返回
ibm aix tcp traffic regulation

ibm aix tcp traffic regulation

ID:22820023

大小:55.00 KB

页数:6页

时间:2018-10-31

ibm aix tcp traffic regulation_第1页
ibm aix tcp traffic regulation_第2页
ibm aix tcp traffic regulation_第3页
ibm aix tcp traffic regulation_第4页
ibm aix tcp traffic regulation_第5页
资源描述:

《ibm aix tcp traffic regulation》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、IBMAIXTCPTrafficRegulation  简介  只需经过简单的调优,在AIX上运行的TCP网络服务和子系统就会自动、透明地利用这种强大的DoS缓解技术。这个新特性提供集中的管理和基于防火墙的定制,可以简便地提高网络安全性。  除了提供有效的服务级和系统级TCPDoS缓解措施之外,IBMAIXTCPTrafficRegulation还可以跨发起连接的源IP地址提供系统范围的TCP连接资源多样性。  由于世界各地的政府、银行、大学、医院和企业大量采用Inter技术,社会的日常运作越来越依赖于网络服务的可用性。社会的网络基础设施必须更有弹性,能够主动地防

2、御攻击,确保可用性。  IBMAIXTCPTrafficRegulation为实现网络服务攻击弹性提供低成本的解决方案。它在操作系统级确保可用性,可以透明地缓解主动和被动网络拒绝服务攻击。为了启用保护,管理员定义并定制一个防火墙配置文件,用它保护那些处理重要服务的TCP端口。安全管理员可以通过这些集中的定制防火墙配置文件更好更灵活地调整网络安全解决方案。  操作系统体系结构  IBMAIXTCPTrafficRegulation在AIX操作系统中提供一个新的体系结构层。这个新层的目标有两个:  为定义定制的TCP防火墙配置文件提供一个集中的管理框架。  根据当前的

3、防火墙策略主动地管理TCP套接字连接和资源多样性。图1.IBMAIXTCPTrafficRegulation(TR)体系结构  防火墙策略本身由配置文件定义控制,系统管理员可以添加、删除或修改防火墙配置文件。每个配置文件由三个元素组成:  需要保护的TCP端口或端口范围。  这个配置文件的TCP端口上允许的最大套接字连接数量。  多样性值(这个数量值用于调优跨套接字连接池共享的TCP资源的总体多样性)。  这个迁移系统会透明地工作,不需要修改现有的应用程序。TCPTR在内核级别主动地管理到达的套接字连接请求,允许迁移透明地工作不需要修改现有的应用程序(见图1)。因

4、此,如果使用的TCP端口由这些防火墙配置文件控制,在AIX上运行的任何网络服务软件就会自动地防御拒绝服务攻击。  使用tcptr命令行实用程序定义防火墙配置文件。这个实用程序允许交互式地管理TCPTR策略,可以通过脚本操作策略。可以使用tcptr_enable网络选项启用或禁用整个TCPTR系统。例如,使用下面的no命令启用这个子系统:no -p -o tcptr_enable=1  tcptr命令为一个给定的网络端口或端口范围指定最大TCP连接限制。管理员用户通过添加或删除连接资源池来控制与TCPTR相关的系统资源,这些资源由远程访问AIXTCP层的套接字请求共

5、享。  还可以指定多样性可调项,从而改进资源共享策略控制。  生效之后,这些TCPTR配置文件成为有效的连接治理策略。操作系统自动地确保在试图通过TCP连接特定端口的多个远程IP地址之间共享资源。  攻击概述  网络服务一般无法确定底层操作系统资源是否可用,是否可以支持它们的TCP通信。大多数TCP服务只是在收到新的套接字连接请求时尝试接受它们。如果不加限制的话,只要不断发出TCP连接请求,让这些网络服务消耗的TCP资源不断增加,最终会占用所有可用的系统资源。图2.TCP资源耗尽的拓扑  恶意攻击者可以利用这一点,通过Inter对网络服务发动远程拒绝服务攻击。攻击

6、会导致系统上产生大量套接字连接请求,最终导致服务不可用。系统本身拥挤或服务没有套接字可用都会出现这种情况。如果系统或服务不可用,合法用户就无法使用受攻击系统上的网络服务(见图2)。  TCPTR实用程序  TCPTR实用程序可以配置或显示TCPTR策略信息,控制端口的最大套接字连接数量。这个实用程序的语法如下:tcptr -add <start port> <end port> <max connection> [divisor]  tcptr -delete <start port> <end port>

7、;  tcptr -shoaxconnection>指定给定TR策略的最大TCP连接数量。<startport>指定当前TR策略的启始端口。<endport>指定当前TR策略的结束端口。如果要指定端口范围,指定的值必须大于启始端口。如果这个TR策略只针对一个端口,指定的值必须等于启始端口。<divisor>指定一个除数,它控制可用TCP连接数量和一个IP占用的TCP连接数量的比例。以除数作为指数求2的幂,把可用连接总数除以这个幂值就是一个IP可以使用的连接数量。这个参数是可选的,如果不指定它,默认值为1。在这种情况下,使用

8、可用连接的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。