入侵检测知识介绍课件

黑客攻防案例分析与黑客攻防案例分析与现代网络安全技术现代网络安全技术主讲：柯宗贵主讲：柯宗贵 黑客攻防案例分析与现代网络安全技术主讲：柯宗贵 内内容容v黑客攻防案例分析黑客攻防案例分析v当前黑客与网络安全事件的特点当前黑客与网络安全事件的特点v大规模网络安全事件回顾大规模网络安全事件回顾v网络安全事件攻防案例分析网络安全事件攻防案例分析v现代网络安全技术现代网络安全技术v内网保密技术内网保密技术v全网防御技术全网防御技术v黑客侦查与追踪技术黑客侦查与追踪技术v蜜罐（攻击陷阱）技术蜜罐（攻击陷阱）技术vDDoSDDoS防御技术防御技术内 容黑客攻防案例分析当前黑客与网络安全事件的特点u黑客可以轻易地施行跨网、跨国攻击u复合趋势u攻击往往通过一级或者多级跳板进行u大规模事件出现日益频繁u传播速度越来越快u对pc的攻击比率越来越高u攻击事件的破坏程度在增加当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击当前黑客与网络安全事件的特点u黑客可以轻易地施行跨网、跨国攻击u攻击、入侵工具和工具包数量大量增加，可轻易从互联网上获取，使用操作更加简单方便u具有安全知识和专业的人员的数量在增加u复合趋势u黑客、病毒和垃圾邮件技术整合在一个蠕虫当中u黑客组合攻击开始出现u攻击往往通过一级或者多级跳板进行u黑客技术水平在增强u有组织、有计划犯罪事件再增加，防止追查当前黑客与网络安全事件的特点黑客可以轻易地施行跨网、跨国攻击当前黑客与网络安全事件的特点u大规模事件出现日益频繁u大规模网络蠕虫事件（“冲击波”、“震荡波”、红色代码F变种等）u大量垃圾邮件的出现u传播速度越来越快u利用系统漏洞，进行自动扫描u由于浏览网页或查看E-Mail而受到感染或攻击uDDoS攻击当前黑客与网络安全事件的特点大规模事件出现日益频繁当前黑客与网络安全事件的特点u对pc的攻击比率越来越高u网上游戏、网上银行和电子商务的增加u针对pc设计的黑客工具和木马u补丁与升级不够及时u缺乏安全防范意识u攻击事件的破坏程度在增加当前黑客与网络安全事件的特点对pc的攻击比率越来越高大规模网络安全事件回顾uSQL SLAMMER蠕虫蠕虫 2003年1月25日爆发，我国境内受感染两万多台u口令蠕虫事件口令蠕虫事件 2003年3月8日出现，部分大学网络瘫痪u红色代码红色代码F变种变种 2003年3月11日发作，在我国网络中扩撒超过12万次大规模网络安全事件回顾SQL SLAMMER蠕虫大规模网络安全事件回顾u冲击波蠕虫事件冲击波蠕虫事件 2003年8月11日发现，至12月31日，150万台以上中招uMYDOOM事件事件 1月27日出现，先后出现了多种变种，SCO网站受堵，163等邮件服务器出现问题。国内10%的电脑受感染u“震荡波震荡波”事件事件 5月1日出现，至今仍有新变种出现，受“冲击波”的影 响，没有造成重大危害。大规模网络安全事件回顾冲击波蠕虫事件大规模网络安全事件回顾uDDOS事件事件u广州某主机托管中心受国外黑客DDoS攻击事件u广州南沙某集团企业外网DDoS攻击事件u篡改网页事件u广西某市政府网站被篡改大规模网络安全事件回顾DDOS事件大规模网络安全事件回顾u电子邮件事件u番禺某小学“法轮功”反动电子邮件堵塞网络安全事件u深圳市匿名电子邮件转发事件u“网银大盗”事件u4月，“网银大盗”偷取某家银行的网上银行用户的帐号和密码u6月，“网银大盗”，涉及到十几家银行的多种网上交易业务u6月，“网银大盗III”，偷取数家国际银行网上账号及密码大规模网络安全事件回顾电子邮件事件典型网络安全案件分析u木马与木马与“网银大盗网银大盗”u匿名电子邮件转发匿名电子邮件转发u溢出攻击与溢出攻击与DCOM RPCDCOM RPC漏洞漏洞u网络恐怖主义网络恐怖主义uNetBiosNetBios与与IPCIPCuARPARP欺骗欺骗uDDoSDDoS攻击攻击典型网络安全案件分析木马与“网银大盗”木马与“网银大盗”u冰河冰河 国产木马，有G_Client.exe,G_server.exe二个文件。客户端界面木马与“网银大盗”冰河木马与“网银大盗”uWOLLF木马与“网银大盗”木马与“网银大盗”uu“网银大盗网银大盗”网上银行构架网上银行构架木马与“网银大盗”“网银大盗”木马与“网银大盗”u“网银大盗网银大盗”u网银大盗II(Troj_Dingxa.A)u现象盗取网上银行的帐号、密码、验证码等。盗取网上银行的帐号、密码、验证码等。盗取网上银行的帐号、密码、验证码等。盗取网上银行的帐号、密码、验证码等。生成文件：%System%下，svch0stexe 修改注册表：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrent VersionRun下创建：svch0st.exe=%System%svch0st.exe taskmgr.exe=%System%svch0st.exe木马与“网银大盗”“网银大盗”木马与“网银大盗”u网银大盗II(Troj_Dingxa.A)u原理 木马程序，非主动传播，主要通过用户在浏览某些网页或点击一些不明连接及打开不明邮件附件等操作时，间接感染用户电脑 u解决办法1、终止病毒进程svch0st.exe 2、注册表修复3、删除病毒释放的文件svch0st.exe 4、配置防火墙和边界路由器 木马与“网银大盗”网银大盗II(Troj_Dingxa.A 木马与“网银大盗”uu“网银大盗网银大盗”案案例例木马与“网银大盗”“网银大盗”案例多媒体木马Internet种了木马的电脑传送信息黑客摄像头语音设备多媒体木马Internet种了木马的电脑传送信息黑客摄像头匿名电子邮件转发u漏洞名称：Exchange Server5.5匿名转发漏洞u原理原理匿名电子邮件转发漏洞名称：Exchange Server5.匿名电子邮件转发u案例n深圳市二十多个邮件服务器n番禺东城小学Internet东城小学台湾日本匿名电子邮件转发案例Internet东城小学台湾日本匿名电子邮件转发u造成危害造成危害u网络堵塞u给利用于反动宣传u解决方法解决方法u打补丁u关闭该服务或端口25,110匿名电子邮件转发造成危害溢出攻击与DCOMRPC漏洞u溢出攻击原理溢出攻击原理溢出攻击与DCOM RPC漏洞溢出攻击原理溢出攻击与DCOMRPC漏洞uDCOM RPC 漏洞原理溢出攻击与DCOM RPC漏洞DCOM RPC 漏洞原理溢出攻击与DCOMRPC漏洞u造成的危害-冲击波溢出攻击与DCOM RPC漏洞造成的危害-冲击波MYDOOM案例分析u邮件蠕虫:MY DOOMu现象 通过电子邮件附件传播，设定向和 发起DDoS攻击u原理MY DOOM案例分析邮件蠕虫:MY DOOM网络恐怖主义网络恐怖主义NetBios漏洞与IPC入侵 Net Bios 弱口令 例如:Administrator/12345Net Bios 漏洞与IPC入侵 Net BiosNetBios漏洞与IPC入侵攻击原理Net use 192.168.0.138IPC$“12345”/u:“administrator”Copy wollf.exe 192.168.0.138Admin$解决方法u关闭139,445端口u加强帐号强度Net Bios 漏洞与IPC入侵攻击原理ARP欺骗1.1.ARP ARP 地址解析协议地址解析协议ARP协议定义了两类基本的消息：1）请求信息：包含自己的IP地址、硬件地址和请求解析的IP地址；2）应答信息：包含发来的IP地址和对应的硬件地址。ARP 欺骗ARP 地址解析协议ARP欺骗2、原理ARP 欺骗2、原理ARP欺骗3.3.防范防范ARPARP欺骗的方法欺骗的方法u交换机控制u路由器隔离u防火墙与代理服务器ARP 欺骗防范ARP欺骗的方法DDoS攻击u原理DDoS攻击原理DDoS攻击方法u死亡之ping（ping of death）u泪滴（teardrop）uUDP洪水（UDP flood）uSYN洪水（SYN flood）uLand攻击uSmurf攻击uFraggle攻击DDoS攻击方法死亡之ping（ping of death常用DDoS攻击工具uThankgoduSYN Flooderu独裁者uTrinoouTFN2KuStacheldraht常用DDoS攻击工具ThankgodDDoS攻击案例n某市信息中心网站受DDoS攻击事件n广州南沙某集团企业外网DDoS攻击事件DDoS攻击案例现代网络安全技术u内网安全保密技术内网安全保密技术u全网防御技术全网防御技术u黑客侦查与追踪技术黑客侦查与追踪技术u蜜罐（攻击陷阱）技术蜜罐（攻击陷阱）技术uDDoS防御技术防御技术现代网络安全技术内网安全保密技术内网安全保密技术uu为什么需要内网保密审计系统？为什么需要内网保密审计系统？为什么需要内网保密审计系统？为什么需要内网保密审计系统？1.1.1.1.内网信息泄漏问题内网信息泄漏问题内网信息泄漏问题内网信息泄漏问题 2.2.2.2.重要数据的保护问题重要数据的保护问题重要数据的保护问题重要数据的保护问题 3.3.3.3.蠕虫病毒对边界防御体系的冲击问题蠕虫病毒对边界防御体系的冲击问题蠕虫病毒对边界防御体系的冲击问题蠕虫病毒对边界防御体系的冲击问题内网安全保密技术为什么需要内网保密审计系统？内网安全保密技术uu为什么需要内网保密审计系统？为什么需要内网保密审计系统？为什么需要内网保密审计系统？为什么需要内网保密审计系统？内网安全保密技术为什么需要内网保密审计系统？蓝盾内网保密审计系统uu内网保密审计系统的作用内网保密审计系统的作用内网保密审计系统的作用内网保密审计系统的作用 1.1.1.1.防信息泄漏和非法外联防信息泄漏和非法外联防信息泄漏和非法外联防信息泄漏和非法外联 2.2.2.2.重要数据的保护和监控重要数据的保护和监控重要数据的保护和监控重要数据的保护和监控 3.3.3.3.构建一个全网防御体系构建一个全网防御体系构建一个全网防御体系构建一个全网防御体系 4.4.4.4.各种网络行为的记录、审计各种网络行为的记录、审计各种网络行为的记录、审计各种网络行为的记录、审计 5.5.5.5.对各种攻击的检测（入侵检测功能）对各种攻击的检测（入侵检测功能）对各种攻击的检测（入侵检测功能）对各种攻击的检测（入侵检测功能）蓝盾内网保密审计系统内网保密审计系统的作用蓝盾内网保密审计系统uu蓝盾内网保密审计系统组成蓝盾内网保密审计系统组成蓝盾内网保密审计系统组成蓝盾内网保密审计系统组成 系统由以下三部分组成：系统由以下三部分组成：1.网络安全监控器网络安全监控器 2.主机代理客户端主机代理客户端 3.控制中心控制中心蓝盾内网保密审计系统蓝盾内网保密审计系统组成蓝盾内网保密审计系统功能1.1.文件检测防护文件检测防护文件检测防护文件检测防护2.2.共享防护共享防护共享防护共享防护3.3.外联监控外联监控外联监控外联监控4.4.网络检测防护功能网络检测防护功能网络检测防护功能网络检测防护功能5.5.设备管理和认证设备管理和认证设备管理和认证设备管理和认证6.6.注册表检测防护注册表检测防护注册表检测防护注册表检测防护7.7.主机日志监控主机日志监控主机日志监控主机日志监控8.8.主机资源审计主机资源审计主机资源审计主机资源审计9.9.异常检测异常检测异常检测异常检测10.10.入侵检测与取证功能入侵检测与取证功能入侵检测与取证功能入侵检测与取证功能11.11.蠕虫检测与隔离蠕虫检测与隔离蠕虫检测与隔离蠕虫检测与隔离蓝盾内网保密审计系统功能文件检测防护蓝盾内网保密审计系统蓝盾内网保密审计系统全网防御技术Host AHost CHost B联防中心InternetNIDS全网防御技术Host AHost CHost B联防中心In黑客侦查与追踪技术uu蓝盾黑客侦查与追踪系统蓝盾黑客侦查与追踪系统蓝盾黑客侦查与追踪系统蓝盾黑客侦查与追踪系统 黑客侦查与追踪技术蓝盾黑客侦查与追踪系统蓝盾黑客侦查与追踪系统u系统组成系统组成 1、现场勘查分析 2、服务器监控 3、远程追踪分析控制软件分析控制软件服务监控软件服务监控软件远程追踪探头远程追踪探头蓝盾黑客侦查与追踪系统系统组成分析控制软件服务监控软件远程追蓝盾黑客侦查与追踪系统u原理蓝盾黑客侦查与追踪系统原理蓝盾黑客侦查与追踪系统u远程追踪远程追踪蓝盾黑客侦查与追踪系统远程追踪蜜罐（陷阱）技术一、蜜罐取证和反向拍照一、蜜罐取证和反向拍照一、蜜罐取证和反向拍照一、蜜罐取证和反向拍照1 1、黑客、黑客、黑客、黑客攻击攻击攻击攻击三步曲三步曲三步曲三步曲扫扫扫扫 描描描描攻攻攻攻 击击击击破破破破 坏坏坏坏试探性攻击试探性攻击试探性攻击试探性攻击留后门留后门留后门留后门扫描和试探性攻击阶段黑客一般用自身扫描和试探性攻击阶段黑客一般用自身扫描和试探性攻击阶段黑客一般用自身扫描和试探性攻击阶段黑客一般用自身IPIPIPIP进行。进行。进行。进行。而在进攻和破坏阶段黑客一般都会通过傀垒机进行而在进攻和破坏阶段黑客一般都会通过傀垒机进行而在进攻和破坏阶段黑客一般都会通过傀垒机进行而在进攻和破坏阶段黑客一般都会通过傀垒机进行蜜罐（陷阱）技术一、蜜罐取证和反向拍照1、黑客攻击三步曲扫 蜜罐（陷阱）技术2 2、蜜罐取证原理、蜜罐取证原理、蜜罐取证原理、蜜罐取证原理记录记录记录记录报警报警报警报警虚拟服务虚拟服务虚拟服务虚拟服务反向扫描拍照反向扫描拍照反向扫描拍照反向扫描拍照黑客主机黑客主机黑客主机黑客主机蜜罐（陷阱）技术2、蜜罐取证原理记录报警虚拟服务反向扫描拍照蜜罐（陷阱）技术A、记录模块、记录模块 记录所有攻击信息、攻击流程、黑客记录所有攻击信息、攻击流程、黑客记录所有攻击信息、攻击流程、黑客记录所有攻击信息、攻击流程、黑客IPIP和使用的工具。和使用的工具。和使用的工具。和使用的工具。B、报警模块、报警模块 向管理机发出警报信息。向管理机发出警报信息。向管理机发出警报信息。向管理机发出警报信息。C、反向扫描拍照模快、反向扫描拍照模快 对黑客主机进行反向扫描得出该主机的一些信息，如：对黑客主机进行反向扫描得出该主机的一些信息，如：对黑客主机进行反向扫描得出该主机的一些信息，如：对黑客主机进行反向扫描得出该主机的一些信息，如：主机名、主机名、主机名、主机名、用户名用户名用户名用户名操作平台、操作平台、操作平台、操作平台、版本号版本号版本号版本号启用的服务端口、启用的服务端口、启用的服务端口、启用的服务端口、应用程序版本应用程序版本应用程序版本应用程序版本 信息信息信息信息其它该主机存在一些漏洞信息。其它该主机存在一些漏洞信息。其它该主机存在一些漏洞信息。其它该主机存在一些漏洞信息。蜜罐（陷阱）技术A、记录模块DDoS攻击防御技术u当前DDoS防御技术uSYN代理uSYN网关u蓝盾DDoS防御网关DDoS攻击防御技术当前DDoS防御技术DDoS攻击防御方法uSYN中继（代理）中继（代理）u工作原理工作原理HostFWFWserverserverDDoS攻击防御方法SYN中继（代理）HostFWserveSYN中继（代理）中继（代理）1)H1)HFWFW2)H2)HSYN/ACKSYN/ACKFWFW3)H3)HACKACKFWFWFWFWS S4)4)FWFWS SFWFWS SSYNSYNSYN/ACKSYN/ACKACKACK5)5)6)6)SYNSYNSYN中继（代理）1)HFW2)HSYN/ACKFWSYN中继（代理）中继（代理）u存在问题n nFWFW必须建立一个很大的链表来储存所有必须建立一个很大的链表来储存所有必须建立一个很大的链表来储存所有必须建立一个很大的链表来储存所有SYNSYN请求，请求，请求，请求，当有大量的当有大量的当有大量的当有大量的SYNSYN攻击包到来，攻击包到来，攻击包到来，攻击包到来，FWFW一样会崩溃。一样会崩溃。一样会崩溃。一样会崩溃。n n 保护了服务器，堵死了防火墙保护了服务器，堵死了防火墙保护了服务器，堵死了防火墙保护了服务器，堵死了防火墙SYN中继（代理）存在问题DDoS攻击防御方法uSYN网关u工作原理HostFWFWserverserverDDoS攻击防御方法SYN网关HostFWserverSYN网关网关H HFWFWS SFWFWS S1 1）2 2）SYNSYNSYNSYNSYN/ACKSYN/ACKH HFWFWS S3 3）H HFWFWS S4 4）FWFWS S5 5）SYN/ACKSYN/ACKACKACKACKACKACKACKRSTRSTSYN网关HFWSFWS1）2）SYNSYNSYN/ACKHSYN网关网关 快速将连接试呼从快速将连接试呼从快速将连接试呼从快速将连接试呼从S S待办队列移开，避免服务器待办队列移开，避免服务器待办队列移开，避免服务器待办队列移开，避免服务器待办队待办队待办队待办队列堵塞列堵塞列堵塞列堵塞 定时器超时后，向定时器超时后，向定时器超时后，向定时器超时后，向S S发送连接发送连接发送连接发送连接RSTRST（复位）取消。（复位）取消。（复位）取消。（复位）取消。p存在问题存在问题 AA、占用服务器缓冲、占用服务器缓冲、占用服务器缓冲、占用服务器缓冲 BB、防火墙同样要储存、防火墙同样要储存、防火墙同样要储存、防火墙同样要储存SYNSYN请求链接，攻击强烈请求链接，攻击强烈请求链接，攻击强烈请求链接，攻击强烈时，同样会堵死防火墙时，同样会堵死防火墙时，同样会堵死防火墙时，同样会堵死防火墙SYN网关 快速将连接试呼从S待办队列移开，避免服务器待蓝盾DDoS防御技术uu蓝盾防火墙、蓝盾蓝盾防火墙、蓝盾蓝盾防火墙、蓝盾蓝盾防火墙、蓝盾DDoSDDoS防御网关对抗防御网关对抗防御网关对抗防御网关对抗DDOSDDOS攻攻攻攻击的三层防御措施击的三层防御措施击的三层防御措施击的三层防御措施（一）（一）（一）（一）连接指纹鉴别连接指纹鉴别连接指纹鉴别连接指纹鉴别（二）自适应（二）自适应（二）自适应（二）自适应“催命催命”算法算法（三）（三）恶性服务请求攻击的防御恶性服务请求攻击的防御恶性服务请求攻击的防御恶性服务请求攻击的防御蓝盾DDoS防御技术蓝盾防火墙、蓝盾DDoS防御网关对抗DD连接指纹鉴别工作原理连接指纹鉴别工作原理HostFWFWserverserver0 0积累识别技术积累识别技术积累识别技术积累识别技术,属国际专利属国际专利属国际专利属国际专利连接指纹鉴别工作原理HostFWserver0积累识别技术,连接指纹鉴别工作原理连接指纹鉴别工作原理H HFWFW1 1、工作原理、工作原理、工作原理、工作原理H HFWFWH HFWFWFWFWH HFWFWH HSYN/ACKSYN/ACKFWFWH HSYNSYNSYN/ACK(sn)SYN/ACK(sn)ACK(SN+1)ACK(SN+1)SYNSYNACKACK(SN(SN指纹验证指纹验证指纹验证指纹验证)连接指纹鉴别工作原理HFW1、工作原理HFWHFWFWHFW连接指纹鉴别工作原理连接指纹鉴别工作原理A、SN序列号形成算法序列号形成算法 SN=f SN=f（源、目标（源、目标IPIP，源、目标端口，其它信息，秘密字），源、目标端口，其它信息，秘密字）B、只有当主机、只有当主机H回答包所携带的回答包所携带的SN号经验号经验证合法后，才须建立连接代理。证合法后，才须建立连接代理。2 2、优点、优点、优点、优点 由于在未确认由于在未确认SYNSYN请求的合法性前，无须建立请求的合法性前，无须建立连接队列，所以这种方法具备以下优点：连接队列，所以这种方法具备以下优点：A A、防火墙无须耗费内存资源、防火墙无须耗费内存资源 B B、没有缓冲溢出的危险、没有缓冲溢出的危险 C C、在、在NATNAT模式下不占用防火墙的连接数模式下不占用防火墙的连接数连接指纹鉴别工作原理A、SN序列号形成算法自适应自适应“催命催命”算法算法u针对性针对性 针对通过高层编程（固定）进行的攻击，如针对通过高层编程（固定）进行的攻击，如针对通过高层编程（固定）进行的攻击，如针对通过高层编程（固定）进行的攻击，如socketsocket编程中的编程中的编程中的编程中的“connectconnect”函数。这种攻击也能通函数。这种攻击也能通函数。这种攻击也能通函数。这种攻击也能通过防火墙的指纹合法性认证而建立起连接。但该攻击过防火墙的指纹合法性认证而建立起连接。但该攻击过防火墙的指纹合法性认证而建立起连接。但该攻击过防火墙的指纹合法性认证而建立起连接。但该攻击的效率较低，同时占用黑客大量主机资源。的效率较低，同时占用黑客大量主机资源。的效率较低，同时占用黑客大量主机资源。的效率较低，同时占用黑客大量主机资源。uu工作原理工作原理工作原理工作原理 防火墙中建立每条连接都有一个连接超时值防火墙中建立每条连接都有一个连接超时值防火墙中建立每条连接都有一个连接超时值防火墙中建立每条连接都有一个连接超时值AgeAge（又（又（又（又叫生命期），一般每半秒钟减一，蓝盾防火墙会监控叫生命期），一般每半秒钟减一，蓝盾防火墙会监控叫生命期），一般每半秒钟减一，蓝盾防火墙会监控叫生命期），一般每半秒钟减一，蓝盾防火墙会监控系统建立的连接数量，按一定算法算出（加快了）的系统建立的连接数量，按一定算法算出（加快了）的系统建立的连接数量，按一定算法算出（加快了）的系统建立的连接数量，按一定算法算出（加快了）的递减步长递减步长递减步长递减步长STEPSTEP，降低某些可疑连接的生命期，加快这，降低某些可疑连接的生命期，加快这，降低某些可疑连接的生命期，加快这，降低某些可疑连接的生命期，加快这些连接超时。些连接超时。些连接超时。些连接超时。自适应“催命”算法针对性恶性服务请求攻击的防御恶性服务请求攻击的防御uu针对性针对性针对性针对性 一般一般一般一般SQLSQL数据库访问会占用服务器较多资源，黑客会分析数据库访问会占用服务器较多资源，黑客会分析数据库访问会占用服务器较多资源，黑客会分析数据库访问会占用服务器较多资源，黑客会分析webweb页面上耗费资源的分支请求，编写程序不停调用该页面上耗费资源的分支请求，编写程序不停调用该页面上耗费资源的分支请求，编写程序不停调用该页面上耗费资源的分支请求，编写程序不停调用该分支请求，造成分支请求，造成分支请求，造成分支请求，造成SQLSQL服务器响应不过来。服务器响应不过来。服务器响应不过来。服务器响应不过来。uu工作原理工作原理工作原理工作原理 蓝盾会留给管理员一个配置接口，管理员自己可以配置一蓝盾会留给管理员一个配置接口，管理员自己可以配置一蓝盾会留给管理员一个配置接口，管理员自己可以配置一蓝盾会留给管理员一个配置接口，管理员自己可以配置一些针对性统计策略，当在一定时间内某些针对性统计策略，当在一定时间内某些针对性统计策略，当在一定时间内某些针对性统计策略，当在一定时间内某IPIP使用某使用某使用某使用某SQLSQL语语语语句数量超过某一阀值时，防火墙会拒绝该句数量超过某一阀值时，防火墙会拒绝该句数量超过某一阀值时，防火墙会拒绝该句数量超过某一阀值时，防火墙会拒绝该IPIP的访问。的访问。的访问。的访问。恶性服务请求攻击的防御针对性其它措施uu对于一些固定对于一些固定对于一些固定对于一些固定IPIP的恶性攻击蓝盾防火墙会对该的恶性攻击蓝盾防火墙会对该的恶性攻击蓝盾防火墙会对该的恶性攻击蓝盾防火墙会对该IPIP进行自动锁定，超过一定时间，一般为进行自动锁定，超过一定时间，一般为进行自动锁定，超过一定时间，一般为进行自动锁定，超过一定时间，一般为180180秒后秒后秒后秒后再进行开锁。再进行开锁。再进行开锁。再进行开锁。某集团内网黑客黑客FWFWserverserver蓝盾DDOS网关其它措施对于一些固定IP的恶性攻击蓝盾防火墙会对该IP进行自谢谢！谢谢！谢谢！