浅谈企业网对DoS攻击的防御方法

• 　　黑客技术的发展似乎是一个个轮回，从最早开始的DoS洪水攻击，到后来黑客们更钟情的漏洞入侵，直到现阶段DoS攻击再现。这种看似原始但直到现在也没有完备方案解决的攻击方式，让叱诧风云的Yahoo、CNN、eBay也深受其害。DoS攻击有何德何能？当企业面对DoS攻击时，又有哪些策略可以减小损失呢？
  
  　　一、了解DoS本质
  
  　　对于安全界来说，DoS攻击原理极为简单，早已为人们所熟知。但目前全球每周所遭遇的DoS攻击依然达到4000多次，正是因为简单、顽固的原因，让DoS攻击如野草般烧之不尽，DoS攻击最早可追述到1996年，在2000年发展到极致，这期间不知有多少知名网站遭受到它的骚扰。
  
  　　所谓DoS，全称为Denial of Service——拒绝服务。它通过协议方式，或抓住系统漏洞，集中对目标进行网络攻击，直到对方网络瘫痪，大家常听说的洪水攻击，疯狂Ping攻击都属于此类。由于这种攻击技术门槛较低，并且效果明显，防范起来比较棘手，所以其一度成为准黑客们的必杀武器，进而出现的DDoS（Distubuted Denial of Service分布式拒绝服务）攻击，更是让网络安全管理员感到头痛。
  
  　　不过我们应该看到，DoS攻击仅仅是破坏对方网络访问状态，不会进行实质性的入侵，对服务器和网络设备不构成致命伤害，但对于提供Web服务的企业来说，该攻击方式仍然会造成比较大的损失。虽然目前业界没有提供统一标准的防护方式，但我们仍然可以从一些操作习惯和设备环境部署上减小DoS攻击带来的危害。
  
  　　二、防御DoS攻击措施
  
  　　在应对常见的DoS攻击时，路由器本身的配置信息非常重要，管理员可以通过以下几个方面，来防止不同类型的DoS攻击。
  
  　　扩展访问列表是防止DoS攻击的有效工具，其中Show IP access-list命令可以显示匹配数据包，数据包的类型反映了DoS攻击的种类，由于DoS攻击大多是利用了TCP协议的弱点，所以网络中如果出现大量建立TCP连接的请求，说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容，从而达到阻止攻击源的目的。
  
  　　使用QoS也可以阻止DoS攻击，但不同的变量设置要针对不同的DoS攻击类型。比如网络遭受远程僵尸疯狂的Ping攻击，此时就需要利用QoS的WFQ特征，让整个外部网络的访问队列更规整，削弱疯狂Ping攻击的权数。如果遭受了洪水攻击却也启动WFQ特性，则效果不佳，这主要是由于数据包的独立性造成WFQ无法正确选择过滤，而总体的洪水流量不会因此而改变访问通道。
  
  　　同样，比疯狂Ping攻击更可怕的DoS攻击类型——Smurf攻击来说，我们可以利用QoS的CAR特征来防御，通过限制ICMP数据包流量的速度，让其堵塞网络的目的无法达成。
  
  　　如果用户的路由器具备TCP拦截功能，也能抵制DoS攻击。在对方发送数据流时可以很好的监控和拦截，如果数据包合法，允许实现正常通信，否则，路由器将显示超时限制，以防止自身的资源被耗尽，说到底，利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。
  
  　　路由器作为企业内部核心的通信设备，其除了具备基本的网络分发工作外，还承担着安全保卫任务。现在越来越多的网络攻击首先选中核心路由，一旦拿下root对整个网络无疑是灭顶之灾。但同时，作为企业内部网络的第一道防护，防止各种DoS攻击也责无旁贷。
  
  　　我们知道，由于提供Web服务以及TCP协议本身的特性，造成无论外界对服务端发送何种指令，都会得到一个反馈，即便是错误的反馈也不例外。比如我们经常在无法访问一个网站时，对方给出HTTP 400 - 错误请求信息，这一样需要做出反应，而DoS攻击正是利用了该特性，让服务器接受大量指令而瘫痪，网络造成信息拥堵。所以，提前做好预防工作也很重要，如果真的出现了攻击，受攻击端就显得比较被动。
  
  　　做好预防工作的第一步就是及时跟进各种补丁，不要让攻击方通过漏洞方式进行DoS攻击，需要管理员经常进行关键节点的扫描和监控，对新出现的漏洞进行及时修补。当然，对于骨干设备外需要加入防火墙，因为防火墙本身具备抗DoS攻击能力。在业内，有些人选择“黑吃黑”，通过扩充足够的主机数量来吃掉对方的数据包，这种方法的确能暂时解决问题，缓解网络压力，但对于维护和操作成本来说未免得不偿失。
  
• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 浅谈企业网对DoS攻击的防御方法 相关文章：
• ·盗QQ号码方法大全
• ·ADSL猫 路由设置方法
• ·QQ空间开场动画免费拿的方法
• ·20款最流行猫ADSL MODEM路由设置方法
• ·查找对方IP地址的一些方法
• ·解决ActiveX部件不能创建对象的有效方法
• ·qq空间皮肤背景代码：QQ空间不用Q币更换主页皮肤方法
• ·显示器工厂模式的进入方法集锦
• ·万能声卡驱动（Alsa）的安装方法
• ·CS服务器架设方法
• 浅谈企业网对DoS攻击的防御方法 相关软件
• ·三国9普通版升级威力加强版方法以及补丁大全（极力推荐）
• ·东方法律宝典 V2007 版
• ·《东方法律宝典》--常用法律法规汇编
• ·PDF电子书简要制作方法
• ·学习方法宝典 V2007
• ·网站推广29种常用方法
• ·vc++6编程方法

上一篇:同花顺2008评测之智能分析选股篇

下一篇:学习CSS制作网页总结的一些经验

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐