以下的文章主要阐述的是网管经验谈之正确设置交换机防范被黑的实际操作手段,宽带网接入交换机一般要和用户终端直接连接,一旦用户终端感染蠕虫病毒,病毒发作就会严重消耗带宽和交换机资源,甚至造成网络瘫痪,这一现象在Slammer和冲击波事件中早已屡见不鲜。宽带接入交换机究竟面临哪些安全风险?怎样才能化解这些风险?接下来我们将逐一揭示。宽带网接入交换机通常需要与用户终端直接连接,一旦用户终端感染蠕虫病毒,病毒发作就会严重消耗带宽和交换机资源,甚至造成网络瘫痪,这一现象在Slammer和冲击波事件中早已屡见不鲜。宽带接入交换机究竟面临哪些安全风险?怎样才能化解这些风险?接下来我们将逐一揭示。交换机的风险利用抓包工具,网管经常捕获到大流量的异常报文,它们一方面消耗网络带宽,另一方面消耗网络设备的资源,影响网络的正常运行。单播类异常报文:单播流量大多数是发送给网关,网关设备根据路由表对这些报文做出转发或丢弃处理。对私有IP地址,公网三层交换机或路由器会自动丢弃单播流量。如果用户已经获得一个公网IP地址,这些单播流量就会被转发出去,进而影响更大范围的网络。以冲击波病毒为例,中毒主机只要监测到网络可用,就会启动一个攻击传播线程,不断随机生成攻击地址进行攻击。在冲击波发作严重的阶段,网络速度明显变慢,一些接入层交换机和一些小型路由器甚至崩溃,核心三层交换机的CPU利用率达到100%,运营商不得不采取屏蔽ICMP报文的办法加以应对。广播类异常报文:广播是实现某些协议的必要方式。广播报文会发送给特定网段内的所有主机,每台主机都会对收到的报文进行处理,做出回应或丢弃的决定,其结果是既消耗网络带宽又影响主机性能。利用端口隔离技术,用户可以限制广播报文只发往上行端口,这样可以减小对本网段链路和主机的影响,但无法解决对汇聚层和核心层设备造成的影响。如果在汇聚或核心设备上将多个小区划在一个VLAN内,广播类流量就会通过上层设备返回到其他小区,进而继续占用这些小区的链路带宽并影响主机性能,这种配置方法在当前宽带网络中广泛存在。组播类异常报文:组播类信息本来只服务于网络内的部分用户,其目的地址是网络内申请加入组播组的主机。一些主机并没有申请加入组播组,这些组播报文本不应该转发给这些主机,
但是事实上这些主机还是收到了组播信息。是什么原因导致组播报文转发给没有申请加入的主机呢?原来,为了实现组播,二层交换机使用GMRP组播注册协议或IGMP Snooping协议来维护一个动态组播表,
然后把组播报文转发给与该组播组成员相关的端口,以实现在VLAN 内的二层组播,如果没有运行IGMP Snooping,组播报文将在二层广播,这就是导致组播泛滥的原因。随着宽带网络的进一步普及以及视频应用的逐渐增加,组播技术将会得到更广泛地应用,那时组播类异常流量不仅会出现在网络的第二层,而且
还会路由到整个组播树。加上视频类信息流量较大,很难区分正常流量和不正常流量。因而对组播进行控制也就更加困难了。总之,局域网内的应用存在被病毒利用的可能性,如果不有效限制异常流量,就会对网络带宽以及网络设备造成资源消耗。因此,为面向用户的二层交换机增加智能,把问题隔离在最小的范围内,就显得尤为重要。化解风险的对策利用交换机的流量控制功能,我们能够把流经端口的异常流量限制在一定的范围内。
不过,交换机的流量控制功能只能对
经过端口的
各类流量进行简单的速率限制,将广播、组播的异常流量限制在一定的范围内,而无法区分哪些是正常流量,哪些是异常流量。同时,如何设定一个
合适的阈值也比较困难。如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表 )。ACL利用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。通过细分不同的网络流量,用户可以
针对性地对异常流量分别进行控制。通过IP报文的协议字段控制单播类异常流量,通过以太帧的协议字段控制广播类异常报文,通过IP目的地址段控制组播类报文。除了这些控制手段之外,网络管理员还需要经常注意网络异常流量,及时定位异常流量的源主机,并且排除故障。以上的相关内容就是对网管经验谈之如何设置交换机防范被黑的介绍,望你能有所收获。498)this.w
idth=498;' onmousewheel = 'javascript:return big(this)' style="width: 530px; height: 393px" alt="网管经验谈之如何设置交换机防范被黑" srcwidth="530" srcheight="393" zoomrate="1" src="http://images.51cto.com/files/uploadimg/20100917/1424490.gif" />上述的相关内容就是对网管经验谈之如何设置交换机防范被黑的描述,希望会给你带来一些帮助在此方面。【责任编辑:孙巧华 TEL:(010)68476606】 原文:设置交换机防范被黑 网管经验推荐 返回网络安全首页
设置交换机防范被黑 网管经验推荐
时间: 2024-10-05 21:15:38
设置交换机防范被黑 网管经验推荐的相关文章
交换机、防火墙和交换机相结合实现内外网隔离
随着网络技术和 因特网技术的成熟和 高速发展,越来越多的企事业单位开始组建网络来实现办公自动化和共享因特网的信息. 但是, 安全问题也突现出来,iMaxNetworks(记忆网络公司)根据电子政务网络的特点 提出了以交换机.防火墙和交换机相结合实现内外网隔离的解决方案. 方案一:交换机实现内外网的物理隔离网络系统由内部局域网和外部因特网两个相对独立又相互关联的部分组成,均采用星形拓扑结构和100M交换式快速以太网技术.内部网与外部网之间不存在物理上的连接,使来自Internet的入侵者无法通过计
通过论坛建站程序的功能设置来防范恶意广告
摘要: 论坛运营相当的不容易,不仅仅要时刻考虑如何提升论坛的人气,同时还要防范那些恶意广告的冲击,可能很多论坛站长都有这样的体会,只要两天不管理,论坛上的广告就如滔滔洪水 论坛运营相当的不容易,不仅仅要时刻考虑如何提升论坛的人气,同时还要防范那些恶意广告的冲击,可能很多论坛站长都有这样的体会,只要两天不管理,论坛上的广告就如滔滔洪水一发而不可收拾!特别是恶意广告的冲击,极有可能导致论坛的瘫痪. 如果人工来防范恶意广告对论坛的冲击,肯定不是最好的方法,甚至最终因为枯燥,而最终失去运营论坛网站的信心
win8系统中如何设置交换机
1.本人家里用的这种是小型的交换机,只有几个接口的,家用是够了的,另外其他的交换机设置也是跟这种一样的,首先看图片如下图:背面是网线的插槽; 2.这是交换机的侧面,通常都是电源线的接口,当然了不同的交换机可能的位置有些许不同,但一般都在侧面. 3.这是正面,主要是交换机的指示灯,等等,可通过此处确定你的网线是否连接成功. 4.下面我们来开始设置交换机.在下图中的电源线连接成功.将电源连接成功之后,通常教皇及正面会有一盏指示灯亮起. 5.接下来我们吧网线接好,首先将外来的宽带网线接入到交换机的
Win8系统怎么设置交换机
1.本人家里用的这种是小型的交换机,只有几个接口的,家用是够了的,另外其他的交换机设置也是跟这种一样的,首先看图片如下图:背面是网线的插槽; 2.这是交换机的侧面,通常都是电源线的接口,当然了不同的交换机可能的位置有些许不同,但一般都在侧面; 3.这是正面,主要是交换机的指示灯,等等,可通过此处确定你的网线是否连接成功; 4.下面我们来开始设置交换机.在下图中的电源线连接成功.将电源连接成功之后,通常教皇及正面会有一盏指示灯亮起; 5.接下来我们吧网线接好,首先将外来的宽带网线接入到交换机的
显示器刷新率设置太高导致黑屏怎么办
显示器刷新率设置太高导致黑屏的解决方法. 1.在DOS下删除C:WINDOWSsystem32configSYSTEM,然后重启重装系统驱动即可. 2.开机按F8,选择用VAG方式启动,然后重新设置好刷新率并重启即可. 3.开机按F8,选择安全模式启动,删除显卡驱动,重启,重装显卡驱动即可. 4.最笨的方法:重装系统.
什么是深网、暗网与黑网?别混淆了
近年来,小编听说了很多关于暗网的报道,一直搞不太清楚一些关系和名词,今天就一起来了解一下. 互联网是巨大的,我们日常访问的其实只是冰山上面的部分,但在冰山的下面藏着不比互联网小的深网(Deep Web).暗网(Darknet)和黑网(Dark Web). 对我们大多数人来说,网络限于12个到50个网站的日常浏览.很多还会以搜索引擎搜索的形式出现.据统计全球大约有10亿网站存在于全球服务器上,但即便是这个量级,也只是万维网(WWW)的冰山一角.深网包涵子集黑网,即是未被搜索引擎(如Google,百
nginx做文件服务器,怎么设置可以防范别人拿到上传链接后频繁的上传文件到服务器,以托慢服务器的效率
问题描述 nginx做文件服务器,怎么设置可以防范别人拿到上传链接后频繁的上传文件到服务器,以托慢服务器的效率 就怕别人自己新写个页面,用脚本24小时不间断的攻击文件服务器. 解决方案 有专门的硬件防火墙可以识别这种ddos/spam的请求并且封锁的 解决方案二: 加一些认证,或者nginx检查一些参数等.
“传统品牌商网店经验缺乏”成商机
"传统品牌商网店经验缺乏"成商机 收10%还是收30%的佣金?被电子商务带动起来的部分电商服务商已经开始过起"挑品牌"服务的日子.IDC与阿里集团昨日联合发布的一份白皮书显示,截至去年底,国内电子商务服务企业已突破15万家,尽管如此,但就记者了解到的情况,仅"电商管家"这块,僧多粥少的局面仍旧明显. 网友在诸如天猫的飞利浦诺基亚等官方旗舰店购物时,事实上,为自身提供咨询服务和处理订单的并不是传统公司的人,这些操作员均来自于"管家公司&q
三年网赚经验 对如何在网上赚钱的心得体会
中介交易 SEO诊断 淘宝客 云主机 技术大厅 网上创业是个很诱惑人的词汇,风吹不着,雨淋不到,而且工作时间自由,这些都是网上创业赚钱的好处.自从大学毕业后,我曾经在摆过地坛,说到摆地摊,不仅要保持一颗警惕的心,很城管打游击,而且还要缴纳一些所谓的"地摊费",半年下来,虽然赚了一些钱,都是辛苦钱,而且大多是在夜市,辛苦不用详细说了,后来,在练摊的过程中,看到一位小学的同学,他告诉我在淘宝开店很来钱,而且淘宝开店就像练摊一样简单. 自己在这位同学的指引下,小心的尝试在网上开始了创业之旅,