为什么路由器防火墙使用“启用“ DOS攻击防护”时”

全部展开

DoS（拒绝服务，拒绝服务）是一种网络攻击，它使用大量虚拟信息流来耗尽目标主机的资源. 目标主机被迫尽力处理假信息流，以使合法用户无法获得服务响应.

通常来说，有两种主要的方法可以手动保护DDOS: 系统优化-主要是通过优化被攻击系统的核心参数来提高系统对DDoS攻击的响应能力. 但是这种方法只能防止小型DDOS. 网络跟踪-通常，遭受DDoS攻击的系统管理员的第一反应是询问更高级别的网络运营商. 这可能是ISP，IDC等. 目的是弄清攻击源. 3.2.2特许策略为了抵抗DDOS攻击，客户可以通过购买硬件来提高系统抵抗DDOS的能力. 但是，这种让步策略的效果不好. 一方面，这种方法太划算了. 另一方面，在黑客增加供应量之后，此方法通常会失败，因此从根本上讲它无法保护DDoS攻击. 3.2.3路由器通过路由器，我们可以实施某些安全措施，例如ACL等. 这些措施确实可以在一定程度上过滤掉非法流量2113. 一般而言，可以根据协议或源地址来设置ACL，但是目前，许多DDOS攻击都使用一些常用的合法协议，例如http协议. 在这种情况下，路由器将无法过滤此类流量. 同时，如果5261DDOS攻击

攻击使用地址欺骗技术伪造数据包，因此路由器无法有效地防止此类攻击. 另一种基于路由器的保护策略是在

中使用单播反向路径转发（uRPF）.

网络边界可阻止来自伪造源IP地址的攻击，但是对于当今的DDOS攻击，此方法将不起作用. 根本原因是uRPF的基本原理是路由器确定出口流量的源地址. 如果它不属于内部子网，它将被阻止. 攻击者可以完全伪造其所在子网的IP地址以进行DDoS攻击，从而可以绕过uRPF保护策略. 另外，如果希望uRPF策略真正起作用，则还需要在每个潜在攻击源的前端路由器上配置uRPF，但是要实山毒霸arp防火墙' target='_blank'>防火墙防火墙几乎是最常用的安全产品，但是防火墙的设计原则并未考虑防御DDOS攻击. 在某些情况下，防火墙甚至成为DDOS攻击的目标，并导致整个网络的拒绝服务. 首先是防火墙缺乏检测DDOS攻击的能力. 通常，防火墙作为三层包转发设备部署在网络中. 一方面，在保护内部网络的同时，它还为内部需求提供了外部Internet

服务设备提供访问权限. 如果DDOS攻击使用这些服务器允许的合法协议来攻击内部系统，则防火墙将无能为力，并且无法准确地区分攻击流量和后台流量. 尽管在防火墙4102中安装了一些模块以检测攻击，但是这些检测机制通常基于特征规则. 只要DDOS攻击者稍微更改攻击数据包，防火墙就无法响应. DDOS攻击的检测必须是​​依赖于行为模式的算法.

第二个原因是传统防火墙的计算能力受到限制. 传统防火墙以高强度检查为代价. 检查强度越高，计算成本就越高. DDOS攻击中的大量流量将导致防火墙的性能急剧下降，并且无法有效地完成数据包转发的任务. 最佳的防火墙部署位置也会影响其防御DDOS攻击的能力. 传统的防火墙通常部署在网络的入口. 尽管它们从某种意义上保护了网络中的所有资源，但它们通常是DDOS攻击的目标. 攻击者发起DDOS攻击后，网络的整体性能通常会降低，从而导致用户的正常请求被拒绝. 3.2.5入侵检测IDS系统是目前最广泛的攻击检测工具，但面对DDOS攻击时，IDS

系统通常无法满足要求. 原因之一是

尽管入侵检测系统可以检测到应用程序层攻击，但是其基本机制是基于规则的，并且需要恢复协议会话. 但是，当前大多数DDoS攻击都使用基于合法数据包的攻击流量，因此IDS系统很难有效地检测到这些攻击. 尽管某些IDS系统本身也具有检测某些协议异常的能力，但这需要安全专家手动配置才能在1653年生效. 其实现成本和易用性极低. 第二个原因是IDS系统通常仅检测攻击ddos攻击防御 路由器，但不能提供阻止功能. IDS系统需要的是检测到特定攻击流后的实时阻止能力，以真正减少DDOS对网络服务的影响. IDS系统被设计为基于功能的基于应用程序的攻击检测设备. DDOS攻击主要表现为三层或四层协议异常，这使得IDS技术不太可能用作DDOS的检测或保护方法. 当前的防御算法不受所有已知的拒绝服务攻击的影响，也就是说ddos攻击防御 路由器，它完全抵抗已知的DoS / DDoS攻击.

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-233939-1.html