盡管多年來(lái)全球無(wú)數(shù)網(wǎng)絡(luò)安全專家都在著力開發(fā)DoS攻擊的解決辦法，但到目前為止收效不大，這是因?yàn)镈oS攻擊利用了TCP協(xié)議本身的弱點(diǎn)。DoS攻擊使用相對(duì)簡(jiǎn)單的攻擊方法， 可以使目標(biāo)系統(tǒng)完全癱瘓，甚至破壞整個(gè)網(wǎng)絡(luò)。因此Extreme Networks認(rèn)為，只有從網(wǎng)絡(luò)的全局著眼，在網(wǎng)間基礎(chǔ)設(shè)施的各個(gè)層面上采取應(yīng)對(duì)措施，包括在局域網(wǎng)層面上采用特殊措施，及在網(wǎng)絡(luò)傳輸層面上進(jìn)行必要的安全設(shè)置，并安裝專門的DoS識(shí)別和預(yù)防工具，才能最大限度地減少DoS攻擊所造成的損失。

　　建立這樣一個(gè)全面系統(tǒng)的網(wǎng)絡(luò)安全體系，網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)必須是以三層交換和路由為核心的智能型網(wǎng)絡(luò)，并在此基礎(chǔ)上，提供完善的三層以上的安全策略管理工具，并提供對(duì)專業(yè)的安全管理軟件支持的能力。Extreme Networks 一直是三層及多層交換技術(shù)的領(lǐng)導(dǎo)者，在為用戶提供強(qiáng)大的帶寬和速度的同時(shí)，也具備一套非常完善的網(wǎng)絡(luò)管理工具，特別是針對(duì)DoS最難以解決的流量型攻擊， Extreme Ware管理套件提供了有效的識(shí)別機(jī)制和強(qiáng)硬的控制手段。

　　將最先進(jìn)的三層交換技術(shù)和多層安全防范體系結(jié)合起來(lái)，是認(rèn)真考慮抵抗DoS攻擊的用戶的最佳選擇。而且在進(jìn)行網(wǎng)絡(luò)的設(shè)計(jì)階段，就應(yīng)該從局域網(wǎng)層面和網(wǎng)絡(luò)傳輸層面進(jìn)行合理的布置。

　　局域網(wǎng)層面問題

　　在局域網(wǎng)層面上，系統(tǒng)管理員可以采取大量的預(yù)防措施，防止DoS攻擊帶來(lái)的服務(wù)不能效應(yīng)。這些預(yù)防措施包括：保持堅(jiān)實(shí)的整體管理和安全程序，針對(duì)各類DoS攻擊，實(shí)施特定的防衛(wèi)措施等等。與特定DoS攻擊類型有關(guān)的其它方法可以包括：關(guān)閉或限制可能被損壞或暗中破壞的特定服務(wù)。遺憾的是，這些限制措施還必須與其可能給合法應(yīng)用(如采用UDP作為傳輸機(jī)制的 Real Audio) 帶來(lái)的影響進(jìn)行權(quán)衡。如果攻擊者能夠脅迫受害人不使用有益的

　　IP服務(wù)或合法應(yīng)用，那么在一定程度上，這些黑客已經(jīng)達(dá)到了自己的目標(biāo)。

　　網(wǎng)絡(luò)傳輸層問題

　　盡管局域網(wǎng)管理員采取的措施在防止和抗擊DoS攻擊的基礎(chǔ)工作中發(fā)揮著關(guān)鍵作用，但它們還必須在網(wǎng)絡(luò)傳輸層實(shí)現(xiàn)某些完善的措施，以對(duì)基礎(chǔ)工作進(jìn)行有效補(bǔ)充。

　　保護(hù)網(wǎng)絡(luò)數(shù)據(jù)流量

　　有效地保護(hù)網(wǎng)絡(luò)數(shù)據(jù)流量涉及大量的互補(bǔ)戰(zhàn)略，包括采用多層交換，實(shí)現(xiàn)獨(dú)立于層的訪問控制；利用可定制的過(guò)濾和“信任鄰居”標(biāo)準(zhǔn)；控制非授權(quán)用戶的網(wǎng)絡(luò)登錄訪問。

　　獨(dú)立于層的線速服務(wù)質(zhì)量(QoS)和訪問控制選項(xiàng)

　　帶有可配置智能軟件、獨(dú)立于層的QoS和訪問控制功能的線速多層交換系統(tǒng)的出現(xiàn)，大大改善了網(wǎng)絡(luò)傳輸設(shè)施保護(hù)數(shù)據(jù)流量完整性的能力。

　　在基于傳統(tǒng)路由器的網(wǎng)絡(luò)設(shè)施中，認(rèn)證機(jī)制如濾除帶有內(nèi)部地址的假冒分組，要求流量到達(dá)路由器邊緣，并與特定訪問控制列表中的標(biāo)準(zhǔn)相符。由于要維護(hù)訪問控制列表，這一過(guò)程不僅耗時(shí)巨大，而且給整體路由器性能帶來(lái)了重大開銷。

　　相比之下，使用線速多層交換系統(tǒng)允許靈活實(shí)現(xiàn)各種基于策略的訪問控制標(biāo)準(zhǔn)，它使用許多相同的機(jī)制，這些機(jī)制對(duì)在整個(gè)復(fù)雜網(wǎng)絡(luò)設(shè)施中有效地實(shí)現(xiàn)QoS標(biāo)準(zhǔn)至關(guān)重要。

　　盡管這些多層交換系統(tǒng)在第二層執(zhí)行線速交換功能，但它們能夠從第一層到第四層及其它信源無(wú)縫地采用QoS和訪問控制標(biāo)準(zhǔn)。

　　這種獨(dú)立于層的訪問控制能力實(shí)現(xiàn)了內(nèi)置靈活性，把安全決策與網(wǎng)絡(luò)結(jié)構(gòu)決策完全分開，從而允許網(wǎng)絡(luò)管理員有效地部署DoS預(yù)防措施，而不必采用次優(yōu)的路由或交換拓?fù)洹＝Y(jié)果，網(wǎng)絡(luò)管理員和服務(wù)供應(yīng)商現(xiàn)在能夠把整個(gè)城域網(wǎng)、數(shù)據(jù)中心或企業(yè)網(wǎng)環(huán)境中基于策略的控制標(biāo)準(zhǔn)無(wú)縫地集成起來(lái)，而不管其采用的是復(fù)雜的基于路由器的核心服務(wù)，還是相對(duì)簡(jiǎn)單的第二層交換本地環(huán)路。此外，線速處理標(biāo)準(zhǔn)查表和數(shù)據(jù)流量認(rèn)證決策，可以在后臺(tái)有效執(zhí)行DoS應(yīng)對(duì)措施，而很少或沒有性能延遲。

　　可以定制的過(guò)濾和“信任鄰居”機(jī)制

　　智能多層訪問控制的另一優(yōu)點(diǎn)是，它能夠簡(jiǎn)便地實(shí)現(xiàn)定制過(guò)濾操作，如根據(jù)特定標(biāo)準(zhǔn)定制對(duì)系統(tǒng)響應(yīng)的控制力度。通過(guò)這種方式，可以防止網(wǎng)絡(luò)受到DoS攻擊的影響，同時(shí)降低因疏忽丟棄合法流量的危險(xiǎn)。獨(dú)立于層的訪問控制的另一個(gè)優(yōu)點(diǎn)是，它能夠定制路由訪問策略，支持具體系統(tǒng)之間“信任鄰居”關(guān)系，從而管理和優(yōu)化系統(tǒng)間的數(shù)據(jù)流量。此外，多層交換技術(shù)提供了多種選項(xiàng)，可以防止未經(jīng)授權(quán)使用內(nèi)部路由策略，及防止?jié)撛诘钠茐幕顒?dòng)。

　　Extreme Networks(r)公司的Extreme Ware(tm)套裝軟件允許映射和覆蓋IEEE802.1p和DiffServ標(biāo)記，實(shí)現(xiàn)外部看不到的DiffServ功能。通過(guò)使用這些策略機(jī)制，系統(tǒng)管理員可以針對(duì)來(lái)自特定相鄰系統(tǒng)的流量，調(diào)整內(nèi)部路由控制策略，而不是在內(nèi)部強(qiáng)制廣播實(shí)際策略。

　　由于能夠靈活地區(qū)分內(nèi)部和外部DiffServ和IEEE802.1p標(biāo)準(zhǔn)，ExtremeWare為防止新一輪潛在DoS攻擊(稱為QoS攻擊)提供了有效的工具。

　　Extreme Ware能夠維護(hù)不可視的內(nèi)部DiffServ處理策略，使得所有Extreme交換機(jī)都能夠簡(jiǎn)便地忽略、觀察或處理從可能“不信任的鄰居”收到的任何DiffServ標(biāo)記。

　　定制網(wǎng)絡(luò)登錄配置操作

　　網(wǎng)絡(luò)登錄機(jī)制的采用在減少DoS攻擊漏洞中發(fā)揮著關(guān)鍵作用。網(wǎng)絡(luò)登錄采用惟一的用戶名和口令，在用戶獲準(zhǔn)進(jìn)入或傳送分組流量前認(rèn)證用戶身份，從而防止認(rèn)證前發(fā)生DoS攻擊的危險(xiǎn)。

　　通過(guò)利用DHCP模擬撥號(hào)技術(shù)采用PPP的方式，網(wǎng)絡(luò)登錄可以終止網(wǎng)絡(luò)邊緣的非法訪問，減輕給網(wǎng)絡(luò)設(shè)施帶來(lái)的任何消極影響。

　　Extreme Networks公司的技術(shù)團(tuán)隊(duì)成員參與編寫了IEEE802.1草案，通過(guò)利用其中包含的規(guī)范中已有的標(biāo)準(zhǔn)，這些網(wǎng)絡(luò)登錄機(jī)制可以控制用戶對(duì)交換機(jī)的訪問，最大限度地降低直接DoS攻擊的危險(xiǎn)。同時(shí)，網(wǎng)絡(luò)登錄為管理和跟蹤企業(yè)或服務(wù)供應(yīng)商網(wǎng)絡(luò)內(nèi)部的用戶連接和交易提供了一種強(qiáng)健的機(jī)制。

　　保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施

　　除保護(hù)網(wǎng)絡(luò)數(shù)據(jù)流量外，防止網(wǎng)絡(luò)基礎(chǔ)設(shè)施受到DoS攻擊、確�？煽啃院腿蒎e(cuò)能力也同樣重要。保護(hù)基礎(chǔ)設(shè)施的關(guān)鍵是維護(hù)獨(dú)立的訪問列表，緊密管理轉(zhuǎn)發(fā)控制和負(fù)載均衡功能，及進(jìn)行嚴(yán)格的設(shè)計(jì)測(cè)試，以確保系統(tǒng)容錯(cuò)能力。