这两天有点忙,都没怎么看书,稍微整理了一下第四章。
网络安全基础
概述
网络安全技术,是指由网络管理者采用的安全规则和策略,用来防止和监控非授权的访问、误用、窃听、纂改计算机网络和对可访问资源的拒绝服务等行为,解决如何有效进行介入控制、如何保证数据传输的安全性等安全问题。
网络攻击分类
- 信息泄漏攻击
- 完整性破坏攻击
- 拒绝服务攻击
- 非法使用攻击
网络攻击原理
主要元素:
- 攻击者
- 安全漏洞
- 攻击工具
- 攻击访问
- 攻击效果
- 攻击意图
网络防御技术
- 身份认证技术
- 访问控制技术
- 加密技术
- 防火墙技术
- 入侵检测技术
- 漏洞扫描技术
- 备份容错技术
防火墙技术
定义
防火墙是设置在内部网络和外部网络之间,实施访问控制策略的一个或者一组系统,是访问控制机制在网络安全环境中的应用。
分类
- 按概念划分
- 包过滤防火墙
- 第一代防火墙,通过配置访问控制列表对数据报文进行过滤,并根据策略转发或丢弃数据报文,但包过滤防火墙不检查会话状态不分析数据,容易利用假地址进行欺骗,通过防火墙。
- 应用代理网关防火墙
- 第二代防火墙,代理检查用户的请求,匹配安全策略后代表外部用户与真正的服务器建立连接,转发外部用户的请求。安全性高,但软件限制处理速度,且对每种应用都要开发相应的代理服务,开发周期长且升级难。
- 状态检测防火墙
- 第三代防火墙,基于包过滤技术延伸出来且基于连接状态的数据报文检查的的状态检测技术,状态检测防火墙通过动态分析激活的TCP会话和UDP绘画状态采取动作,处理速度快且安全性高。
- 自适应代理网关防火墙
- 防火墙组成基本的要素:自适应代理服务器以及动态包过滤器
- 用户配置信息决定了是由自适应代理服务器从应用层代理请求还是从网络层转发数据包并动态通知包过滤器调整过滤规则,以此达到用户对速度和安全性的双重要求。
- 包过滤防火墙
- 按防火墙软硬结构划分
- 软件防火墙
- 运行在网络中特定的计算机上,需要计算机操作系统的支持,是整个网络的网关,不同于个人计算机上的软件防火墙。
- 硬件防火墙
- 基于x86架构的服务器或者工控机(百兆防火墙时代)
- 基于网络处理器架构的防火墙
- 芯片级防火墙/ASIC防火墙
- 专门设计ASIC芯片逻辑进行硬件加速处理,即指令或计算逻辑固化到芯片,获得更高的处理能力,提升防火墙的性能
- 但该防火墙的开发费用高,周期长灵活性和扩展性较差。
- 软件防火墙
- 按防火墙应用部署位置划分
- 边界防火墙
- 内外部网络进行隔离,实施访问控制策略
- 个人防火墙
- 以保护个人计算机为目的
- 评定好的个人防火墙标准
- 系统资源消耗低
- 处理效率高
- 设置简单易懂
- 规则设定灵活有效
- 分布式防火墙
- 混合式/嵌入式,软硬件组成的一整套防火墙系统
- 分布于内外网边界和内部主机之间,对内外网通信以及内部各主机之间通信都进行过滤
- 边界防火墙
- 按防火墙的性能划分
- 十兆级防火墙
- 百兆级防火墙
- 千兆级防火墙
- 万兆级防火墙
防火墙主要功能
- 数据包状态检测过滤
- 应用代理
- 数据包内容过滤
- 强身份鉴别
- 日志分析和流量统计分析
- VPN
- NAT
- VLAN
- 多种接入模式
- 双机热备和接口冗余
- 支持核心网络中生成树的计算
- 广泛的协议支持
防火墙的局限性
- 不能防御不经过防火墙的攻击
- 不能消除来自内部的威胁
- 不能阻止病毒感染过的程序和文件进出网络
- 管理及配置相当复杂
- 只是整体安全防范策略的一部分
发展趋势
- 功能方面,趋于融合更多的安全技术
- 与多个安全产品实现集成化管理和联动
- 体系结构方面,对分布式防火墙会有一定的需求
- 硬件化方面,逐步由通用的X86平台防火墙转向基于网络处理器的防火墙和ASIC防火墙
- 其他功能方面,趋于模块化、智能化、高性能、多端口等方面
防火墙安全策略
- 防火墙策略
策略创建步骤
- 识别确实必要的网络应用程序
- 创建表示保护方式的应用程序通信矩阵,并在应用程序通信矩阵的基础上简历防火墙规则集
- 对应用程序的保护方式进行成本-效益分析
- 识别与应用程序相关的脆弱性
执行防火墙规则集
- 防火墙拦截网络数据包:
- 来自未授权源地址且目的地址为防火墙地址的所有入站数据包
- 所有入站和出站数据包片段
- 包含直接广播地址的所有入站和出站数据包
- 包含源路由的所有入站和出站数据包
- 来自未授权的源地址,包含SNMP的所有入站数据包
- 源地址在私有地址或不合法地址范围内的所有入站数据包
- 包含ICMP请求的所有入站数据包
- 源地址不在本地局部网络地址范围内的所有出站数据包,保护外部网络
- 源地址是内部网络地址的所有入站数据包,保护内部网络
- 测试防火墙策略
- 获取防火墙配置拷贝,把这些拷贝和根据已定义的策略产生的期望配置进行比较。
- 对防火墙配置进行实际测试,通过测试工具去尝试执行那些应该被禁止的操作来对防火墙进行评估。
- 防火墙维护和管理
- 周期性审查安全策略信息
防火墙环境的部署
- 环境构建准则
- 保持简单
- 设备专用
- 深度防御
- 注意内部威胁
- 选购要点
- 安全性
- 高效性
- 并发会话连接数
- 平均无故障时间
- 延迟
- 吞吐量
- 功能灵活性
- 配置方便性
- 管理方便性
- 抗Dos/DDos攻击
- 可靠性
- 可扩展和可升级性
- 防火墙环境下的服务器部署
内外网以及DMZ关系
- 内部网络可以无限制访问外部网络以及DMZ
- DMZ不可以访问内部网络
- 外部网络不能访问内部网络以及防火墙
- 外部网络可以访问DMZ服务器的公开端口
应用服务器放置原则
- 通过边界路由过滤设备保护外部网络可访问的服务器,或者将它们放置在外部DMZ中
- 尽量隔离各种服务器,防止一个服务器被攻破后波及其他服务器安全
- 根据内部服务器的敏感程度和访问方式,将它们放置在内部防火墙之后
- 绝对不能将外部网络可访问的服务器放置在内部保护网络中
入侵检测与防御技术
- 入侵检测技术:检测任何损害或企图损害系统的机密性、完整性或可用性等行为的网络安全技术
- 入侵检测系统:IDS硬件+软件组成,用来检测系统或者网络,以发现可能的入侵或攻击的系统
- 系统结构(功能模块)
- 信息源:为分析引擎提供原始数据进行入侵分析
- 响应:分析结果提交到响应模块,相应模块采取必要和适当措施,阻止进一步的入侵行动或者恢复受损系统。
- 分析引擎:执行实际的入侵或异常行为检测
2. 主要作用
- 使系统对入侵事件和过程做出实时响应。
- 系统动态安全的核心技术之一
- 防火墙的合理补充
入侵检测系统
IDS分类
信息源分类
基于主机的IDS HIDS
- 数据来源:
- 操作系统事件日志
- Web服务器
- 关系数据库
- 应用程序日志
- 检测内容:
- 系统调用
- 应用日志
- 安全审计
- 系统日志
- 端口调用
- 优点:
- 检测精度高
- 不受网络流量影响
- 不受加密和交换设备影响
- 缺点:
- 占用主机资源,额外负荷降低系统效率
- 只检测针对本机的攻击,不能检测基于网络协议攻击
- 受主机操作系统安全性的限制
- 完全依赖操作系统固有审计机制,所以平台可移植性差
基于网络的IDS NIDS
工作原理
- 安装在需要保护的网段中,实时监测网段中数据包,
- 并对数据包进行分析和检测
- 发现异常,IDS发出警报或切断网络连接。
优点
- 检测和响应速度快
- 能够检测协议漏洞攻击
- 入侵取证可靠
- 入侵监测范围大
基于应用的IDS
- 信息源:应用程序的事务日志文件
- 直接与应用程序进行交互
- 优点:
- 监视用户与应用程序的交互,通过未授权行为追踪到个别用户
- 可以在加密环境中工作
- 缺点
- 比HIDS更容易受攻击,应用程序日志没有操作系统审计追踪日志的保护程度好
- 在相对抽象的用户层进行监视,难以察觉特洛伊木马或其他软件篡改攻击
分析技术
异常入侵检测技术
- 基于用户行为的入侵检测技术
- 主要前提:入侵性活动集作为异常活动集的子集
- 理想状况:异常活动集与入侵性活动子集相等
- 活动可能性
- 入侵性而非异常
- 入侵性且异常
- 非入侵性且非异常
- 非入侵性而异常
- 技术需解决的问题:构造异常活动集并从中发现入侵性活动子集。
- 核心问题:异常模型的建立
- 主要异常入侵检测方法:
- 统计异常检测方法
- 特征选择异常检测方法
- 贝叶斯推理异常检测方法
- 贝叶斯网络异常检测方法
- 模式预测异常检测方法
- 神经网络异常检测方法
- 贝叶斯聚类异常检测方法
- 机器学习异常检测方法
- 数据挖掘异常检测方法
- 优点:
- 能检测出使用新的网络入侵方法的攻击
- 较少依赖特定操作系统
- 缺点:
- 误报率高
- 行为模型建立困难
- 难以对入侵行为进行分类和命名
误用入侵检测技术
根据已知的网络攻击以及系统安全缺陷,建立特征数据库,将收集的网络活动进行特征匹配,检测是否存在入侵
- 主要前提:假设所有网络攻击行为和方法具有一定的模式和特征。
- 核心问题:网络攻击特征库的建立以及后期的维护和更新
- 主要使用的误用入侵检测方法:
- 概率误用入侵检测方法
- 模型误用入侵检测方法
- 键盘监控误用入侵检测方法
- 状态迁移分析误用入侵检测方法
- 专家系统误用入侵检测方法
- 优点
- 检测准确度高
- 技术相对成熟
- 便于进行系统防护
- 缺点
- 不能检测出新的网络入侵方法攻击
- 完全依赖于入侵特征的有效性
- 维护特征库的工作量大
入侵检测系统响应
主动响应:基于检测到的入侵所采取的措施。
- 形式
- 用户驱动
- 系统自动驱动
- 措施
- 针对入侵者采取措施
- 收集更详细信息
- 修正系统
被动响应:为用户提供相关信息,由用户决定采取什么措施
- 形式
- 警报和通知
- SNMP陷阱和插件,SNMP代理监测到不良事件时向管理器发出未经请求的消息,在SNMP中未经请求的消息被称为陷阱,所以有时候可以通过SNMP陷阱向控制台发出告警。
入侵检测的部署
基于网络的入侵检测系统
- 位于防火墙后面的DMZ区
- 最常见的部署位置,可检测到所有针对企业向外提供服务的服务器进行的攻击行为
- 位于外部防火墙的外部
- 可检测所有进出防火墙外网口的数据以及所有来自外部网络可能的攻击行为并进行记录。
- 位于内部网络主干上
- 可检测所有通过防火墙进入的攻击以及内部网络向外部的不正常操作,并且可以准确定位攻击的源、目的地址。
- 位于关键子网上
- 可检测来自内、外部所有不正常的网络行为。
基于主机的入侵检测系统
- 基于主机的入侵检测系统是基于网络的入侵检测系统的额外补充,提高系统受保护的水平
- 但对每台主机进行安装花费时间较长,因此建议企业先在重要服务器上安装基于主机的入侵检测系统,后续再按具体情况进行安装。
应用于交换机环境时的问题
交换机的大量使用,基于网络的入侵检测系统面临无法接收数据的问题,交换机不支持共享媒质的模式,所以传统采用嗅探器sniffer监听整个子网的方法不可行,可选择解决方法:
- 厂商开放交换机核心芯片上用于分析调试的端口(交换端口分析器Switch Port Analyzer 简称SPAN),可将基于网络的入侵检测系统接入此端口,监听任何其他端口进出信息。
- 优点:安装简单,只需接入系统并修改交换机配置,无需修改网络本身结构
- 缺点:影响交换机性能,个别SPAN端口是单向,因此系统不饿能主动响应切断入侵连接。
- 入侵检测系统放置在交换机内部或防火墙等数据流的关键出入口。
- 优点:可以得到所有关键数据
- 缺点:必须要与厂商紧密合作,且该方案会影响交换机性能。
- 采用分接器将系统接在所有要监视的线路,容错性方案,提供了全双工或半双工10M/100M/1000M网段上查看数据流的方式
- 优点:不降低性能的情况下收集所需信息
- 缺点
- 必须购买额外设备,如需保护资源过多,系统必须配备众多网络接口
- 使用以透明网桥模式接入的入侵检测系统
入侵检测系统的局限
- 入侵检测系统无法弥补安全防御系统中的安全漏洞和缺陷,可以通过报警或警示进行提醒,但无法进行修复。
- 在高负载的网络或主机很难实现对网络行为入侵的实时检测、报警以及对报警行为快速反应。
- 在高负载的环境下若未使用代价较大的负载均衡措施,入侵检测系统会存在较大的分析遗漏,造成较大的漏报。
- 入侵检测系统无法单独防止攻击行为的渗透,只能通过调整相关设备配置或人为处理。
- 各类系统之间缺乏信息共享。
发展趋势
- 分布式入侵检测
- 应用层入侵检测
- 智能入侵检测
- 与防火墙、PKI等其他网络安全技术相结合
- 建立入侵检测系统评价体系
入侵防御系统
入侵防御原理
入侵检测系统拥有众多的过滤器,它的数据包处理引擎时专业化定制的集成电路,可以深层检查数据包的内容甚至可做到逐字节检查,通过实时监视网络或者系统资源,寻找违反安全策略的行为或攻击迹象,发出报警,阻止入侵行为。
设计宗旨
预先对入侵活动和攻击性网络通信进行拦截,而不是网络入侵被检测出的同时或之后才进行报警,避免其造成损失。
入侵防御系统直接串联到网络链路中实现该功能,即一个端口接收外部网络的通信经过检测确认后再通过另外一个网络端口将通信传入内部网络中。
分类
基于主机的入侵防御系统
- 由包过滤、状态检测和实时入侵检测组成分层防护体系。
基于网络的入侵防御系统
- 基于特定的硬件平台才能实现千兆级网络流量的深度数据包检测和阻断功能,常见硬件平台如下:
- 专用的FPGA编程芯片
- 专用的ASIC芯片
- 网络处理器
- 具有目前入侵检测系统所有的成熟技术,如特征匹配、协议分析和异常检测等
基于应用的入侵防御系统
- 基于主机的入侵防御系统扩展到位于应用服务器之前的网络设备,配置在应用程序的网络链路上。
入侵防御系统技术特征
- 在线方式运行
- 深入分析和控制
- 入侵特征库
- 高效处理能力
面对的挑战
单点故障
- 某些攻击无法检测到。
- 在线模式入侵防御系统故障会影响网络正常运转。
- 入侵防御系统故障导致关闭,则用户会面对入侵防御系统造成的拒绝服务问题,所有用户无法访问相关资源。
性能瓶颈
- 增加网络延迟,降低网络效率
- 入侵防御系统需要与数千兆或更大容量的网络流量保持同步,高端入侵防御系统会通过使用自定义硬件提高系统运行效率。
误报漏报
- 入侵特征编写不完善
- 拦截攻击性数据包后,对所有可疑通信进行拦截,可能导致客户会话拦截,此后该客户重新连接访问的会话都会被拦截。
解决方式
- 采用专用硬件加速系统来提高入侵防御系统的运行效率。
- 综合采用多种检测技术。
网络漏洞扫描
漏洞
脆弱点,指在计算机硬、软件、协议的具体实现或者系统安全策略上存在的缺陷,使得攻击者能够在未授权的情况下访问系统资源或者破坏系统。
漏洞的时空特性
任何软硬件设备都可能存在不同的漏洞。
随着时间的推移,旧漏洞修复会可能又会引入了一些新漏洞
对漏洞问题的研究需要紧跟当前最新的计算机系统及其安全问题的发展动态。
漏洞分类
- 输入验证错误
- 访问验证错误
- 同步问题
- 异常处理的疏漏
- 配置错误
- 由系统环境引发的问题
- 开放式协议造成的漏洞
- 其他错误
网络扫描技术
安全扫描技术
- 主机安全扫描技术
- 网络安全扫描技术
网络安全扫描技术
原理
- 第一阶段:发现目标主机或网络。主要是使用ping探测,ICMP报文识别
- 第二阶段:发现目标后进一步收集目标信息,如操作系统类型、开放端口、运行服务等
- 第三阶段:整理收集的信息,判断以及测试系统是都存在安全漏洞
相关技术
端口扫描技术
原理
向目标设备的TCP/IP服务端口发送探测数据包,并记录目标设备的响应,通过分析响应判断端口的状态,综合分析主机响应报文,获取端口提供的服务和信息。
方法
- 全连接扫描
- 现有全连接扫描:TCP connect扫描、TCP反向ident扫描等
- 利用TCP/IP协议的三次握手连接机制,使扫描主机和目的主机的某个端口建立一次完整的连接,如果建立成功,则表明该端口开放。否则表明该端口关闭。
- 半连接扫描
- 半连接扫描是指在源主机和目标主机的三次握手连接过程中,只完成前两次握手,使得连接没有完全建立起来。
- 代理扫描
- FTP跳跃扫描
- TCP反转标识扫描
- 秘密扫描
漏洞扫描技术原理
- 漏洞库匹配方法
- 关键在于漏洞库。根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验形成一套标准的网络系统漏洞库。
- 在此漏洞库的基础上构建相对应的匹配规则,扫描程序自动对漏洞进行扫描。
- 插件技术/功能模块技术
- 没有相应漏洞库的扫描,是通过插件技术模拟攻击,测试出目标主机的漏洞信息。
- 插件是脚本语言编写的子程序,使用专用脚本语言简化了新插件的编写工作,使得漏扫软件具有很强的扩展性。
漏洞扫描器的种类
- 基于网络的漏洞扫描器
- 包含了网络映射和端口扫描功能
- 原理:类似于漏洞信息收集工具,根据漏洞的不同特性,构建不同的数据包,发送到网络中的目标服务器,验证某个特定的漏洞是否存在。
- 组成部分:
- 漏洞数据库模块
- 结果存储器和报告生成工具
- 当前活动扫描知识库模块
- 扫描引擎模块
- 用户配置控制台模块
- 基于主机的漏洞扫描器
- 一般采用客户机/服务器架构,原理与基于网络的漏洞扫描器类似,但体系结构不同。
- 在目标设备上安装一个代理或者服务,以便能够访问所有文件和进程,扫描器要拥有所在主机的管理员权限,使得漏洞扫描器能够扫描更多漏洞。
- 功能:
- 重要资料锁定
- 漏洞库更新
- 分析报告
- 动态警告
- 系统日志和文本文件分析
- 弱口令检查
- 以上两种扫描器的对比
- 网络扫描器
- 优点:
- 价格便宜,甚至很多网络扫描器可以免费下载
- 扫描过程中不需要使用管理员权限或者在设备上安装任何东西
- 维护简单便捷
- 不足:
- 不能直接访问目标设备的文件系统,无法检测相关漏洞
- 难以穿过防火墙,需要防火墙开放相关端口
- 优点:
- 主机扫描器
- 优点:
- 扫描漏洞数量多
- 集中化管理
- 网络流量负载小
- 不足
- 价格较高
- 需要在主机安装代理或服务,需要管理员权限
- 网络范围的扩大,部署时间长
- 优点:
- 网络扫描器
网络隔离技术
逻辑隔离和物理隔离
逻辑隔离
物理上是连通的,但在隔离边界上的设备工作在OSI体系第二层数据链路层以上,通过设置各种规则限制隔离双方的通信。
技术原理
网络隔离是将两个或两个以上的网络通过物理设备隔离开,使设备之间在任何时间、任意两个网络之间都不会存在物理连接,实现网络隔离的关键就在于通信数据的控制。
发展阶段
第一代隔离技术:完全的物理隔离
第二代隔离技术:硬件卡隔离
第三代隔离技术:数据转播隔离
第四代隔离技术:空气开关隔离
第五代隔离技术:安全通道隔离(PET技术)
PET技术虽然支持快速的数据交换,但仍然是物理隔离,专用通道两侧网络之间不会有物理连接。
隔离网闸
涉密程度不同划分为三种安全域 涉密域、非涉密域、公共服务域,将这三类安全域隔离的就是隔离网闸。
网闸,即安全隔离与信息交换系统,使用带有多种控制功能的固态开关读写介质,连接两个独立网络的信息安全设备。
工作原理
- 切断网络之间的通用协议连接
- 将数据包进行分解或重组为静态数据
- 对静态数据进行审查,包括网络协议检查、代码扫描等
- 经过确认的安全数据流入内部单元
- 内部用户通过身份认证机制获取所需资源
网闸技术采用硬件设计上集成多种软件防护策略,是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术
网闸由内网处理单元、外网处理单元和专用隔离硬件交换单元组成。内外网处理单元连接对应的网络,专用隔离硬件交换单元只连接内、外网处理单元。
网闸应用定位
- 涉密网与非涉密网之间
- 局域网与互联网之间(内网与外网之间)
- 办公网与业务网之间
- 电子政务的内网与专网之间
- 业务网与互联网之间
拒绝服务攻击检测与防御
Dos/DDos攻击技术
拒绝服务攻击目的
利用各种攻击技术使服务器或者主机等拒绝为合法用户提供服务。
工作原理
利用各种攻击技术构造并发送恶意数据包,以达到消耗目标主机的资源,引起目标主机的瘫痪。
拒绝服务攻击中大部分都是利用了TCP特点的SYN洪泛攻击
TCP建立连接过程
- 客户端发送带有SYN的数据包到服务器打开的端口
- 服务器收到数据包后,记住来自客户端的初始序列号,并生成SYN/ACK响应数据包发送到客户端
- 客户端向服务端发送确认收到的报文,建立完成。
服务器TCP/IP协议栈在连接队伍分出一块内存储存正在进行的连接,在三次握手期间用来记忆连接信息。
SYN洪泛攻击方式
- 使用未完成的连接去填充服务器的连接队伍
- 在连接队伍外进行填充,但该方式要有比服务器更大的带宽,才能生成更多的SYN数据包填充服务器的通信带宽。
拒绝服务攻击方式
原理都是通过充分利用合理的TCP完成攻击
攻击模式:
- 拒绝服务攻击DoS
- 点对点攻击方式
- 分布式拒绝服务攻击DDoS
- 利用互联网分布式连接的特点,通过控制分布在互联网上的计算机,共同产生大规模的数据包洪泛。
- Master控制大量Zombie,对Zombie发出指令同时攻击目标。
- 大量的Zombie可以使攻击效能大幅提升,还可以让攻击者不易被发现。
- 分布式反射拒绝服务DRDoS
- 利用边界网关协议
- 应用层拒绝服务攻击
- 发送虚假应用协议数据
- HTTP请求(HTTP half0-open、HTTP error)
- XDoS攻击
- 带有签名数据的XML消息
- 发送虚假应用协议数据
攻击特点分析
多源性、特征多变性
- 源IP地址
- 源/目的端口
- 其他IP头参数
攻击目标与攻击手段多样性
隐蔽性
Botnet
定义
Botnet可以是僵尸网络,有时候也会被当作后门工具或者蠕虫。
过程
大量主机在用户不知情的情况下被植入控制程序,然后这些主机处于待命状态,有一个地位特殊的主机或者服务器通过信道对其他主机进行控制,当攻击指令发出时就会进入攻击阶段。(传播-加入-控制)
分类
按bot程序的种类分类
- Agobot/Phatbot/Forbot/XtremBot
- SDBot/RBot/UrBot/ yBot/
- GT-Bots
按Botnet的控制方式分类
- IRC Botnet
- AOL Botnet
- P2P Botnet
检测技术与防御策略
常用检测方法
- TCP SYN Cookie
- TCP状态检测
- HTTP重定向
- 黑名单、白名单
- 流量控制
- Over-Provisioning
- 网络流量分析检测
常用防御策略
网络防御
- 源端防御:靠近攻击源的边界路由器网络布置防御技术。
- 中间网络防御:在攻击源端和目的端的ISP网络路由器之间布置防御技术。
- 目的端网络防御:在被攻击目的端的边界路由器网络布置防御技术。
目标隐藏和保护策略
- 原理:通过隐藏目标避免遭受拒绝服务攻击或者利用物理措施等保护目标
过滤策略
- 静态过滤
- 动态过滤
服务质量技术
- 利用服务质量的概念实现的一种过滤技术。