三層交換機(jī)還是比較常用的，于是我研究了一下三層交換如何完全阻擊DoS攻擊，在這里拿出來和大家分享一下，希望對大家有用。盡管全球網(wǎng)絡(luò)安全專家都在著力開發(fā)抗DoS攻擊的辦法，但收效不大，因?yàn)镈oS攻擊利用了TCP協(xié)議本身的弱點(diǎn)。在三層交換機(jī)上進(jìn)行設(shè)置，并安裝專門的DoS識(shí)別和預(yù)防工具，能最大限度地減少DoS攻擊造成的損失。

利用三層交換機(jī)建立全面的網(wǎng)絡(luò)安全體系，其基礎(chǔ)必須是以三層交換機(jī)和路由為核心的智能型網(wǎng)絡(luò)，有完善的三層以上的安全策略管理工具。同時(shí)，在網(wǎng)絡(luò)的設(shè)計(jì)階段，就應(yīng)該進(jìn)行合理布置。

局域網(wǎng)層

在局域網(wǎng)層上，網(wǎng)管員可采取很多預(yù)防措施。例如，盡管完全消除IP分組假冒現(xiàn)象幾乎不可能，但網(wǎng)管員可構(gòu)建過濾器，如果數(shù)據(jù)帶有內(nèi)部網(wǎng)的信源地址，則通過限制數(shù)據(jù)輸入流量，可有效降低內(nèi)部假冒IP攻擊。過濾器還可限制外部IP分組流，防止假冒IP的DoS攻擊被當(dāng)作中間系統(tǒng)。其他方法還有：關(guān)閉或限制特定服務(wù)，如限定UDP服務(wù)只允許于內(nèi)部網(wǎng)中用于網(wǎng)絡(luò)診斷目的。

遺憾的是，這些限制措施可能給合法應(yīng)用(如采用UDP作為傳輸機(jī)制的RealAudio)帶來負(fù)面影響。如果攻擊者能脅迫受害者不使用IP服務(wù)或其他合法應(yīng)用，那么這些黑客已經(jīng)達(dá)到了DoS攻擊的目的。

網(wǎng)絡(luò)傳輸層

以下對網(wǎng)絡(luò)傳輸層的控制可對以上不足進(jìn)行補(bǔ)充。

1、獨(dú)立于層的線速服務(wù)質(zhì)量(QoS)和訪問控制

帶有可配置智能軟件、獨(dú)立于層的QoS和訪問控制功能的線速三層交換機(jī)的出現(xiàn)，改善了網(wǎng)絡(luò)傳輸設(shè)備保護(hù)數(shù)據(jù)流完整性的能力。在傳統(tǒng)路由器中，認(rèn)證機(jī)制(如濾除帶有內(nèi)部地址的假冒分組)要求流量到達(dá)路由器邊緣，并與特定訪問控制列表中的標(biāo)準(zhǔn)相符。但維護(hù)訪問控制列表不僅耗時(shí)，而且極大增加了路由器開銷，相比之下，線速多層交換機(jī)可靈活實(shí)現(xiàn)各種基于策略的訪問控制。

這種獨(dú)立于層的訪問控制能力把安全決策與網(wǎng)絡(luò)結(jié)構(gòu)決策完全分開，使網(wǎng)管員在有效部署了DoS預(yù)防措施的同時(shí)，不必采用次優(yōu)的路由或交換拓?fù)?。結(jié)果，網(wǎng)管員和服務(wù)供應(yīng)商能把整個(gè)城域網(wǎng)、數(shù)據(jù)中心或企業(yè)網(wǎng)環(huán)境中基于策略的控制標(biāo)準(zhǔn)無縫地集成起來，而不管其采用的是復(fù)雜的基于路由器的核心服務(wù)，還是相對簡單的第二層交換。此外，線速處理數(shù)據(jù)認(rèn)證可在后臺(tái)執(zhí)行，基本沒有性能延遲。

2、可定制的過濾和“信任鄰居”機(jī)制

智能多層訪問控制的另一優(yōu)點(diǎn)是，能簡便地實(shí)現(xiàn)定制過濾操作，如根據(jù)特定標(biāo)準(zhǔn)定制對系統(tǒng)響應(yīng)的控制粒度。多層交換可把分組推送到指定的最大帶寬限制的特定QoS配置文件上，而不是對可能是DoS攻擊的組制訂簡單的“通過”或“丟棄”決策。這種方式，既可防止DoS攻擊，也可降低丟棄合法數(shù)據(jù)包的危險(xiǎn)。另一個(gè)優(yōu)點(diǎn)是能定制路由訪問策略，支持具體系統(tǒng)之間的“信任鄰居”關(guān)系，防止未經(jīng)授權(quán)使用內(nèi)部路由。

以極進(jìn)網(wǎng)絡(luò)公司的ExtremeWare套裝軟件為例，它映射和覆蓋了IEEE 802.1p和DiffServ標(biāo)記，使所有三層交換機(jī)都能忽略、觀察或處理從“不信任鄰居”發(fā)來的任何DiffServ標(biāo)記。這些機(jī)制，可使系統(tǒng)管理員根據(jù)來自特定鄰居的流量調(diào)整內(nèi)部路由策略。

3、定制網(wǎng)絡(luò)登錄配置

網(wǎng)絡(luò)登錄采用惟一的用戶名和口令，在用戶獲準(zhǔn)進(jìn)入前認(rèn)證身份。網(wǎng)絡(luò)登錄由用戶的瀏覽器把動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)遞交到交換機(jī)上，交換機(jī)捕獲用戶身份，向RADIUS服務(wù)器發(fā)送請求，進(jìn)行身份認(rèn)證，只有在認(rèn)證之后，三層交換機(jī)才允許該用戶發(fā)出的分組流量流經(jīng)網(wǎng)絡(luò)。在IEEE 802.1草案中已規(guī)定，網(wǎng)絡(luò)登錄機(jī)制可控制用戶對三層交換機(jī)的訪問，最大限度地降低直接DoS攻擊的危險(xiǎn)。同時(shí)，網(wǎng)絡(luò)登錄為管理和跟蹤內(nèi)部用戶提供了一種強(qiáng)健的機(jī)制。