拒绝服务攻击(DOS),相信每一个从事过网络的人都会清楚它的危害。对于大型的网络来说,拒绝服务攻击很可能会给企业造成巨大的麻烦,甚至造成企业网络的瘫痪。攻击发生时,攻击者短时间内向服务器申请大量的连接,造成服务器无法完成如此多的客户端连接请求,从而无法提供服务。
拒绝服务攻击简介:
拒绝服务攻击主要有两种攻击方式,从最基本的DOS到现在流行的DDOS。对网络造成的影响也是不断增加,DOS主要是利用单台计算机发动攻击,而DDOS(Distributed Denial of Service,分布式拒绝服务)是一种基于DOS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式。DOS攻击是利用一批受控制的傀儡计算机向一台服务器发起攻击,短时间内可以造成巨大的流量,因此具有较大的破坏性。虽然采用防火墙等相关安全设备的过滤功能可以对付一部分拒绝服务攻击,但如果面对DDOS众多傀儡主机的攻击,仍然没有很好的办法解决。如何防范DOS攻击呢?
如何预防DDOS攻击
DDOS攻击由于其破坏威力大,不易被发现的特性,成为黑客最常用的攻击手段,所以网络管理员一定不能掉以轻心。
(1)节点扫描
网络管理员要定期扫描网络节点,分析并发现可能存在的安全漏洞,对新出现的漏洞及时进行修补。特别骨干点的计算机,由于需要占用较高的带宽,因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
(2)配置防火墙
防火墙本身具备了抵御部分DDOS攻击的能力。在发现攻击行为存在时,可以牺牲备用设备引导攻击数据流,这样可以减轻或避免正常业务的顺利进行。当然如果企业或用户对网络的要求很高,笔者建议设立专用的服务器来防止DDOS攻击。
(3)充分利用网络设备保护网络资源
合理配置使用路由器、防火墙等网络设备,它们可将网络有效地保护起来。相对服务器的重启,网络路由器等网络设备的重启要容易的多,而且服务器数据不会有太多的损失。负载均衡技术的使用,可以在攻击发生时自动均衡设备的使用情况,最大限度的降低DDOS的攻击。
(4)过滤服务及端口
默认情况下,服务器的很多端口是开放的,用户可以使用防火墙或一些管理软件来过滤不必要的服务和端口。只开放服务端口成为保障网络安全的流行做法,例如用户可能会经常看到一个服务器只开放80端口等。
(5)检查访问者的来源
通过反向路由器查询的方法检查访问者的IP地址是否是真,如果发现虚假IP,应立即将其屏蔽。黑客在攻击时常采用假IP隐藏自己,因此网络管理员有必要了解自己网络的用户访问情况。
(6)过滤所有被保留的IP地址
我们知道类似10.0.0.0、192.168.0.0 和172.16.0.0这样的IP,并不是某个网段的固定IP地址,而是Internet内部保留的区域性IP地址,网络管理员应把被保留的IP过滤掉。
(7)限制SYN/ICMP流量
用户应在防火墙上配置SYN/ICMP的最大流量来限制SYN/ICMP所能占用的最大带宽。当出现大量的超过限定的SYN/ICMP流量时,管理员需要立即排查区分是否存在非法攻击行为。限制SYN/ICMP也是过去对付DDOS攻击最常使用的。
应对DDOS攻击
当DDOS攻击发生时,用户所能做的抵御工作将是非常有限的。假如DDOS工具发生,巨大的数据流很可能立即就似的网络瘫痪。笔者建议用户还是常识做如下应对措施。
(1)检查攻击来源,过滤掉发起攻击的IP,或采用备用服务器,将数据流引入到可以牺牲的服务器。
(2)找出攻击者所经过的路由,将攻击屏蔽掉,或找到黑客从哪些端口发动攻击,用户可以对端口做相应屏蔽。但对于中小企业,公司的出口一般只有一个,这样的作法也就不和适宜了。
总结:
DDOS攻击虽然存在理论的防护方式,但是由于其攻击的突然性,和数据流的无限膨胀,至今还没有什么绝对有效的方式来防范。管理员需要留意防火墙或其他安全设备的异常,经常检查日志情况,争取在攻击流泛滥前及时应对。笔者以为如今的硬件安防设施,DDOS攻击只能被减弱。十一长假马上就要到来,希望通过本文,用户可以做好防护措施,保证自己网络安全顺畅。