一、了解DoS本质
对于安全界来说,DoS攻击原理极为简单,早已为人们所熟知。但目前全球每周所遭遇的DoS攻击依然达到4000多次,正是因为简单、顽固的原因,让DoS攻击如野草般烧之不尽,DoS攻击最早可追述到1996年,在2000年发展到极致,这期间不知有多少知名网站遭受到它的骚扰。
所谓DoS,全称为Denial of Service——拒绝服务。它通过协议方式,或抓住系统漏洞,集中对目标进行网络攻击,直到对方网络瘫痪,大家常听说的洪水攻击,疯狂Ping攻击都属于此类。由于这种攻击技术门槛较低,并且效果明显,防范起来比较棘手,所以其一度成为准黑客们的必杀武器,进而出现的DDoS(Distubuted Denial of Service分布式拒绝服务)攻击,更是让网络安全管理员感到头痛。
不过我们应该看到,DoS攻击仅仅是破坏对方网络访问状态,不会进行实质性的入侵,对服务器和网络设备不构成致命伤害,但对于提供Web服务的企业来说,该攻击方式仍然会造成比较大的损失。虽然目前业界没有提供统一标准的防护方式,但我们仍然可以从一些操作习惯和设备环境部署上减小DoS攻击带来的危害。
二、防御DoS攻击措施
在应对常见的DoS攻击时,路由器本身的配置信息非常重要,管理员可以通过以下几个方面,来防止不同类型的DoS攻击。
扩展访问列表是防止DoS攻击的有效工具,其中Show IP access-list命令可以显示匹配数据包,数据包的类型反映了DoS攻击的种类,由于DoS攻击大多是利用了TCP协议的弱点,所以网络中如果出现大量建立TCP连接的请求,说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容,从而达到阻止攻击源的目的。
标签:
