|
|
|
|
|
|
|
|
LAN。最好禁用不需要的端口。这可以防止黑客插入未使用的端口而与网络其余部分通信。
● 避免将VLAN用作保护两个子网间接入的惟一方式。
主机目标
主机在攻击中最有可能成为目标,从安全角度来讲,也是最难保护的。众多的硬件平台、操作系统和应用均在不同的时间段有升级、补丁和修复。主机向提出请求的其他主机提供应用服务,它们在网络中是高度可视的。
出于上述安全问题等原因,主机也是可被最成功破坏的设备。为保护主机,就必须密切注意系统中的每个组件,使系统保持与最新补丁、修复等的同步。此外,要注意这些补丁对其他系统组件的运行有所影响,在对生产环境实施升级前,在测试系统上对其进行评估。如不这样做,补丁本身就可能导致拒绝服务(DoS)。
网络目标
最糟的攻击是无法中止的攻击。分布式拒绝服务(DDoS)正是这样一种攻击。
DDoS攻击的常见形式为ICMP信息流溢出、TCP SYN信息流溢出或UDP信息流溢出。在电子商务环境中,这类信息流易于分类。只有当在端口80(HTTP)上限制TCP SYN攻击时,管理员才会面临在攻击时排斥合法用户的风险。即使在那时,也最好暂时排除新合法用户,保留路由和管理连接,这也要优于让路由器过度运行而损失所有连接。
大多数成熟的攻击使用带ACK位集的端口80信息流,这样信息流看来像页码:[1] [2] [3] [4] [5] [6] [7] [8] 第4页、共8页 |
|
|
|
|
设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明
Copyriht 2007 - 2008 © 科普之友 All right reserved |
