防制DoS攻击 有效监控与过滤封包为关键

klum

     DOS（Denial of Service）为目前很常见的网络攻击模式，以占用有限的资源，瘫痪运行中的服务为目的。此类攻击往往利用系统及网络资源有限的限制，以及系统服务或通讯协议设计上的缺失，发送大量密集的封包，使得网络阻塞，由于系统忙于处理攻击者发出的封包，影响正常的网络服务存取，甚至造成服务完全中断。而所谓的分布式阻断服务（Distributed Denial of Service；DDoS）更是此类攻击的规模放大，由分散在各地的攻击者一同对特定的受害者进行DOS，破坏力之大，曾造成Yahoo、eBay、Buy.com和CNN等知名网站服务中断数小时之久。

DOS的防制并不容易，当以大量正常的联机消耗目标网络及服务的资源，一旦单位时间内系统资源的使用量超过系统负荷时，将难以抵挡。若要有效地防范DOS，网络管理人员首先要注意的就是要避免服务器被植入攻击程序，成为DOS的帮凶，例如随时更新修补系统漏洞，关闭不必要的服务，并安装防毒系统和防火墙，也要随时监控异常流量，例如发现异常发送大量封包时，应予以阻挡，侦测到假造来源IP的封包，也应予以过滤，避免这些攻击的封包流窜至Internet，降低攻击的规模。

目前网络硬件防火墙对于DOS的防制策略有两大方向，首先是事前的防范，以防火墙当第一道防线，限制不必要的网络存取，避免外界直接存取防火墙内部主机，进而趁隙植入攻击程序，并以网关防毒模块过滤病毒（virus）蠕虫（worm），以入侵侦测防御模块来防止各式入侵攻击。倘若因管理不当，让攻击程序在内部发作，则进行事发的处置，以入侵侦测防御模块侦测阻挡攻击封包，防止继续扩散至Internet。

面对网络上众多的入侵攻击来说，网络的安全防护不能只单靠防火墙来防御，更应该要注意IDS、IPS、Anti-virus、VPN、流量管理与负载平衡等各方面的防护，才能为企业建构一个完整的网络安全防护环境。