【正文】 將認(rèn)證結(jié)果返回給用戶時(shí)，它將無(wú)法找到這些用戶。在這種情況下，服務(wù)器只好等待，有時(shí)甚至?xí)却?1 分鐘才能關(guān)閉此次連接。當(dāng)服務(wù)器關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請(qǐng)求，以上過(guò)程又重復(fù)發(fā)生，直到服務(wù)器因過(guò)載而拒絕提供服務(wù)。 分布式拒絕服務(wù)（ DDOS）把 DoS 又向前發(fā)展了一步。 DoS 攻擊需要攻擊者手工操作，而 DDOS 則將這種攻擊行為自動(dòng)化。與其他分布式概念類(lèi)似，分布式拒絕服務(wù)可以方便地協(xié)調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)的進(jìn)程。在這種情況下，就會(huì)有 一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并使其因過(guò)載而崩潰。 DDOS 工作的基本概念如圖所示。黒客（ client）在不同的主機(jī)（ handler）上安裝大量的 DoS 服務(wù)程序，它們等待來(lái)自中央客戶端（ client）的命令，中央客戶端隨后通知全體受控服務(wù)程序（ agent），并指示它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。該工具將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的 DoS服務(wù)程序，這就是它被叫做分布式 DoS 的原因。 實(shí)際的攻擊并不僅僅是簡(jiǎn)單地發(fā)送海量信息，而是采用 DDOS 的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追 蹤攻擊者變得更困難。首先，現(xiàn)在的 DDOS 工具基本上都可以偽裝源地址。它們發(fā)送原始的 IP 包（ raw IP packet），由于 Inter 協(xié)議本身的缺陷， IP 包中包括的源地址是可以偽裝的，這也是追蹤 DDOS 攻擊者很困難的主要原因。其次， DDOS 也可以利用協(xié)議的缺陷，例如，它可以通過(guò) SYN 打開(kāi)半開(kāi)的 TCP 連接，這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強(qiáng)， DDOS 通常會(huì)利用任何一種通過(guò)發(fā)送單獨(dú)的數(shù)據(jù)包就能探測(cè)到的協(xié)議缺陷，并利用這些缺陷進(jìn)行攻擊。 防范攻擊的措施 1。 過(guò)濾進(jìn)網(wǎng)和出網(wǎng)的流量 網(wǎng)絡(luò)服務(wù)提供商應(yīng)該實(shí)施進(jìn)網(wǎng)流量過(guò)濾措施，目的是阻止任何偽造 IP 地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如 DDOS 這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。 2。 采用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) IDS 當(dāng)系統(tǒng)收到來(lái)自奇怪或未知地址的可疑流量時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng) IDS（ Intrusion Detection Systems）能夠給系統(tǒng)管理人員發(fā)出報(bào)警信號(hào)，提醒他們及時(shí)采取應(yīng)對(duì)措施，如切斷連接或反向跟蹤等。 3。 具體措施 在路由器和 Web 交換機(jī)上， 它將丟棄下列類(lèi)型的數(shù)據(jù)幀： ? 長(zhǎng)度太短； ? 幀被分段； ? 源地址與目的地址相同； ? 源地址為我們的內(nèi)部地址，或源地址為子網(wǎng)廣播地址； ? 源地址不是單播地址； ? 源地址是環(huán)回地址； ? 目的地址是環(huán)回地址； ? 目的地址不是有效的單播或組播地址 此外， ? 對(duì)于 HTTP 數(shù)據(jù)流， WEB 交換機(jī)必須在 HTTP 流啟動(dòng)后的 16 秒內(nèi)接受一個(gè)有效的幀，否則它將丟棄這個(gè)幀并中斷這個(gè)流； ? 對(duì)于 TCP 數(shù)據(jù)流， WEB 交換機(jī)必須在 16 秒內(nèi)接受一個(gè)返回的 ack，否則它將終止這個(gè) TCP 流； ? 對(duì)于任意嘗試過(guò) 8 次以上 SYN 的數(shù)據(jù)流， WEB 交換機(jī)將終止這個(gè)流，并且停止處理同樣 SYN，源地址，目的地址及端口號(hào)對(duì)的數(shù)據(jù)流 。 在核心交換機(jī)上我們可以用線速的 ACL 來(lái)達(dá)到上述類(lèi)似的幀丟棄策略，我們還可以用 CAR 的方法對(duì) ping 及 SYN 的數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防 DDOS的攻擊。 漏洞檢測(cè) 漏洞檢測(cè)（ Vulnerability Scanner）就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。 安全掃描服務(wù)器可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分析，并且在實(shí)行過(guò)程中支持基于策略的安全風(fēng)險(xiǎn)管理過(guò)程。另外，互 聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動(dòng)的網(wǎng)絡(luò)探測(cè)，包括對(duì)網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、 Web服務(wù)器、防火墻和應(yīng)用程序的檢測(cè)，從而去識(shí)別能被入侵者利用來(lái)進(jìn)入網(wǎng)絡(luò)的漏洞。 安全掃描服務(wù)器同時(shí)能進(jìn)行系統(tǒng)掃描。系統(tǒng)掃描通過(guò)對(duì)企業(yè)內(nèi)部操作系統(tǒng)安全弱點(diǎn)的完全的分析，幫助組織管理安全風(fēng)險(xiǎn)。系統(tǒng)掃描通過(guò)比較規(guī)定的安全策略和實(shí)際的主機(jī)配置來(lái)發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少安全補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不安全的服務(wù)配置和代表攻擊的可疑的行為。系統(tǒng)安全掃描還可以修復(fù)有問(wèn)題的系統(tǒng)，自動(dòng)產(chǎn)生文件所 有權(quán)和文件權(quán)限的修復(fù)腳本。 安全掃描服務(wù)器能提供實(shí)時(shí)入侵檢測(cè)和實(shí)時(shí)報(bào)警。當(dāng)收到安全性消息時(shí)，圖形用戶界面上相應(yīng)的主機(jī)狀態(tài)顏色和安全性消息組的圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報(bào)警的原因和范疇。 入侵檢測(cè) 入侵檢測(cè)（ Intrude Detection）具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估 自己的系統(tǒng)。實(shí)時(shí)入侵檢測(cè)系統(tǒng)解決方案，用于檢測(cè)、報(bào)告和終止整個(gè)網(wǎng)絡(luò)中未經(jīng)授權(quán)的活動(dòng)。它可以在 Inter 和內(nèi)部網(wǎng)環(huán)境中操作，保護(hù)整個(gè)網(wǎng)絡(luò)。 入侵檢測(cè)系統(tǒng)包括兩個(gè)部件： Sensor 和 Director。 Sensor 不影響網(wǎng)絡(luò)性能，它分析各個(gè)數(shù)據(jù)包的內(nèi)容和上下文，決定流量是否未經(jīng)授權(quán)。如果一個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流遇到未經(jīng)授權(quán)的活動(dòng)，例如 SATAN 攻擊、 PING 攻擊或秘密的研究項(xiàng)目代 碼字， Sensor 可以實(shí)時(shí)檢測(cè)政策違規(guī)，給 Director 管理控制臺(tái)轉(zhuǎn)發(fā)告警，并從網(wǎng)絡(luò)刪除入侵者。 基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，能夠監(jiān)控 整個(gè)數(shù)據(jù)網(wǎng)絡(luò)，需要是具備最新攻擊檢測(cè)功能的穩(wěn)健的全天候監(jiān)控和應(yīng)答系統(tǒng)，能在本地、地區(qū)和總部監(jiān)視控制臺(tái)之間指導(dǎo)和轉(zhuǎn)發(fā)告警的分布式入侵檢測(cè)系統(tǒng)。同時(shí)需要能夠允許部署大量 Sensor和 Director 的可伸縮的體系結(jié)構(gòu)，在大型網(wǎng)絡(luò)環(huán)境中提供全面的覆蓋面，與現(xiàn)有網(wǎng)絡(luò)管理工具和實(shí)踐平滑集成的入侵檢測(cè)系統(tǒng)。 入侵檢測(cè)系統(tǒng)通常具有的關(guān)鍵特性包括： ? 對(duì)合法流量 /網(wǎng)絡(luò)使用透明的實(shí)時(shí)入侵檢測(cè) ? 對(duì)未經(jīng)授權(quán)活動(dòng)的實(shí)時(shí)應(yīng)對(duì)可以阻止黑客訪問(wèn)網(wǎng)絡(luò)或終止違規(guī)會(huì)話 ? 全面的攻擊簽名目錄可以檢測(cè)廣泛的攻擊，檢測(cè)基于內(nèi)容和上下文的攻擊 ? 支 持廣泛的速度和接口類(lèi)型，包括 10/100 Mbps 以太網(wǎng)、令牌環(huán)網(wǎng)和FDDI ? 告警包括攻擊者和目的地 IP 地址、目的地端口、攻擊介紹以及捕獲的攻擊前鍵入的字符 ? 適合特大規(guī)模分布式網(wǎng)絡(luò)的可伸縮性 專(zhuān)用 VLAN IDC 環(huán)境是一個(gè)典型的多客戶的服務(wù)器群結(jié)構(gòu)，每個(gè)托管客戶從一個(gè)公共的數(shù)據(jù)中心中的一系列服務(wù)器上提供 Web 服務(wù)。這樣，屬于不同客戶的服務(wù)器之間的安全就顯得至關(guān)重要。一個(gè)保證托管客戶之間安全的通用方法就是給每個(gè)客戶分配一個(gè) VLAN 和相關(guān)的 IP 子網(wǎng)。通過(guò)使用 VLAN，每個(gè)客戶被從第 2 層隔離開(kāi)，可以防止任 何惡意的行為和 Ether 的信息探聽(tīng)。然而，這種分配每個(gè)客戶單一 VLAN 和 IP 子網(wǎng)的模型造成了巨大的擴(kuò)展方面的局限。這些局限主要有以下幾方面： ? VLAN 的限制： LAN 交換機(jī)固有的 VLAN 數(shù)目的限制 ? 復(fù)雜的 STP：對(duì)于每個(gè) VLAN，一個(gè)相關(guān)的 Spanningtree 的拓?fù)涠夹枰芾? ? IP 地址的緊缺： IP 子網(wǎng)的劃分勢(shì)必造成一些地址的浪費(fèi) ? 路由的限制：如果使用 HSRP，每個(gè)子網(wǎng)都需相應(yīng)的缺省網(wǎng)關(guān)的配置 在一個(gè) IDC 中，流量的流向幾乎都是在服務(wù)器與客戶之間，而服務(wù)器間的橫向的通信幾乎沒(méi)有。 Cisco 在 IP 地址 管理方案中引入了一種新的 VLAN 機(jī)制，服務(wù)器同在一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的 VLAN特性就是專(zhuān)用 VLAN （ private VLAN， pVLAN）。這種特性是 Cisco 公司的專(zhuān)有技術(shù)，但特別適用于 IDC。 專(zhuān)用 VLAN 是第 2 層的機(jī)制，在同一個(gè) 2 層域中有兩類(lèi)不同安全級(jí)別的訪問(wèn)端口。與服務(wù)器連接的端口稱(chēng)作專(zhuān)用端口（ private port），一個(gè)專(zhuān)用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測(cè)從混雜端口來(lái)的流量?；祀s端口（ promiscuous port）沒(méi)有專(zhuān)用端口的限定 ，它與路由器或第 3 層交換機(jī)接口相連。簡(jiǎn)單地說(shuō)，在一個(gè)專(zhuān)用 VLAN 內(nèi)，專(zhuān)用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口（混雜端口和專(zhuān)用端口）。 下圖示出了同一專(zhuān)用 VLAN 中兩類(lèi)端口的關(guān)系。 P r o m i s c u o u s P o r tA c c e s s P o r tsX X XX X XX1 I P S u b n e t 專(zhuān)用 VLAN 的應(yīng)用在多客戶的數(shù)據(jù)中心是非常有效的，因?yàn)?IDC 的網(wǎng)絡(luò)中，服務(wù)器只需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專(zhuān)用 VLAN 不需要多個(gè) VLAN 和IP 子網(wǎng)就提供了這樣的安全連接。在這一模型中，所有的服務(wù)器都接入專(zhuān)用 VLAN，從而實(shí)現(xiàn)了所有服務(wù)器與 缺省網(wǎng)關(guān)的連接，而與專(zhuān)用 VLAN 內(nèi)的其他服務(wù)器沒(méi)有任何訪問(wèn)。目前， Cisco 的 Catalyst Switch 6000/6500 系列交換機(jī)支持專(zhuān)用 VLAN。 4 Inter 連接 作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Inter 連接層提供了 IDC 與公共IP 網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點(diǎn)： 高速的路由交換能力 對(duì)各種高級(jí)路由協(xié)議（如 BGP 等）的全面支持 具備豐富的接口類(lèi)型 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 Int er 連接服務(wù)基本托管服務(wù) 網(wǎng)站托管 ( 共享 ) 網(wǎng)站托管 ( 獨(dú)占 ) 主機(jī)托管高級(jí)安全服務(wù)P ri v a t e V LAN專(zhuān)門(mén)的防火墻、專(zhuān)門(mén)的入侵探測(cè)安全審計(jì)Int e rne t連接服務(wù)服務(wù)類(lèi)別 ( COS)帶寬管理骨干接入 骨干接入 作為 IDC 網(wǎng)絡(luò)與公共 IP 骨干網(wǎng)絡(luò)的接口， Inter 連接層提供了 IDC 與公共IP 網(wǎng)的橋梁，它的運(yùn)行情況直接關(guān)系到 IDC 為其用戶所提供的服務(wù)的質(zhì)量，這就要求該層的設(shè)備必須具有以下的特點(diǎn)： 高速的路由交換能力 對(duì)各種高級(jí)路由協(xié)議（如 BGP 等）的全面支持 具備豐富的接口類(lèi)型 完善的 QOS 支持能力 在 Inter 連接層配置高端路由器，使用高速連接到 IP 骨干網(wǎng)，并以全冗余方式與核心層互連。借助于這些高端路由器的高性能及豐富的特性，提供全冗余、高速、高性能網(wǎng)絡(luò)核心。 帶寬管理 在 IDC 的業(yè)務(wù)中，通常針對(duì)提供不同的帶寬收取不同的費(fèi)用，所以帶寬管理成為 Inter 連接中提供服務(wù)質(zhì)量的重要保證。 識(shí)別網(wǎng)絡(luò)流量 IDC 的帶寬管理需要支持多種協(xié)議和應(yīng)用程序，并且可以根據(jù)自己的需要，自行設(shè)定相應(yīng)的標(biāo)準(zhǔn)來(lái)區(qū)分更多的類(lèi)型?？梢酝ㄟ^(guò)應(yīng)用、服務(wù)、協(xié)議、端口數(shù)、URL 或通配符（用 于 Web 通信）、主機(jī)名稱(chēng)、優(yōu)先權(quán)、以及 IP 或 MAC 地址對(duì)通信量進(jìn)行分類(lèi)。只有這樣才能對(duì)用戶提供完善的帶寬管理機(jī)制。 像 HTTP、 FTP 和 Tel 這樣的 IP 協(xié)議，以及像 SNA、 NetBIOS 和 AppleTalk這樣的非 IP 協(xié)議，帶寬管理都應(yīng)該能自動(dòng)識(shí)別，并根據(jù)用戶的需要進(jìn)行有效的處理。例如，你可以將 SAP/R3 通信量根據(jù)一個(gè)特定客戶式特定服務(wù)器隔開(kāi)，使TN3270 交互式通信量與打印通信量分開(kāi)，甚至把一個(gè) H。 323 視頻會(huì)議的數(shù)據(jù)信道和控制信道區(qū)分開(kāi)來(lái)。 保證應(yīng)用性能 帶寬管理需要保證關(guān)鍵的和交互式的應(yīng)用 獲得其所需要的帶寬，同時(shí)限制普通應(yīng)用對(duì)帶寬的需求。每種通信類(lèi)型映射到一項(xiàng)特定的帶寬分配政策上，確保每種通信類(lèi)型得到一個(gè)適當(dāng)?shù)膸挕? 速率政策（ Rate policies）限制或保證每個(gè)單獨(dú)對(duì)話的帶寬，抑制那些貪婪的應(yīng)用通信，或者保護(hù)對(duì)時(shí)延敏感的流量。比如，一個(gè) HTTP cap 會(huì)使 Web 游覽避免使用他人的帶寬。而且獲得保證的音頻或視頻流動(dòng)速率，避免出現(xiàn)惱人的不穩(wěn)定性。速率政策是為應(yīng)用提供沒(méi)有被使用的帶寬，所以，昂貴的帶寬從不會(huì)被浪費(fèi)。 測(cè)量、分析和生成報(bào)表 網(wǎng)絡(luò)管理員在制訂一項(xiàng)帶寬管理策略之前及之后 必須分析其網(wǎng)絡(luò)應(yīng)用通信的模式，以測(cè)量其是否成功。帶寬管理將跟蹤平均和高峰通信量水平，計(jì)算在重新傳輸上所浪費(fèi)的帶寬比例，突出最主要用戶和應(yīng)用程序，并且測(cè)量性能。網(wǎng)絡(luò)總結(jié)以及特定上下文的報(bào)表提供了對(duì)網(wǎng)絡(luò)趨勢(shì)的輕松訪問(wèn)。響應(yīng)時(shí)間特征允許你測(cè)量性能，設(shè)置可接受性標(biāo)準(zhǔn)，并跟蹤響應(yīng)質(zhì)量是否堅(jiān)持了標(biāo)準(zhǔn)。 流量控制和監(jiān)視控制 IDC 的帶寬管理是非常復(fù)雜的業(yè)務(wù)和技術(shù)控制，所以，需要一個(gè)簡(jiǎn)單易用的進(jìn)行操作的管理界面。通過(guò)這