3)arp欺骗防御
静态配置主机的常用通信地址的arp映射,扩展性不好。
部署厂商专用技术:例如思科交换机的动态arp检查(DAI)能够检查arp应答包的真实性,并据此进行arp流量检查和过滤。
使用专用的主机安全软件如arp防火墙等。
(4)ip地址欺骗防御
在网络边界(三层交换机、路由器、防火墙等)部署ACL过滤非法地址。
在交换机部署ip地址与mac地址绑定。
(5)land攻击防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。
(6)Teardrop防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。
(7)死亡之Ping防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。
(8)Smurf攻击防御
升级主机、网络设备系统和补丁。
关闭路由器定向广播转发功能。
部署路由器、防火墙或IDS/IPS等安全策略。
(9)源路由欺骗(Source Routing Spoofing)
关闭路由器源路由转发功能,启用路由器反向路径转发检查功能。
(10)UDP Flood防御
部署防御ip地址欺骗策略
部署专用的抗dos流量攻击产品
部署防ip地址欺骗
部署流量限速
(11)SYN Flood防御
部署防御ip地址欺骗策略
升级主机系统和补丁
启用路由器TCP拦截
部署路由器、防火墙、IDS/IPS专用安全功能
(12)会话劫持(Session Hijack)
部署防火墙能够很好的防御会话劫持。
(13)dhcp欺骗攻击防御
思科交换机有一种安全功能叫做dhcp snooping(监听),能够自动过滤非法的dhcp服务器消息可以防御dhcp欺骗攻击。
(14)DNS欺骗防御:
使用ip地址访问重要的服务器。
安装最新版本的DNS软件
关闭DNS服务递归功能
限制域名服务器作出响应的地址
限制域名服务器作出响应的递归请求地址
限制发出请求的地址
北京华尔思网络实验室 周军 zhoujun@wallslab.net
静态配置主机的常用通信地址的arp映射,扩展性不好。
部署厂商专用技术:例如思科交换机的动态arp检查(DAI)能够检查arp应答包的真实性,并据此进行arp流量检查和过滤。
使用专用的主机安全软件如arp防火墙等。
(4)ip地址欺骗防御
在网络边界(三层交换机、路由器、防火墙等)部署ACL过滤非法地址。
在交换机部署ip地址与mac地址绑定。
(5)land攻击防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。
(6)Teardrop防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。
(7)死亡之Ping防御
升级主机、网络设备系统和补丁。
部署路由器、防火墙或IDS/IPS等安全策略。
(8)Smurf攻击防御
升级主机、网络设备系统和补丁。
关闭路由器定向广播转发功能。
部署路由器、防火墙或IDS/IPS等安全策略。
(9)源路由欺骗(Source Routing Spoofing)
关闭路由器源路由转发功能,启用路由器反向路径转发检查功能。
(10)UDP Flood防御
部署防御ip地址欺骗策略
部署专用的抗dos流量攻击产品
部署防ip地址欺骗
部署流量限速
(11)SYN Flood防御
部署防御ip地址欺骗策略
升级主机系统和补丁
启用路由器TCP拦截
部署路由器、防火墙、IDS/IPS专用安全功能
(12)会话劫持(Session Hijack)
部署防火墙能够很好的防御会话劫持。
(13)dhcp欺骗攻击防御
思科交换机有一种安全功能叫做dhcp snooping(监听),能够自动过滤非法的dhcp服务器消息可以防御dhcp欺骗攻击。
(14)DNS欺骗防御:
使用ip地址访问重要的服务器。
安装最新版本的DNS软件
关闭DNS服务递归功能
限制域名服务器作出响应的地址
限制域名服务器作出响应的递归请求地址
限制发出请求的地址
北京华尔思网络实验室 周军 zhoujun@wallslab.net
