科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道防制DoS攻击 有效监控与过滤封包为关键

防制DoS攻击 有效监控与过滤封包为关键

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

DOS(Denial of Service)为目前很常见的网络攻击模式,以占用有限的资源,瘫痪运行中的服务为目的。

作者:CCID 来源:CCID 2008年9月4日

关键字: dos攻击 Dos DOS命令

  • 评论
  • 分享微博
  • 分享邮件

  DOS(Denial of Service)为目前很常见的网络攻击模式,以占用有限的资源,瘫痪运行中的服务为目的。

  此类攻击往往利用系统及网络资源有限的限制,以及系统服务或通讯协议设计上的缺失,发送大量密集的封包,使得网络阻塞,由于系统忙于处理攻击者发出的封包,影响正常的网络服务存取,甚至造成服务完全中断。而所谓的分布式阻断服务(Distributed Denial of Service;DDoS)更是此类攻击的规模放大,由分散在各地的攻击者一同对特定的受害者进行DOS,破坏力之大,曾造成Yahoo、eBay、Buy.com和CNN等知名网站服务中断数小时之久。

  DOS的防制并不容易,当以大量正常的联机消耗目标网络及服务的资源,一旦单位时间内系统资源的使用量超过系统负荷时,将难以抵挡。若要有效地防范DOS,网络管理人员首先要注意的就是要避免服务器被植入攻击程序,成为DOS的帮凶,例如随时更新修补系统漏洞,关闭不必要的服务,并安装防毒系统和防火墙,也要随时监控异常流量,例如发现异常发送大量封包时,应予以阻挡,侦测到假造来源IP的封包,也应予以过滤,避免这些攻击的封包流窜至Internet,降低攻击的规模。

  目前网络硬件防火墙对于DOS的防制策略有两大方向,首先是事前的防范,以防火墙当第一道防线,限制不必要的网络存取,避免外界直接存取防火墙内部主机,进而趁隙植入攻击程序,并以网关防毒模块过滤病毒(virus)蠕虫(worm),以入侵侦测防御模块来防止各式入侵攻击。倘若因管理不当,让攻击程序在内部发作,则进行事发的处置,以入侵侦测防御模块侦测阻挡攻击封包,防止继续扩散至Internet。

  面对网络上众多的入侵攻击来说,网络的安全防护不能只单靠防火墙来防御,更应该要注意IDS、IPS、Anti-virus、VPN、流量管理与负载平衡等各方面的防护,才能为企业建构一个完整的网络安全防护环境。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章