不知道你用没用过Kaspersky,是我用过的windows下的最好的防火墙。我试过很多种,其它的一但主机受到攻击(DOS或DDOS),基本上都要打电话通知机房帮忙重启,有时甚至要亲自到机房去处理(还好,托管在本地城市)。
用了Kaspersky就不一样了,有些可以攻击被阻档,如果实在吃不消,它会屏蔽所有连接(感觉好象是网卡失效,因为这时候用其它协议如Netbios,IPX/SPX等也连接不上了),只要攻击停止,一定时间后又可以正常连接。我咨询过别人,他说的我不是太懂,好象TCP/IP协议中,只要有数据包发过来,机器都要响应处理(在IP层),然后才能跟据指定端口送给各应用程序。所以及使不存在这个端口,机器还是对包进行处理。
但是我在用Kaspersky时还是遇到一个到现在也不知是怎么回事的事:
有一次服务器受攻击,死机了(这是我用Kaspersky后第一次遇到),所以我去机房看了看。只要把网线插上,CPU产即100%。鼠标几乎不动(十几秒才响应一下).即使把Kaspersky设为隐身模式(就是不接受任何连接)也无用。把WINDOWS里的所有服务关掉,所有端口关掉。全封闭状太,插上网线,一秒所CPU100%。还好,这个攻击只发生过三四次,不过没有流量,因为它不影响同一个交换机上的其它服务器。
我用DDOS攻击过一台关闭了所有端口的WINDOWS2000SERVER,10秒后CPU100%.同一交换机间的其它机子间无法正常通讯。
加装了Kaspersky后。CPU占用增加了1%,服务器无法接通任可网络,其它机器间通讯正常。说明Kaskersky有效果。
当然我也用相同的DDOS攻击过linux的未开放端口,服务器反应变慢,不过Samba共享还可以勉强访问。其它机子间通讯不正常。
Windows下的Kaspersky以攻击的响应很快,我想在linux下也能实现跟它相似的功能,如果分析netstat数据,可能会由于太迟而失去抵抗机会,而造成机器瘫痪。还有对诸如端口扫描也不会有效。
如果snort不行,还有什么效率更高的吗?
snort是不是可以把预警信息发给另一应用程序啊?(用分析日志的方法,太慢,)。如果知道如何实时的接收攻击警告数据,我就可以自己编写程序调用IPTABLES了。 |
京ICP备14024464 公安备案号 京1081234