那么該如何有效防止Dos攻擊呢?
有很多種方法可以實(shí)現(xiàn)這個(gè)目的。筆者今天要談的是,如何通過(guò)防火墻來(lái)抵擋Dos攻擊��。希望借助這篇文章�����,能夠幫助大家有效的抵御Dos拒絕服務(wù)攻擊,提高服務(wù)器的安全����。
阻止分段數(shù)據(jù)包通過(guò)防火墻
如上圖所示,如果攻擊者想要對(duì)防火墻后面的Web服務(wù)器發(fā)起Dos攻擊��,要如何進(jìn)行呢?通常情況下�����,Sos攻擊使用分段的IP數(shù)據(jù)包來(lái)攻擊主機(jī)服務(wù)器��。將一個(gè)IP數(shù)據(jù)包分隔成多個(gè)IP數(shù)據(jù)包叫做IP分段����。通過(guò)這種分段的方式,可以提高Dos攻擊的效率��。如果防火墻能夠阻止分段數(shù)據(jù)包通過(guò)防火墻�,那么就可以有效的防治Dos攻擊。
在PIX防火墻上�����,是可以使用Fragment命令,來(lái)阻止分段數(shù)據(jù)包通過(guò)防火墻�����。如可以使用如下的命令:fragment chain 1 outside�����。這個(gè)命令是什么意思呢?參數(shù)1表示所有的分組必須是完整的����,也就是沒(méi)有經(jīng)過(guò)IP分段的。這個(gè)命令的含義就是阻止分段分組進(jìn)出交換機(jī)���。通過(guò)交換機(jī)的過(guò)濾,就可以有效的阻止分段數(shù)據(jù)包通過(guò)防火墻����,對(duì)防火墻后面的Web等服務(wù)器發(fā)起攻擊。
不過(guò)在有些場(chǎng)合下���,確實(shí)需要對(duì)數(shù)據(jù)包進(jìn)行IP分段����。此時(shí)就需要在防火墻上啟用分段防護(hù)功能。即根據(jù)一定的規(guī)則��,對(duì)進(jìn)入防火墻的分段數(shù)據(jù)包進(jìn)行檢測(cè)��,判斷其是否符合即定的規(guī)則�。如果符合的話,就允許其通過(guò)���。不符合的話��,則會(huì)被丟棄�。
如防火墻會(huì)檢查每個(gè)非初始的IP段都有一個(gè)相關(guān)聯(lián)的合法初始的IP段�����。如對(duì)分段的數(shù)量進(jìn)行限制���,當(dāng)分段超過(guò)一定數(shù)量(默認(rèn)情況下可能最多為24個(gè)分段)時(shí)這個(gè)分段數(shù)據(jù)包就不能夠通過(guò)防火墻�。具體的數(shù)量安全人員可以根據(jù)實(shí)際需要來(lái)設(shè)置���。這些安全檢查措施����,也可以幫助企業(yè)來(lái)有效防止Dos攻擊。在沒(méi)有特殊的情況下��,還是使用fragment命令阻止分段數(shù)據(jù)包進(jìn)入防火墻為好�����。這可以從根本上杜絕DoS攻擊��。
