【正文】 將認(rèn)證結(jié)果返回給用戶時，它將無法找到這些用戶。在這種情況下，服務(wù)器只好等待，有時甚至?xí)却?1 分鐘才能關(guān)閉此次連接。當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請求，以上過程又重復(fù)發(fā)生，直到服務(wù)器因過載而拒絕提供服務(wù)。 分布式拒絕服務(wù)（ DDOS）把 DoS 又向前發(fā)展了一步。 DoS 攻擊需要攻擊者手工操作，而 DDOS 則將這種攻擊行為自動化。與其他分布式概念類似，分布式拒絕服務(wù)可以方便地協(xié)調(diào)從多臺計算機(jī)上啟動的進(jìn)程。在這種情況下，就會有 一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并使其因過載而崩潰。 DDOS 工作的基本概念如圖所示。黒客（ client）在不同的主機(jī)（ handler）上安裝大量的 DoS 服務(wù)程序，它們等待來自中央客戶端（ client）的命令，中央客戶端隨后通知全體受控服務(wù)程序（ agent），并指示它們對一個特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問請求。該工具將攻擊一個目標(biāo)的任務(wù)分配給所有可能的 DoS服務(wù)程序，這就是它被叫做分布式 DoS 的原因。 實際的攻擊并不僅僅是簡單地發(fā)送海量信息，而是采用 DDOS 的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追 蹤攻擊者變得更困難。首先，現(xiàn)在的 DDOS 工具基本上都可以偽裝源地址。它們發(fā)送原始的 IP 包（ raw IP packet），由于 Inter 協(xié)議本身的缺陷， IP 包中包括的源地址是可以偽裝的，這也是追蹤 DDOS 攻擊者很困難的主要原因。其次， DDOS 也可以利用協(xié)議的缺陷，例如，它可以通過 SYN 打開半開的 TCP 連接，這是一個很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強(qiáng)， DDOS 通常會利用任何一種通過發(fā)送單獨的數(shù)據(jù)包就能探測到的協(xié)議缺陷，并利用這些缺陷進(jìn)行攻擊。 防范攻擊的措施 1。 過濾進(jìn)網(wǎng)和出網(wǎng)的流量 網(wǎng)絡(luò)服務(wù)提供商應(yīng)該實施進(jìn)網(wǎng)流量過濾措施，目的是阻止任何偽造 IP 地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如 DDOS 這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。 2。 采用網(wǎng)絡(luò)入侵檢測系統(tǒng) IDS 當(dāng)系統(tǒng)收到來自奇怪或未知地址的可疑流量時，網(wǎng)絡(luò)入侵檢測系統(tǒng) IDS（ Intrusion Detection Systems）能夠給系統(tǒng)管理人員發(fā)出報警信號，提醒他們及時采取應(yīng)對措施，如切斷連接或反向跟蹤等。 3。 具體措施 在路由器和 Web 交換機(jī)上， 它將丟棄下列類型的數(shù)據(jù)幀： ? 長度太短； ? 幀被分段； ? 源地址與目的地址相同； ? 源地址為我們的內(nèi)部地址，或源地址為子網(wǎng)廣播地址； ? 源地址不是單播地址； ? 源地址是環(huán)回地址； ? 目的地址是環(huán)回地址； ? 目的地址不是有效的單播或組播地址 此外， ? 對于 HTTP 數(shù)據(jù)流， WEB 交換機(jī)必須在 HTTP 流啟動后的 16 秒內(nèi)接受一個有效的幀，否則它將丟棄這個幀并中斷這個流； ? 對于 TCP 數(shù)據(jù)流， WEB 交換機(jī)必須在 16 秒內(nèi)接受一個返回的 ack，否則它將終止這個 TCP 流； ? 對于任意嘗試過 8 次以上 SYN 的數(shù)據(jù)流， WEB 交換機(jī)將終止這個流，并且停止處理同樣 SYN，源地址，目的地址及端口號對的數(shù)據(jù)流 。 在核心交換機(jī)上我們可以用線速的 ACL 來達(dá)到上述類似的幀丟棄策略，我們還可以用 CAR 的方法對 ping 及 SYN 的數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防 DDOS的攻擊。 漏洞檢測 漏洞檢測（ Vulnerability Scanner）就是對重要計算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。 安全掃描服務(wù)器可以對網(wǎng)絡(luò)設(shè)備進(jìn)行自動的安全漏洞檢測和分析，并且在實行過程中支持基于策略的安全風(fēng)險管理過程。另外，互 聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動的網(wǎng)絡(luò)探測，包括對網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、 Web服務(wù)器、防火墻和應(yīng)用程序的檢測，從而去識別能被入侵者利用來進(jìn)入網(wǎng)絡(luò)的漏洞。 安全掃描服務(wù)器同時能進(jìn)行系統(tǒng)掃描。系統(tǒng)掃描通過對企業(yè)內(nèi)部操作系統(tǒng)安全弱點的完全的分析，幫助組織管理安全風(fēng)險。系統(tǒng)掃描通過比較規(guī)定的安全策略和實際的主機(jī)配置來發(fā)現(xiàn)潛在的安全風(fēng)險，包括缺少安全補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。系統(tǒng)安全掃描還可以修復(fù)有問題的系統(tǒng)，自動產(chǎn)生文件所 有權(quán)和文件權(quán)限的修復(fù)腳本。 安全掃描服務(wù)器能提供實時入侵檢測和實時報警。當(dāng)收到安全性消息時，圖形用戶界面上相應(yīng)的主機(jī)狀態(tài)顏色和安全性消息組的圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報警的原因和范疇。 入侵檢測 入侵檢測（ Intrude Detection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估 自己的系統(tǒng)。實時入侵檢測系統(tǒng)解決方案，用于檢測、報告和終止整個網(wǎng)絡(luò)中未經(jīng)授權(quán)的活動。它可以在 Inter 和內(nèi)部網(wǎng)環(huán)境中操作，保護(hù)整個網(wǎng)絡(luò)。 入侵檢測系統(tǒng)包括兩個部件： Sensor 和 Director。 Sensor 不影響網(wǎng)絡(luò)性能，它分析各個數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。如果一個網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動，例如 SATAN 攻擊、 PING 攻擊或秘密的研究項目代 碼字， Sensor 可以實時檢測政策違規(guī)，給 Director 管理控制臺轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。 基于網(wǎng)絡(luò)的實時入侵檢測系統(tǒng)，能夠監(jiān)控 整個數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測功能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺之間指導(dǎo)和轉(zhuǎn)發(fā)告警的分布式入侵檢測系統(tǒng)。同時需要能夠允許部署大量 Sensor和 Director 的可伸縮的體系結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)管理工具和實踐平滑集成的入侵檢測系統(tǒng)。 入侵檢測系統(tǒng)通常具有的關(guān)鍵特性包括： ? 對合法流量 /網(wǎng)絡(luò)使用透明的實時入侵檢測 ? 對未經(jīng)授權(quán)活動的實時應(yīng)對可以阻止黑客訪問網(wǎng)絡(luò)或終止違規(guī)會話 ? 全面的攻擊簽名目錄可以檢測廣泛的攻擊，檢測基于內(nèi)容和上下文的攻擊 ? 支 持廣泛的速度和接口類型，包括 10/100 Mbps 以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI ? 告警包括攻擊者和目的地 IP 地址、目的地端口、攻擊介紹以及捕獲的攻擊前鍵入的字符 ? 適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性 專用 VLAN IDC 環(huán)境是一個典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個托管客戶從一個公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供 Web 服務(wù)。這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān)重要。一個保證托管客戶之間安全的通用方法就是給每個客戶分配一個 VLAN 和相關(guān)的 IP 子網(wǎng)。通過使用 VLAN，每個客戶被從第 2 層隔離開，可以防止任 何惡意的行為和 Ether 的信息探聽。然而，這種分配每個客戶單一 VLAN 和 IP 子網(wǎng)的模型造成了巨大的擴(kuò)展方面的局限。這些局限主要有以下幾方面： ? VLAN 的限制： LAN 交換機(jī)固有的 VLAN 數(shù)目的限制 ? 復(fù)雜的 STP：對于每個 VLAN，一個相關(guān)的 Spanningtree 的拓?fù)涠夹枰芾? ? IP 地址的緊缺： IP 子網(wǎng)的劃分勢必造成一些地址的浪費(fèi) ? 路由的限制：如果使用 HSRP，每個子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置 在一個 IDC 中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信幾乎沒有。 Cisco 在 IP 地址 管理方案中引入了一種新的 VLAN 機(jī)制，服務(wù)器同在一個子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的 VLAN特性就是專用 VLAN （ private VLAN， pVLAN）。這種特性是 Cisco 公司的專有技術(shù)，但特別適用于 IDC。 專用 VLAN 是第 2 層的機(jī)制，在同一個 2 層域中有兩類不同安全級別的訪問端口。與服務(wù)器連接的端口稱作專用端口（ private port），一個專用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量。混雜端口（ promiscuous port）沒有專用端口的限定 ，它與路由器或第 3 層交換機(jī)接口相連。簡單地說，在一個專用 VLAN 內(nèi)，專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口（混雜端口和專用端口）。 下圖示出了同一專用 VLAN 中兩類端口的關(guān)系。 P r o m i s c u o u s P o r tA c c e s s P o r tsX X XX X XX1 I P S u b n e t 專用 VLAN 的應(yīng)用在多客戶的數(shù)據(jù)中心是非常有效的，因為 IDC 的網(wǎng)絡(luò)中，服務(wù)器只需與自己的缺省網(wǎng)關(guān)連接，一個專用 VLAN 不需要多個 VLAN 和IP 子網(wǎng)就提供了這樣的安全連接。在這一模型中，所有的服務(wù)器都接入專用 VLAN，從而實現(xiàn)了所有服務(wù)器與 缺省網(wǎng)關(guān)的連接，而與專用 VLAN 內(nèi)的其他服務(wù)器沒有任何訪問。目前， Cisco 的 Catalyst Switch 6000/6500 系列交換機(jī)支持專用 VLAN。 4 Inter 連接 作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Inter 連接層提供了 IDC 與公共IP 網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點： 高速的路由交換能力 對各種高級路由協(xié)議（如 BGP 等）的全面支持 具備豐富的接口類型 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 Int er 連接服務(wù)基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨占 ) 主機(jī)托管高級安全服務(wù)P ri v a t e V LAN專門的防火墻、專門的入侵探測安全審計Int e rne t連接服務(wù)服務(wù)類別 ( COS)帶寬管理骨干接入 骨干接入 作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Inter 連接層提供了 IDC 與公共IP 網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點： 高速的路由交換能力 對各種高級路由協(xié)議（如 BGP 等）的全面支持 具備豐富的接口類型 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 帶寬管理 在 IDC 的業(yè)務(wù)中，通常針對提供不同的帶寬收取不同的費(fèi)用，所以帶寬管理成為 Inter 連接中提供服務(wù)質(zhì)量的重要保證。 識別網(wǎng)絡(luò)流量 IDC 的帶寬管理需要支持多種協(xié)議和應(yīng)用程序，并且可以根據(jù)自己的需要，自行設(shè)定相應(yīng)的標(biāo)準(zhǔn)來區(qū)分更多的類型。可以通過應(yīng)用、服務(wù)、協(xié)議、端口數(shù)、URL 或通配符（用 于 Web 通信）、主機(jī)名稱、優(yōu)先權(quán)、以及 IP 或 MAC 地址對通信量進(jìn)行分類。只有這樣才能對用戶提供完善的帶寬管理機(jī)制。 像 HTTP、 FTP 和 Tel 這樣的 IP 協(xié)議，以及像 SNA、 NetBIOS 和 AppleTalk這樣的非 IP 協(xié)議，帶寬管理都應(yīng)該能自動識別，并根據(jù)用戶的需要進(jìn)行有效的處理。例如，你可以將 SAP/R3 通信量根據(jù)一個特定客戶式特定服務(wù)器隔開，使TN3270 交互式通信量與打印通信量分開，甚至把一個 H。 323 視頻會議的數(shù)據(jù)信道和控制信道區(qū)分開來。 保證應(yīng)用性能 帶寬管理需要保證關(guān)鍵的和交互式的應(yīng)用 獲得其所需要的帶寬，同時限制普通應(yīng)用對帶寬的需求。每種通信類型映射到一項特定的帶寬分配政策上，確保每種通信類型得到一個適當(dāng)?shù)膸挕? 速率政策（ Rate policies）限制或保證每個單獨對話的帶寬，抑制那些貪婪的應(yīng)用通信，或者保護(hù)對時延敏感的流量。比如，一個 HTTP cap 會使 Web 游覽避免使用他人的帶寬。而且獲得保證的音頻或視頻流動速率，避免出現(xiàn)惱人的不穩(wěn)定性。速率政策是為應(yīng)用提供沒有被使用的帶寬，所以，昂貴的帶寬從不會被浪費(fèi)。 測量、分析和生成報表 網(wǎng)絡(luò)管理員在制訂一項帶寬管理策略之前及之后 必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以測量其是否成功。帶寬管理將跟蹤平均和高峰通信量水平，計算在重新傳輸上所浪費(fèi)的帶寬比例，突出最主要用戶和應(yīng)用程序，并且測量性能。網(wǎng)絡(luò)總結(jié)以及特定上下文的報表提供了對網(wǎng)絡(luò)趨勢的輕松訪問。響應(yīng)時間特征允許你測量性能，設(shè)置可接受性標(biāo)準(zhǔn)，并跟蹤響應(yīng)質(zhì)量是否堅持了標(biāo)準(zhǔn)。 流量控制和監(jiān)視控制 IDC 的帶寬管理是非常復(fù)雜的業(yè)務(wù)和技術(shù)控制，所以，需要一個簡單易用的進(jìn)行操作的管理界面。通過這