浅谈企业网对DoS攻击的防御方法
使用QoS也可以阻止DoS攻击,但不同的变量设置要针对不同的DoS攻击类型。比如网络遭受远程僵尸疯狂的Ping攻击,此时就需要利用QoS的WFQ特征,让整个外部网络的访问队列更规整,削弱疯狂Ping攻击的权数。如果遭受了洪水攻击却也启动WFQ特性,则效果不佳,这主要是由于数据包的独立性造成WFQ无法正确选择过滤,而总体的洪水流量不会因此而改变访问通道。
同样,比疯狂Ping攻击更可怕的DoS攻击类型——Smurf攻击来说,我们可以利用QoS的CAR特征来防御,通过限制ICMP数据包流量的速度,让其堵塞网络的目的无法达成。
如果用户的路由器具备TCP拦截功能,也能抵制DoS攻击。在对方发送数据流时可以很好的监控和拦截,如果数据包合法,允许实现正常通信,否则,路由器将显示超时限制,以防止自身的资源被耗尽,说到底,利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。
路由器作为企业内部核心的通信设备,其除了具备基本的网络分发工作外,还承担着安全保卫任务。现在越来越多的网络攻击首先选中核心路由,一旦拿下root对整个网络无疑是灭顶之灾。但同时,作为企业内部网络的第一道防护,防止各种DoS攻击也责无旁贷。
我们知道,由于提供Web服务以及TCP协议本身的特性,造成无论外界对服务端发送何种指令,都会得到一个反馈,即便是错误的反馈也不例外。比如我们经常在无法访问一个网站时,对方给出HTTP 400 - 错误请求信息,这一样需要做出反应,而DoS攻击正是利用了该特性,让服务器接受大量指令而瘫痪,网络造成信息拥堵。所以,提前做好预防工作也很重要,如果真的出现了攻击,受攻击端就显得比较被动。
做好预防工作的第一步就是及时跟进各种补丁,不要让攻击方通过漏洞方式进行DoS攻击,需要管理员经常进行关键节点的扫描和监控,对新出现的漏洞进行及时修补。当然,对于骨干设备外需要加入防火墙,因为防火墙本身具备抗DoS攻击能力。在业内,有些人选择“黑吃黑”,通过扩充足够的主机数量来吃掉对方的数据包,这种方法的确能暂时解决问题,缓解网络压力,但对于维护和操作成本来说未免得不偿失。
另外,过滤不必要的端口和服务也很重要,开放需要提供服务的端口即可。面对僵尸网络带来的攻击,屏蔽无用的IP也是解决问题的一个方法,尤其是某个网段的固定的IP地址,比如10.0.0.0等,这样做不是为了防止内网用户,而是很多DoS攻击都会伪造大量虚假的内部IP,这样可以减轻DoS攻击带来的压力。
但不可否认的是:目前安全界对于DoS式攻击的防范还没有彻底的方法,只能靠日常维护扫描以及应对攻击时的导流减轻一部分网络设备的压力。即便是使用了硬件级别防火墙也收效甚微,以上只是提供了一些方法和建议,在企业内部有限的网络状态下,可以最大化减轻DoS攻击带来的后果。
最新相关文章发表评论