拒絕服務(wù)攻擊（DOS），相信每一個(gè)從事過(guò)網(wǎng)絡(luò)的人都會(huì)清楚它的危害。對(duì)于大型的網(wǎng)絡(luò)來(lái)說(shuō)，拒絕服務(wù)攻擊很可能會(huì)給企業(yè)造成巨大的麻煩，甚至造成企業(yè)網(wǎng)絡(luò)的癱瘓。攻擊發(fā)生時(shí)，攻擊者短時(shí)間內(nèi)向服務(wù)器申請(qǐng)大量的連接，造成服務(wù)器無(wú)法完成如此多的客戶端連接請(qǐng)求，從而無(wú)法提供服務(wù)。

　　拒絕服務(wù)攻擊簡(jiǎn)介:

　　拒絕服務(wù)攻擊主要有兩種攻擊方式，從最基本的DOS到現(xiàn)在流行的DDOS。對(duì)網(wǎng)絡(luò)造成的影響也是不斷增加，DOS主要是利用單臺(tái)計(jì)算機(jī)發(fā)動(dòng)攻擊，而DDOS(Distributed Denial of Service，分布式拒絕服務(wù))是一種基于DOS的特殊形式的拒絕服務(wù)攻擊，是一種分布、協(xié)作的大規(guī)模攻擊方式。DOS攻擊是利用一批受控制的傀儡計(jì)算機(jī)向一臺(tái)服務(wù)器發(fā)起攻擊，短時(shí)間內(nèi)可以造成巨大的流量，因此具有較大的破壞性。雖然采用防火墻等相關(guān)安全設(shè)備的過(guò)濾功能可以對(duì)付一部分拒絕服務(wù)攻擊，但如果面對(duì)DDOS眾多傀儡主機(jī)的攻擊，仍然沒(méi)有很好的辦法解決。如何防范DOS攻擊呢?

　　如何預(yù)防DDOS攻擊

　　DDOS攻擊由于其破壞威力大，不易被發(fā)現(xiàn)的特性，成為黑客最常用的攻擊手段，所以網(wǎng)絡(luò)管理員一定不能掉以輕心。

　　(1)節(jié)點(diǎn)掃描

      網(wǎng)絡(luò)管理員要定期掃描網(wǎng)絡(luò)節(jié)點(diǎn)，分析并發(fā)現(xiàn)可能存在的安全漏洞，對(duì)新出現(xiàn)的漏洞及時(shí)進(jìn)行修補(bǔ)。特別骨干點(diǎn)的計(jì)算機(jī)，由于需要占用較高的帶寬，因此對(duì)這些主機(jī)本身加強(qiáng)主機(jī)安全是非常重要的。而且連接到網(wǎng)絡(luò)主節(jié)點(diǎn)的都是服務(wù)器級(jí)別的計(jì)算機(jī)，所以定期掃描漏洞就變得更加重要了。

　　(2)配置防火墻

　　防火墻本身具備了抵御部分DDOS攻擊的能力。在發(fā)現(xiàn)攻擊行為存在時(shí)，可以犧牲備用設(shè)備引導(dǎo)攻擊數(shù)據(jù)流，這樣可以減輕或避免正常業(yè)務(wù)的順利進(jìn)行。當(dāng)然如果企業(yè)或用戶對(duì)網(wǎng)絡(luò)的要求很高，筆者建議設(shè)立專用的服務(wù)器來(lái)防止DDOS攻擊。

　　(3)充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源

　　合理配置使用路由器、防火墻等網(wǎng)絡(luò)設(shè)備，它們可將網(wǎng)絡(luò)有效地保護(hù)起來(lái)。相對(duì)服務(wù)器的重啟，網(wǎng)絡(luò)路由器等網(wǎng)絡(luò)設(shè)備的重啟要容易的多，而且服務(wù)器數(shù)據(jù)不會(huì)有太多的損失。負(fù)載均衡技術(shù)的使用，可以在攻擊發(fā)生時(shí)自動(dòng)均衡設(shè)備的使用情況，最大限度的降低DDOS的攻擊。

　　(4)過(guò)濾服務(wù)及端口

　　默認(rèn)情況下，服務(wù)器的很多端口是開放的，用戶可以使用防火墻或一些管理軟件來(lái)過(guò)濾不必要的服務(wù)和端口。只開放服務(wù)端口成為保障網(wǎng)絡(luò)安全的流行做法，例如用戶可能會(huì)經(jīng)常看到一個(gè)服務(wù)器只開放80端口等。

　　(5)檢查訪問(wèn)者的來(lái)源

　　通過(guò)反向路由器查詢的方法檢查訪問(wèn)者的IP地址是否是真，如果發(fā)現(xiàn)虛假IP，應(yīng)立即將其屏蔽。黑客在攻擊時(shí)常采用假IP隱藏自己，因此網(wǎng)絡(luò)管理員有必要了解自己網(wǎng)絡(luò)的用戶訪問(wèn)情況。

　　(6)過(guò)濾所有被保留的IP地址

　   我們知道類似10.0.0.0、192.168.0.0 和172.16.0.0這樣的IP，并不是某個(gè)網(wǎng)段的固定IP地址，而是Internet內(nèi)部保留的區(qū)域性IP地址，網(wǎng)絡(luò)管理員應(yīng)把被保留的IP過(guò)濾掉。

　　(7)限制SYN/ICMP流量

　　用戶應(yīng)在防火墻上配置SYN/ICMP的最大流量來(lái)限制SYN/ICMP所能占用的最大帶寬。當(dāng)出現(xiàn)大量的超過(guò)限定的SYN/ICMP流量時(shí)，管理員需要立即排查區(qū)分是否存在非法攻擊行為。限制SYN/ICMP也是過(guò)去對(duì)付DDOS攻擊最常使用的。

　　應(yīng)對(duì)DDOS攻擊

　　當(dāng)DDOS攻擊發(fā)生時(shí)，用戶所能做的抵御工作將是非常有限的。假如DDOS工具發(fā)生，巨大的數(shù)據(jù)流很可能立即就似的網(wǎng)絡(luò)癱瘓。筆者建議用戶還是常識(shí)做如下應(yīng)對(duì)措施。

　　(1)檢查攻擊來(lái)源，過(guò)濾掉發(fā)起攻擊的IP，或采用備用服務(wù)器，將數(shù)據(jù)流引入到可以犧牲的服務(wù)器。

　　(2)找出攻擊者所經(jīng)過(guò)的路由，將攻擊屏蔽掉，或找到黑客從哪些端口發(fā)動(dòng)攻擊，用戶可以對(duì)端口做相應(yīng)屏蔽。但對(duì)于中小企業(yè)，公司的出口一般只有一個(gè)，這樣的作法也就不和適宜了。

　　總結(jié):

　　DDOS攻擊雖然存在理論的防護(hù)方式，但是由于其攻擊的突然性，和數(shù)據(jù)流的無(wú)限膨脹，至今還沒(méi)有什么絕對(duì)有效的方式來(lái)防范。管理員需要留意防火墻或其他安全設(shè)備的異常，經(jīng)常檢查日志情況，爭(zhēng)取在攻擊流泛濫前及時(shí)應(yīng)對(duì)。筆者以為如今的硬件安防設(shè)施，DDOS攻擊只能被減弱。十一長(zhǎng)假馬上就要到來(lái)，希望通過(guò)本文，用戶可以做好防護(hù)措施，保證自己網(wǎng)絡(luò)安全順暢。