SYN Flood及新版的ARP攻击是近来企业最常面临的洪水攻击。SYN Flood是DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)方式之一,其攻击方式是利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽,CPU满负荷或内存不足。ARP攻击则是基于ARP协议特性,攻击方向受攻击计算机不断发送欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在响应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。
Qno侠诺引入路由器产品的一些功能,能让用户有更多弹性因应这些新形态的攻击作相对的配置。以下针对不同的攻击说明这些新导入的功能。
•洪水攻击防御的加强:洪水攻击属于DOS攻击的一种,它利用缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。受攻的击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,或最后产生TCP/IP堆栈溢出崩溃死机。
针对这种攻击,Qno侠诺路由器软件中的防火墙功能加上洪水攻击的阀值机制,用户可针对网络广域网及局域网每秒网络包或是单一IP每秒发出网络包,设定阀值,如果超过特定阀值,则阻挡该IP或是整个网络的上网需求。在这个设定中,具有关键地位的是针对单一IP设定的阀值,根据侠诺的技术支持经验发现,设定在每秒2000个包,应可有效抵抗攻击。值得注意的是,当设定阀值太低时,对于QQ视频或是相似的应用,会产生影响,因此也不能设定太低。
图四:要对抗洪水攻击,必须针对大量发出网络包的IP地址加以管制,除了TCP协议外,现在UDP及ICMP网络协议的攻击也很普遍。
另外,以往的攻击往往利用TCP协议进行,最近发现UDP及ICMP的攻击形式也渐渐增加,因此在产品中加进了这个功能。
•MAC/IP欺骗型ARP攻击防御的加强:ARP攻击利用广播封包,影响网络的运作。侠诺之前推广了双向绑定的因应之道,即在客户端及路由器端都必须进行ARP协议的绑定,可预防受到干扰。但是新版ARP变型攻击软件采取自动变换IP及MAC的方式,不断发出网络包给路由器,让路由器忙于处理无用的数据包,而影响正常的运作。
在侠诺新版的软件中,加入了自动判别的功能,可以不理会非正常MAC或IP所发出的数据包,也不加以转发,可减少攻击所产生的影响。用户可在配置路由器时,进行学习功能,并确认正当的IP及MAC,之后路由器即可拒絶其它的网络包,以降低ARP攻击的影响。一旦本机制作用,受到影响的只会是发动攻击的计算机,因为忙于攻击而运作缓慢,但是其它用户不会受到影响。
•语音告警功能:新版Qno侠诺路由器内建发音功能,配合以上的功能,在第一时间可以针对新型态攻击阻挡,同时会以语音发出遭受攻击的讯息。此时网管可实时知道会受到攻击的情况,并可通过日志功能找出有问题的来源,加以隔离,并有效控制受害。侠诺强调同时在抵挡攻击及实时通知两方面都要作好,才能真正协助用户改善网络安全问题。
【相关文章】