大家好 我想做有關入侵偵測和QOS有關的論文 請熟這塊的前輩指點迷津 感謝!!
 

因為這區是最多人會來看的吧 所以我想一定多少會有人了解這個領域的東西 :agree:

我的想法是 入侵偵測系統(目前是暫定用snort)和QOS掛在機器上
一旦發現有大量的流量經過時 ,snort一定會掉封包 甚至 DOS攻擊也會可讓機器掛掉
snort也沒辦法偵測到後續攻擊

那這個時候 我的想法就是
當snort偵測到異常時
1.就啟動QOS分流的機制,限制protocol頻寬,這時候snort也可以確保正常運作繼續偵測
(但缺點是通殺~就算是合法的下載也會被影響到)
2.處理過後 就回復被限制的頻寬
=================================================
不過我的疑問是
1.QOS可分為整體服務和差別服務,一個是限制protocol,一個是限制user,
限制user比較符合防堵入侵的原則,可是要如何得知呢

2.可不可以把QOS掛在前端的router上面,後面的snort偵測到異常時再去啟動QOS?
2.1那是由人工啟動嗎~
2.2經由SNMP的protocol嗎~
3.這過程會不會太過簡單 學術性不足
小弟先感謝了~ :cry:

你要拿qos擋Dos?
入侵偵測不是這樣做的
真正Dos也不是這樣擋的
你server不收封包
但線路仍佔滿啊
那跟server罷工有差別嗎?
過飽荷攻擊就是這樣恐怖
乾脆把機器shutdown找isp從來源router處擋下封包
你的線才會恢復生機

首先謝謝您的回覆 :agree:
喔 我的想法是如果在前端router 掛上QOS 那如果遇到DOS攻擊的話 就控制進來的量
不致於讓整段網路塞報
這樣一來也讓網管人員有時間去反應 直接對router下acl command 去deny掉來源位址

至於DOS造成網路的擠爆 那就是在router之外了 就不是我們所能控制的範圍了
我只要管好Intranet安不安全就好了 ~ 這樣的話不知道行不行的通~

一樣啊
firewall通常得保內網安全 (不管有無ips)
但DOS最後就是會變進不去 出不來
那也沒啥好研究的

你在資安也有po
去找dos的文章
denial of service有許多不同手法
了解手法為何
也許會更有體會

http://www.pcdvd.com.tw/showthread.php?t=408464
哪
這就是dos的一種
pcdvd到晚上也是
就算有qos也一樣
不是線路掛
就是機器掛
下場都很慘

DoS 難以防制的根本問題是：
1. 你如何分辨那是DoS攻擊還是正常的網路拜訪？
以一個大型網站來說，時時刻刻流量都很大，單靠流量可不能作為判斷的依據，認IP之類也是太粗糙的作法。
2. DoS的本質就是「操爆你」。
網路流量大到你的機器無法負荷，你在前端裝過濾器，可能照樣消化不了。
再者，網路頻寬被吃光，正常人連不上來，這更是棘手，因為這個壅塞的情況是在更外層的router就發生了，你是管不到那邊去的。你說管好Intranet就好，ㄟ... 你有聽過DoS攻擊是來自Intranet的嗎...? :jolin:

我不是專攻這塊的，只是知道一些相關知識。
我不清楚樓主的背景為何，感覺起來，
應該是有些網管實務經驗的人，但是瞭解的似乎還不夠多，
突然這樣問一個 idea 能否寫成論文也不尋常...
因為若是碩士生要寫論文，並不是單打獨鬥，也不是某天憑空想像出一個idea就可以寫論文了。
一定是先大量熟讀論文、跟教授和同學研究，先把此領域搞懂、搞通，再找出現有研究還缺乏之處，作為著力點。
建議樓主應該先好好 study 一下 IDS 領域的東西，加油吧。

嗯..................................








外行的果然一點都看不懂 :jolin: :jolin:

謝謝樓上Lucica的指教~
分辨流量過大中,包含DOS或是正常的網站拜訪 這部分我打算交給snort去負責辨識,所以我的重點是
為了防止瞬間流量過大,才用QOS去控制
再者,如果不把qos加在router上,而是加在後面,那就是後面才過濾了 .... router前端會造成壅塞(不知道這樣說對不對~)
ps:目前已有人作實做是用netflow去分析router流量 搭配acl去deny的 所以管到router這部分..我想應該是可行的

因為我之前有個在wireless ad hoc下搭配ids作入侵防禦的做法,不過遇到瓶頸只好放棄~不瞞您說 我跟老師討論過這個做法,現在這個搭配QOS的做法老師是覺得很奇怪,感覺為了IDS而去掐頻寬的做法好像不是很實際..

所以你要找的是IPS領域的東西
研究人家是怎樣去Prevention的
只是Detection不做處理也是沒鳥用

美國 whitehouse 的做法好像是做 address redirect.. 老師說在 CodeRed 期間. Whitehouse 遭到阿共的 DOS 攻擊.. 好像有辦法. Drop the package by redirect(switch) address 到另外一個 server 上去..
你找一找美國 DOD 的資料應該可以看的到