利用防火墙来防止DOS攻击的实例解析

安全 黑客攻防
道高一尺、魔高一丈。随着网络的发展,黑客的攻击方法越来越多。不过很多的攻击手段,可能都需要借助与DoS拒绝服务攻击。

拒绝服务攻击是发起其他攻击的一个先决条件。如先通过拒绝服务攻击导致DNS服务器瘫痪,然后再进行DNS欺骗等等。Baidu网站被黑,也可以见到拒绝服务攻击的影子。所以如何来有效防止Dos攻击对于企业网络安全来说,至关重要。

利用防火墙来防止DOS攻击的实例解析

那么该如何有效防止Dos攻击呢?

有很多种方法可以实现这个目的。笔者今天要谈的是,如何通过防火墙来抵挡Dos攻击。希望借助这篇文章,能够帮助大家有效的抵御Dos拒绝服务攻击,提高服务器的安全。

阻止分段数据包通过防火墙

如上图所示,如果攻击者想要对防火墙后面的Web服务器发起Dos攻击,要如何进行呢?通常情况下,Sos攻击使用分段的IP数据包来攻击主机服务器。将一个IP数据包分隔成多个IP数据包叫做IP分段。通过这种分段的方式,可以提高Dos攻击的效率。如果防火墙能够阻止分段数据包通过防火墙,那么就可以有效的防治Dos攻击。

在PIX防火墙上,是可以使用Fragment命令,来阻止分段数据包通过防火墙。如可以使用如下的命令:fragment chain 1 outside。这个命令是什么意思呢?参数1表示所有的分组必须是完整的,也就是没有经过IP分段的。这个命令的含义就是阻止分段分组进出交换机。通过交换机的过滤,就可以有效的阻止分段数据包通过防火墙,对防火墙后面的Web等服务器发起攻击。

不过在有些场合下,确实需要对数据包进行IP分段。此时就需要在防火墙上启用分段防护功能。即根据一定的规则,对进入防火墙的分段数据包进行检测,判断其是否符合即定的规则。如果符合的话,就允许其通过。不符合的话,则会被丢弃。

如防火墙会检查每个非初始的IP段都有一个相关联的合法初始的IP段。如对分段的数量进行限制,当分段超过一定数量(默认情况下可能最多为24个分段)时这个分段数据包就不能够通过防火墙。具体的数量安全人员可以根据实际需要来设置。这些安全检查措施,也可以帮助企业来有效防止Dos攻击。在没有特殊的情况下,还是使用fragment命令阻止分段数据包进入防火墙为好。这可以从根本上杜绝DoS攻击。

【编辑推荐】

  1. 浅析IPv6存在的攻击漏洞
  2. 云安全服务:WAF和DDoS攻击预防
  3. 针对拒绝服务攻击Forefront的应对措施
  4. 当恶意攻击更具目标性:恐怖的APT攻击
  5. 企业如何防范攻击者利用多个零日攻击?
  6. 警惕黑客攻击你必须知道的蓝牙安全知识
责任编辑:佚名 来源: IT专家网
相关推荐

2013-01-21 10:17:27

防火墙恶意IP

2011-08-01 09:51:05

2010-10-08 11:17:12

2012-01-06 09:33:45

2011-08-12 16:06:01

2013-07-04 10:16:24

2011-08-01 09:14:05

2010-09-13 13:56:03

2011-03-09 11:23:26

2009-10-10 11:04:21

2014-08-05 09:50:40

CentOS防火墙

2010-09-13 16:32:58

2011-07-30 12:57:24

2011-03-11 14:52:47

2009-11-11 10:07:09

2009-02-21 10:28:43

2010-08-20 11:08:46

2010-03-19 16:13:43

2010-07-07 20:06:53

2010-09-16 10:52:44

防火墙负载分担
点赞
收藏

51CTO技术栈公众号