企业网对DoS攻击的防御方法
来源:中关村在线 更新时间:2008-03-22

   黑客技术的发展似乎是一个个轮回,从最早开始的DoS洪水攻击,到后来黑客们更钟情的漏洞入侵,直到现阶段DoS攻击再现。这种看似原始但直到现在也没有完备方案解决的攻击方式,让叱诧风云的Yahoo、CNN、eBay也深受其害。DoS攻击有何德何能?当企业面对DoS攻击时,又有哪些策略可以减小损失呢?

  一、了解DoS本质

  对于安全界来说,DoS攻击原理极为简单,早已为人们所熟知。但目前全球每周所遭遇的DoS攻击依然达到4000多次,正是因为简单、顽固的原因,让DoS攻击如野草般烧之不尽,DoS攻击最早可追述到1996年,在2000年发展到极致,这期间不知有多少知名网站遭受到它的骚扰。

  所谓DoS,全称为Denial of Service——拒绝服务。它通过协议方式,或抓住系统漏洞,集中对目标进行网络攻击,直到对方网络瘫痪,大家常听说的洪水攻击,疯狂Ping攻击都属于此类。由于这种攻击技术门槛较低,并且效果明显,防范起来比较棘手,所以其一度成为准黑客们的必杀武器,进而出现的DDoS(Distubuted Denial of Service分布式拒绝服务)攻击,更是让网络安全管理员感到头痛。

  不过我们应该看到,DoS攻击仅仅是破坏对方网络访问状态,不会进行实质性的入侵,对服务器和网络设备不构成致命伤害,但对于提供Web服务的企业来说,该攻击方式仍然会造成比较大的损失。虽然目前业界没有提供统一标准的防护方式,但我们仍然可以从一些操作习惯和设备环境部署上减小DoS攻击带来的危害。

  二、防御DoS攻击措施

  在应对常见的DoS攻击时,路由器本身的配置信息非常重要,管理员可以通过以下几个方面,来防止不同类型的DoS攻击。

  扩展访问列表是防止DoS攻击的有效工具,其中Show IP access-list命令可以显示匹配数据包,数据包的类型反映了DoS攻击的种类,由于DoS攻击大多是利用了TCP协议的弱点,所以网络中如果出现大量建立TCP连接的请求,说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容,从而达到阻止攻击源的目的。

使用QoS也可以阻止DoS攻击,但不同的变量设置要针对不同的DoS攻击类型。比如网络遭受远程僵尸疯狂的Ping攻击,此时就需要利用QoS的WFQ特征,让整个外部网络的访问队列更规整,削弱疯狂Ping攻击的权数。如果遭受了洪水攻击却也启动WFQ特性,则效果不佳,这主要是由于数据包的独立性造成WFQ无法正确选择过滤,而总体的洪水流量不会因此而改变访问通道。

  同样,比疯狂Ping攻击更可怕的DoS攻击类型——Smurf攻击来说,我们可以利用QoS的CAR特征来防御,通过限制ICMP数据包流量的速度,让其堵塞网络的目的无法达成。

  如果用户的路由器具备TCP拦截功能,也能抵制DoS攻击。在对方发送数据流时可以很好的监控和拦截,如果数据包合法,允许实现正常通信,否则,路由器将显示超时限制,以防止自身的资源被耗尽,说到底,利用设备规则来合理的屏蔽持续的、高频度的数据冲击是防止DoS攻击的根本。

  路由器作为企业内部核心的通信设备,其除了具备基本的网络分发工作外,还承担着安全保卫任务。现在越来越多的网络攻击首先选中核心路由,一旦拿下root对整个网络无疑是灭顶之灾。但同时,作为企业内部网络的第一道防护,防止各种DoS攻击也责无旁贷。

  我们知道,由于提供Web服务以及TCP协议本身的特性,造成无论外界对服务端发送何种指令,都会得到一个反馈,即便是错误的反馈也不例外。比如我们经常在无法访问一个网站时,对方给出HTTP 400 - 错误请求信息,这一样需要做出反应,而DoS攻击正是利用了该特性,让服务器接受大量指令而瘫痪,网络造成信息拥堵。所以,提前做好预防工作也很重要,如果真的出现了攻击,受攻击端就显得比较被动。

  做好预防工作的第一步就是及时跟进各种补丁,不要让攻击方通过漏洞方式进行DoS攻击,需要管理员经常进行关键节点的扫描和监控,对新出现的漏洞进行及时修补。当然,对于骨干设备外需要加入防火墙,因为防火墙本身具备抗DoS攻击能力。在业内,有些人选择“黑吃黑”,通过扩充足够的主机数量来吃掉对方的数据包,这种方法的确能暂时解决问题,缓解网络压力,但对于维护和操作成本来说未免得不偿失。

  另外,过滤不必要的端口和服务也很重要,开放需要提供服务的端口即可。面对僵尸网络带来的攻击,屏蔽无用的IP也是解决问题的一个方法,尤其是某个网段的固定的IP地址,比如10.0.0.0等,这样做不是为了防止内网用户,而是很多DoS攻击都会伪造大量虚假的内部IP,这样可以减轻DoS攻击带来的压力。

  但不可否认的是:目前安全界对于DoS式攻击的防范还没有彻底的方法,只能靠日常维护扫描以及应对攻击时的导流减轻一部分网络设备的压力。即便是使用了硬件级别防火墙也收效甚微,以上只是提供了一些方法和建议,在企业内部有限的网络状态下,可以最大化减轻DoS攻击带来的后果。