新形势下国有大型企业网络安全与反恐研究

【摘要】近年来，互联网技术得到空前的发展，突出表现在网络已经开始影响我们生活的方方面面。它不仅仅可以让我们了解发生在世界各个角落的事，而且还广泛地应用于企业，事业以及政府机关，有利地促进了各项事业的发展。然而，越来越多的互联网受到攻击，已经在危害到了企业的发展，一些黑客采用各种手段获得企业的商业机密，使互联网的安全性受到了质疑。这其中，Ddos指的是一种网站的入侵方式，一些客户借助于这样的程序侵入网站，从而达到破坏网站的目的。

【关键词】木马;网络安全;攻击技术;防范策略

1.引言

“Ddos”是分布式拒绝服务攻击的英文缩写，它主要是指以分散攻击源来来入侵网站的方式。DdoS有多种攻击方式，其主要是依赖于合理的服务请求来获得更多的服务资源，从而使合法用户得到相应的服务响应。DdoS进行攻击主要指的是在以往的DoS攻击基础之的一种新的攻击方式。单一的DoS主要是采用一对一的攻击方式，由于其攻击目标的CPU速度低、内存小或者网络带宽小等各项指标，所以它有非常明显的效果。在计算机得到全面发展的情况下，计算机有较好的处理能力，同时还出现了快速的网络，这极大地增加了Dos的攻击难度。从这时开始，分布式的拒绝服务攻击手段（DDoS）就开始出现了。DDoS利用了更多的傀儡机（肉鸡）来发起进攻，这相对于以往的攻击手段来说，规模更大。

2.DDoS攻击介绍

2.1 DDoS攻击概念

DDoS是一种以DoS为基础的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，它的主要攻击目标是其中比较大的站点，比如说商业公司，搜索引擎和政府部门的站点。要利用DoS进行攻击，我们只要一台单机和一个modem就可以实现，而与它不同的是DDoS攻击是借助于好几台甚至几十台机器来攻击一台机器，这样一来往往使受到攻击的机器来不及躲避，所以有极大的破坏性。高速广泛连接的网络不仅带给了用户极大的便利，也为DDoS攻击提供了良好的工作条件。在网络发展的早期，由于网速缓慢，黑客占领攻击用的傀儡机时，总是要选用那些目标距离相对比较近的机器，主要原因就在于经过其路由器的跳数不多，可以取得一定的攻击效果。而如今的电信骨干节点之间的连接都变成了以G为级别，对于一些城市而言，更是可以达到2.5G的网速，这使得攻击开始不受距离的约束，攻击者的傀儡机可以分布在离现在更远的距离的机器上，所以在选择对象上更加灵活了，而且还具有一定的危害性，为此我们接下来要了解一下这类攻击的主要工作原理。

2.2 攻击运行原理

图1 分布式拒绝服务攻击体系结构

图1是一个分布式的拒绝服务体系结构，其主要是由四部分组成。比较重要的是其中的第2，3二部分：它们可以用来进行控制和发起实际的进攻。在这里，要注意一下控制机和攻击机的区别，对第4部分的受害者而言，DDoS的实际攻击包基本上都是从第3部分的攻击傀儡机上发出的，第2部分只是负责发出一些攻击命令，但实际上并不参与攻击。对第2和第3部分的计算机，黑客有完全或者是部分的控制权力，同时还会把得到的DDoS程序传送到这些平台上，这些程序将会同正常程序一同等待来自于黑客的命令，而且往往还会采用各种手段来防止其被发现。在日常工作中，这些傀儡机器也不会有什么不同寻常之处，只是如果黑客与这些机器连接，并开始发出攻击命令时，攻击傀儡机就开始执行相应的程序，开始破坏其他的机器了。也许有人要认为黑客要直接去攻击傀儡机，而不是从控制傀儡机上转一下。这也就是为什么DDos攻击难以被发现的重大原因之一。做为攻击者而言，他们当然不希望自己被人发现，而且攻击者使用的傀儡机越多，他留下的线索就会越多。所以在进行攻击时，高水平的攻击者往往会考虑二个问题，其一是如何留好退路，其二是进行痕迹清理，也就是擦掉脚印，使自己所从事的操作难以让人发现。

3.DDoS的防范

到现在为止，对DDoS攻击进行防御还有相当大的难题。这主要是因为：其一，这种攻击的特点就是它完全地利用了TCP/IP协议的漏洞，除非大多数用户不利用TCP/IP，才可能会抵挡DDoS攻击。为此，有一位业内的安全专家打了一个比喻：DDoS就好象有1，000个人都在给你家里打进电话，而这时你的朋友能再打进来吗？在受到了DDoS攻击后，一些用户采用的是丢弃数据包的过滤手段。也就是更改数据流的传送方向，把其丢弃在数据“黑洞”中，从而达到阻止所有的数据流的目的。然而，采用这样的做法最大的缺点就在于所有的数据流无论是合法的还是非法的都要被丢弃，而且还要终止业务。数据包过滤和速率限制等措施都可以把所有的应用都关掉，从而拒绝为合法的用户提供相应的接口。这样做很明显达到了黑客的要求。既然“因噎废食”不可取，那么路由器、防火墙和入侵检测系统（IDS）的功效又怎样呢？根据应用情况来看，通过配置路由器过滤不必要的协议可以对简单的ping攻击以及无效的IP地址形成阻碍，然而如果要阻碍更复杂的嗅探攻击和使用有效IP地址发起的应用级攻击则显得力不从心。而防火墙可以起到阻挡相关的数据流的目的，不过与路由器一样，防火墙往往也没有反嗅探功能，所以防范手段仍然不可行。目前常见的IDS可以检测异常状况，但它难以自动配置，而是要高技术的专家进行手工调整才有效，所以难以对新出现的攻击做出快速的反应。

3.1 全局安全：充分遏制DDoS

如果我们深入地研究各种防范措施，并对DDoS攻击出现失效的原因进行分析，就不难发现变幻莫测的攻击来源和层出不穷的攻击手段是主要的问题所在。为了使这一问题得到彻底地解决，当前世界级的安全技术厂商已经开始达成了共识：那就是在网络中配备整体联动的安全体系，主要是利用软件与硬件的相互结合，深入网络的相关安全防范措施，以强化对网络的安全管理。我们可以以全局安全网络的解决方案为例，它在解决DDoS问题上是有一定的局限性的。

首先，对所有访问网络的行为都要进行注册，如果未经过注册的网络行为，则无法访问网络。利用了安全策略平台，管理员可以全面了解整个网络的运行情况，从而全面控制网络中出现的安全行为。在具体地对DDoS的攻击进行防范的过程中，每一个网络的访问行为都要进行合法性的检测，一旦由于这种原因出现了安全威胁，系统将会主动地利用其中的安全策略，并直接地对其进行阻止访问、限制该终端访问网络区域和限制该终端享用网络带宽速率的方式，将DDoS攻击发生的可能性和概率降到最低。在控制终端用户的安全问题上，能评估所有进入网络的用户系统的安全性，从而减少网络内终端用户成为DDoS攻击来源的威胁。从当用户终端接入网络时，安全客户端将会对客户的终端状态进行检测。一旦检测发现用户系统中存在一定的漏洞时，用户会就会从正常的网络中隔离开，并自动置于系统修复区域内，同时加以修复，直到完成系统规定的相关策略，才可以进入到正常的网络环境中。如此一来，不仅可以使网络内部各个终端产生安全隐患的威胁的可能性减少，也可以使网络内的各个终端用户的访问行为得以控制。通过在接入网络时要做好“健康检查”工作，DDoS再也不可以潜藏于网络中，并利用网络内的终端设备进行攻击。就用户而言，开展正常的业务是根本的利益所在。随着人们越来越依赖于internet网，DDoS攻击的危害性也越来越大了。

3.2 网络设备上的设置

对于企业网的网络设备，我们可以从防火墙与路由器上加以考虑。这两个设备是到外界的接口设备，在进行防DDoS的过程中，要注意这要付出多大的代价，以及是否值得这么做。

ISP/ICP为不少的中小企业提供了各种规模的主机托管业务，所以在防DDoS时，除了和企业管理员采用同样的手段以外，还要关注自己范围内的客户托管主机不要成为傀儡机。从客观上来看，这些托管主机的安全性都是比较差的，有的连基本的补丁都没有装上就进行工作，成为黑客最喜欢攻击的对象，主要就在于这台机器不管如何控制，都无法被其他人发现，它的安全管理明显偏弱;还不必说托管的主机都是高性能、高带宽的-简直就是为DDoS定制的。而如果是ISP的管理员，对其中的托管主机不存在直接的管理权力，所以往往必须要由客户来处理。在日常工作中，有很多客户与自己的托管主机服务商没有进行很好的配合，造成ISP管理员明知自己负责的一台托管主机成为了傀儡机，却无法改变这一格局的情况。而托管业务又是买方市场，ISP往往不敢去得罪客户。骨干网络运营商防范他们提供了互联网存在的物理基础。如果骨干网络运营商可以进行真诚合作，DDoS攻击就可以有效地阻止。在2000年yahoo等知名网站受到了攻击以后，美国的网络安全研究机构就开始考虑采用骨干运营商联手来应对DDoS攻击的方案。其实这一方法的思路比较简单，就是每家运营商在自己的出口路由器上进行源IP地址的验证，若在自己的路由表中没有到这个数据包源IP的路由，就可以不管这个包。根据这样的方法，可以阻止黑客利用伪造的源IP来进行DDoS攻击。然而这样做的最大缺点就在于会降低路由器的效率，这也是骨干运营商非常关注的重大问题，所以要在现实中使用这一思路还是有问题。

4.结束语

总的来说，要应对DDoS尽管有不少的措施可以使用，但是要找到一个既有效又切实可行的具体措施不可能在短时间内完成。然而，我们当前至少要维护好自己的网络与主机，而且保证自己的主机不成为他人攻击的对象或者是用来攻击另一主机的工具;其次，在自己的主机受到了攻击时，一定要保持头脑清醒，还要保留必要的证据，以促进后面的工作的开展。一个良好的网络和日志系统是十分有必要建立的，无论DDoS的防御的未来发展道路如何，这都会是一项比较复杂的系统工程，需要IT界的许多友人关注。

参考文献

[1]范斌.一种基于数据融合的DDoS入侵检测系统的设计与分析[J].科技信息（学术研究），2007（28）.

[2]范斌，胡志刚，张健.一种基于数据融合的DDoS入侵检测系统的设计[J].科技信息（学术研究），2007（32）.

[3]张乾，桑军.Linux环境下基于正则表达式的DDoS防御研究[J].软件导刊，2010（02）.

[4]石景山.利用路由器防御DoS攻击[J].福建电脑，2010 （10）.

作者简介：胡勃，男，现供职于中石油乌鲁木齐分公司，研究方向：网络安全。