|
如何利用QOS防止DoS攻擊
資源天下 2019/8/17 8:54:08
拒絕服務(wù)(DoS)攻擊是目前黑客廣泛使用的一種攻擊手段����,它通過獨(dú)占網(wǎng)絡(luò)資源、使其他主機(jī)不能進(jìn)行正常訪問�����,從而導(dǎo)致宕機(jī)或網(wǎng)絡(luò)癱瘓����。
DoS攻擊主要分為Smurf、SYN Flood和Fraggle三種���,在Smurf攻擊中���,攻擊者使用ICMP數(shù)據(jù)包阻塞服務(wù)器和其他網(wǎng)絡(luò)資源;SYN Flood攻擊使用數(shù)量巨大的TCP半連接來占用網(wǎng)絡(luò)資源�;Fraggle攻擊與Smurf攻擊原理類似,使用UDP echo請求而不是ICMP echo請求發(fā)起攻擊��。
盡管網(wǎng)絡(luò)安全專家都在著力開發(fā)阻止DoS攻擊的設(shè)備��,但收效不大����,因?yàn)镈oS攻擊利用了TCP協(xié)議本身的弱點(diǎn)。正確配置路由器能夠有效防止DoS攻擊����。以Cisco路由器為例,Cisco路由器中的IOS軟件具有許多防止DoS攻擊的特性��,保護(hù)路由器自身和內(nèi)部網(wǎng)絡(luò)的安全��。
利用QOS防止DoS攻擊的方法:
使用服務(wù)質(zhì)量優(yōu)化(QoS)特征�,如加權(quán)公平隊(duì)列(WFQ)、承諾訪問速率(CAR)��、一般流量整形(GTS)以及定制隊(duì)列(CQ)等����,都可以有效阻止DoS攻擊���。需要注意的是,不同的QoS策略對付不同DoS攻擊的效果是有差別的���。例如��,WFQ對付Ping Flood攻擊要比防止SYN Flood攻擊更有效�,這是因?yàn)镻ing Flood通常會在WFQ中表現(xiàn)為一個(gè)單獨(dú)的傳輸隊(duì)列���,而SYN Flood攻擊中的每一個(gè)數(shù)據(jù)包都會表現(xiàn)為一個(gè)單獨(dú)的數(shù)據(jù)流�����。此外��,人們可以利用CAR來限制ICMP數(shù)據(jù)包流量的速度��,防止Smurf攻擊���,也可以用來限制SYN數(shù)據(jù)包的流量速度,防止SYN Flood攻擊���。使用QoS防止DoS攻擊����,需要用戶弄清楚QoS以及DoS攻擊的原理���,這樣才能針對DoS攻擊的不同類型采取相應(yīng)的防范措施����。
使用QoS可以阻止DoS攻擊�����,但不同的變量設(shè)置要針對不同的DoS攻擊類型�。比如網(wǎng)絡(luò)遭受遠(yuǎn)程僵尸瘋狂的Ping攻擊,此時(shí)就需要利用QoS的WFQ特征���,讓整個(gè)外部網(wǎng)絡(luò)的訪問隊(duì)列更規(guī)整���,削弱瘋狂Ping攻擊的權(quán)數(shù)。如果遭受了洪水攻擊卻也啟動WFQ特性����,則效果不佳��,這主要是由于數(shù)據(jù)包的獨(dú)立性造成WFQ無法正確選擇過濾����,而總體的洪水流量不會因此而改變訪問通道���。
|