防制DoS攻擊 監控與過濾封包為關鍵

　　DOS（Denial of Service）為目前很常見的網絡攻擊模式，以占用有限的資源，癱瘓運行中的服務為目的。

　　此類攻擊往往利用系統及網絡資源有限的限制，以及系統服務或通訊協議設計上的缺失，發送大量密集的封包，使得網絡阻塞，由於系統忙於處理攻擊者發出的封包，影響正常的網絡服務存取，甚至造成服務完全中斷。而所謂的分布式阻斷服務（Distributed Denial of Service；DDOS）更是此類攻擊的規模放大，由分散在各地的攻擊者一同對特定的受害者進行DOS，破壞力之大，曾造成Yahoo、eBay、Buy.com和CNN等知名網站服務中斷數小時之久。

　　DOS的防制並不容易，當以大量正常的聯機消耗目標網絡及服務的資源，一旦單位時間內系統資源的使用量超過系統負荷時，將難以抵擋。若要有效地防范DOS，網絡管理人員首先要注意的就是要避免服務器被植入攻擊程序，成為DOS的幫凶，例如隨時更新修補系統漏洞，關閉不必要的服務，並安裝防毒系統和防火牆，也要隨時監控異常流量，例如發現異常發送大量封包時，應予以阻擋，偵測到假造來源IP的封包，也應予以過濾，避免這些攻擊的封包流竄至Internet，降低攻擊的規模。

　　目前網絡硬件防火牆對於DOS的防制策略有兩大方向，首先是事前的防范，以防火牆當第一道防線，限制不必要的網絡存取，避免外界直接存取防火牆內部主機，進而趁隙植入攻擊程序，並以網關防毒模塊過濾病毒（virus）蠕蟲（worm），以入侵偵測防御模塊來防止各式入侵攻擊。倘若因管理不當，讓攻擊程序在內部發作，則進行事發的處置，以入侵偵測防御模塊偵測阻擋攻擊封包，防止繼續擴散至Internet。

　　面對網絡上眾多的入侵攻擊來說，網絡的安全防護不能只單靠防火牆來防御，更應該要注意IDS、IPS、Anti-virus、VPN、流量管理與負載平衡等各方面的防護，才能為企業建構一個完整的網絡安全防護環境。