Andrew
2
CISP-PTE
CISM-WSE
Andrew2
CISP-PTE
CISM-WSE
針對網絡單包攻擊的預防措施有以下這些:
檢測進入防火墻的ICMP,TCP和UDP報文,由該報文的源IP地址獲取統計表項中的索引,入目的IP地址與前一報文的IP地址不同,則將表項中的報文個數增。如果在一定時間內報文的個數達到設置的閾值,記錄日志,并根據配置決定是否將源IP地址加入黑名單。
檢查ICMP應答請求包的目的地址是否為子網廣播地址或子網的網絡地址,若是,則直接拒絕,并將攻擊記錄到日志。
對每一個ip報文進行檢測,若其源地址與目的地址相同,或者源地址位環回地址(127.0.0.1),則直接拒絕,并將攻擊記錄到日志中。
檢查進入防火墻的UDP報文,如果目的端口號7或者19,則直接拒絕,并將攻擊記錄到日志,負責允許通過。
檢查IP報文中與分片有關的字段是否有矛盾,若發現有如下矛盾,則直接丟棄。將攻擊記錄。
檢測每個接口流入的ip報文的源地址和目的地址,并對報文的源地址反查路由表,入接口與以該IP地址為目的地址的最佳出接口不相同的ip報文視為IP spoofing攻擊,將被拒絕,并進行記錄。
推薦文章
