论高校信息系统防范DDoS 攻击中的应用研究

摘要：通过对DDoS 原理的分析，结合高校信息化的实际情况，应用堡垒主机技术抵御DDoS 的攻击，并通过贝叶斯公式的推算，以统计学的方法得出防御成功的概率。

关键词：网络安全；DDoS；入侵检测

Abstract:through the analysis of DDoS principle, combined with the actual situation of informatization in University, bastion hosts technique against DDoS attacks, and Bayesian estimation, statistical methods came to the defense of the probability of success.

Keywords: network security, DDoS, and intrusion detection

[中图分类号] [O236.2][文献标识码]A [文章编号]

随着信息技术的发展，高校信息化建设得到巨大的发展，如学生管理、教务管理、后勤管理、财务管理等诸多方面的工作已经全面进入信息化管理。网络的共享性和开放性给各部门带来方便的同时，但各种安全隐患也凸现出来。这其中拒绝服务(Denial of Service，DoS)因攻击手段多样、攻击简单、危害大、防范难，成为目前互联网上攻击最频繁，防范难度最大的攻击方式之一。目前，在技术手段上尚无完全有效的防范方法。堡垒主机技术是一种陷阱被动防御技术，用来吸引攻击者。本文重点研究利用堡垒主机技术吸引攻击者，避免其他信息系统DoS 攻击的方法。

一、DDoS 攻击原理

DoS 的攻击方式有很多种，最基本的DoS 攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。DDoS 攻击手段是在传统的DoS 攻击基础之上产生的一类攻击方式。单一的DoS 攻击一般是采用一对一方式的，当被攻击目标CPU 速度低、内存小或者网络带宽小等等各项性能指标不高,它的效果是明显的。随着计算机与网络技术的发展，计算机的处理能力迅速增长，内存大大增加，同时也出现了千兆级别的网络，这使得DoS攻击的困难程度加大了-目标对恶意攻击包的" 消化能力" 加强了不少，例如你的攻击软件每秒钟可以发送3,000 个攻击包，但我的主机与网络带宽每秒钟可以处理10,000 个攻击包，这样一来攻击就不会产生什么效果。这时候分布式的拒绝服务攻击手段(DDoS)就应运而生了。你理解了DoS 攻击的话，它的原理就很简单。如果说计算机与网络的处理能力加大了10 倍，用一台攻击机来攻击不再能起作用的话，攻击者使用10 台攻击机同时攻击呢？用100 台呢？DDoS 就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。高速广泛连接的网络给大家带来了方便，也为DDoS 攻击创造了极为有利的条件。在低速网络时代时，黑客占领攻击用的傀儡机时，总是会优先考虑离目标网络距离近的机器，因为经过路由器的跳数少，效果好。而现在电信骨干节点之间的连接都是以G 为级别的，大城市之间更可以达到2.5G 的连接，这使得攻击可以从更远的地方或者其他城市发起，攻击者的傀儡机位置可以在分布在更大的范围，选择起来更灵活了。

二、堡垒主机防御DDoS 攻击

1．物理结构

DDoS 攻击的防御就是要切断它的攻击链，方法有两个：

1.1使攻击者得不到足够数量的受控主机发动具有足够威胁的攻击；1.2使攻击者攻击不到真正的目标。方法

1.2.1无法由我们控制，需要每个人提高安全防范意识，所以本

文主要介绍方法

1.2.2的实施办法。具体方法就是切断攻击流。堡垒主机布置如图1 所示的网络结构，在服务群区有Web、E-mail、DNS、FTP 等多个服务器，这些服务器是向外提供Internet 服务的，在服务群区同时也布置一些堡垒主机系统，这些堡垒系统中也分别配置成以上四种服务器中的一种，服务群区与Internet 用一个防火墙隔离。这些堡垒主机的作用是代替真实服务器接收由攻击傀儡机发送的攻击包。内部局域网被一个防火墙与DMZ 区隔离，包括若干台主机和伪装成存在安全漏洞的局域网主机的堡垒主机。在防火墙中同时运行人侵检测、攻击扫描和网络数据包的重定向机制

2．安全防范框架

2.1堡垒主机技术在防范DDoS 攻击中的作用：

2.1.1目前主流的防

火墙都有检测DDoS 攻击的功能，在防火墙检测到DDoS 攻击后启用重定向功能，将攻击流重定向到堡垒主机(切断攻击流)；

2.1.2同时堡垒

主机由于也配置有服务器相同的服务软件，并且由于堡垒主机系统具有相对容易攻击的特点，可以吸引黑客的攻击，稀释对受保护主机的攻击；

2.1.3吸引黑客人侵堡垒主机，以堡垒主机为控制傀儡机，由堡垒主机系统控制这些信息流(切断控制信息)；

2.1.4堡垒主机系统内安装安全日志，可以记录不同的攻击行为，以供学习。

2.2防火墙系统将攻击流量重定向到堡垒主机，由堡垒主机系统做出回应并进行日志记录。有些攻击可能突破防火墙，这时蜜罐就能起到混淆攻击者，诱骗这些攻击流进入堡垒系统。堡垒系统将这些攻击行为记录加密后发送到日志服务器，这台服务器是低交互并加固的，很难被人侵。

三、应用堡垒技术防御DoS 攻击的性能分析

对上述方案进行了攻击防范实验。攻击采用分布式的SYNFlood，设置攻击傀儡机的攻击速度从2.2Mbps 开始逐渐提高，网络带宽为100Mbps。服务器群由4 个真实系统和4 个伪装成服务器的堡垒主机组成。一旦防火墙发现攻击者在试图搜寻或入侵网络主机，就会通过地址重定向将这些信息发送到合适的堡垒主机，堡垒主机将根据初始设置向攻击者发送他所期待的应答，使攻击者认为该主机已经被控制。攻击者将使用这些“受控主机”，在堡垒主机上安装控制软件并向这些机器发送控制信息。入侵检测方法通过条件概率判断某一特定状态下系统中是否有入侵发生。首先定义n 个可以度量的系统特征值变量Ai，其中每个变量表示系统某个方面的特征。假定Ai 可以取2 个值：1 表示该值异常，0表示正常。I 表示系统当前遭受到攻击。每个度量的可靠性和敏感性分别表示为和P(Ai=1|I)和P(Ai=1|I)，结合这些概率，根据贝叶斯定理可以得出在给定每个Ai值的条件下，I 成立的可信度为：

P(I|A1,A2,…,An)= P(A1,A2,…，An|I)×

(1)又假定每个度量值Ai仅与I 有关，且与其他的度量值Aj 无关，

i≠j，则有：

P(A1,A2,…,An|I)= (2)

P(A1,A2,…,An|I)=(3)

从而可以得到：

P (A1,A2, … ,An)= P (A1,A2,… ,An|I)× P (I)+P (A1,A2,… ,An| I)×(4)

设攻击者在搜索和入侵有漏洞主机时，被人侵检测系统发现并重定向到蜜罐的概率为P1，一个网络中有普通主机数k，每一台主机被成功入侵的概率为P2，伪装成漏洞主机的堡垒主机数为g，可得到入侵真实主机成功的概率为P2(1-P1)k /(k+g)，入侵堡垒主机的概率是P1+(1-P1)g/(k+g)。可见采用上述方法能够明显降低攻击者通过入侵足够多的主机，发起高强度DDoS 攻击的概率，并能够有效地降低主机所受的攻击强度。

参考文献：

[1] 林涛.网络安全与管理[M].北京：电子工业出版社.2005.

[2] 沙桂兰. 浅谈校园网落安全控制策略[M]. 电脑知识与技术.

2007,3.

[3] 邓吉,柳靖.黑客攻防实战详解[M].北京:电子工业出版社,2006.

作者简介：肖清滔，男，1984年，硕士，助教，研究方向：信息管理，基于信息系统的数据挖掘、数据集成，知识管理。

注：文章内所有公式及图表请以PDF形式查看。