网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。
现在,DoS(拒绝服务)已经由最初的“
恶作剧”越来越演变成了一种有目的、有选择的攻击路由器的恶性行为,它像一股凶险的暗流正在向我们涌来。
用DoS(拒绝服务)来攻击路由器将对整个因特网造成严重影响。因为路由协议会遭到直接攻击,从而在大范围内带来严重的服务器的可用性问题。路由器攻击之所以吸引黑客有几个原因。
不同于计算机系统,路由器通常处于企业的基础设施内部。与计算机相比,它们受监视器和安全政策的保护相对薄弱,从而为不法之徒提供了为非作歹的躲藏之处。许多路由器配置不当,厂商提供的默认口令是
网络安全与遭受毁坏的主要原因。一旦受到危害,路由器就可以被用作扫描行动、欺骗连接的平台,并作为发动DoS攻击的一块跳板。
Cahners In-Stat集团的高级分析家劳里·维科斯声称,“路由器是通向公司的门户。它成为黑客的目标已经有了一段时间,现在的黑客似乎变得更加老谋深算。他们往往会这样,当发现锁定的目标前门被锁上后,就会改而寻找露台的大门是否敞开。”
维科斯坚称,路由器攻击会对
网络造成毁灭性的后果。因为路由器常常集成了VPN服务或者
防火墙,因而使其成为更吸引黑客的目标。因为,一旦路由器岌岌可危,整个
网络便立刻变得十分危险了。
另一个问题是卡内基·梅隆大学的计算机紧急响应队(CERT)协调中心提到的“利用时间”(Time-To-Exploit)的缩短。即一旦系统或设备的一个漏洞被发现,在短时间内就打上安全补丁往往来不及。
那么如何采取适当的对策来抵御DoS呢?传统的安全解决方案对付现在的DoS只能是隔靴搔痒。因为防火墙和入侵检测系统(IDS)的目的在于检测针对个别
网络服务器或主机的攻击,而不是
网络基础设施。
为了解决这个问题,目前已经有几家公司想出了专门防御DoS攻击的方案。Arbor Networks凭借产品PeakFlow DoS成为这个领域的先驱。PeakFlow会部署数据收集程序,由此分析通信流量(到达企业路由器或防火墙之前),并搜寻反常现象。这类信息会转发给控制程序,进而对攻击进行追根溯源的审查。同时,控制程序会把过滤建议发给
网络管理人员,从而进行相应部署以避开攻击。他们提供的企业解决方案的起始价为13万美元,Arbor另有计划为规模较小的
网络以按月收费的方式来提供这种服务。
Tripwire的Tripwire for Routers则采取价格比较适中的方案,以监视Cisco路由器的启动和配置文件。只要该设备的安全状态出现任何变动,它就会通知你。目前只有针对Solaris 7或8工作站的版本。适用
Windows 2000的版本即将推出,其价格随路由器数量不同而异,有一个评估版软件可供下载。
总地来说,具备一些基本常识是首要的,可能也是最佳的防御方法,这可以确保你时刻关注外部接入路由器的每个连接,并且确保改变了默认安全配置,尤其是口令。
DoS攻击的这些新动向表明:服务可用性面临的危胁,无论针对
网络还是整个因特网都可能会更让人防不胜防。除了你的
网络受到影响外,路由器和基础设施缺乏安全审查也会使你无意当中成为攻击DoS的帮凶。密切关注事态发展,并肩负起保护
网络各方面安全的责任,这样你才能够避免灾难。
网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。