道高一尺、魔高一丈。隨著網(wǎng)絡(luò)的發(fā)展，黑客的攻擊方法越來越多。不過很多的攻擊手段，可能都需要借助與DoS拒絕服務(wù)攻擊。或者說，拒絕服務(wù)攻擊是發(fā)起其他攻擊的一個先決條件。如先通過拒絕服務(wù)攻擊導(dǎo)致DNS服務(wù)器癱瘓，然后再進(jìn)行DNS欺騙等等。前幾天出現(xiàn)的Baidu網(wǎng)站被黑，也可以見到拒絕服務(wù)攻擊的影子。所以如何來有效防止Dos攻擊對于企業(yè)網(wǎng)絡(luò)安全來說，至關(guān)重要。

　　那么該如何有效防止Dos攻擊呢?有很多種方法可以實(shí)現(xiàn)這個目的。筆者今天要談的是，如何通過防火墻來抵擋Dos攻擊。希望借助這篇文章，能夠幫助大家有效的抵御Dos拒絕服務(wù)攻擊，提高服務(wù)器的安全。

　　一、阻止分段數(shù)據(jù)包通過防火墻

　　如上圖所示，如果攻擊者想要對防火墻后面的Web服務(wù)器發(fā)起Dos攻擊，要如何進(jìn)行呢?通常情況下，Sos攻擊使用分段的IP數(shù)據(jù)包來攻擊主機(jī)服務(wù)器。將一個IP數(shù)據(jù)包分隔成多個IP數(shù)據(jù)包叫做IP分段。通過這種分段的方式，可以提高Dos攻擊的效率。如果防火墻能夠阻止分段數(shù)據(jù)包通過防火墻，那么就可以有效的防治Dos攻擊。

　　在PIX防火墻上，是可以使用Fragment命令，來阻止分段數(shù)據(jù)包通過防火墻。如可以使用如下的命令：fragment chain 1 outside。這個命令是什么意思呢?參數(shù)1表示所有的分組必須是完整的，也就是沒有經(jīng)過IP分段的。這個命令的含義就是阻止分段分組進(jìn)出交換機(jī)。通過交換機(jī)的過濾，就可以有效的阻止分段數(shù)據(jù)包通過防火墻，對防火墻后面的Web等服務(wù)器發(fā)起攻擊。

　　不過在有些場合下，確實(shí)需要對數(shù)據(jù)包進(jìn)行IP分段。此時就需要在防火墻上啟用分段防護(hù)功能。即根據(jù)一定的規(guī)則，對進(jìn)入防火墻的分段數(shù)據(jù)包進(jìn)行檢測，判斷其是否符合即定的規(guī)則。如果符合的話，就允許其通過。不符合的話，則會被丟棄。如防火墻會檢查每個非初始的IP段都有一個相關(guān)聯(lián)的合法初始的IP段。如對分段的數(shù)量進(jìn)行限制，當(dāng)分段超過一定數(shù)量(默認(rèn)情況下可能最多為24個分段)時這個分段數(shù)據(jù)包就不能夠通過防火墻。具體的數(shù)量安全人員可以根據(jù)實(shí)際需要來設(shè)置。這些安全檢查措施，也可以幫助企業(yè)來有效防止Dos攻擊。

　　筆者建議，在沒有特殊的情況下，還是使用fragment命令阻止分段數(shù)據(jù)包進(jìn)入防火墻為好。這可以從根本上杜絕DoS攻擊。

二、阻止DoS攻擊對DNS服務(wù)器的破壞

　　在平時我們經(jīng)常會聽到由于Dos攻擊導(dǎo)致DNS服務(wù)器被癱瘓。那么這到底是怎么造成的呢？其實(shí)攻擊的原理是比較簡單的。攻擊者會向每個DNS服務(wù)器發(fā)送DNS查詢。查詢中會包含到達(dá)目的地的偽地址。這是一個小的不能夠再小的查詢。但是DNS服務(wù)器會產(chǎn)生數(shù)以萬計(jì)的應(yīng)答信息。這些應(yīng)答信息就會被路由到攻擊者偽裝的目的地址。從而會導(dǎo)致鏈路擁塞。嚴(yán)重的話，還可能導(dǎo)致網(wǎng)絡(luò)故障，無法正常連接。

　　現(xiàn)在如果在DNS服務(wù)器前面放上一個防火墻，能否有效抵御Dos攻擊呢?答案是肯定的。如以PIX防火墻為例。默認(rèn)情況下，防火墻上是不能夠?qū)�DNS的端口進(jìn)行再分配的。也就是說，DNS需要進(jìn)行相關(guān)的檢查，以確保DNS查詢不會受到基于活動超時處理的普通UDP的影響。在這種情況下，當(dāng)攻擊者發(fā)送一個DNS查詢請求給DNS服務(wù)器，可以順利進(jìn)入到DNS服務(wù)器。但是防火墻卻只允許單獨(dú)的一個DNS應(yīng)答。而不是發(fā)送許多應(yīng)答信息。這是怎么實(shí)現(xiàn)的呢?因?yàn)榉阑饓χ灰�接收到一個DNS查詢結(jié)果，與DNS查詢、應(yīng)答等相關(guān)聯(lián)的UDP連接就會關(guān)閉。如此的話，防火墻就會自動丟棄其他的應(yīng)答，從而有效避免了Dos攻擊。這種特性是防火墻專門為DNS服務(wù)器設(shè)計(jì)的DNS防護(hù)功能。如果大家在選購防火墻的時候，考慮到有部署DNS需求的話，那么在選購時要考慮防火墻是否有DNS防護(hù)功能。

　　另外需要注意的是，可能在網(wǎng)絡(luò)中還采用NAT等網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。此時如果開啟了DNS防護(hù)功能，是否對這些技術(shù)的應(yīng)用有不利的影響呢?通常情況下，確實(shí)可能會影響到NAT等技術(shù)的正常使用。不過這主要看防火墻廠商是否采用了相關(guān)的技術(shù)來防止這種情況的出現(xiàn)。如據(jù)筆者的了解，思科的PIX防火墻6.2以上的版本對DNS消息的NAT等技術(shù)完全支持。也就是說，不管這些消息來自內(nèi)部接口還是外部接口，都能夠讓DNS防護(hù)功能與NAT等網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)友好共存。如果企業(yè)有自己的DNS服務(wù)器，那么這個特性就可能非常的有用。此時如果一個內(nèi)部網(wǎng)絡(luò)中的用戶向外部接口上的DNS服務(wù)器發(fā)出查詢請求，請求一個內(nèi)部FTP服務(wù)器的DNS解析，則DNS A記錄就可以被正確的轉(zhuǎn)換。從而不需要額外的使用allias命令。allias命令其不但工作效率比較低，而且也存在著一定的安全隱患。在實(shí)際工作中，能夠<