针对拒绝服务攻击Forefront的应对措施

二、Forefront产品针对拒绝服务攻击的工作原理

一般来说，Forefront产品针对拒绝服务淹没攻击主要是通过以下三个步骤来完成的。

第一步：识别恶意通讯的连接。Forefront产品会根据一定的规则对网络中的连接进行侦测。当发现有可疑的连接时，系统就会记录在案，并将其视为“嫌疑犯”，对其后续的内容进行跟踪，直到消除其嫌疑为止。

第二步：超过连接限制时触发警报并阻止恶意通讯的连接限制。当超过正常的连接，并且已经影响到其他用户的合法访问的时候，系统就会发出警报。并且根据网络安全人员的设置，会自动阻止恶意通信的连接限制。防止其继续发起拒绝服务淹没攻击，给其他人员的正常访问带来不利影响。

第三步：纪录淹没缓解的事件。在系统事件日志中，还会对攻击过程中，淹没缓解的事件进行记录。在后续故障排查过程中，这些事件信息非常的关键。有了这些事件信息的话，系统管理员可以在比较短的时间之内，找到局域网内部参与攻击的IP地址。这主要是因为在这个攻击中，企业内部的不少主机可能在不知不觉当中成为了别人的“肉鸡”，成为了帮凶。及时的清除这些帮凶，对于避免下一步的攻击会很有帮助。

三、通过连接限制来防止拒绝服务攻击

对于Forefront来说，其主要的控制手段就是“连接限制”。这归根结底是一种“配额机制”。这个机制会对微软防火墙处理的TCP和非TCP通讯强制应用连接限制。具体的连接限制有如下几种。

1、用于限制在一秒钟内可以为单个服务器发布或者访问规则创建的UDP以及其他原始IP连接总数的连接限制。这主要用来针对UDP淹没攻击。