工具类服务
编辑部专用服务
作者专用服务
网络监控与有效防御DDoS攻击的研究
作者单位：
国家互联网应急中心浙江分中心,浙江杭州310060
母体文献：
第28次全国计算机安全学术交流会论文集
会议名称：
第28次全国计算机安全学术交流会
会议时间：
会议地点：
主办单位：
中国计算机学会
在线出版日期：
相关检索词
京公网安备号
万方数据知识服务平台--国家科技支撑计划资助项目（编号：2006BAH03B01）(C)北京万方数据股份有限公司
万方数据电子出版社在防护工具的选择上，建议用具备专业DDoS防护能力的专业设备。因为基础的设备（FW、IPS等）不具备精准识别此类攻击的能力，而且他们在攻击过程中，本身就是脆弱的，极易成为第一块倒下的多米诺骨牌；其次设备的处理性能要高，本次攻击从目前到的数据看，峰值流量已经接近10G，要求防护设备具备高性能的特点。
在具体部署中，建议旁路部署，借助灵活的路由策略可实现清洗能力的共享。清洗能力可轻松覆盖全省，不留死角。
最后，在应急响应支持团队的支持中，要联系应急支持服务经验丰富的团队，以免造成大面积断网。
绿盟科技攻防团队在监控到攻击发生后，立即启动应急处理流程，截至目前，协助处理的各省的DDoS攻击现象均已得到有效控制。
& &来源：通信世界网
　　免责声明：本文仅代表作者个人观点，与C114中国通信网无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
支持作者观点
反对作者观点
本文关键字: 4, 2, 7, 1, 1, 1
? ? ? ? ? ? ? ? ? ?
? ? ? ? ? ? ? ? ? ? ? ?
Copyright&
c114 All Rights Reserved
上海荧通网络信息技术有限公司版权所有
南方广告业务部: 021-51142 E-mail:
北方广告业务部: 010-33977 E-mail:shixinqi@
编辑部联系: 021-51142 E-mail:editor@服务热线: 021-51142您当前位置：&&&&&&&&&
售前咨询热线
赶紧修复DNS服务器！可能沦为DDoS攻击者的帮凶
大势至公司网络管理软件、公司网管必备软件列表
　　虽然近日针对欧洲反垃圾邮件组织Spamhaus发动的大规模DDoS攻击其危害程度不如早期传闻声称的那么大，但是此事件值得关注的原因在于，它们暴露了互联网众多根本薄弱环节当中的几个。其中一个就是开放式DNS解析器，这种解析器为一种名为DNS放大(DNS amplification)的攻击手法提供了可趁之机。而这种攻击手法具体指，目标服务器每向外发送1个字节，攻击者就向这些服务器发送多达100个字节的网络拥塞流量。　　既有技术专长又有影响力的有关组织会不会开始以一种整体性、实质性的方式解决这些不足，从而提高互联网的安全性，这仍需拭目以待。遗憾的是，恐怕需要发生破坏性和危害性更大的安全事件才会促使有关组织积极行动起来。　　卡巴斯基安全新闻网站Threat Post刊登了一篇精彩的报道(详见/en_us/blogs/open-dns-resolvers-center-stage-massive-ddos-attacks-032813)，深入浅出地介绍了开放式解析器、DNS放大攻击及其在针对Spamhaus的DDoS攻击中扮演的角色：　　这方面息息相关的一个根本性、普遍性的问题与开放式DNS解析器被用来针对瑞士这家反垃圾邮件组织发动DDoS攻击有关。开放式解析器在送回DNS答复之前并不对数据包发送者的IP地址进行验证。因此，攻击者骗过受害者IP地址后，就能够向受害者发送大量的攻击流量，攻击流量与请求流量之比达到了100：1。诸如此类的DNS放大攻击最近被黑客行动主义者、敲诈勒索者以及上了黑名单的网站主机所使用，而且大获成功。　　开放式DNS解析器项目组织的Jared Mauch告诉Threat Post，参与Spamhaus攻击的僵尸网络使用了30000多个独特的DNS解析器，"如果实施一起更大范围的攻击，这些解析器的共同威力可能会被不法分子用来让这个全球网络的大部分系统陷入瘫痪。"　　据Threat Post声称，解决办法就是："开放式DNS解析器项目组织及其他组织(如DNS服务提供商Afilias)建议实施源地址验证机制。现已存在的IETF RFC, BCP-38(详见http://tools.ietf.org/html/bcp38)具体明确了如何使用源地址验证机制，以及如何建立这种架构，以挫败IP源地址欺骗手法。"　　另外，系统管理员Trevor Pott在The Register网站上发表了一篇内容翔实的博文(详见http://www.theregister.co.uk//i_accidentally_the_internet/)，他坦诚自己无意中沦为了DDoS攻击的帮凶，起因是"他在搭建位于其网络边缘上的一台DNS服务器时，犯下了一个简单的配置错误。"他称之为充当路由器的"边缘洗涤器"(edge scrubber)，它向数据中心里面的服务器和路由器分发IP地址。它还代表网络上的所有其他设备，"起到了各种"枯燥粗活"的功能"。它是数据中心/本地网络时间服务器、外部DNS服务器、边缘服务器和带宽限制器。　　他表示，问题在于，他忘了禁用服务器上的递归查询，这使得他那台服务器成了被DNS放大攻击利用的一个工具。他解释："DNS服务器能够以两种基本方式当中的一种方式来配置。在一种可能的配置下，DNS服务器只为它负责服务的对象提供域名服务(命令式)。在另一种配置下，DNS服务器除了提供那些域名服务外，还在更广泛的互联网上寻找它原本无权管理的任何域(递归式)。正是递归式DNS服务器让互联网得以正常运行。它们也是一种攻击途径。"　　他详细地解释了如何修复他那台服务器存在的配置问题。简而言之，问题源自于这种假定：BIND(实现DNS协议的系统)在默认情况下禁用递归;解决办法需要"指令BIND只受理来自其数据中心里面的服务器的递归请求。"
聚生网管官网,怎样限制网页,学校机房管理软件,限制主机网速,限制局域网流量软件,怎么限制网速
大势至公司网络管理产品：
1、，是国内最早、最专业的局域网监控软件、上网行为控制系统，可以有效管理公司局域网电脑上网行为，有效屏蔽迅雷下载、禁止迅雷上传，禁止pps上传、禁止看qq直播、禁止局域网玩游戏、禁止登录QQ游戏大厅、禁止员工炒股、限制上班看电影、进行局域网带宽限制、控制打开网页、禁止局域网网购、监控邮件内容、监控邮件附件、记录论坛发帖留言、防ARP攻击、查找局域网手机、禁止手机接入公司局域网、禁止私自安装无线路由器上网、防止无线局域网蹭网等;
2、，专业的上网行为管理服务器、比上网行为管理路由器、上网管理路由器更强大，可以有效禁止电脑游戏、屏蔽网页游戏、限制局域网看视频、禁止别人看视频、限制P2P软件使用、禁止快车下载、局域网控制迅雷下载、限制股票软件、禁止上班炒股行为、进行局域网流量监控、限制带宽软件，禁止员工网络购物、屏蔽购物网站、屏蔽网页视频网站，并且独创了&创新直连&监控模式，国内最快捷、最简单、最安全控制多网段电脑上网行为，监控效率和综合性能最强的硬件网络管理系统、上网行为管理系统。
3、，一款强大的USB端口控制系统，有效禁用USB端口使用、屏蔽U口、禁止电脑使用U盘、屏蔽优盘使用、禁用优盘，禁止移动硬盘使用、禁止手机存储卡使用，可以有效地屏蔽USB存储设备而不影响USB鼠标键盘和非USB设备的使用；同时，还可以禁止修改注册表、禁止修改组策略、禁止修改msconfig启动项、禁止修改计算机管理、禁止F8键进入安全模式、禁止U盘启动电脑、禁止光驱启动电脑；此外，还可以只允许电脑访问特定网站，只让打开特定程序、只让运行特定软件或者禁止运行某些程序、禁止访问某些网站等；
4、，是一款强大的共享文件服务器监控软件、服务器文件管理系统、服务器文件访问控制软件，最有效监控服务器共享文件的访问，详细记录修改服务器共享文件、删除服务器共享文件、复制服务器共享文件、剪切服务器共享文件或者打印服务器共享文件的行为，以及重命名共享文件等；同时，记录访问共享文件者的IP地址、MAC地址、主机名和域账号等信息，从而可以为网管员提供详细的服务器文件访问日志，便于加强服务器共享文件管理，保护单位无形资产和商业机密等；
5、，是一款专业的公司局域网接入管理软件、内网接入控制系统，可以有效防止非公司电脑访问公司局域网、禁止外部电脑访问公司局域网、限制外来电脑接入公司局域网、禁止手机接入公司局域网、禁止手机无线上网、限制平板电脑无线上网，检测局域网处于混杂模式的网卡，防止局域网抓包、防止局域网嗅探；同时，还可以查找局域网无线路由器，禁止无线路由器接入公司局域网，禁止无线路由器上网，禁止局域网启用代理，限制员工代理上网，禁止电脑安装代理软件为其他电脑提供代理上网服务等；
6、，是一款专门由于管理共享文件访问、进行共享文件访问权限设置的软件，通过在开启共享文件的电脑或服务器安装以后就可以为本地账号分配共享文件的不同访问权限，这样局域网用户访问共享文件的时候就只能&读取&共享文件而禁止拷贝共享文件的内容、禁止将共享文件另存为本地磁盘、禁止打印共享文件；同时，对共享文件加密后用户访问共享文件的时候将被限定在一个特定的共享文件列表框内访问操作，可以禁止拖拽共享文件、禁止拷贝共享文件、禁止剪切共享文件到访问者自己的电脑，从而也可以防止U盘复制共享文件、防止通过网盘上传共享文件、防止通过FTP上传共享文件以及防止通过QQ将共享文件发送到外面去，从而全面保护了共享文件的安全。
7、&，是一款专门监控FTP服务器文件访问操作日志的软件，可以详细记录局域网用户对FTP服务器文件的上传、下载、修改、删除、重命名等操作日志，可以记录访问者的FTP账户、IP地址、MAC地址和主机名等信息，并可以将FTP服务器文件操作日志导出为Excel格式，从而便于网管员实时审计局域网用户对FTP服务器文件上传和FTP服务器下载文件的情况，便于更好地保护FTP服务器的文件安全，保护单位无形资产和商业机密。
公司简介：大势至公司是国内最早的企业网管软件提供商，可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台，通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件；“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备，可以实现更为强大的局域网网络行为管理；大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件，可以严防通过一切途径泄露电脑文件，保护单位无形资产和商业机密安全；大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件，全面保护共享文件安全；大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件，可以详细记录局域网用户访问共享文件的行为，更好地管理共享文件的安全；大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为，防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址，保护网络安全；大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件，可以有效保护FTP服务器文件安全。
售前咨询：-04
电话：010-
电话：010-
电话：010-
电话：010-
电话：010-查看:1893|回复：6
怎样防御DDOS攻击，怎样实施监控设备监控？
高级工程师
简单的防DDOS，可以打开路由器中的防DDOS功能。
另外什么叫实施监控设备监控？？没明白～～～
论坛运营团队的非正规军
防止攻击就上防火墙，，
监控设备你想监控什么
这个世界的矛盾就在于：知道得多的人太少，还觉得知道得太少；知道的少的人太多，还要装知道得太多。
听说联想网御的guard和绿盟的黑洞对ddos攻击防御效果还是不错的
我所说的监控就是监视攻击的目标，怎样找到目标呀
装个防火墙 监控和防御一体&&具体设置进这个网站看看