论坛: 系统集成 标题: 防DOS攻击的防火墙 复制本贴地址    
作者: ping123 [ping123]    论坛用户   登录
KFW傲盾防火墙企业网站防护版针对 DOS攻击,DDOS攻击,SYN DOS攻击等各种拒绝服务攻击的性能简介 
KFW傲盾防火墙企业使用了目前最先进的第三代防火墙技术《DataStream Fingerprint Inspection》数据流指纹检测技术,所以可以轻松防护各种DOS攻击,比如smurf、trinoo、tfn、tfn2k以及stacheldraht是比较常见的DoS攻击程序,其中SYN DOS 拒绝服务攻击最为厉害, 也是目前绝大多数防火墙无法防护的,因为要防护这种攻击必须要求防火墙基于数据流指纹检测的技术,由于技术含量非常高,宣称使用类似技术的大多数防火墙大都只是局部的适用,所以无法防护SYN DOS攻击,而KFW企业版系列防火墙,核心使用完全自主开发的数据流指纹检测技术,无论从功能、效率、稳定性、安全性等方面都领先于同类产品,可以完全防护各种已知未知的DOS 拒绝服务攻击! 

目前流行的主要攻击手段如下

Synflood:该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直维护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。

  Smurf:该攻击向一个子网的广播地址发一个带有特定请求(如ICMP回应请求)的包,并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包,使该主机受到攻击。

  Land-based:攻击者将一个包的源地址和目的地址都设置为目标主机的地址,然后将该包通过IP欺骗的方式发送给被攻击主机,这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环,从而很大程度地降低了系统性能。

  Ping of Death:根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。

  Teardrop:IP数据包在网络传递时,数据包可以分成更小的片段。攻击者可以通过发送两段(或者更多)数据包来实现TearDrop攻击。第一个包的偏移量为0,长度为N,第二个包的偏移量小于N。为了合并这些数据段,TCP/IP堆栈会分配超乎寻常的巨大资源,从而造成系统资源的缺乏甚至机器的重新启动。

  PingSweep:使用ICMP Echo轮询多个主机。

  Pingflood:该攻击在短时间内向目的主机发送大量ping包,造成网络堵塞或主机资源耗尽。
压缩包:http://www.safe123.com/kfwe/kfwsetup203.rar 
自解压缩包:http://www.safe123.com/kfwe/kfwsetup203.exe 
欢迎大家使用
 


地主 发表时间: 07/18 08:42

回复: gerry [gerry]   版主   登录
这么快就出文了,谢了

B1层 发表时间: 07/23 15:48

论坛: 系统集成

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号