拒绝服务攻击是发起其他攻击的一个先决条件。如先通过拒绝服务攻击导致DNS服务器瘫痪,然后再进行DNS欺骗等等。Baidu网站被黑,也可以见到拒绝服务攻击的影子。所以如何来有效防止Dos攻击对于企业网络安全来说,至关重要。
那么该如何有效防止Dos攻击呢?
有很多种方法可以实现这个目的。笔者今天要谈的是,如何通过防火墙来抵挡Dos攻击。希望借助这篇文章,能够帮助大家有效的抵御Dos拒绝服务攻击,提高服务器的安全。
阻止分段数据包通过防火墙
如上图所示,如果攻击者想要对防火墙后面的Web服务器发起Dos攻击,要如何进行呢?通常情况下,Sos攻击使用分段的IP数据包来攻击主机服务器。将一个IP数据包分隔成多个IP数据包叫做IP分段。通过这种分段的方式,可以提高Dos攻击的效率。如果防火墙能够阻止分段数据包通过防火墙,那么就可以有效的防治Dos攻击。
在PIX防火墙上,是可以使用Fragment命令,来阻止分段数据包通过防火墙。如可以使用如下的命令:fragment chain 1 outside。这个命令是什么意思呢?参数1表示所有的分组必须是完整的,也就是没有经过IP分段的。这个命令的含义就是阻止分段分组进出交换机。通过交换机的过滤,就可以有效的阻止分段数据包通过防火墙,对防火墙后面的Web等服务器发起攻击。
不过在有些场合下,确实需要对数据包进行IP分段。此时就需要在防火墙上启用分段防护功能。即根据一定的规则,对进入防火墙的分段数据包进行检测,判断其是否符合即定的规则。如果符合的话,就允许其通过。不符合的话,则会被丢弃。
如防火墙会检查每个非初始的IP段都有一个相关联的合法初始的IP段。如对分段的数量进行限制,当分段超过一定数量(默认情况下可能最多为24个分段)时这个分段数据包就不能够通过防火墙。具体的数量安全人员可以根据实际需要来设置。这些安全检查措施,也可以帮助企业来有效防止Dos攻击。在没有特殊的情况下,还是使用fragment命令阻止分段数据包进入防火墙为好。这可以从根本上杜绝DoS攻击。