預防 DNS/拒絕服務狀況發生的最佳因應措施

Apache

釵h公司網站深受違規 拒絕服務 (DoS) 狀況不斷發生之苦。能夠從這樣的經驗學到如何確保類似事件不再發生的公司反而將因而受益良多。

有時只有困境才能讓人有反省自己周遭環境的動力。況且，網路發生狀況往往能使釵h非常重要的錯誤浮現出來，讓您能夠不斷地從錯誤中學習。從錯誤中學到最佳作業方式是困境帶來的果實。如需從中習得最佳作業方式，首先您必須問問自己："我們的弱點在哪裡？" 以下範例為一般公司從 DoS 狀況中得到的結論。

作業方式 1

保留稽核變更事項和原因的追蹤報告。

作業方式 2

建立「跨部門標準作業程序」 (SOP) 和「緊急作業程序」(EOP)。

作業方式 3

瞭解成能帶來滿足感。

作業方式 4

單是網路監視並不足夠；您的管理者必須瞭解您的組態詳細資料。

作業方式 5

透過 Internet 自行測試。

作業方式 6

您執行的程序跟駭客執行的程序對於您的系統有同樣的破壞力。

作業方式 7

讓人們瞭解舊有的組態及其目的。

作業方式 8

一發現有不同，應詢問其原因。

作業方式 9

瞭解簡單、成本和生存力之間的交換。

作業方式 10

保護自己免受駭客的入侵。

作業方式細節

作業方式 1 - 保留稽核變更事項和原因的追蹤報告。 檔案櫃中某處可能存放著解釋原始網路設計及其交互相依性的文件。在做任何網路變更以前，務必參噪茪憟顙疆P時進行更新。

此處的課題在於回顧過去的稽核追蹤記錄，然後確認其中包含現行變更的細節，以及現行內部架構背後的原意。透過此方式，您的網路才能避免通用和非通用組態中的錯誤。

作業方式 2 - 建立跨部門標準和緊急作業程序 網路無法作用需要很長的時間才能診斷出錯誤的原因之一為：釵h網路管理者一開始只專注於針對自己負責的部分找出錯誤。如果運氣好，錯誤可能只發生在單一的區段，但從中診斷出的問題可能遠超過 Intranet 和 Internet 的範圍。您的回憶速度之所以慢是因為您一開始只會對自己的伺服器做出回應。但通常，人們往往花了很長的時間才發現公司每位成員嘗試解決的其實是同一個問題。

開發最佳作業方式時必須學習的課程是您的「標準作業程序」(SOP) 和「緊急作業程序」(EOP) 需要更暢通的跨組溝通管道。您需要知道您所屬區段的管理者清楚知他們執行的更動對於網路上其他區段的影響，也知道緊急狀況發生時應聯絡的其他區段管理人員。

作業方式 3 - 瞭解成能讓人過於安逸。 對於您的網路小組而言，上次發生大規模網路問題可能已是好幾年前的是。於這段期間，您可能會對於所負責網路的穩定度過於自滿，而忽略了潛在的緊急危機。很不幸的，對於這樣的態度，可能只有待下次發生重大緊急事件時才會改變。

改變的過程極為艱難，因為網路管理者終日與極細微的問題奮戰，藉以維護網路的整體穩定性。要能改變這樣的態度，您必須找出您網路最堅實的元件，並且找出可能發生問題的元素。想像您認為最安全的部分出差錯。

作業方式 - 單是網路監視並不足夠；您的管理者必須知道詳細的組態。 最精密的監視作業只不過比放大鏡好一些而已。如希望透視所有細節，您需要一份記錄每個程式每個設定的影響、服務、網路中的主機和路由，以及這些服務和資源之間的互動。但是，這樣的分析仍然未將組態背後的商務邏輯，以及使用網路服務之使用者的需求列入考慮。

網路真正的知識必須要能與所有管理者共享和取用，如此管理者才能快速又正確地解析監視器產生的報告。為了達到這個目的，知識的分享必須成為您網路運作程序的一部份。

作業方式 5 - 透過 Internet 進行自我測試

當您的網路服務對象為 Internet 上的客戶時，您必須藉由模擬他們的活動來測試網路的可用性。此將幫助您瞭解問題的嚴重度，並且引領您一步步根據客戶的使用記錄找出網路的問題。

如果您希望您和客戶能夠同享網路效能的高點和低點，此類模擬真實環境的測試方式將是價值非凡，且此方式所帶來的進步對於客戶而言，是客戶支援部門所無法匹敵的。

作業方式 6 – 您執行的程序跟駭客執行的程序對於您的系統有同樣的破壞力 您的程序是否是內憂？如果您不對您的程序抱持著懷疑的態度，進而不斷加以評估的話，這樣的態度與惡意入侵之駭客所帶來的破壞力沒有兩樣。因為您會因為網路尚未發生嚴重的問題而有了您目前的程序應該沒有問題的錯覺。但是，他們可能無法勝任維護網路目前可用性的層次，除非他們能夠跨部門和所有應用程式，並且整合網路全面性的管理工作。

發展此作業方式的目的是為了避免過於依賴目前看似成的程序，進而做到審視您的團隊中對於程序本身是一大挑戰的關鍵元素。

作業方式 7 - 讓人們瞭解舊有的組態及其目的

為了發展和維護對於舊有且受信任網路組態的瞭解，您需要特別注意商業開發和網路內部架構擴充期間的人員流動。因為網路內部架構並不會每年都重新設計，組態一設定好可能會沿用至某位工作人員發現錯誤為止。為了避免組態設定有缺失，您需要在迎新或年度稽核時確保所有人員皆能瞭解這些設定。

如果缺少這類的訓練，可能會造成工作人員在不知情的狀況下損及網路或他們的名譽。請務必讓新任的管理人員瞭解這個潛在危機，並且鼓勵他們在進行任何變更以前，先詳細調查原有的設定。

作業方式 8 - 一發現有不同，應詢問其原因

於任何公司中，單一員工執行的工作與所有其他人執行的工作一般重要。因此，稽核網路設定的管理者應該將心比心，尊重所有的網路設定，以及使用該網路之程式的設定，因為這些都是其他同仁的心血。因此，當您發現任何非常的設定，該管理者應小心調查審視，而不是擅自更改設計來符合新程式或標準。

此作業方式是為了養成管理人員的求知慾，並同時改變他們機械式地進行網路更動的工作模式。一開始，您可能會覺得效率變低，但和管理人員誤改網路設定造成服務中斷的損失相比，這樣的作法仍是值得的。

作業方式 9 - 瞭解簡單、成本和生存力之間的權衡得失

為了降低管理成本，一般人多半傾向於偏好工作的簡易度，並希望降低複雜度。由於此方式有其根據，您亦需考慮簡單度對於支援未知問題所造成的反效果。於簡化網路設計的同時，您反而會將自己暴露在簡單錯誤所造成的危機當中。

複雜網路設計的益處大於透過容錯和冗餘所帶來的穩定度。複雜的設計可滿足您需要支援的複雜商業的需求。當我們在簡化商業資訊經由網路傳輸的方式，我們需要捫心自問是否將滿足管理需求放在第二順位，將客戶和使用者業務放在第一順位。

作業方式 10 - 保護自己免於受駭客的破壞

您可以預測駭客將從何處侵入嗎？發展這樣的認知來自於面對遭駭客侵入的事實。雖然我們不想讓人們誤解駭客可幫助我們開發更安全的網路環境，但是，為了找出防護的最佳方式，我們需要模擬駭客侵入網路的"侵入"自己的網路。如此將可提高您對於網路遭入侵的敏感度，並且幫助您稽核網路的弱點。

網路考慮事項

下列資訊旨在幫助您更加瞭解您的網路，進而保護您的網路免受 DoS 入侵之苦。

杜絕 DoS 入侵事件的建議登錄機碼設定 注意 登錄項目編輯錯誤將嚴重損壞您的系統。在更動任何登錄項目以前，請備份電腦上重要的資料。如果您在手動修改之後遇到問題，您亦可使用「Last Known Good Configuration」啟動選項。

您可以實行下列登錄機碼設定來預防 DoS 入侵事件的發生：

hkey_local_machine system currentcontrolset services         cpip parameters synattackprotect=1 REG_DWORD

hkey_local_machine system currentcontrolset services         cpip parameters         cpmaxconnectresponseretransmissions=2 REG_DWORD

hkey_local_machine system currentcontrolset services         cpip parameters         cpmaxdataretransmissions=3 REG_DWORD

hkey_local_machine system currentcontrolset services         cpip parameters enablepmtudiscovery=0 REG_DWORD

Microsoft 知識庫文件 下列 Microsoft 知識庫文件可幫助您杜絕他人惡意入侵您的網路：

Internet Server Unavailable Because of Malicious SYN Attacks

本文描述 Windows NT 用來杜絕 SYN 入侵事件的廣域金鑰設計。

TCP/IP & NBT Configuration Parameters for Windows NT and Windows 2000

本文不解釋登錄項目之更動與網路保護之間的關連性，但將為您解釋使用不同登錄機碼的原因。

Microsoft TechNet 資源

您在 Microsoft TechNet 可找到釵h有助於您保護 Web 伺服器安全性的資源。舉例而言，如您依照安全性十誡中的指示，您即可將大大提升您網路的安全性。

Internet Security and Acceleration (ISA) 伺服器提供的是多層次企業防火牆來保護您的網路資訊。企業安裝和部署指南描述 ISA 如何能保護組織網路在 Internet 上的安全性。

最後，請奮鴝?TCP/IP 實作方式 的白皮書。這份白皮書包含所有用於保護 Web 伺服器或預防他人入侵的登錄機碼