浅谈企业网对dos攻击的防御方法

小魔女

　　黑客技术的发展似乎是一个个轮回，从最早开始的dos洪水攻击，到后来黑客们更钟情的漏洞入侵，直到现阶段dos攻击再现。这种看似原始但直到现在也没有完备方案解决的攻击方式，让叱诧风云的yahoo、cnn、ebay也深受其害。dos攻击有何德何能？当企业面对dos攻击时，又有哪些策略可以减小损失呢？


　　一、了解dos本质

　　对于安全界来说，dos攻击原理极为简单，早已为人们所熟知。但目前全球每周所遭遇的dos攻击依然达到4000多次，正是因为简单、顽固的原因，让dos攻击如野草般烧之不尽，dos攻击最早可追述到1996年，在2000年发展到极致，这期间不知有多少知名网站遭受到它的骚扰。

　　所谓dos，全称为denial of service——拒绝服务。它通过协议方式，或抓住系统漏洞，集中对目标进行网络攻击，直到对方网络瘫痪，大家常听说的洪水攻击，疯狂ping攻击都属于此类。由于这种攻击技术门槛较低，并且效果明显，防范起来比较棘手，所以其一度成为准黑客们的必杀武器，进而出现的ddos（distubuted denial of service分布式拒绝服务）攻击，更是让网络安全管理员感到头痛。

　　不过我们应该看到，dos攻击仅仅是破坏对方网络访问状态，不会进行实质性的入侵，对服务器和网络设备不构成致命伤害，但对于提供web服务的企业来说，该攻击方式仍然会造成比较大的损失。虽然目前业界没有提供统一标准的防护方式，但我们仍然可以从一些操作习惯和设备环境部署上减小dos攻击带来的危害。

　　二、防御dos攻击措施

　　在应对常见的dos攻击时，路由器本身的配置信息非常重要，管理员可以通过以下几个方面，来防止不同类型的dos攻击。

　　扩展访问列表是防止dos攻击的有效工具，其中show ip access-list命令可以显示匹配数据包，数据包的类型反映了dos攻击的种类，由于dos攻击大多是利用了tcp协议的弱点，所以网络中如果出现大量建立tcp连接的请求，说明洪水攻击来了。此时管理员可以适时的改变访问列表的配置内容，从而达到阻止攻击源的目的。