拒绝服务攻击和分布式拒绝服务攻击可以说是一个让网络界头疼的难题,它来势汹汹,又难寻踪迹。后者和前者攻击原理没有太大区别,只是攻击的强度更大,造成的影响更大,后果更严重。为什么黑客可以如此嚣张,其中很重要的一个原因就是他们普遍使用了地址欺骗(IP Spoofing )技术,通过隐藏或伪造攻击源的真实地址而使人难以追查,因为可以为所欲为。就从我们目前了解到的国内多次DDoS攻击事件来看,全部采用的是虚假地址,很多被攻击的网站除了停止服务外根本无法有效制止攻击,更谈不上查找到真凶,即便查出的少量线索也是因是被黑客利用的无辜地址而告终。 到目前为止,没有一个绝对的方法可以制止这类攻击,但这并不表明我们就应束手就擒,除了强调个人主机加强保护不被利用的重要性外,加强对路由器的管理是非常重要的一环。首先是边界路由器,一定要开启源地址验证和过滤功能,也就是连接局域网的网关或路由器在向其它网段转发来自本局域网内的IP数据包前,先检验该报文的源地址是否为本局域网使用的真实地址,如果不是则将其丢弃。目前,国内ISP的很多路由器都没有或者没有启用源地址验证功能。当然,就如同反垃圾邮件的工作一样,这种办法要想真正发挥效能,必须要大家都这样做才行。可以说,正是由于目前有很多路由器或网关设备其路由的IP包不作任何源地址检测,才助长了DoS攻击的泛滥。其次,路由器上的IP广播功能也应慎用,大多情况下都应将所有路由器上IP的广播功能都禁止。还有就是可能的话,路由器上也要配置一些合理的过滤策略,如限制回音(Echo)报文的流量,丢弃有相同源地址、相同目的地址的相同源端口的UDP报文等。 当然以上的措施只靠管理员的安全意识是不够的,还要呼吁相关部门尽早制定网络安全的行业规范,将上述的措施规范化、制度化,并采取有效的检查措施,用制度来保护网络的安全,只有这样才也能保护本行业的利益,会促进网络的健康发展。 |
|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )
GMT+8, 2024-11-6 03:16 , Processed in 0.501295 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.