高校校园网DDoS攻击防范措施研究
时间:2022-08-25 03:22:44
摘要:高校校园网由于其自身发展的一些固有的不足,使之很易受到诸如DDoS攻击等各种安全威胁。该文通过对校园网多年的观察和分析,提出了校园网DDoS攻击防范措施,并取得了较好的效果。
关键词:校园网;DDoS;防范;措施
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)20-4716-02
Campus Network DDoS Attack Prevention Measures
ZENG Xiao-jie1 ;ZHOU Zai-hong2
(1.Loudi Vocational & Technical College, Loudi 417000,China;2.Guangdong Medical College, Dongguan 523808,China)
Abstract: The campus network in Colleges and universities because of some inherent problems of its own development, make it vulnerable to the attack of various security threats such as DDoS etc.. In this paper, the author through the observation and analysis of the campus network for many years, the campus network DDoS attack prevention measures, and achieved good results.
Key words: campus network; DDoS; prevention; measures
近年来,高校教育信息化出现迅猛发展的态势,高校校园网出现了新的建设高潮,新设备、新技术不断涌现。可是,由于网络的开放性以及日益泛滥的病毒和攻击工具,校园网的安全问题日益凸显,如计算机病毒、拒绝服务、网络漏洞、网络资源滥用等校园网络事件不断出现。分布式拒绝服务攻击(Distributed Denial of Service―DDoS) 是互联网安全的严重威胁[1],在校园网内也时有发生,对校园网造成了很大的后果,严重影响了学校正常的教学、科研、管理工作的顺利开展。该文从校园网安全状况的角度,分析了DDoS攻击方式和简单判定方法,并总结了校园网防范DDoS攻击的一般性措施。
1 校园网络安全现状
高校校园网络的建设,一般建成了核心、汇聚、接入三个网络结构层次,核心节点间的互联链路,核心节点与汇聚节点间的互联链路以及汇聚节点的设备间组成的网络为骨干层,其他部分为接入层。高校校园网核心层和汇聚层一般采用了Cisco、H3C、华为、锐捷等主流厂商的高端设备。各种安全设备也大量使用,如IPS,流量检测清洗设备、防DDoS防火墙等。校园网管理部门则负责校园网的建设,包括规划、设计、实施以及业务维护。这样的网络结构和设施使对加强校园网络安全有了较好地基础,但校园网在网络安全上有独特的特点,这些特点决定了校园网会受到来自于学校内外的各种网络安全问题的威胁[2]:
1) 校园网硬件设施投入大,用户数多,一旦出现网络安全问题,在校园网络中会迅速蔓延,后果严重。但校园网的建设和管理通常对网络安全重视不够,管理投入明显不足,这样就造成了对校园网络安全管控的力不从心。
2) 校园网中的应用系统软件盗版严重,存在网络安全漏洞, 如木马和后门等,给校园网络安全造成很大隐患,网络入侵就乘虚而入。
3) 来自校园网内的安全威胁不容忽视。大学生这一活跃的用户群体好奇心强,特别是对黑客技术感兴趣,经常尝试使用各种黑客技术进行恶作剧般的网络攻击,这些出于好奇的非恶意攻击,是对校园网安全的很大的考验。
4) 由于校园网开放的网络环境决定了校园网络的管理也是宽松的。为保障校园网络资源的充分共享及应用的方便,校园网络中一般不会有过多的网络限制措施,甚至校园网中各种安全技术及措施也没有进行有效的配合,安全设备设施不能发挥其最大的作用。
由此可见,校园网从管理和应用上存在很多的问题,这些问题的存在使校园网络受到DDoS攻击越来越容易。
2 判断校园网DDoS攻击的简单方法
DDoS攻击也称之为“洪水攻击”, 它利用TCP/IP协议的漏洞,通常采用几百台甚至几千台分布的主机并发地对单个或多个目标进行攻击,消耗目标主机或目标网络的资源,从而干扰或完全阻止为合法用户提供服务[3]。
针对校园网络安全独有特点,校园网DDoS攻击一般表现出两种形式:流量型的DDOS攻击和资源耗尽型的DDoS攻击[4]。在攻击发生时,对校园网络带宽或主机,利用大量的DDoS攻击数据包致辞使网络带宽被阻塞,或消耗主机的内存,或占用CPU应用程序,从而无法提供正常的网络服务。
在校园网内,如何判断主机服务器是否遭受 DDoS攻击呢?可以从主机CPU使用率、内存、网络流量、网络速度等方面的变化来判定主机是否遭受了DDoS攻击。如一台主机出现明显超出该网络正常工作时的极限通信流量的现象且持续时间较长,这就表明存在DDoS攻击的通信。另外如主机出现不属于正常连接通信的TCP和UDP数据包,如出现特大型的ICP和UDP数据包。还有如主机服务器接入网络,但不能操作,或访问速度非常慢,断网则正常,或重启主机服务器也能恢复,则说明遭受了DDoS攻击。
如要进一步确认主机服务器是否遭受了DDoS攻击,有一种简单的测试方法,就是用Ping命令来测试。若对主机突然Ping不通了或丢包严重,则可能遭受了DDoS流量攻击,还可以Ping连接在同一交换机上的主机服务器,若也不能正常访问,就基本可以断定该主机遭受了DDoS流量攻击。而对于校园网内的资源耗尽型DDoS攻击的判断则更简单,如Ping主机时突然发现主机访问很慢甚至不能访问了,但还可以Ping通,则很可能遭受了资源耗尽型DDoS攻击。还有Ping自己的主机不能Ping通或严重丢包,但Ping同一交换机上的其它主机服务器则正常,这就说明主机遭受DDoS攻击后而占用主机CPU,造成主机无法回应Ping命令。这种情况下,网络带宽还是有的,否则就Ping不通同一交换机上的其它主机了。
3 DDoS攻击防范措施
校园网要防御DDoS攻击,要从校园网络设施、网络安全策略设置及网络管理等多方面考虑其防范措施。
1) 校园网硬件方面。首先是从网络结构上要设置合理。校园网一般采用核心、汇聚、接入三个网络结构层次,重要应用系统应设置成中立区。采用V L A N 技术对校园网进行针对性的划分,如划分为学生区、教学区、宿舍区、实训区等,并根据各子网的安全保密程度进行合理分布,防止局部安全性较低的网络系统造成的威胁传播到整个网络系统,这种结构为实施DDoS攻击检测提供了良好地基础。其次是采用高性能的网络系统设备和安全设备。设置防火墙,充分发挥防火墙的过滤、NAT转换、安全访问控制、漏洞防范等功能和防DDoS攻击属性,有效地防止DDoS攻击的入侵。设置IPS即入侵防御系统。IPS入侵防御系统是一种主动式的安全防护设备,在不影响网络性能的情况下发现非法的入侵行为,对来自网络内外的DDoS攻击行为进行实时保护。Cisco、H3C、华为等主流设备厂商均有很好的网络与安全设备,这些设备对DDoS攻击的策略设置是采用WEB界面方式进行设置的,方便简单。可以使IPS和防火墙的安全策略相互配合,防范DDoS攻击的效果更加明显。再次要有充足的网络带宽。带宽越大,防DDoS攻击能力越强。
2) 网络安全策略设置方面。首先设置校园网用户身份认证。设置校园网用户身份认证机制,建立相应的身份认证系统或统一的身份认证平台,防止对网络资源的非授权访问以及越权操作,这对防范非法DDoS入侵的效果明显。其次设置访问控制。访问控制是网络安全防范和保护的主要策略,主要任务是让网络资源不被非法使用和非正常访问,校园网络访问控制策略是防范DDoS攻击的重要措施。再次加强系统优化。要确保服务器的系统文件是最新的版本,并及时更新系统补丁和过滤软件,关闭一些不必要的服务。通过修改注册表来减弱DDoS的攻击能力,如减少生存时间、防止SYN洪水攻击、限制同时打开的SYN半连接数目、缩短SYN半连接的time out 时间、禁止C$、D$、ADMIN$、IPC$等缺省共享[5]。
3) 网络管理方面。首先要有健全安全管理体制,有一支技术合格、高度负责的校园网络安全管理维护队伍,要加强相关人员的技术培训,要有相应的网络安全问题应急处理方案。其次要定期地对网络及应用系统进行安全检查及备份,做好日志记录。再次要加强校园网用户的安全意识,加强病毒防范,防止木马入侵,经常进行系统升级更新。
我校在校园网的日常安全管理上想了很多办法,如经常使用ping命令和netstat一an命令对网络进行测试,检测网络服务器访问情况等。对网络安全设备的安全策略进行调试,以适应网络应用系统的变化。通过采取一系列措施后, 对DDoS攻击行为达到了较好地防御目的。
参考文献:
[1] 黑客解密攻击方法,阐述如何防御攻击.中国经济网httP:///cysc/tech/i tsh/200803/03/t20080303_14706816.shtml,2008.3.
[2] 金忠伟.黑龙江畜牧兽医职业学院校园网安全体系建设[D].哈尔滨理工大学,2007:3-4.
[3] Felix Lau, Stuart H.Rubin, Michael H.Smith et al.Distributed denial of service attacks. In:IEEE International Conference on Systems, Man, and Cybernetics. Nashville, October 2000, Pages: 2275-2280.
[4] 韩钰.校园网 DDoS攻击的防御研究[J]. 福建电脑,2008.8:44-45.
[5] 郝梦岩,屠全良.分布式拒绝服务攻击(DDoS)及对策[J]. 太原大学学报, 2009.3:127-129.
