如果不能隐藏自己，则力求别人无法接触自己 

    当然，基础设施也存在大量的合法用户。例如，多协议标签交换（MPLS） 客户边缘（CE）路由器必须与供应商边缘（PE）路由器交谈。同样，您必须将直接联网的设备之间传输的网间控制报文协议（ICMP）流量传输到网络中任何路由器的控制面板中。如果无法通过过滤器实施拒绝接入策略，网络经理可使用流量整形和限速等机制来牵制攻击的影响力，以防攻击利用有效的路由器间通信技术。

    入站ICMP流量增长速度异常是DoS攻击来临的第一个信号。为了牵制攻击的影响力，操作人员必须对ICMP流量实施限速，迫使路由器丢弃超限流量。这种做法可大幅度减少穿过网络的恶意ICMP流量。限速意味着限制存在威胁的合法用户使用网络或完全阻止来自存在安全威胁的网络的用户访问某些网站，直到攻击停止。然而，限速最重要的目的是保护网络的其他部分。

    限速并不是网络经理用于保护网络不被接触的唯一工具。状态过滤器可阻断通过IP地址欺骗或端口地址拦截发动的TCP SYN泛滥攻击和TCP zombies 攻击，并保护BGP会话（和网络）不受被感染主机的影响，从而使网络免遭恶意流量的攻击。此外，通过单播逆向路径转发（uRPF）等技术对源地址进行验证也是遏制欺骗攻击的有效手段。

    如果不能阻止别人接触自己，则尽量保持别人无法参透自己

    如果不想让别人参透自己的网络，网络经理必须实施RFC 3871中面向网络管理的最佳业务实践，即“确保大型ISP IP 网络基础设施运行安全的业务实践”。首先，网络经理必须改掉将制造商全称或简称用作路由器登录密码的习惯，而应使用一次性密码 。此外，无论对逻辑还是物理网络，通过应用适当类型的服务或过滤机制来实施带外管理也很重要。另一个有效的最佳业务实践是使用MD5等验证机制将恶意流量遏制在控制面板上。

    如想构建高效的安全运营团队，服务供应商需要去挖掘深入了解内部网关协议、BGP和入侵检测与防护技术的高素质人才。接下来，运营商应基于这个团队的网络安全原则来定义、记录并实施安全策略。运营商还应提供热线服务，以便客户和供应商了解当他们遇到攻击时该与谁联系。最重要的是，服务供应商应进行一些演练，考察自己对各类攻击的响应能力。

上一页 [1] [2] [3] 下一页