@烟雨
3年前 提问
1个回答

拒绝服务攻击的防范措施有什么

Ann
3年前
官方采纳
  1. 管理防御

    DoS防范工作的目标应该是让自己能够在任意给定时刻向数量最多的客户提供最好水平的服务。防范DoS攻击的责任必须由企业的IT团队和管理团队共同承担,要让管理团队也参与到信息安全防线的建设工作中来,而能力/资源的管理责任必须正确合理地落实到每一个人——不管是因为受到了DoS的影响还是因为正常的内部调整而导致的可用性问题,都必须有人去负责。这种思路的一个具体做法是把有关职责的划分情况写进企业的“业务连续性计划”(Business Continuity Plan,BCP)并组建一个团队去实施这个计划,而这个团队的成员应该相当熟悉现代DoS攻击技术。 另外,如何对应用程序级和架构级DoS攻击活动作出响应也是企业上下需共同承担的责任。软件开发团队必须把DoS当做架构问题作为自身团队负责解决的问题。

  2. 技术防御

    目前,市场上有成熟的DoS查杀工具,一些路由器的高级过滤功能也能阻断诸如SYNFood等常见的DoS攻击,用户可以根据需要有选择地部署这类产品。加强网络通信能力的规划,建议在可承受的前提下,为可能发生的DoS攻击留出可扩充的通信带宽。骨干网络运营商抗DoS攻击的能力与用户抵御DoS攻击的能力密切相关,应加强与ISP技术人员的沟通,共同解决攻击问题。

    早期的DoS攻击几乎都利用了ICMP和UDP这两个协议里的漏洞,可以在网络边界对它们做出限制。对外来数据包进行过滤,阻断明显非法的外来通信,如源IP地址属于私有或保留范围的数据包,这样的数据包不应该出现在公共网络上。对外出数据包进行过滤,不让欺骗性的数据包离开网络,只允许源IP地址是站点上的合法IP地址的数据包发往互联网,其他源IP地址的数据包都不允许离开网络。为了防止被黑客用作放大站点发起攻击,在网络边界路由器上禁用定向广播功能。DoS攻击者的最终目标是保存在服务器里的信息,所以对服务器进行加固也是DoS防范工作的一个重要组成部分。应及时打好补丁,关闭不必要的服务,部分操作系统采用系统级的DoS配置。还可以采用DoS攻击模拟测试,来评估系统的抗攻击效果。

  3. 监测防御

    及时掌握黑客的最新活动动向,分析新产生DoS攻击的成因及方式,有助于防范DoS攻击。可以在网络边界部署IDS系统,根据预先为每个站点设定的阈值,监测其通信流量的变化,在发现疑似DoS的通信异常情况时,立刻发出警报。