第 2 页 由Smurf攻击产生的攻击数据流量 二、受害者的策略 由Smurf攻击产生的攻击数据流量在经过了“放大器网络“放大之后,当到达最终攻击目的时,数据流量可能是非常巨大的。为了保护被攻击的系统免于瓦解,我们可以采取以下两种
策略:
利用控制访问列表过滤数据
在最终攻击目的的网络边界路由器上利用访问控制列表,拒绝将ping攻击数据包发往被攻击的主机。但这是一个粗努的方法,因为当你在路由器上完全限制了发往被攻击主机的ping数据包之后,其它盼望正常通过的ping数据包也将无法通过。另外,在边界路由器上利用访问控制列表过滤ping数据之后,虽然可以保护路由器连接的内部网络免受攻击,但攻击的数据还是会大量涌入路由器,导致路由器接口的阻塞。
利用CAR限制速率
在最终攻击目的的网络边界路由器上利用CAR限制是一种更为可取的方法。通过CAR可以将流入网络的某一类数据包的总流量限制在一定的范围,从而可以保证其它数据的正常通过。
结论
本文讨论的基于路由器配置来防御dos攻击的方法在实际应用中有非常明显的效果。
限制icmp echo的流量
当大量的数据涌入一个接口的时候,即使利用了访问策略对ICMP包进行了删除,接口还是可能会因为忙于不断删除大量数据而导致接口不能提供正常服务。
防止IP源地址欺骗
IP源地址欺骗可以应用在多种不同的攻击方法中,例如:TCP SYN flooding、UDP flooding、ICMP flooding等。
运行“Winmedos.com”,它会对这几个文档自动进行改正。
运行完成后,将这三个文档复制到原处,并覆盖原文档。
OK!大功告成了。重新启动电脑后,WindowsME就会出现一个启动选择菜单,用户就可以选择进入实DOS模式了,另外也可以按下“Shift+F8”直接进入实DOS。