權做具體的操作邏輯,造成 攻擊成功 在指定表單或者請求頭的裡面新增乙個隨機值做為引數 在響應的cooki...
機房ARP攻擊的一些防範方法
最近好像某個組織鬧得很火,暗組什麼的很多論壇啊,某些人的部落格啊,聽說都給改了首頁。原因居然都是arp攻擊,暈死人了,沒有技術含量啊。最根本的原因還是國內的機房管理十分不規範造成的,這麼老的攻擊手段居然頻頻湊效,可以說很多機房的arp防護措施幾乎沒有,因為便宜,所以自然容易出問題的了。針對arp攻擊...
CRLF注入攻擊的原理和其防範措施
crlf注入攻擊並沒有像其它型別的攻擊那樣著名。但是,當對有安全漏洞的應用程式實施crlf注入攻擊時,這種攻擊對於攻擊者同樣有效,並且對使用者造成極大的破壞。讓我們看看這些應用程式攻擊是如何實施的和你能夠採取什麼措施保護你的機構。crlf的含義是 carriage return line feed ...