|
||
|
Advance Member
  加入日期: May 2000 您的住址: 士林劍潭
文章: 460
|
大家好 我想做有關入侵偵測和QOS有關的論文 請熟這塊的前輩指點迷津 感謝!!
因為這區是最多人會來看的吧 所以我想一定多少會有人了解這個領域的東西
 我的想法是 入侵偵測系統(目前是暫定用snort)和QOS掛在機器上 一旦發現有大量的流量經過時 ,snort一定會掉封包 甚至 DOS攻擊也會可讓機器掛掉 snort也沒辦法偵測到後續攻擊 那這個時候 我的想法就是 當snort偵測到異常時 1.就啟動QOS分流的機制,限制protocol頻寬,這時候snort也可以確保正常運作繼續偵測 (但缺點是通殺~就算是合法的下載也會被影響到) 2.處理過後 就回復被限制的頻寬 ================================================= 不過我的疑問是 1.QOS可分為整體服務和差別服務,一個是限制protocol,一個是限制user, 限制user比較符合防堵入侵的原則,可是要如何得知呢 2.可不可以把QOS掛在前端的router上面,後面的snort偵測到異常時再去啟動QOS? 2.1那是由人工啟動嗎~ 2.2經由SNMP的protocol嗎~ 3.這過程會不會太過簡單 學術性不足 小弟先感謝了~ 
__________________
============================= 討厭捷運裡 架拐子,偷跑,暴力搶座位的歐巴桑! ============================= |
|||||||
2004-11-09, 04:26 PM
#1
|
|
|
Elite Member
加入日期: Oct 2002
文章: 4,804
|
你要拿qos擋Dos?
入侵偵測不是這樣做的 真正Dos也不是這樣擋的 你server不收封包 但線路仍佔滿啊 那跟server罷工有差別嗎? 過飽荷攻擊就是這樣恐怖 乾脆把機器shutdown找isp從來源router處擋下封包 你的線才會恢復生機
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
||
|
2004-11-09, 04:48 PM
#2
|
|
|
Advance Member
加入日期: May 2000 您的住址: 士林劍潭
文章: 460
|
首先謝謝您的回覆
喔 我的想法是如果在前端router 掛上QOS 那如果遇到DOS攻擊的話 就控制進來的量 不致於讓整段網路塞報 這樣一來也讓網管人員有時間去反應 直接對router下acl command 去deny掉來源位址 至於DOS造成網路的擠爆 那就是在router之外了 就不是我們所能控制的範圍了 我只要管好Intranet安不安全就好了 ~ 這樣的話不知道行不行的通~
__________________
============================= 討厭捷運裡 架拐子,偷跑,暴力搶座位的歐巴桑! ============================= |
|
2004-11-09, 05:01 PM
#3
|
|
|
Elite Member
加入日期: Oct 2002
文章: 4,804
|
一樣啊
firewall通常得保內網安全 (不管有無ips) 但DOS最後就是會變進不去 出不來 那也沒啥好研究的 你在資安也有po 去找dos的文章 denial of service有許多不同手法 了解手法為何 也許會更有體會
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 此文章於 2004-11-09 05:23 PM 被 u8526425 編輯. |
|
2004-11-09, 05:13 PM
#4
|
|
|
Elite Member
加入日期: Oct 2002
文章: 4,804
|
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
|
2004-11-09, 05:28 PM
#5
|
|
|
Major Member
 加入日期: Jul 2004 您的住址: 台北
文章: 142
|
DoS 難以防制的根本問題是:
1. 你如何分辨那是DoS攻擊還是正常的網路拜訪? 以一個大型網站來說,時時刻刻流量都很大,單靠流量可不能作為判斷的依據,認IP之類也是太粗糙的作法。 2. DoS的本質就是「操爆你」。 網路流量大到你的機器無法負荷,你在前端裝過濾器,可能照樣消化不了。 再者,網路頻寬被吃光,正常人連不上來,這更是棘手,因為這個壅塞的情況是在更外層的router就發生了,你是管不到那邊去的。你說管好Intranet就好,ㄟ... 你有聽過DoS攻擊是來自Intranet的嗎...?  我不是專攻這塊的,只是知道一些相關知識。 我不清楚樓主的背景為何,感覺起來, 應該是有些網管實務經驗的人,但是瞭解的似乎還不夠多, 突然這樣問一個 idea 能否寫成論文也不尋常... 因為若是碩士生要寫論文,並不是單打獨鬥,也不是某天憑空想像出一個idea就可以寫論文了。 一定是先大量熟讀論文、跟教授和同學研究,先把此領域搞懂、搞通,再找出現有研究還缺乏之處,作為著力點。 建議樓主應該先好好 study 一下 IDS 領域的東西,加油吧。 此文章於 2004-11-09 06:15 PM 被 Lucica 編輯. |
|
2004-11-09, 06:11 PM
#6
|
|
|
Regular Member
 
加入日期: Mar 2004 您的住址: 現實的社會
文章: 57
|
嗯..................................
外行的果然一點都看不懂
__________________
擾人,自擾。 
|
|
2004-11-09, 06:56 PM
#7
|
|
|
Advance Member
加入日期: May 2000 您的住址: 士林劍潭
文章: 460
|
謝謝樓上Lucica的指教~
分辨流量過大中,包含DOS或是正常的網站拜訪 這部分我打算交給snort去負責辨識,所以我的重點是 為了防止瞬間流量過大,才用QOS去控制 再者,如果不把qos加在router上,而是加在後面,那就是後面才過濾了 .... router前端會造成壅塞(不知道這樣說對不對~) ps:目前已有人作實做是用netflow去分析router流量 搭配acl去deny的 所以管到router這部分..我想應該是可行的 因為我之前有個在wireless ad hoc下搭配ids作入侵防禦的做法,不過遇到瓶頸只好放棄~不瞞您說 我跟老師討論過這個做法,現在這個搭配QOS的做法老師是覺得很奇怪,感覺為了IDS而去掐頻寬的做法好像不是很實際..
__________________
============================= 討厭捷運裡 架拐子,偷跑,暴力搶座位的歐巴桑! ============================= |
|
2004-11-09, 07:14 PM
#8
|
|
|
Elite Member
加入日期: Oct 2002
文章: 4,804
|
所以你要找的是IPS領域的東西
研究人家是怎樣去Prevention的 只是Detection不做處理也是沒鳥用
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
|
2004-11-09, 07:34 PM
#9
|
|
|
Junior Member
加入日期: Jan 2003 您的住址: Shattrath City
文章: 948
|
美國 whitehouse 的做法好像是做 address redirect.. 老師說在 CodeRed 期間. Whitehouse 遭到阿共的 DOS 攻擊.. 好像有辦法. Drop the package by redirect(switch) address 到另外一個 server 上去..
你找一找美國 DOD 的資料應該可以看的到 |
|
2004-11-10, 01:32 AM
#10
|
|
