淺談企業網對DoS攻擊的防御方法

　　黑客技術的發展似乎是一個個輪回，從最早開始的Dos洪水攻擊，到後來黑客們更鐘情的漏洞入侵，直到現階段DoS攻擊再現。這種看似原始但直到現在也沒有完備方案解決的攻擊方式，讓叱詫風雲的Yahoo、CNN、eBay也深受其害。DoS攻擊有何德何能？當企業面對DoS攻擊時，又有哪些策略可以減小損失呢？

　　一、了解DoS本質

　　對於安全界來說，DoS攻擊原理極為簡單，早已為人們所熟知。但目前全球每周所遭遇的DoS攻擊依然達到4000多次，正是因為簡單、頑固的原因，讓DoS攻擊如野草般燒之不盡，DoS攻擊最早可追述到1996年，在2000年發展到極致，這期間不知有多少知名網站遭受到它的騷擾。

　　所謂DoS，全稱為Denial of Service——拒絕服務。它通過協議方式，或抓住系統漏洞，集中對目標進行網絡攻擊，直到對方網絡癱瘓，大家常聽說的洪水攻擊，瘋狂Ping攻擊都屬於此類。由於這種攻擊技術門檻較低，並且效果明顯，防范起來比較棘手，所以其一度成為准黑客們的必殺武器，進而出現的DDoS（Distubuted Denial of Service分布式拒絕服務）攻擊，更是讓網絡安全管理員感到頭痛。

　　不過我們應該看到，DoS攻擊僅僅是破壞對方網絡訪問狀態，不會進行實質性的入侵，對服務器和網絡設備不構成致命傷害，但對於提供Web服務的企業來說，該攻擊方式仍然會造成比較大的損失。雖然目前業界沒有提供統一標准的防護方式，但我們仍然可以從一些操作習慣和設備環境部署上減小DoS攻擊帶來的危害。

　　二、防御DoS攻擊措施

　　在應對常見的DoS攻擊時，路由器本身的配置信息非常重要，管理員可以通過以下幾個方面，來防止不同類型的DoS攻擊。

　　擴展訪問列表是防止DoS攻擊的有效工具，其中Show IP access-list命令可以顯示匹配數據包，數據包的類型反映了DoS攻擊的種類，由於DoS攻擊大多是利用了TCP協議的弱點，所以網絡中如果出現大量建立TCP連接的請求，說明洪水攻擊來了。此時管理員可以適時的改變訪問列表的配置內容，從而達到阻止攻擊源的目的。

　　使用QoS也可以阻止Dos攻擊，但不同的變量設置要針對不同的DoS攻擊類型。比如網絡遭受遠程僵屍瘋狂的Ping攻擊，此時就需要利用QoS的WFQ特征，讓整個外部網絡的訪問隊列更規整，削弱瘋狂Ping攻擊的權數。如果遭受了洪水攻擊卻也啟動WFQ特性，則效果不佳，這主要是由於數據包的獨立性造成WFQ無法正確選擇過濾，而總體的洪水流量不會因此而改變訪問通道。

　　同樣，比瘋狂Ping攻擊更可怕的DoS攻擊類型——Smurf攻擊來說，我們可以利用QoS的CAR特征來防御，通過限制ICMP數據包流量的速度，讓其堵塞網絡的目的無法達成。

　　如果用戶的路由器具備TCP攔截功能，也能抵制DoS攻擊。在對方發送數據流時可以很好的監控和攔截，如果數據包合法，允許實現正常通信，否則，路由器將顯示超時限制，以防止自身的資源被耗盡，說到底，利用設備規則來合理的屏蔽持續的、高頻度的數據沖擊是防止DoS攻擊的根本。

　　路由器作為企業內部核心的通信設備，其除了具備基本的網絡分發工作外，還承擔著安全保衛任務。現在越來越多的網絡攻擊首先選中核心路由，一旦拿下root對整個網絡無疑是滅頂之災。但同時，作為企業內部網絡的第一道防護，防止各種DoS攻擊也責無旁貸。

　　我們知道，由於提供Web服務以及TCP協議本身的特性，造成無論外界對服務端發送何種指令，都會得到一個反饋，即便是錯誤的反饋也不例外。比如我們經常在無法訪問一個網站時，對方給出HTTP 400 - 錯誤請求信息，這一樣需要做出反應，而DoS攻擊正是利用了該特性，讓服務器接受大量指令而癱瘓，網絡造成信息擁堵。所以，提前做好預防工作也很重要，如果真的出現了攻擊，受攻擊端就顯得比較被動。

　　做好預防工作的第一步就是及時跟進各種補丁，不要讓攻擊方通過漏洞方式進行DoS攻擊，需要管理員經常進行關鍵節點的掃描和監控，對新出現的漏洞進行及時修補。當然，對於骨干設備外需要加入防火牆，因為防火牆本身具備抗DoS攻擊能力。在業內，有些人選擇“黑吃黑，通過擴充足夠的主機數量來吃掉對方的數據包，這種方法的確能暫時解決問題，緩解網絡壓力，但對於維護和操作成本來說未免得不償失。

　　另外，過濾不必要的端口和服務也很重要，開放需要提供服務的端口即可。面對僵屍網絡帶來的攻擊，屏蔽無用的IP也是解決問題的一個方法，尤其是某個網段的固定的IP地址，比如10.0.0.0等，這樣做不是為了防止內網用戶，而是很多DoS攻擊都會偽造大量虛假的內部IP，這樣可以減輕DoS攻擊帶來的壓力。

　　但不可否認的是：目前安全界對於DoS式攻擊的防范還沒有徹底的方法，只能靠日常維護掃描以及應對攻擊時的導流減輕一部分網絡設備的壓力。即便是使用了硬件級別防火牆也收效甚微，以上只是提供了一些方法和建議，在企業內部有限的網絡狀態下，可以最大化減輕DoS攻擊帶來的後果。

　　使用QoS也可以阻止Dos攻擊，但不同的變量設置要針對不同的DoS攻擊類型。比如網絡遭受遠程僵屍瘋狂的Ping攻擊，此時就需要利用QoS的WFQ特征，讓整個外部網絡的訪問隊列更規整，削弱瘋狂Ping攻擊的權數。如果遭受了洪水攻擊卻也啟動WFQ特性，則效果不佳，這主要是由於數據包的獨立性造成WFQ無法正確選擇過濾，而總體的洪水流量不會因此而改變訪問通道。

　　同樣，比瘋狂Ping攻擊更可怕的DoS攻擊類型——Smurf攻擊來說，我們可以利用QoS的CAR特征來防御，通過限制ICMP數據包流量的速度，讓其堵塞網絡的目的無法達成。

　　如果用戶的路由器具備TCP攔截功能，也能抵制DoS攻擊。在對方發送數據流時可以很好的監控和攔截，如果數據包合法，允許實現正常通信，否則，路由器將顯示超時限制，以防止自身的資源被耗盡，說到底，利用設備規則來合理的屏蔽持續的、高頻度的數據沖擊是防止DoS攻擊的根本。

　　路由器作為企業內部核心的通信設備，其除了具備基本的網絡分發工作外，還承擔著安全保衛任務。現在越來越多的網絡攻擊首先選中核心路由，一旦拿下root對整個網絡無疑是滅頂之災。但同時，作為企業內部網絡的第一道防護，防止各種DoS攻擊也責無旁貸。

　　我們知道，由於提供Web服務以及TCP協議本身的特性，造成無論外界對服務端發送何種指令，都會得到一個反饋，即便是錯誤的反饋也不例外。比如我們經常在無法訪問一個網站時，對方給出HTTP 400 - 錯誤請求信息，這一樣需要做出反應，而DoS攻擊正是利用了該特性，讓服務器接受大量指令而癱瘓，網絡造成信息擁堵。所以，提前做好預防工作也很重要，如果真的出現了攻擊，受攻擊端就顯得比較被動。

　　做好預防工作的第一步就是及時跟進各種補丁，不要讓攻擊方通過漏洞方式進行DoS攻擊，需要管理員經常進行關鍵節點的掃描和監控，對新出現的漏洞進行及時修補。當然，對於骨干設備外需要加入防火牆，因為防火牆本身具備抗DoS攻擊能力。在業內，有些人選擇“黑吃黑，通過擴充足夠的主機數量來吃掉對方的數據包，這種方法的確能暫時解決問題，緩解網絡壓力，但對於維護和操作成本來說未免得不償失。

　　另外，過濾不必要的端口和服務也很重要，開放需要提供服務的端口即可。面對僵屍網絡帶來的攻擊，屏蔽無用的IP也是解決問題的一個方法，尤其是某個網段的固定的IP地址，比如10.0.0.0等，這樣做不是為了防止內網用戶，而是很多DoS攻擊都會偽造大量虛假的內部IP，這樣可以減輕DoS攻擊帶來的壓力。

　　但不可否認的是：目前安全界對於DoS式攻擊的防范還沒有徹底的方法，只能靠日常維護掃描以及應對攻擊時的導流減輕一部分網絡設備的壓力。即便是使用了硬件級別防火牆也收效甚微，以上只是提供了一些方法和建議，在企業內部有限的網絡狀態下，可以最大化減輕DoS攻擊帶來的後果。

　　防火牆是保護我們網絡的第一道屏障，如果這一道防線失守了，那麼我們的網絡就危險了。所以我們有必要注意一下安裝防火牆的注意事項。

　　1.制定好的安全策略

　　防火牆加強了一些安全策略。如果你沒有在放置防火牆之前制定安全策略的話，那麼現在就是制定的時候了。它可以不被寫成書面形式，但是同樣可以作為安全策略。如果你還沒有明確關於安全策略應當做什麼的話，安裝防火牆就是你能做的最好的保護你的站點的事情，並且要隨時維護它也是很不容易的事情。要想有一個好的防火牆，你需要好的安全策略。

　　2. 一個防火牆在許多時候並不是一個單一的設備

　　除非在特別簡單的案例中，防火牆很少是單一的設備，而是一組設備。就算你購買的是一個商用的“all-in-one防火牆應用程序，你同樣得配置其他機器(例如你的網絡服務器)來與之一同運行。這些其他的機器被認為是防火牆的一部分，這包含了對這些機器的配置和管理方式，他們所信任的是什麼，什麼又將他們作為可信的等等。你不能簡單的選擇一個叫做“防火牆的設備卻期望其擔負所有安全責任。

　　3. 防火牆並不是現成的隨時獲得的產品

　　選擇防火牆更像買房子而不是選擇去哪裡度假。防火牆和房子很相似，你必須每天和它待在一起，你使用它的期限也不止一兩個星期那麼多。都需要維護否則都會崩潰掉。建設防火牆需要仔細的選擇和配