为什么路由器防火墙用上“当“DOS攻击防范”启用的时候”,就win7电脑被列入DoS被禁止主机列表
为什么路由器防火墙用上“当“DOS攻击防范”启用的时候”,就win7电脑被列入DoS被禁止主机列表,无法连接上网,而其他的xp电脑没有这个问题。除非关闭几个数据防护,才可...
为什么路由器防火墙用上“当“DOS攻击防范”启用的时候”,就win7电脑被列入DoS被禁止主机列表,无法连接上网,而其他的xp电脑没有这个问题。除非关闭几个数据防护,才可以连接上。
路由器后边有三台电脑,两台是xp,一台是win7,xp路由器怎么设置大致都可以上网,win7电脑就如同问题所说的。 展开
路由器后边有三台电脑,两台是xp,一台是win7,xp路由器怎么设置大致都可以上网,win7电脑就如同问题所说的。 展开
3个回答
展开全部
DoS(Denial of Service,拒绝服务)是一种利用大量的虚拟信息流耗尽目标主机的资源,目标主机被迫全力处理虚假信息流,从而使合法用户无法得到服务响应的网络攻击。
一般而言手工方式防护DDOS主要通过两种形式: 系统优化――主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDOS进行防护。 网络追查――遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。 3.2.2 退让策略 为了抵抗DDOS攻击,客户可能会通过购买硬件的方式来提高系统抗DDOS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高供给流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。 3.2.3 路由器 通过路由器,我们可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDOS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,如果DDOS攻
击采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范。 另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在
网络边界来阻断伪造源地址IP的攻击,但是对于今天的DDOS攻击而言,这种方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址,如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过uRPF防护策略。除此之外,如果希望uRPF策略能够真正的发挥作用,还需要在每个潜在攻击源的前端路由器上配置uRPF,但是要实现这种情况,现实中几乎不可能做到。 3.2.4 防火墙 防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDOS攻击的防护,在某些情况下,防火墙甚至成为DDOS攻击的目标而导致整个网络的拒绝服务。 首先是防火墙缺乏DDOS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet
服务的设备提供了通路,如果DDOS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,DDOS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDOS攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDOS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。 最好防火墙的部署位置也影响了其防护DDOS攻击的能力。传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为DDOS攻击的目标,攻击者一旦发起DDOS攻击,往往造成网络性能的整体下降,导致用户正常请求被拒绝。 3.2.5 入侵检测 目前IDS系统是最广泛的攻击检测工具,但是在面临DDOS攻击时,IDS
系统往往不能满足要求。 原因其一在于
入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本和易用性极低。 原因之二就在于IDS系统一般对攻击只进行检测,但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力,这样才能真正意义上减缓DDOS对于网络服务的影响。 IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDOS攻击主要以三层或是四层的协议异常为其特点,这就注定了IDS技术不太可能作为DDOS的检测或是防护手段。目前的防御算法对所有已知的拒绝服务攻击是免疫的,也就是说,是完全可以抵抗已知DoS/DDoS攻击的。
一般而言手工方式防护DDOS主要通过两种形式: 系统优化――主要通过优化被攻击系统的核心参数,提高系统本身对DDoS攻击的响应能力。但是这种做法只能针对小规模的DDOS进行防护。 网络追查――遭受DDoS攻击的系统的管理人员一般第一反应是询问上一级网络运营商,这有可能是ISP、IDC等,目的就是为了弄清楚攻击源头。 3.2.2 退让策略 为了抵抗DDOS攻击,客户可能会通过购买硬件的方式来提高系统抗DDOS的能力。但是这种退让策略的效果并不好,一方面由于这种方式的性价比过低,另一方面,黑客提高供给流量之后,这种方法往往失效,所以不能从根本意义上防护DDoS攻击。 3.2.3 路由器 通过路由器,我们可以实施某些安全措施,比如ACL等,这些措施从某种程度上确实可以过滤掉非法流量。一般来说,ACL可以基于协议或源地址进行设置,但是目前众多的DDOS攻击采用的是常用的一些合法协议,比如http协议,这种情况下,路由器就无法对这样的流量进行过滤。同时,如果DDOS攻
击采用地址欺骗的技术伪造数据包,那么路由器也无法对这种攻击进行有效防范。 另一种基于路由器的防护策略是采用Unicast Reverse Path Forwarding (uRPF)在
网络边界来阻断伪造源地址IP的攻击,但是对于今天的DDOS攻击而言,这种方法也不能奏效,其根本原因就在于uRPF的基本原理是路由器通过判断出口流量的源地址,如果不属于内部子网的则给予阻断。而攻击者完全可以伪造其所在子网的IP地址进行DDoS攻击,这样就完全可以绕过uRPF防护策略。除此之外,如果希望uRPF策略能够真正的发挥作用,还需要在每个潜在攻击源的前端路由器上配置uRPF,但是要实现这种情况,现实中几乎不可能做到。 3.2.4 防火墙 防火墙几乎是最常用的安全产品,但是防火墙设计原理中并没有考虑针对DDOS攻击的防护,在某些情况下,防火墙甚至成为DDOS攻击的目标而导致整个网络的拒绝服务。 首先是防火墙缺乏DDOS攻击检测的能力。通常,防火墙作为三层包转发设备部署在网络中,一方面在保护内部网络的同时,它也为内部需要提供外部Internet
服务的设备提供了通路,如果DDOS攻击采用了这些服务器允许的合法协议对内部系统进行攻击,防火墙对此就无能为力,无法精确的从背景流量中区分出攻击流量。虽然有些防火墙内置了某些模块能够对攻击进行检测,但是这些检测机制一般都是基于特征规则,DDOS攻击者只要对攻击数据包稍加变化,防火墙就无法应对,对DDOS攻击的检测必须依赖于行为模式的算法。
第二个原因就是传统防火墙计算能力的限制,传统的防火墙是以高强度的检查为代价,检查的强度越高,计算的代价越大。而DDOS攻击中的海量流量会造成防火墙性能急剧下降,不能有效地完成包转发的任务。 最好防火墙的部署位置也影响了其防护DDOS攻击的能力。传统防火墙一般都是部署在网络入口位置,虽然某种意义上保护了网络内部的所有资源,但是其往往也成为DDOS攻击的目标,攻击者一旦发起DDOS攻击,往往造成网络性能的整体下降,导致用户正常请求被拒绝。 3.2.5 入侵检测 目前IDS系统是最广泛的攻击检测工具,但是在面临DDOS攻击时,IDS
系统往往不能满足要求。 原因其一在于
入侵检测系统虽然能够检测应用层的攻击,但是基本机制都是基于规则,需要对协议会话进行还原,但是目前DDoS攻击大部分都是采用基于合法数据包的攻击流量,所以IDS系统很难对这些攻击有效检测。虽然某些IDS系统本身也具备某些协议异常检测的能力,但这都需要安全专家手工配置才能真正生效,其实施成本和易用性极低。 原因之二就在于IDS系统一般对攻击只进行检测,但是无法提供阻断的功能。IDS系统需要的是特定攻击流检测之后实时的阻断能力,这样才能真正意义上减缓DDOS对于网络服务的影响。 IDS系统设计之初就是作为一种基于特征的应用层攻击检测设备。而DDOS攻击主要以三层或是四层的协议异常为其特点,这就注定了IDS技术不太可能作为DDOS的检测或是防护手段。目前的防御算法对所有已知的拒绝服务攻击是免疫的,也就是说,是完全可以抵抗已知DoS/DDoS攻击的。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
额 这个当你WIN7上网看电影流量稍大或者下载及浏览某些网页时时,系统误认为认为你遭受DOS攻击,也就断开了你的网络,你需要限制你的流量,或者把你DOS攻击防范的安全度调低一点,也就是设置路由器防DOS攻击数据包通过路由的个数,设置高一点就不会了,如果家用电脑就不用设置DOS攻击防范了
追问
那为什么xp电脑没问题
追答
额 这个是和你的所传输的数据包的个数有关系的,和系统无关的,否则我只要装个XP系统就可以突破你的防火墙了那这防火墙就没意义了, 一旦XP系统的传输的数据包大于所允许通过的的个数,也一定会被封掉了的
已赞过
已踩过<
你对这个回答的评价是?
展开全部
这个跟系统没关系,应该是电脑里的某个软件发出类似DDOS的ping路由行为。
我们公司也有些电脑出现这种情况,通常都是某些恶意软件所为,或者安装了来路不明的操作系统留了后门导致的。
装个杀毒先彻底杀一次病毒看看,最根本的解决办法还是重装一次系统。
我们公司也有些电脑出现这种情况,通常都是某些恶意软件所为,或者安装了来路不明的操作系统留了后门导致的。
装个杀毒先彻底杀一次病毒看看,最根本的解决办法还是重装一次系统。
追问
杀毒也没有什么病毒,win7都是一些暴风影音看电影的软件。
追答
方法1、把路由的DDOS防火墙关闭了。
方法2、如你所说的关闭几个数据防护。
方法3、重装系统,用XP,或者其他版本的WIN7。
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
