文章分类 | 推荐文章 | 最新文章 | 热点文章 | 最新软件 | 精品软件 | 下载排行 | 推荐下载 | 免费看大片 | WPS | 杀毒软件
清风网络
首 页 软件下载 网络学院 数码学院
QQ 电脑入门 游戏 操作系统 图形处理 办公软件 媒体动画 精文荟萃 工具软件 网络编程 程序开发 网络技术 认证考试 网站建设 文章专栏
当前位置:清风网络学院网络技术防范措施浅谈企业网对DoS攻击的防御方法
精品推荐
特别推荐
·分布式拒绝服务攻击(DDoS)原理及防范
·通过防火墙来堵住VPN安全漏洞
·针对DDOS部署有效防御措施
·专家谈企业防火墙的安全防护配置
·防火墙的实际功能差异鉴别方法
·教你如何正确设置帐户锁定选项
·分析称主动防御安全技术尚存技术缺陷
·保护用户计算机远离黑客骚扰九大策略
·三层交换机安全策略预防病毒
·详解IP地址盗用常用方法及防范
热点TOP10
·无线攻防:破解WEP密钥过程全解
·防火墙再进一步设定就更好用了!
·Tpvo/3783 病毒的分析和防治
·网络安全专家支招防范黑客攻击九大方法
·防火墙技术详解及技术发展趋势
·如何运用包过滤技术实现个人防火墙
·不用防火墙手动对付SYN攻击的办法
·如何限制访问来防止内部黑客
·防止 QQ 密码被破解的方法
·防火墙的实际功能差异鉴别方法

浅谈企业网对DoS攻击的防御方法
日期:2008年4月5日 作者: 查看:[大字体 中字体 小字体]

  黑客技术的发展似乎是一个个轮回,从最早开始的DoS洪水攻击,到后来黑客们更钟情的漏洞入侵,直到现阶段DoS攻击再现。这种看似原始但直到现在也没有完备方案解决的攻击方式,让叱诧风云的Yahoo、CNN、eBay也深受其害。DoS攻击有何德何能?当企业面对DoS攻击时,又有哪些策略可以减小损失呢?

  一、了解DoS本质

  对于安全界来说,DoS攻击原理极为简单,早已为人们所熟知。但目前全球每周所遭遇的DoS攻击依然达到4000多次,正是因为简单、顽固的原因,让DoS攻击如野草般烧之不尽,DoS攻击最早可追述到1996年,在2000年发展到极致,这期间不知有多少知名网站遭受到它的骚扰。

  所谓DoS,全称为Denial of Service——拒绝服务。它通过协议方式,或抓住系统漏洞,集中对目标进行网络攻击,直到对方网络瘫痪,大家常听说的洪水攻击,疯狂Ping攻击都属于此类。由于这种攻击技术门槛较低,并且效果明显,防范起来比较棘手,所以其一度成为准黑客们的必杀武器,进而出现的DDoS(Distubuted Denial of Service分布式拒绝服务)攻击,更是让网络安全管理员感到头痛。

  不过我们应该看到,DoS攻击仅仅是破坏对方网络访问状态,不会进行实质性的入侵,对服务器和网络设备不构成致命伤害,但对于提供Web服务的企业来说,该攻击方式仍然会造成比较大的损失。虽然目前业界没有提供统一标准的防护方式,但我们仍然可以从一些操作习惯和设备环境部署上减小DoS攻击带来的危害。

  二、防御DoS攻击措施

  在应对常见的DoS攻击时,路由器本身的配置信息非常重要,管理员可以通过以下几个方面,来防止不同类型的DoS攻击。

  扩展访问列表是防止DoS攻击的有效工具,其中Show IP access-list命令可以显示匹配数据包,数据包的类型反映了DoS攻击的种类,由于DoS攻击大多是利用了TCP协议的弱点,所以网络中如果出现大量建立TCP连接的请求,说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容,从而达到阻止攻击源的目的。

  使用QoS也可以阻止DoS攻击,但不同的变量设置要针对不同的DoS攻击类型。比如网络遭受远程僵尸疯狂的Ping攻击,此时就需要利用QoS的WFQ特征,让整个外部网络的访问队列更规整,削弱疯狂Ping攻击的权数。如果遭受了洪水攻击却也启动WFQ特性,则效果不佳,这主要是由于数据包的独立性造成WFQ无法正确选择过滤,而总体的洪水流量不会因此而改变访问通道。

  同样,比疯狂Ping攻击更可怕的DoS攻击类型——Smurf攻击来说,我们可以利用QoS的CAR特征来防御,通过限制ICMP数据包流量的速度,让其堵塞网络的目的无法达成。

  如果用户的路由器具备TCP拦截功能,也能抵制DoS攻击。在对方发送数据流时可以很好的监控和拦截,如果数据包合法,允许实现正常通信,否则,路由器将显示超时限制,以防止自身的资源被耗尽,说到底,利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。

  路由器作为企业内部核心的通信设备,其除了具备基本的网络分发工作外,还承担着安全保卫任务。现在越来越多的网络攻击首先选中核心路由,一旦拿下root对整个网络无疑是灭顶之灾。但同时,作为企业内部网络的第一道防护,防止各种DoS攻击也责无旁贷。

  我们知道,由于提供Web服务以及TCP协议本身的特性,造成无论外界对服务端发送何种指令,都会得到一个反馈,即便是错误的反馈也不例外。比如我们经常在无法访问一个网站时,对方给出HTTP 400 - 错误请求信息,这一样需要做出反应,而DoS攻击正是利用了该特性,让服务器接受大量指令而瘫痪,网络造成信息拥堵。所以,提前做好预防工作也很重要,如果真的出现了攻击,受攻击端就显得比较被动。

  做好预防工作的第一步就是及时跟进各种补丁,不要让攻击方通过漏洞方式进行DoS攻击,需要管理员经常进行关键节点的扫描和监控,对新出现的漏洞进行及时修补。当然,对于骨干设备外需要加入防火墙,因为防火墙本身具备抗DoS攻击能力。在业内,有些人选择“黑吃黑”,通过扩充足够的主机数量来吃掉对方的数据包,这种方法的确能暂时解决问题,缓解网络压力,但对于维护和操作成本来说未免得不偿失。

  另外,过滤不必要的端口和服务也很重要,开放需要提供服务的端口即可。面对僵尸网络带来的攻击,屏蔽无用的IP也是解决问题的一个方法,尤其是某个网段的固定的IP地址,比如10.0.0.0等,这样做不是为了防止内网用户,而是很多DoS攻击都会伪造大量虚假的内部IP,这样可以减轻DoS攻击带来的压力。

  但不可否认的是:目前安全界对于DoS式攻击的防范还没有彻底的方法,只能靠日常维护扫描以及应对攻击时的导流减轻一部分网络设备的压力。即便是使用了硬件级别防火墙也收效甚微,以上只是提供了一些方法和建议,在企业内部有限的网络状态下,可以最大化减轻DoS攻击带来的后果。

(出处:清风网络学院






上一篇:保障您网站安全的十点技巧

下一篇:Linux平台四大IDS入侵检测工具

相关文章:
·女性自慰方法大搜查
·qq空间皮肤背景代码:QQ空间不用Q币更换主页皮肤方法
·男性自慰的几种方法
·盗QQ号码方法大全
·水晶图片制作方法
·《龙珠大冒险》攻击技巧研究(GBA) - 龙珠Z攻略秘籍 - 龙珠Z
·GHOST使用方法(图解)
·轻轻松松教你另一种网赚方法
·人生激励:激励的最佳方法
·Firefox 使用常见问题和解决方法
相关软件:
·自己动手建立企业网站
·企业标准化管理制度大全
·公司企业网站管理系统模板功能强大版
·Windows 2003 Server 简体中文企业版(免激活)ISO
·现代企业领导艺术与方法
·腾讯企业QQ 服务器端 V 3.0.3
·新《企业会计准则》
·做人做事好方法
·企业法律顾问考试百宝箱V 2.0
·资产评估学课件第二章资产评估的基本方法(二)

特别声明:本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载,但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站,我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员,我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源:http://www.viphot.com
| 帮助(?) | 版权声明 | 友情连接 | 关于我们 | 信息发布
Copyright 2007 www.viphot.com All Rights Reserved. 鄂ICP备05000083号Powered by:viphot