程度:初级
阻断服务攻击(Denial of Service;DoS)利用大量的合法封包,瘫痪企业网络服务,致使原本的防毒、_blank">防火墙甚至是入侵侦测系统,全都无用武之地,网络服务更可能因此中断数小时甚至数天。
北电企业网络事业部产品技术资深经理杨光明表示,传统的DoS攻击只由少数计算机发起,在短时间内针对标准型服务(如TCP、FTP等)发送大量或不正常封包,致使系统或网络无法负荷,而中断服务。但现在的DoS攻击则更进一步利用木马程序,在攻击发起前预先植入使用者的计算机,当攻击发起时,就可以利用预先植入的木马程序,同时发动上百甚至上千台计算机,对企业网络进行所谓的分布式阻断服务攻击(Distributed Denial of Service;DDoS)。
DoS攻击和其它攻击方式最大的不同在于,DoS虽然是一种「攻击」,但它是使用合法的封包执行变相攻击。譬如说,网管人员为了测试网络是否正确连接,常常使用的ping指令,属于正常的网络命令。但骇客若同时利用上千台计算机对同一台服务器执行ping指令,就会让这台服务器忙于回复ping的要求,而没有办法处理其它服务,甚至造成网络雍塞,导致网络服务中断。
对此,杨光明表示企业若要防御DoS攻击,必须从最前端的_blank">防火墙一直到网络交换器及客户端都有相对应的防御措施。像在企业网络最前端的_blank">防火墙,通常会整合或搭配IDS等功能,让_blank">防火墙可以防御未知的攻击行为,不必等管理人员响应。而内部的网络交换器(Layer 2)虽不具智能型的网络攻击侦测能力,但透过流量监测功能,依然能在网络有异常流量时,第一时间通知管理人员作进一步的处理或直接阻挡该流量。
北电公众暨企业网络事业部产品技术经理邬杰林进一步表示,除了由外而内的攻击之外,企业平时更应该要注意网络的架构与计算机的安全性更新,以防止骇客利用系统漏洞植入木马程序,并由企业内部直接发动攻击。
邬杰林认为,企业在规划网络架构时,可以将整个网络分隔成多个网段,并在每个网段都放置统一管理的入侵侦测系统,当有某一网段侦测出攻击或是病毒感染,其它网段的入侵侦测系统就会收到通知,并马上做出反应,降低攻击对整体企业网络的影响。「透过这样网络架构及主动式防御规划,让企业网络不会因为单一攻击事件而全面瘫痪,」邬杰林如此说明。
杨光明进一步表示,企业在采购网络设备时,就必须注意本身的硬件架构及冲击忍受度,而不是光看软件能提供哪些防御功能。举例来说,有些设备虽然提供DoS防御功能,但本身却只有300MB的流量负载能力,若攻击在短时间内产生超过300MB的流量,超出设备的负载能力,即使有再好的功能,也没办法发挥。
由于DoS是利用合法封包进行攻击,所以很难完全防御。杨光明认为,最重要的是网络设备要能负荷突然暴增的流量,维持网络运作,为网管人员争取更多时间。而网管人员平时就应该做好妥善的网络规划以及流量监控,才能在发生攻击事件后,在最短的时间恢复网络的正常运作。
(出处:http://www.sheup.com)