扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、了解DoS本质
对于安全界来说,DoS攻击原理极为简单,早已为人们所熟知。但目前全球每周所遭遇的DoS攻击依然达到4000多次,正是因为简单、顽固的原因,让DoS攻击如野草般烧之不尽,DoS攻击最早可追述到1996年,在2000年发展到极致,这期间不知有多少知名网站遭受到它的骚扰。
二、防御DoS攻击措施
使用QoS也可以阻止DoS攻击,但不同的变量设置要针对不同的DoS攻击类型。比如网络遭受远程僵尸疯狂的Ping攻击,此时就需要利用QoS的WFQ特征,让整个外部网络的访问队列更规整,削弱疯狂Ping攻击的权数。如果遭受了洪水攻击却也启动WFQ特性,则效果不佳,这主要是由于数据包的独立性造成WFQ无法正确选择过滤,而总体的洪水流量不会因此而改变访问通道。
同样,比疯狂Ping攻击更可怕的DoS攻击类型——Smurf攻击来说,我们可以利用QoS的CAR特征来防御,通过限制ICMP数据包流量的速度,让其堵塞网络的目的无法达成。
如果用户的路由器具备TCP拦截功能,也能抵制DoS攻击。在对方发送数据流时可以很好的监控和拦截,如果数据包合法,允许实现正常通信,否则,路由器将显示超时限制,以防止自身的资源被耗尽,说到底,利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。
路由器作为企业内部核心的通信设备,其除了具备基本的网络分发工作外,还承担着安全保卫任务。现在越来越多的网络攻击首先选中核心路由,一旦拿下root对整个网络无疑是灭顶之灾。但同时,作为企业内部网络的第一道防护,防止各种DoS攻击也责无旁贷。
我们知道,由于提供Web服务以及TCP协议本身的特性,造成无论外界对服务端发送何种指令,都会得到一个反馈,即便是错误的反馈也不例外。比如我们经常在无法访问一个网站时,对方给出HTTP 400 - 错误请求信息,这一样需要做出反应,而DoS攻击正是利用了该特性,让服务器接受大量指令而瘫痪,网络造成信息拥堵。所以,提前做好预防工作也很重要,如果真的出现了攻击,受攻击端就显得比较被动。
另外,过滤不必要的端口和服务也很重要,开放需要提供服务的端口即可。面对僵尸网络带来的攻击,屏蔽无用的IP也是解决问题的一个方法,尤其是某个网段的固定的IP地址,比如10.0.0.0等,这样做不是为了防止内网用户,而是很多DoS攻击都会伪造大量虚假的内部IP,这样可以减轻DoS攻击带来的压力。
但不可否认的是:目前安全界对于DoS式攻击的防范还没有彻底的方法,只能靠日常维护扫描以及应对攻击时的导流减轻一部分网络设备的压力。即便是使用了硬件级别防火墙也收效甚微,以上只是提供了一些方法和建议,在企业内部有限的网络状态下,可以最大化减轻DoS攻击带来的后果。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。