Qno俠諾新近研發(fā)并推出的FVR360v/FVR420v路由器的一些功能,方便用戶有更多彈性來應(yīng)對新形態(tài)的攻擊,并作出相對的配置。以下功能導(dǎo)入于FVR300、FVR360/FVR360v、FVR420/FVR420v,針對不同的攻擊,說明必須新導(dǎo)入的功能。
FVR360v/FVR420v路由器新防衛(wèi)功能
1、洪水攻擊防御的加強(qiáng):洪水攻擊攻擊屬于DOS攻擊的一種,它利用網(wǎng)絡(luò)協(xié)議缺陷,通過發(fā)送大量的半連接請求,耗費CPU和內(nèi)存資源。受攻擊路由器將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求,或最后產(chǎn)生TCP/IP堆棧溢出崩潰死機(jī)。
針對這種攻擊,F(xiàn)VR360v/FVR420v軟件中的防火墻功能加上洪水攻擊的門坎機(jī)制,用戶可針對網(wǎng)絡(luò)廣域網(wǎng)及局域網(wǎng)每秒網(wǎng)絡(luò)包或是單一IP每秒發(fā)出網(wǎng)絡(luò)包,設(shè)定門坎,如果超過特定門坎,則阻擋該IP或是整個網(wǎng)絡(luò)的上網(wǎng)需求。在這個設(shè)定中,具有關(guān)鍵性地位的是針對單一IP設(shè)定的門坎,根據(jù)Qno俠諾技術(shù)工程師實際的工作經(jīng)驗發(fā)現(xiàn),設(shè)定在每秒2000個包,應(yīng)可有效抵抗攻擊。值得注意的是,當(dāng)設(shè)定門坎太低時,對于QQ視頻或是相似的應(yīng)用,會產(chǎn)生影響,因此也不能設(shè)定太低。
![]("http://network.ccidnet.com/col/attachment/2007/3/1031029.jpg")
要對抗洪水攻擊,必須針對大量發(fā)出網(wǎng)絡(luò)包的IP地址加以管制,除了TCP協(xié)議外,現(xiàn)在UDP及ICMP網(wǎng)絡(luò)協(xié)議的攻擊也很普遍。
2、MAC/IP欺騙型ARP攻擊防御的加強(qiáng)
另外,以往的攻擊經(jīng)常利用TCP協(xié)議進(jìn)行,最近發(fā)現(xiàn)UDP及ICMP的攻擊型式也漸漸增加,因此在我們在推出的FVR360v與FVR420v兩款新產(chǎn)品中加進(jìn)了這個功能。
ARP攻擊利用廣播封包,影響網(wǎng)絡(luò)的運作。Qno俠諾之前推廣了雙向綁定的解決方案,即在客戶端及路由器端都必須進(jìn)行ARP協(xié)議的綁定,可預(yù)防受到干擾。但是新版ARP變型攻擊軟件采取自動變換IP及MAC的方式,不斷發(fā)出網(wǎng)絡(luò)包給路由器,讓路由器忙于處理無用的數(shù)據(jù)包,而影響正常的運作。
在新版的FVR360v/FVR420v軟件中,加入了自動判別的功能,可以不理會非正常MAC或IP所發(fā)出的數(shù)據(jù)包,也不加以轉(zhuǎn)發(fā),可減少攻擊所產(chǎn)生的影響。用戶可在配置路由器時,進(jìn)行學(xué)習(xí)功能,并確認(rèn)正當(dāng)?shù)腎P及MAC,此后路由器即可拒絕其它的網(wǎng)絡(luò)包,以降低ARP攻擊的影響。一旦本機(jī)作用,受到影響的只會是發(fā)動攻擊的計算機(jī),因為忙于攻擊放運作緩慢,但是其它用戶不會受到影響。
3、語音告警功能
新版的Qno俠諾FVR360v/FVR420v內(nèi)建發(fā)音功能,配合以上的功能,在第一時間可以針對新型態(tài)攻擊阻擋,同時會以語音警示的形式發(fā)出遭受攻擊的訊息。此時網(wǎng)管可實時了解受到攻擊的情況,并可通過日志功能找出問題的來源并加以隔離,有效控制受害。Qno俠諾強(qiáng)調(diào),抵擋攻擊與實時通知兩方面都要作好,才能真正協(xié)助用戶改善網(wǎng)絡(luò)安全問題。
![]("http://network.ccidnet.com/col/attachment/2007/3/1031031.jpg")
新版Qno俠諾FVR360v/FVR420v內(nèi)建發(fā)音功能,在第一時間可以針對新型態(tài)攻擊阻擋,同時會以語音發(fā)出遭受攻擊的訊息。
整體解決之道
除了路由器的配置以外,Qno俠諾技術(shù)服務(wù)部門也總結(jié)了全國許多資深網(wǎng)管的經(jīng)驗,另外提供兩個值得參考的改善點:
1、減少用戶使用外掛軟件機(jī)會
很多環(huán)境發(fā)生攻擊的事件,通常是因為用戶用了外掛軟件,因此如能減少用戶使用外掛軟件,就能減少攻擊。在國內(nèi)一些較先進(jìn)的網(wǎng)吧,已經(jīng)提供完整的外掛軟件,不讓用戶自己從網(wǎng)絡(luò)下載軟件,這樣可以減少攻擊情況的發(fā)生。這點對于一些網(wǎng)吧而言,可能不太習(xí)慣,但是不失為一個有效管制方法。
2、配合三層交換管制網(wǎng)絡(luò)
國內(nèi)許多中大型網(wǎng)吧采用三層交換機(jī)作為骨干交換機(jī),由于三層交換機(jī)也具備許多管制功能,因此如能善用三層交換機(jī)之功能,也可較好的針對攻擊加以抵抗。有些網(wǎng)管在使用時,只是把三層交換機(jī)當(dāng)成一般的交換機(jī)使用,是有些可惜了!
