首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
网络知识 :: 网络安全

防制DoS攻击 有效监控与过滤封包为关键


http://www.gipsky.com/
DOS(Denial of Service)为目前很常见的网络攻击模式,以占用有限的资源,瘫痪运行中的服务为目的。此类攻击往往利用系统及网络资源有限的限制,以及系统服务或通讯协议设计上的缺失,发送大量密集的封包,使得网络阻塞,由于系统忙于处理攻击者发出的封包,影响正常的网络服务存取,甚至造成服务完全中断。而所谓的分布式阻断服务(Distributed Denial of Service;DDoS)更是此类攻击的规模放大,由分散在各地的攻击者一同对特定的受害者进行DOS,破坏力之大,曾造成Yahoo、eBay、Buy.com和CNN等知名网站服务中断数小时之久。



DOS的防制并不容易,当以大量正常的联机消耗目标网络及服务的资源,一旦单位时间内系统资源的使用量超过系统负荷时,将难以抵挡。若要有效地防范DOS,网络管理人员首先要注意的就是要避免服务器被植入攻击程序,成为DOS的帮凶,例如随时更新修补系统漏洞,关闭不必要的服务,并安装防毒系统和防火墙,也要随时监控异常流量,例如发现异常发送大量封包时,应予以阻挡,侦测到假造来源IP的封包,也应予以过滤,避免这些攻击的封包流窜至Internet,降低攻击的规模。



目前网络硬件防火墙对于DOS的防制策略有两大方向,首先是事前的防范,以防火墙当第一道防线,限制不必要的网络存取,避免外界直接存取防火墙内部主机,进而趁隙植入攻击程序,并以网关防毒模块过滤病毒(virus)蠕虫(worm),以入侵侦测防御模块来防止各式入侵攻击。倘若因管理不当,让攻击程序在内部发作,则进行事发的处置,以入侵侦测防御模块侦测阻挡攻击封包,防止继续扩散至Internet。



面对网络上众多的入侵攻击来说,网络的安全防护不能只单靠防火墙来防御,更应该要注意IDS、IPS、Anti-virus、VPN、流量管理与负载平衡等各方面的防护,才能为企业建构一个完整的网络安全防护环境。 </CCID_NOBR>
<< 入侵检测概念、过程分析和布署 最新入侵者攻击方式的四种趋势 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号