VPN及目前Firewall 在DDoS 攻击防上的缺陷5

，而留下一些系统安全漏洞，让入侵者有机可趁。Firewall 的Packet Filter 通常针对IP 封包的表头栏位与管理者制定的规则进行过滤，这些栏位主要为:
　　
　　封包型别(Packet Type)，如：IP 、UDP 、ICMP 、或TCP来源主机之IP 位址目标主机之IP 位址，来源TCP/UDP 埠号码，目标TCP/UDP 埠号码
　　以目前Firewall 的产品，要来抵挡住DDoS 的攻击，实在是有许多的困难，原因如下：
　　
　　1. Firewall 是由人力去手动设定（Static Configure ），因此，不适合於动态的设定（Dynamic Configure ），由於每次攻击的方式并不一定，你无法得知攻击者的来源位址，和用来攻击的通讯协定，除非你要做一个很完整的设定，不然，很难对DDoS 攻击做有效的预防。
　　
　　2. 而且，目前Firewall 的设定通常是采用宁可错杀一百也不可放过一人的方式，也就是它不会分辨正常封包与攻击封包之不同，举例来说，大部分的网路管理者为了抵挡住ICMP Ping的攻击，会设定Firewall 将所有进来的ICMPPing 的封包都挡掉，然而，它并不挡ICMP Ping Response的封包，这种方式使得在Firewall 外部的使用者，无法Ping在Firewa

页码：[1] [2] [3] [4] [5] [6] 第5页、共6页

设为首页 | 加入收藏 | 广告服务 | 友情链接 | 版权申明