阻挡与过滤

关闭边缘路由器上的“广播”功能可以阻挡Smurf攻击。以三秒或更短的间隔中止不完整的SYN请求通常可以防止SYN洪水。IP路由包过滤功能可以捕获劫持企图。事实上，过滤功能正是TCP/IP保护所做的事。

例如，最近分布式拒绝服务攻击的许多受害者现在都在自己ISP的位置对数据流进行过滤，而不是等待“洪水”袭击自己的计算机。一些受害者还对自己的操作系统进行了配置，使其可以更快地中断SYN请求，并改变受到拒绝服务攻击的服务器的IP地址避免再受到攻击。

除了防火墙和入侵检测外，用户还可使用下列过滤技术以防止TCP/IP攻击：

·在边缘路由器上设置过滤阻挡假地址或SYN攻击。

·阻挡连接请求、防止高容量攻击的速率限制过滤器。

·检测符合攻击特征的进入连接或跟踪攻击发源地供起诉之用的数据流分析。

·通过过滤已知攻击类型，防止拒绝服务攻击的基于主机的防火墙。

由于这类安全特性不属于缺省配置，所以IT人员可能不知道这些特性，因此并没有开启这些特性，或者他们害怕过滤功能会降低他们的速度。但是实际上这些特性不会给性能造成太大的影响。

例如，Cisco公司的路由器包含一种叫做单播逆向路径转发检查的特性，这种逆向IP查找功能自三年前Cisco发布IOS第10版起就是该操作系统的一部分。这种功能可以通过检查上游路由表查看数据包是否来自它们自称的IP地址来检测伪造的数据流。尽管这类技术几乎无处不在，但是用户还是很少使用它们。

对性能问题的担心也是造成新的ISN猜测威胁的原因。1996年中，厂商有机会采用一种更强键的随机序列发生器，但多数厂商不愿意采用它，因为从CPU使用的角度看，它费用更高。

而且，IPSec也被大多数人所忽视，IPSec是IPv6的一个子集，它的设计目的是利用公共密钥在计算机进行连接前对计算机进行认证。这两种同是在1998年公布的安全特性可以帮助解决许多TCP/IP安全问题。

目前厂商产品真正支持IPSec的还不多。这是因为企业没有看到采用IPSec或IPv6的令人信服的理由，特别是VPN隧道技术具有与IPSec几乎相同的功能。

此外，升级到IPv6需要一定的时间，大家未来需要同时升级到IPv6。否则，由于兼容性问题，那些先升级的人将不能接入到Internet的很多部分中。随着无线Internet设备的出现，对地址空间的需求不久将会呈爆炸式增长。同时，对更强过滤功能和IP安全的需求也会出现爆炸。否则，总有一天，任何Internet连接的设备，甚至包括电冰箱，都会黑世界一把。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=11615&categ_code=10041003