关於 DDoS 攻击事件的探讨

  
     这样可以防止区网内使用者送出（大围）source IP 的封包。
     
  2. Router 应该只允许「source IP」『不属於』区网 IP 进入
  
     因为如果封包的 source IP 是区网内 IP 的话，怎麽可能是从外部网
     路发出的，这样可以防止外来的封包假装是区网内的 IP 企图穿透防
     火墙。
     
  3. Router 应该丢弃不应该出现在公开网路上的 source IP
  
     例如 127.0.0.0/8、10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 
     这几个常见的 IP 位址都属於区域性的私有 IP，不可能（也不应该）
     透过 Router 在公开网路上跑来跑去。此外，也应该要阻挡「目的 IP
     」是 *.*.*.0 以及 *.*.*.255 的封包，因为这些 Network Address 
     IP 跟 Broadcast Address IP 都是只会出现在子网域内部，而没必要
     让外来人士存取这些 IP，这样可以避免 Smurf Attack 之类的攻击。
  
  4. 使用 Router 的特殊功能
  
     有些 Router 本身有内建类似的功能，例如 Cisco Router 的 CEF
     ( Cisco Express Forwarding)，可以针对封包 source IP 跟
     Routing Table 做比较并加以过滤。
  
四、防治办法（二）：监控异常流量或安装 IDS

  在防攻击方面，区网内部可以安装具有网路入侵侦测功能的软体
  （Intrusion Detection System）并定期更新其资料档，如此可侦测已知
  的 DDoS 攻击程式是否已入侵区网中的机器，或是是否有其他的攻击正在
  进行。
  
  另外，由於目前的 DDoS 是以 SYN/ICMP flooding 的方式攻击，如果能
  利用 Router 上的流量限制功能（例如 Cisco 的 Committed Access
  Rate）来限制 SYN/ICMP 封包所能占有的最高频宽，则可以减轻遭受类似
  攻击的影响程度。不过在对任何协定做流量限制之前，最好能先评估一般
  的正常流量为何，以避免限制的太严格，反而影响正常运作。
  
  此外，地区网管也要时常监控网路流量，注意是否有异常流量的发生，若
  无法解决可询问相关厂商或是寻求 CERT 协助。
  
五、结语
  
  （节录自本中心主任陈年兴博士对於 DDoS 攻击事件的综合评析）
  在此ㄧ事件中，我们要呼所有网际网路上主机系统的管理者，都要非常
  正视网路安全事件的重要性。千万不可认为自己所管的主机上并没有存放
  重要资料，就认为无所谓， 殊不知本身虽无重要资讯外流的危险或损失

论坛热门帖子:	[lch203] 写得蛮好的linux学习笔记(10-21) [黑马制造] 学习java的30个目标(10-19) [笑傲股林] 做测试半年了，有点迷茫，应该再学些什么提高自己的测试水平和测试能力呢？(10-19) [udp8589] 大家用google的来吱一声? 用百度的~~也来报道下?(10-18) [沂偌掳兆] 本人总结的一些认为C++比较经典的书籍，希望对大家有用(10-18)
TAG标签:	探讨 事件 攻击 sourceIP 这些 网路 封包 IP Router 可以