网络工程规划与设计案例教程教学全套课件第2版杨幸文档 文档_项目三_任务三_如何利用QOS防止DoS攻击.doc

《网络工程规划与设计案例教程教学全套课件第2版杨幸文档 文档_项目三_任务三_如何利用QOS防止DoS攻击.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、湖南工业职业技术学院网络技术专业教学资源库如何利用QOS防止DoS攻击拒绝服务（DoS）攻击是目前黑客广泛使用的一种攻击手段，它通过独占网络资源、使其他主机不能进行正常访问，从而导致宕机或网络瘫痪。DoS攻击主要分为Smurf、SYNFlood和Fraggle三种，在Smurf攻击中，攻击者使用ICMP数据包阻塞服务器和其他网络资源；SYNFlood攻击使用数量巨大的TCP半连接来占用网络资源；Fraggle攻击与Smurf攻击原理类似，使用UDPecho请求而不是ICMPecho请求发起攻击。尽管网络安全专家都在着力开发阻止D

2、oS攻击的设备，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。正确配置路由器能够有效防止DoS攻击。以Cisco路由器为例，Cisco路由器中的IOS软件具有许多防止DoS攻击的特性，保护路由器自身和内部网络的安全。利用QOS防止DoS攻击的方法：使用服务质量优化（QoS）特征，如加权公平队列（WFQ）、承诺访问速率（CAR）、一般流量整形（GTS）以及定制队列（CQ）等，都可以有效阻止DoS攻击。需要注意的是，不同的QoS策略对付不同DoS攻击的效果是有差别的。例如，WFQ对付PingFlood攻击要比防止SYNFlo

3、od攻击更有效，这是因为PingFlood通常会在WFQ中表现为一个单独的传输队列，而SYNFlood攻击中的每一个数据包都会表现为一个单独的数据流。此外，人们可以利用CAR来限制ICMP数据包流量的速度，防止Smurf攻击，也可以用来限制SYN数据包的流量速度，防止SYNFlood攻击。使用QoS防止DoS攻击，需要用户弄清楚QoS以及DoS攻击的原理，这样才能针对DoS攻击的不同类型采取相应的防范措施。使用QoS可以阻止DoS攻击，但不同的变量设置要针对不同的DoS攻击类型。比如网络遭受远程僵尸疯狂的Ping攻击，此时就需要

4、利用QoS的WFQ特征，让整个外部网络的访问队列更规整，削弱疯狂Ping攻击的权数。如果遭受了洪水攻击却也启动WFQ特性，则效果不佳，这主要是由于数据包的独立性造成WFQ无法正确选择过滤，而总体的洪水流量不会因此而改变访问通道。1