安全建議：企業(yè)面對DoS攻擊時(shí)防御方法

黑客技術(shù)的發(fā)展似乎是一個(gè)個(gè)輪回，從最早開始的DoS洪水攻擊，到后來黑客們更鐘情的漏洞入侵，直到現(xiàn)階段DoS攻擊再現(xiàn)。這種看似原始但直到現(xiàn)在也沒有完備方案解決的攻擊方式，讓叱詫風(fēng)云的Yahoo、CNN、eBay也深受其害。DoS攻擊有何德何能？當(dāng)企業(yè)面對DoS攻擊時(shí)，又有哪些策略可以減小損失呢？

一、了解DoS本質(zhì)

對于安全界來說，DoS攻擊原理極為簡單，早已為人們所熟知。但目前全球每周所遭遇的DoS攻擊依然達(dá)到4000多次，正是因?yàn)楹唵巍㈩B固的原因，讓DoS攻擊如野草般燒之不盡，DoS攻擊最早可追述到1996年，在2000年發(fā)展到極致，這期間不知有多少知名網(wǎng)站遭受到它的騷擾。

所謂DoS，全稱為Denial of Service——拒絕服務(wù)。它通過協(xié)議方式，或抓住系統(tǒng)漏洞，集中對目標(biāo)進(jìn)行安卓日程管理攻擊，直到對方安卓日程管理癱瘓，大家常聽說的洪水攻擊，瘋狂Ping攻擊都屬于此類。由于這種攻擊技術(shù)門檻較低，并且效果明顯，防范起來比較棘手，所以其一度成為準(zhǔn)黑客們的必殺武器，進(jìn)而出現(xiàn)的DDoS（Distubuted Denial of Service分布式拒絕服務(wù)）攻擊，更是讓安卓日程管理安全管理員感到頭痛。

不過我們應(yīng)該看到，DoS攻擊僅僅是破壞對方安卓日程管理訪問狀態(tài)，不會進(jìn)行實(shí)質(zhì)性的入侵，對服務(wù)器和安卓日程管理設(shè)備不構(gòu)成致命傷害，但對于提供Web服務(wù)的企業(yè)來說，該攻擊方式仍然會造成比較大的損失。雖然目前業(yè)界沒有提供統(tǒng)一標(biāo)準(zhǔn)的防護(hù)方式，但我們?nèi)匀豢梢詮囊恍┎僮髁?xí)慣和設(shè)備環(huán)境部署上減小DoS攻擊帶來的危害。

二、防御DoS攻擊措施

在應(yīng)對常見的DoS攻擊時(shí)，路由器本身的配置信息非常重要，管理員可以通過以下幾個(gè)方面，來防止不同類型的DoS攻擊。

擴(kuò)展訪問列表是防止DoS攻擊的有效工具，其中Show IP access-list命令可以顯示匹配數(shù)據(jù)包，數(shù)據(jù)包的類型反映了DoS攻擊的種類，由于DoS攻擊大多是利用了TCP協(xié)議的弱點(diǎn)，所以安卓日程管理中如果出現(xiàn)大量建立TCP連接的請求，說明洪水攻擊來了。此時(shí)管理員可以適時(shí)的改變訪問列表的配置內(nèi)容，從而達(dá)到阻止攻擊源的目的。

使用QoS也可以阻止DoS攻擊，但不同的變量設(shè)置要針對不同的DoS攻擊類型。比如安卓日程管理遭受遠(yuǎn)程僵尸瘋狂的Ping攻擊，此時(shí)就需要利用QoS的WFQ特征，讓整個(gè)外部安卓日程管理的訪問隊(duì)列更規(guī)整，削弱瘋狂Ping攻擊的權(quán)數(shù)。如果遭受了洪水攻擊卻也啟動WFQ特性，則效果不佳，這主要是由于數(shù)據(jù)包的獨(dú)立性造成WFQ無法正確選擇過濾，而總體的洪水流量不會因此而改變訪問通道。

同樣，比瘋狂Ping攻擊更可怕的DoS攻擊類型——Smurf攻擊來說，我們可以利用QoS的CAR特征來防御，通過限制ICMP數(shù)據(jù)包流量的速度，讓其堵塞安卓日程管理的目的無法達(dá)成。

如果用戶的路由器具備TCP攔截功能，也能抵制DoS攻擊。在對方發(fā)送數(shù)據(jù)流時(shí)可以很好的監(jiān)控和攔截，如果數(shù)據(jù)包合法，允許實(shí)現(xiàn)正常通信，否則，路由器將顯示超時(shí)限制，以防止自身的資源被耗盡，說到底，利用設(shè)備規(guī)則來合理的屏蔽持續(xù)的、高頻度的數(shù)據(jù)沖擊是防止DoS攻擊的根本。

路由器作為企業(yè)內(nèi)部核心的通信設(shè)備，其除了具備基本的安卓日程管理分發(fā)工作外，還承擔(dān)著安全保衛(wèi)任務(wù)。現(xiàn)在越來越多的安卓日程管理攻擊首先選中核心路由，一旦拿下root對整個(gè)安卓日程管理無疑是滅頂之災(zāi)。但同時(shí)，作為企業(yè)內(nèi)部安卓日程管理的第一道防護(hù)，防止各種DoS攻擊也責(zé)無旁貸。

我們知道，由于提供Web服務(wù)以及TCP協(xié)議本身的特性，造成無論外界對服務(wù)端發(fā)送何種指令，都會得到一個(gè)反饋，即便是錯(cuò)誤的反饋也不例外。比如我們經(jīng)常在無法訪問一個(gè)網(wǎng)站時(shí)，對方給出HTTP 400 - 錯(cuò)誤請求信息，這一樣需要做出反應(yīng)，而DoS攻擊正是利用了該特性，讓服務(wù)器接受大量指令而癱瘓，安卓日程管理造成信息擁堵。所以，提前做好預(yù)防工作也很重要，如果真的出現(xiàn)了攻擊，受攻擊端就顯得比較被動。

做好預(yù)防工作的第一步就是及時(shí)跟進(jìn)各種補(bǔ)丁，不要讓攻擊方通過漏洞方式進(jìn)行DoS攻擊，需要管理員經(jīng)常進(jìn)行關(guān)鍵節(jié)點(diǎn)的掃描和監(jiān)控，對新出現(xiàn)的漏洞進(jìn)行及時(shí)修補(bǔ)。當(dāng)然，對于骨干設(shè)備外需要加入防火墻，因?yàn)榉阑饓Ρ旧砭邆淇笵oS攻擊能力。在業(yè)內(nèi)，有些人選擇“黑吃黑”，通過擴(kuò)充足夠的主機(jī)數(shù)量來吃掉對方的數(shù)據(jù)包，這種方法的確能暫時(shí)解決問題，緩解安卓日程管理壓力，但對于維護(hù)和操作成本來說未免得不償失。

另外，過濾不必要的端口和服務(wù)也很重要，開放需要提供服務(wù)的端口即可。面對僵尸安卓日程管理帶來的攻擊，屏蔽無用的IP也是解決問題的一個(gè)方法，尤其是某個(gè)網(wǎng)段的固定的IP地址，比如10.0.0.0等，這樣做不是為了防止內(nèi)網(wǎng)用戶，而是很多DoS攻擊都會偽造大量虛假的內(nèi)部IP，這樣可以減輕DoS攻擊帶來的壓力。

但不可否認(rèn)的是：目前安全界對于DoS式攻擊的防范還沒有徹底的方法，只能靠日常維護(hù)掃描以及應(yīng)對攻擊時(shí)的導(dǎo)流減輕一部分安卓日程管理設(shè)備的壓力。即便是使用了硬件級別防火墻也收效甚微，以上只是提供了一些方法和建議，在企業(yè)內(nèi)部有限的安卓日程管理狀態(tài)下，可以最大化減輕DoS攻擊帶來的后果。

 【推薦閱讀】
◆3G安卓日程管理運(yùn)維管理模式點(diǎn)評

◆網(wǎng)管運(yùn)維組策略應(yīng)用技巧分享

◆3G安卓日程管理運(yùn)維管理功能特點(diǎn)分析

◆綠色數(shù)據(jù)中心運(yùn)維管理方案解讀