msn: [email protected]
来源:http://yfydz.cublog.cn
1. 前言 DOS攻击可以算是最没有技术含量,但却可算是最有效的攻击手段,如普通的TCP/IP层的ping flood,syn flood等到应用层的CC,或者是病毒引起的冲击波、振荡波等,都属于比较有效的DOS攻击手段,对于这种DOS攻击,除了根据统计特征判断是非属于非法包外,如果无法判断是否非法,就只能进行流量限制了。 2. 流量限制 流量限制包括通信流量限制、连接数限制、连接率限制等,普通的流量限制是针对这个规则的,也就是对符合规则的数据进行流控,但这样带来的问题是如果规则定义的是一个网段,有可能网段内的一两个IP的流量就会达到限值,网络内其他IP的通信就会受到严重影响。虽然可以按单个IP来制定规则,但这是不现实的,当网络一大时没有一个网管有那种耐心去一条一条为单个IP配规则。 3. 粗规则,细控制 解决方法是“粗规则,细控制”,就是说规则仍然是粗粒度的,规则中地址是一个大范围的地址,但能够控制到符合规则条件的单个源或目的IP的流量,每个IP的流量、连接数等都单独分开限制。实现这种效果后,虽然不能彻底消除DOS,但能最大限度的在DOS下保证正常的流量。 限制单IP的流量,可有效限制BT等下载工具的使用,因为不能再抢占其他人的带宽,所以没必要再去费心地去限制其使用,想用就用,但使用效果并没什么意义; 限制单IP的连接数和连接率,可有效防止syn flood, CC等基于连接的DOS攻击,对限制ping flood,冲击波、振荡波等也有较好的效果。对于限制来自内部的攻击,用连接数限制较好,对于服务器限制来自外部的攻击,同时使用源IP的连接数、目的地址的连接率限制比较好。 4. 结论 用流量限制来防御DOS是每种防火墙都有的功能,但支持“粗规则,细控制”的流量限制就不是每个防火墙都能作的了,用户在选购防火墙时一定要注意问清这一点。