Denial of Service angrep forebygging

Denial of Service angrep forebygging


Denial of service angrep gjøre en datamaskin ressurs, for eksempel en nettside, utilgjengelig for brukerne ved å binde opp båndbredde. De fleste DoS angrep er distribuert angrep, eller DDoS, laget av flere datamaskiner samtidig. Eierne av disse datamaskinene kan ikke engang være klar over sin rolle i angrepet; datamaskiner kapret av malware kan delta i et DoS angrep automatisk. DoS-angrep bryter regler for akseptabel bruk for nesten alle Internett-leverandører og kan skade nettressurser. Site eiere kan bruke flere teknikker for å beskytte mot en DoS.

Brannmurer

De fleste brannmurer kan hindre enkle DoS-angrep. De kan tillate eller nekte bestemte IP-adresser, porter eller protokoller, men kan ikke skille mellom forskjellige typer trafikk. Det betyr at mens en brannmur kan hindre et DoS på en lite brukt port, kan den ikke gjøre noe med et angrep på viktige havner, som port 80, som gir web-tjeneste, eller port 110, som gir POP3 e-posttjeneste . Hvis brannmuren stenger disse portene, legitime brukere mister tilgang til ressursen, også. Brannmurer kan gi oss en billig måte å hindre enkle flooding angrep.

Svitsjer og rutere

Disse biter av maskinvare tilbyr også noen DoS forebygging alternativer bygget i. For eksempel kan de fleste svitsjer og rutere begrense hastigheten på trafikken og skape en tilgangskontrollisten, eller ACL, som angir hvilke brukere og prosesser kan få tilgang til hvilke objekter. Disse kontrollene krever vanligvis manuell innstilling. Noen brytere gir automatisk hastighetsbegrensende, kan inspisere datapakker for mistenkelige egenskaper og kan påvise falske IP-adresser, noe som ytterligere reduserer risikoen for en DOS. Disse biter av maskinvare forhindre enkle DoS-angrep, men ofte tregere under angrepet. Mange komplekse angrep velde router og switch forebyggende taktikk.

Packet Analysis

Spesialiserte biter av maskinvare kalt søknad grensesnitt maskinvare kan analysere datapakker som de kommer inn i systemet, og før de når selve serveren. Maskinvaren kategoriserer pakker som vanlig, farlig, eller høy prioritet. Denne maskinvaren kan være dyrt og kan gjøre systemet tregere. Intrusion Prevention Systems, eller IPS, også analysere data beveger seg gjennom nettverket. De identifiserer ondsinnet aktivitet, blokkere aktiviteten, og rapportere det og lage en logg over dårlige data beveger seg gjennom nettverket. En IPS kan fungere ved å identifisere dårlig innhold eller mistenkelig oppførsel. Hver type IPS har problemer med å identifisere og blokkere DoS-angrep som de andre blokkene enkelt.

Defense Systems

En DoS Defense System, eller DDS, fokuserer spesielt på å blokkere DoS-angrep. Disse systemene kan filtrere ut angrep inneholder legitimt innhold, men som oppfører seg mistenkelig. De kan også blokkere angrep som bruker hastighet på dataoverføring mot Internett-ressursen og angrep som bruker spesifikke protokoller. Som pakkeanalyseteknikker, krever DDS ekstra omsorg og koster mer enn å bruke brannmurer og vanlige hardware, men er også mer effektive.

sinkholes

Denne teknikk innebærer å dirigere trafikk til en "felle" i nettverket. Herfra kan tjenesteleverandøren overvåke og analysere trafikken, avvise mistenkelige data. En beslektet teknikk, "black holing" retning og all trafikk til en ikke-eksisterende sted. Denne metoden blokker legitim trafikk, samt pakker i DoS angrep, men hindrer noen dårlige data fra å komme gjennom.