SYN Flood及新版的ARP攻击是近来企业最常面临的洪水攻击。SYN Flood是DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)方式之一,其攻击方式是利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽,CPU满负荷或内存不足。ARP攻击则是基于ARP协议特性,攻击方向受攻击计算机不断发送欺诈性质的ARP数据包,数据包内包含有与当前设备重复的Mac地址,使对方在响应报文时,由于简单的地址重复错误而导致不能进行正常的网络通信。
Qno侠诺引入路由器产品的一些功能,能让用户有更多弹性因应这些新形态的攻击作相对的配置。以下针对不同的攻击说明这些新导入的功能。
•洪水攻击防御的加强:洪水攻击属于DOS攻击的一种,它利用网络协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。受攻的击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,或最后产生TCP/IP堆栈溢出崩溃死机。
针对这种攻击,Qno侠诺路由器软件中的防火墙功能加上洪水攻击的阀值机制,用户可针对网络广域网及局域网每秒网络包或是单一IP每秒发出网络包,设定阀值,如果超过特定阀值,则阻挡该IP或是整个网络的上网需求。在这个设定中,具有关键地位的是针对单一IP设定的阀值,根据侠诺的技术支持经验发现,设定在每秒2000个包,应可有效抵抗攻击。值得注意的是,当设定阀值太低时,对于QQ视频或是相似的应用,会产生影响,因此也不能设定太低。
 |
| 图四 |
另外,以往的攻击往往利用TCP协议进行,最近发现UDP及ICMP的攻击形式也渐渐增加,因此在产品中加进了这个功能。
