标签：DENFENCE ABOUT 攻击 OFFENSIVE IDS 网络 防壁 攻击型 链路

在无法划分安全等级区域的场景下，对服务器采取的保护策略中，有一种很少被部署的策略，是进攻性防御。

攻击型防壁在检测到入侵行为后采取的对策相对于一般类型防壁采取的不响应或者重置连接的策略不同的地方是，攻击型防壁会尝试使用更加激进的措施反制入侵者，其目标是瘫痪攻击源或瘫痪攻击网络链路上可能成为代理的节点。

由于攻击型防壁存在这种特性，在访问终端不可控前提下，很有可能会无差别的攻击恶意终端和间接受到恶意控制的终端，因此在常见网络环境中，攻击型防御策略是不可取的。进攻型防壁应用范围仅有在服务端控制实体发现访问端群体中长期存在难以溯源的恶意流量，即处于纯技术性APT状态下才会考虑部署。在一般场景下，黑洞设备多被用于处理泛洪攻击，但是在逻辑漏洞试探和伪装成针对接口的泛洪攻击面前，黑洞设备所需要的过滤规则受到IDS的直接或间接指导，IDS本身是消耗资源的，因此在攻击端不断变换攻击网络链路的情况下，很难阻断恶意访问。一方面宏观网络管理者在网络中可以部署探测节点来追踪攻击的真正源头，另一方面，不得不否认，某些为正常网络使用而服务的协议可以被利用来绕过，欺骗，干扰宏观网络管理者的判断。这也是攻击型防壁虽然很少见，但是却存在在很多防御者的备选方案中的原因，成为了一个控制台上很少被按下去的按钮。

攻击型防壁与攻击者一样依赖系统脆弱性，智能IDS的性能开销会逐渐增大，但是伴随系统本身漏洞逐渐减少IDS的开销并不一定会无限增长，在服务集群化，分布化发展趋势影响下IDS本身也成为了继承在整个服务体系里的一部分，防御的核心会转向逻辑漏洞的避免和网络链路带宽的进出不对等控制。

标签：DENFENCE,ABOUT,攻击,OFFENSIVE,IDS,网络,防壁,攻击型,链路
来源： https://www.cnblogs.com/avatusxan/p/14882495.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。