针对拒绝服务攻击Forefront的应对措施
2010-06-22 00:00:00 来源:WEB开发网核心提示: 二、Forefront产品针对拒绝服务攻击的工作原理一般来说,Forefront产品针对拒绝服务淹没攻击主要是通过以下三个步骤来完成的,针对拒绝服务攻击Forefront的应对措施(2),第一步:识别恶意通讯的连接,Forefront产品会根据一定的规则对网络中的连接进行侦测,具体的连接限制有如
二、Forefront产品针对拒绝服务攻击的工作原理
一般来说,Forefront产品针对拒绝服务淹没攻击主要是通过以下三个步骤来完成的。
第一步:识别恶意通讯的连接。Forefront产品会根据一定的规则对网络中的连接进行侦测。当发现有可疑的连接时,系统就会记录在案,并将其视为“嫌疑犯”,对其后续的内容进行跟踪,直到消除其嫌疑为止。
第二步:超过连接限制时触发警报并阻止恶意通讯的连接限制。当超过正常的连接,并且已经影响到其他用户的合法访问的时候,系统就会发出警报。并且根据网络安全人员的设置,会自动阻止恶意通信的连接限制。防止其继续发起拒绝服务淹没攻击,给其他人员的正常访问带来不利影响。
第三步:纪录淹没缓解的事件。在系统事件日志中,还会对攻击过程中,淹没缓解的事件进行记录。在后续故障排查过程中,这些事件信息非常的关键。有了这些事件信息的话,系统管理员可以在比较短的时间之内,找到局域网内部参与攻击的IP地址。这主要是因为在这个攻击中,企业内部的不少主机可能在不知不觉当中成为了别人的“肉鸡”,成为了帮凶。及时的清除这些帮凶,对于避免下一步的攻击会很有帮助。
三、通过连接限制来防止拒绝服务攻击
对于Forefront来说,其主要的控制手段就是“连接限制”。这归根结底是一种“配额机制”。这个机制会对微软防火墙处理的TCP和非TCP通讯强制应用连接限制。具体的连接限制有如下几种。
1、用于限制在一秒钟内可以为单个服务器发布或者访问规则创建的UDP以及其他原始IP连接总数的连接限制。这主要用来针对UDP淹没攻击。
[]
更多精彩
赞助商链接