атак. Якщо для атаки хакер використав IP-адреса потужного проксі-сервера HTTP, ви блокуєте безліч ні в чому не винних користувачів. У руках творчо налаштованого хакера цей механізм сам по собі може стати зручним інструментом для атаки типу DoS. p align="justify"> Для пом'якшення описаного вище ризику метод "відрубування" потрібно використовувати тільки для трафіку ТСР, але там, де спуфинг адрес здійснити набагато важче, ніж в області UDP. Користуйтеся цим методом тільки в разі реальної загрози і при мінімальній ймовірності помилкового спрацьовування. Проте в межах однієї мережі існує набагато більше варіантів. Ефективне впровадження фільтрації RFC 2827 може значно обмежити обсяг трафіку, що надходить з чужих адрес. Крім того, оскільки замовники зазвичай не включаються до складу внутрішньої мережі, ви можете вжити більш жорсткі заходи проти атак, що виходять з внутрішньокорпоративних джерел. Ще одна причина для більш жорстких внутрішніх заходів полягає в тому, що внутрішні мережі, як правило, не мають таких потужних засобів фільтрації з урахуванням стану з'єднань (stateful filtering), які зазвичай використовуються на межі мережі. Тому у внутрішній мережі вам слід більш серйозно покладатися на систему IDS, ніж у зовнішньому середовищі. p align="justify"> Другим варіантом для NIDS є скорочення загроз за рахунок використання скидання TCP (TCP reset). Як видно з назви цього методу, він використовується тільки для трафіку ТСР. Припинення атаки проводиться відправленням повідомлень "TCP reset" на атакуючий і атакується хост. Оскільки трафік ТСР гірше піддається Спуфінга, цей метод є кращим, ніж метод грубого "відрубування" адрес. p align="justify"> Цей метод чутливий до продуктивності. Система NIDS відстежує передані пакети. Якщо швидкість передачі пакетів перевершує можливості NIDS, зниження продуктивності в мережі не відбувається, так як NIDS не перебуває на шляху потоків даних. Однак при цьому втрачається ефективність самої системи NIDS, яка починає втрачати пакунки спрацьовувати в спокійній обстановці і не помічати справжніх атак. Тому, щоб повною мірою скористатися всіма перевагами NIDS, не перевищуйте можливостей цієї системи. З точки зору маршрутизації, IDS, як і багато системи, здатні враховувати стан, некоректно функціонує в асиметрично маршрутизуються середовищі. Якщо група маршрутизаторів і комутаторів передає пакети по одному маршруту, а приймає по іншому, система IDS буде бачити тільки половину трафіку, що викличе помилкові спрацьовування і нульову реакцію на реальні атаки. p align="justify"> Корпоративний модуль великого підприємства
Корпорація складається з двох функціональних областей: кампуса і периферії. Ці області, у свою чергу, діляться на модулі, які визначають деталі функціонування кожної з областей. Модулі докладно описуються в розділах "Корпоративний кампус" і "Корпоративна периферія". Після цього в розділі "Корпоративні опції" описуються різні варіанти дизайну. p align="justif...
