企业网络防御DoS攻击的方法探讨
黑客技术的发展似乎已经轮回,从最早的DoS攻击的黑客更喜欢后来的漏洞,直到DoS攻击是这个阶段的再现。这看似原始,但直到现在也没有完整的解决方案的攻击,让骂雅虎,美国有线电视新闻网和易趣网也suffer.dos攻击有何德何能当企业面临DoS攻击时,有哪些策略可以减少损失呢首先,了解dos的本质。
为安全社区,DoS攻击的原理很简单,人所熟知,但目前全球每周遭受DoS攻击仍达到4000倍,这是因为简单的原因是,固执,让DOS攻击像杂草烧不完,DoS攻击最早可追溯到1996、2000极端的,这期间我不知道有多少知名网站遭受骚扰。
所谓的DOS,都叫拒绝servicemdash;mdash;拒绝服务。它侧重于网络攻击的协议漏洞的系统或方法,直到网络瘫痪,洪水攻击和疯狂的平的攻击是常听到的。因为这种攻击的技术门槛低,且效果明显,预防是比较困难的,所以它成为了一个准黑客杀伤武器,然后出现DDoS(分布拒绝服务分布式拒绝服务攻击),就是让网络管理员感到头痛。
但是我们应该看到,DoS攻击是唯一的其他网络接入的破坏,并没有实质性的入侵,服务器和网络设备不构成致命伤害,但为企业提供Web服务,攻击仍然会造成较大的损失。虽然行业不提供目前统一标准的保护,我们还可以减少DoS攻击的一些操作习惯和设备环境部署的危害。
二、防御DoS攻击措施
在处理常见DoS攻击时,路由器本身的配置信息是非常重要的。管理员可以在以下方面防止不同类型的DoS攻击。
扩展的访问列表是防止DoS攻击的有效工具,显示IP访问列表命令显示,数据包,数据包类型反映的DoS攻击类型,DoS攻击主要是由于网络中TCP协议的使用是弱的,所以如果有大量的TCP连接请求淹没攻击。在这一点上,管理员可以更改时间的访问列表配置防止攻击源。
使用QoS也可以防止DoS攻击,但是针对不同类型的DoS攻击设置了不同的变量。在这个时候,我们需要利用QoS的WFQ功能使整个外部网络更经常访问队列,并削弱疯狂平攻击的重量。如果洪水发起攻击,也启动了WFQ功能,但效果不好。这主要是由于数据包的独立性,导致无法正确选择和过滤,和总的洪水流量不会改变接入信道。
同样,DoS攻击,它比疯狂的平的攻击,更可怕的是——,——和Smurf攻击。我们可以利用QoS的车辆特性进行防御,不能通过限制ICMP分组通信的速度来达到阻塞网络的目的。
如果用户的路由器的TCP拦截,它还可以抵御DoS攻击。对传输数据流的另一边可以很好的监控和拦截,如果数据包是合法的,允许的正常通信的实现,否则,路由器将显示超时限制,以防止自己的资源枯竭,在最后的分析,利用高频数据对盾构设备的规则合理的连续,是防止DoS攻击的基础。
作为企业的核心通信设备,路由器也有安全的任务,除了基本的网络分布。现在越来越多的网络攻击的首选核心路由,一旦根无疑是整个网络是一个灾难。但同时,作为企业内部网络的第一个保护,它也有义务来防止各种DoS攻击。
我们知道,由于提供Web服务和TCP协议本身的特点,无论什么样的指示外界发送到服务器,它会得到一个反馈,甚至错误的反馈也不例外。例如,当我们经常无法访问的网站,对方给出了HTTP 400错误的请求信息,需要的反应。DOS攻击就是利用这个特点让服务器收到大量的指令和麻痹,和网络造成信息堵塞。因此,它也要提前做好预防的重要。如果有真正的攻击,攻击结束似乎更被动。
做好预防工作的第一步是及时跟进各种补丁,不要让攻击者通过漏洞进行DoS攻击。管理员需要扫描和监控关键节点频繁,同时新的漏洞修复。当然,防火墙需要被添加到主干设备因为防火墙本身具有抵御DoS攻击的能力。在业内,有人选择黑吃黑,扩大主机的数量每吃其他的数据包。这种方法可以暂时解决问题,缓解网络压力,但对于维护和运营成本,则是一种损失。
此外,它也过滤不必要的端口和服务的重要,并打开端口提供服务。在僵尸网络攻击造成的脸,一个屏蔽无用的IP是解决问题的方法,特别是网络的固定IP地址,如10.0.0.0,不要为了防止用户,但许多DoS攻击将伪造大量虚假的内部IP,可以减少DoS攻击带来的压力。
但不可否认的是:目前,安全部门并没有彻底防止DoS攻击的方法。它只能通过日常维护扫描和应对攻击转移来缓解部分网络设备的压力,甚至硬件级防火墙的使用效果甚微,只提供了一些方法和建议,可以在有限的网络状态下最大限度地减少DoS攻击的后果。