搜索文章:

首页  |  Java技术  |  Asp.net  |  Asp编程  |  VC/C++  |  Delphi  |  VB编程
上一篇:删除系统顽固文件的十二招技巧 >>

DoS攻击隐身于合法指令中 难以完全阻绝

程度:初级

阻断服务攻击(denial of service;dos)利用大量的合法封包,瘫痪企业网络服务,致使原本的防毒、_blank">防火墙甚至是入侵侦测系统,全都无用武之地,网络服务更可能因此中断数小时甚至数天。

 北电企业网络事业部产品技术资深经理杨光明表示,传统的dos攻击只由少数计算机发起,在短时间内针对标准型服务(如tcp、ftp等)发送大量或不正常封包,致使系统或网络无法负荷,而中断服务。但现在的dos攻击则更进一步利用木马程序,在攻击发起前预先植入使用者的计算机,当攻击发起时,就可以利用预先植入的木马程序,同时发动上百甚至上千台计算机,对企业网络进行所谓的分布式阻断服务攻击(distributed denial of service;ddos)。

 dos攻击和其它攻击方式最大的不同在于,dos虽然是一种「攻击」,但它是使用合法的封包执行变相攻击。譬如说,网管人员为了测试网络是否正确连接,常常使用的ping指令,属于正常的网络命令。但骇客若同时利用上千台计算机对同一台服务器执行ping指令,就会让这台服务器忙于回复ping的要求,而没有办法处理其它服务,甚至造成网络雍塞,导致网络服务中断。

 对此,杨光明表示企业若要防御dos攻击,必须从最前端的_blank">防火墙一直到网络交换器及客户端都有相对应的防御措施。像在企业网络最前端的_blank">防火墙,通常会整合或搭配ids等功能,让_blank">防火墙可以防御未知的攻击行为,不必等管理人员响应。而内部的网络交换器(layer 2)虽不具智能型的网络攻击侦测能力,但透过流量监测功能,依然能在网络有异常流量时,第一时间通知管理人员作进一步的处理或直接阻挡该流量。

 北电公众暨企业网络事业部产品技术经理邬杰林进一步表示,除了由外而内的攻击之外,企业平时更应该要注意网络的架构与计算机的安全性更新,以防止骇客利用系统漏洞植入木马程序,并由企业内部直接发动攻击。

 邬杰林认为,企业在规划网络架构时,可以将整个网络分隔成多个网段,并在每个网段都放置统一管理的入侵侦测系统,当有某一网段侦测出攻击或是病毒感染,其它网段的入侵侦测系统就会收到通知,并马上做出反应,降低攻击对整体企业网络的影响。「透过这样网络架构及主动式防御规划,让企业网络不会因为单一攻击事件而全面瘫痪,」邬杰林如此说明。

 杨光明进一步表示,企业在采购网络设备时,就必须注意本身的硬件架构及冲击忍受度,而不是光看软件能提供哪些防御功能。举例来说,有些设备虽然提供dos防御功能,但本身却只有300mb的流量负载能力,若攻击在短时间内产生超过300mb的流量,超出设备的负载能力,即使有再好的功能,也没办法发挥。

 由于dos是利用合法封包进行攻击,所以很难完全防御。杨光明认为,最重要的是网络设备要能负荷突然暴增的流量,维持网络运作,为网管人员争取更多时间。而网管人员平时就应该做好妥善的网络规划以及流量监控,才能在发生攻击事件后,在最短的时间恢复网络的正常运作。

()

下一篇:我能躲到哪里去?—无线定位技术 >>
相关文章:
© 2006   www.java-asp.net