(圖一)
其次,對于異常包類型的DOS/DDOS����,TopIDP系列產(chǎn)品構(gòu)建了完整的DOS/DDOS攻擊特征的數(shù)據(jù)結(jié)構(gòu),在構(gòu)建連接前期�����,利用監(jiān)控的Index表結(jié)構(gòu)�,智能判斷網(wǎng)絡中的數(shù)據(jù)傳輸單元。例如TearDrop攻擊�,由于在TCP/IP協(xié)議中,對包一次性傳輸?shù)拇笮∈怯幸?guī)定的���,MTU最大傳輸單元(Maximum Transmission Unit)1500 字節(jié)的數(shù)據(jù)包�����,發(fā)送方節(jié)點的傳輸層將數(shù)據(jù)分割成較小的數(shù)據(jù)片����,同時對每一數(shù)據(jù)片安排一序列號,以便數(shù)據(jù)到達接收方節(jié)點的傳輸層時��,能以正確的順序重組�����。它使用的是將分組發(fā)送到鏈路上的網(wǎng)絡接口的最大傳輸單元的值�����。原始分組的分片都被加上了標記����,這樣目的主機的IP層就能將分組重組成原始的數(shù)據(jù)報了�,因此,MTU對于一些大的IP包��,需要對其進行分片傳送����。
如果一個攻擊者打破這種正常情況���,把偏移字段設置成不正確的值,即可能出現(xiàn)重合或斷開的情況�����,就可能導致目標操作系統(tǒng)崩潰�。像Land、Smurf��、PingOfDeath��、Winnuke��、IpSpoof等都屬于這種攻擊類型���。
再次�,攻擊的服務器發(fā)送大量的域名解析請求��,通常請求解析的域名是隨機生成或者是網(wǎng)絡世界上根本不存在的域名�,被攻擊的DNS 服務器在接收到域名解析請求的時候首先會在服務器上查找是否有對應的緩存,如果查找不到并且該域名無法直接由服務器解析的時候��,DNS 服務器會向其上層DNS服務器遞歸查詢域名信息�。域名解析的過程給服務器帶來了很大的負載����,每秒鐘域名解析請求超過一定的數(shù)量就會造成DNS服務器解析域名的崩潰����,天融信入侵防御系統(tǒng)TopIDP提供了DNS攻擊和DHCP攻擊防御機制。
最后���,天融信入侵防御系統(tǒng)TopIDP還增加了DDOS自學習功能�����。DOS/DDOS模塊通過流量分析取樣機制和基準流量行為監(jiān)測來識別異常流量�,模塊自動學習網(wǎng)絡上的行為模式�����,建立正常標準基線��,通過分析網(wǎng)絡流量結(jié)構(gòu)��、流量大小��、字節(jié)分布、以及流量與時間����、類型、路徑�����、服務等形成多維度的取樣機制�����,來實時定義即時異常流量的特點,綜合智能的判斷自動生成的實時動態(tài)特征碼�,來防范應用誤用攻擊、服務器蠻力攻擊�����、應用和網(wǎng)絡淹沒攻擊等非漏洞威脅��。TopIDP在線速運行的情況下�����,實現(xiàn)串聯(lián)式布局方式的自動攔截和攻擊處理,從而大大提高了網(wǎng)絡的抗攻擊能力���。
