(圖一)
其次�����,對(duì)于異常包類型的DOS/DDOS���,TopIDP系列產(chǎn)品構(gòu)建了完整的DOS/DDOS攻擊特征的數(shù)據(jù)結(jié)構(gòu),在構(gòu)建連接前期��,利用監(jiān)控的Index表結(jié)構(gòu)��,智能判斷網(wǎng)絡(luò)中的數(shù)據(jù)傳輸單元��。例如TearDrop攻擊��,由于在TCP/IP協(xié)議中����,對(duì)包一次性傳輸?shù)拇笮∈怯幸?guī)定的,MTU最大傳輸單元(Maximum Transmission Unit)1500 字節(jié)的數(shù)據(jù)包�����,發(fā)送方節(jié)點(diǎn)的傳輸層將數(shù)據(jù)分割成較小的數(shù)據(jù)片,同時(shí)對(duì)每一數(shù)據(jù)片安排一序列號(hào)�����,以便數(shù)據(jù)到達(dá)接收方節(jié)點(diǎn)的傳輸層時(shí)��,能以正確的順序重組���。它使用的是將分組發(fā)送到鏈路上的網(wǎng)絡(luò)接口的最大傳輸單元的值。原始分組的分片都被加上了標(biāo)記����,這樣目的主機(jī)的IP層就能將分組重組成原始的數(shù)據(jù)報(bào)了,因此��,MTU對(duì)于一些大的IP包��,需要對(duì)其進(jìn)行分片傳送���。
如果一個(gè)攻擊者打破這種正常情況����,把偏移字段設(shè)置成不正確的值�,即可能出現(xiàn)重合或斷開的情況�,就可能導(dǎo)致目標(biāo)操作系統(tǒng)崩潰���。像Land、Smurf����、PingOfDeath�����、Winnuke��、IpSpoof等都屬于這種攻擊類型�。
再次,攻擊的服務(wù)器發(fā)送大量的域名解析請(qǐng)求����,通常請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名,被攻擊的DNS 服務(wù)器在接收到域名解析請(qǐng)求的時(shí)候首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存��,如果查找不到并且該域名無(wú)法直接由服務(wù)器解析的時(shí)候�����,DNS 服務(wù)器會(huì)向其上層DNS服務(wù)器遞歸查詢域名信息���。域名解析的過(guò)程給服務(wù)器帶來(lái)了很大的負(fù)載,每秒鐘域名解析請(qǐng)求超過(guò)一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名的崩潰�����,天融信入侵防御系統(tǒng)TopIDP提供了DNS攻擊和DHCP攻擊防御機(jī)制�。
最后,天融信入侵防御系統(tǒng)TopIDP還增加了DDOS自學(xué)習(xí)功能��。DOS/DDOS模塊通過(guò)流量分析取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測(cè)來(lái)識(shí)別異常流量,模塊自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)上的行為模式�����,建立正常標(biāo)準(zhǔn)基線����,通過(guò)分析網(wǎng)絡(luò)流量結(jié)構(gòu)、流量大小��、字節(jié)分布��、以及流量與時(shí)間���、類型�����、路徑��、服務(wù)等形成多維度的取樣機(jī)制����,來(lái)實(shí)時(shí)定義即時(shí)異常流量的特點(diǎn)�,綜合智能的判斷自動(dòng)生成的實(shí)時(shí)動(dòng)態(tài)特征碼��,來(lái)防范應(yīng)用誤用攻擊���、服務(wù)器蠻力攻擊、應(yīng)用和網(wǎng)絡(luò)淹沒(méi)攻擊等非漏洞威脅����。TopIDP在線速運(yùn)行的情況下,實(shí)現(xiàn)串聯(lián)式布局方式的自動(dòng)攔截和攻擊處理�����,從而大大提高了網(wǎng)絡(luò)的抗攻擊能力�����。
