(圖一)
其次�,對于異常包類型的DOS/DDOS,TopIDP系列產(chǎn)品構(gòu)建了完整的DOS/DDOS攻擊特征的數(shù)據(jù)結(jié)構(gòu)���,在構(gòu)建連接前期��,利用監(jiān)控的Index表結(jié)構(gòu)�����,智能判斷網(wǎng)絡(luò)中的數(shù)據(jù)傳輸單元�����。例如TearDrop攻擊����,由于在TCP/IP協(xié)議中����,對包一次性傳輸?shù)拇笮∈怯幸?guī)定的,MTU最大傳輸單元(Maximum Transmission Unit)1500 字節(jié)的數(shù)據(jù)包�����,發(fā)送方節(jié)點的傳輸層將數(shù)據(jù)分割成較小的數(shù)據(jù)片����,同時對每一數(shù)據(jù)片安排一序列號,以便數(shù)據(jù)到達(dá)接收方節(jié)點的傳輸層時���,能以正確的順序重組�。它使用的是將分組發(fā)送到鏈路上的網(wǎng)絡(luò)接口的最大傳輸單元的值�。原始分組的分片都被加上了標(biāo)記,這樣目的主機(jī)的IP層就能將分組重組成原始的數(shù)據(jù)報了�����,因此,MTU對于一些大的IP包����,需要對其進(jìn)行分片傳送。
如果一個攻擊者打破這種正常情況�����,把偏移字段設(shè)置成不正確的值�,即可能出現(xiàn)重合或斷開的情況,就可能導(dǎo)致目標(biāo)操作系統(tǒng)崩潰���。像Land�、Smurf����、PingOfDeath、Winnuke��、IpSpoof等都屬于這種攻擊類型����。
再次���,攻擊的服務(wù)器發(fā)送大量的域名解析請求,通常請求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名�,被攻擊的DNS 服務(wù)器在接收到域名解析請求的時候首先會在服務(wù)器上查找是否有對應(yīng)的緩存,如果查找不到并且該域名無法直接由服務(wù)器解析的時候���,DNS 服務(wù)器會向其上層DNS服務(wù)器遞歸查詢域名信息�。域名解析的過程給服務(wù)器帶來了很大的負(fù)載�,每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務(wù)器解析域名的崩潰��,天融信入侵防御系統(tǒng)TopIDP提供了DNS攻擊和DHCP攻擊防御機(jī)制���。
最后�,天融信入侵防御系統(tǒng)TopIDP還增加了DDOS自學(xué)習(xí)功能�。DOS/DDOS模塊通過流量分析取樣機(jī)制和基準(zhǔn)流量行為監(jiān)測來識別異常流量,模塊自動學(xué)習(xí)網(wǎng)絡(luò)上的行為模式���,建立正常標(biāo)準(zhǔn)基線���,通過分析網(wǎng)絡(luò)流量結(jié)構(gòu)、流量大小�、字節(jié)分布����、以及流量與時間��、類型�����、路徑�、服務(wù)等形成多維度的取樣機(jī)制,來實時定義即時異常流量的特點�,綜合智能的判斷自動生成的實時動態(tài)特征碼,來防范應(yīng)用誤用攻擊���、服務(wù)器蠻力攻擊����、應(yīng)用和網(wǎng)絡(luò)淹沒攻擊等非漏洞威脅�。TopIDP在線速運行的情況下,實現(xiàn)串聯(lián)式布局方式的自動攔截和攻擊處理�,從而大大提高了網(wǎng)絡(luò)的抗攻擊能力。
