拒絕服務是一種技術含量低,但攻擊效果明顯的攻擊方式,受到這種攻擊時,服務器或網絡設備長時間不能正常提供服務,並且由於某些網絡通訊協議本身固有的缺陷,難以提出一個行之有效的解決辦法。
我們的一些關鍵應用,如電子商務、電子政務越來越多地依賴於互聯網進行實施。在當前條件下,如何保障關鍵應用的不間斷服務,尤其是如何防御拒絕服務攻擊,具有相當重要的意義。
安全漏洞成罪魁禍首
引用《信息系統安全導論》一書裡的定義,拒絕服務攻擊就是使信息或信息系統的被利用價值和服務能力下降或喪失的攻擊。當然,我們這裡所說的攻擊主要是通過網絡來實現的攻擊。可以這麼理解,凡是導致合法用戶不能訪問正常網絡服務的行為都算是拒絕服務攻擊,也就是說拒絕服務攻擊的目的非常明確,就是要阻斷合法用戶對正常網絡資源的訪問,從而達到攻擊者不可告人的目的。
拒絕服務攻擊通常基於網絡協議的缺陷或者軟件系統的安全漏洞發起。典型的拒絕服務攻擊以資源耗盡和流量過載為主要表現形式。當一個對資源的合理請求大大超過服務的承受能力時就會造成拒絕服務攻擊,這些資源包括網絡帶寬、文件系統空間容量、開放的進程或者內向的連接。
應對出新招
拒絕服務是一種相當難以防范的攻擊,防范拒絕服務攻擊需要我們從全局去部署防御拒絕服務攻擊策略,多種策略聯動防范,將拒絕服務攻擊的危害降至最低,以下總結了多種防范策略的部署方案。
升級操作系統以及各種網絡應用程序,及時安裝各種補丁,安全設置服務器及網絡設備,避免由於軟件缺陷或者用戶設置不當造成的拒絕服務攻擊;優化路由器設置,關閉不需要的服務,保障路由器自身安全;保障DNS關鍵應用不受拒絕服務攻擊,通過設置安全策略的方式,限制DNS非授權訪問,設置多台輔助DNS服務器。對WEB等應用采用DNS輪詢或者負載均衡方式增加抗拒絕服務能力;在條件不許可的情況下,可以使用多IP主機的方式。優化服務器或者應用程序本身,比如Windows 2000和Windows server 2003操作系統,就具備一定的抵抗拒絕服務攻擊的能力,只是默認狀態下沒有開啟,開啟的話自身就可以抵御10000個SYN攻擊包,若沒有開啟僅能抵御數百個攻擊包。
對於WEB服務,應盡量避免使用數據庫連接,必須使用數據庫時,應在調用數據庫的腳本中拒絕使用代理的訪問,防止針對數據的連接耗盡型攻擊。同時,大量事實證明,把網站做成靜態頁面,不僅能大大提高抗攻擊能力,同時也大大減少了服務器的負荷開銷。升級網絡帶寬,抵御帶寬耗盡型攻擊。升級網絡設備,使網絡設備不至於在受到攻擊時成為瓶頸。升級服務器,提高服務器處理性能。部署專用抗拒絕服務攻擊設備,以及IDS入侵監測系統。與網絡服務商協作,阻斷攻擊發起點的網絡連接。現階段對於層出不窮的拒絕服務攻擊並沒有100%有效的防御手段,但我們應采取主動措施,未雨綢缪,通過分析各種拒絕服務攻擊的方式,深入地了解拒絕服務攻擊,積極部署防御措施,完全能夠緩解和抵御此類安全威脅。