| 资料库

请登录

注册

防御DDoS攻击,强化企业网络安全

2014-09-01 14:31:40 大云网 作者:邓丽娟
A A
【摘要】: 电力行业是国民经济的重要工业,随着信息化的快速发展和广泛应用,企业精益化管理的提出对网络安全的要求越来越高。本文阐述了DDoS攻击的原理,探索企业遭受DDoS攻击的防御对策,为保障企业网络安全提
【摘要】: 电力行业是国民经济的重要工业,随着信息化的快速发展和广泛应用,企业精益化管理的提出对网络安全的要求越来越高。本文阐述了DDoS攻击的原理,探索企业遭受DDoS攻击的防御对策,为保障企业网络安全提供了一定的思路。
【关键词】:DDoS攻击   网络安全   企业防御

1.   前言

随着我国企业信息化的快速发展,企业承载了许多商业应用,特别对于政府、金融、能源、运营商等企业而言,网络的持续、平稳、安全运行是至关重要的,这不仅仅关系到企业的业务运转以及盈利问题,还关系到一个对外公众的形象问题。信息网络技术给企业带来了极大的信息化发展空间的同时,也产生了许多网络安全问题,若处理不当,给企业造成的损失也是极大的。由习近平担任中央网络安全和信息化领导小组组长可以看出,我国网络安全依然有一定的提升空间,习近平提出的“没有网络安全就没有国家安全,没有信息化就没有现代化”,“努力把我国建设成为网络强国”等重要论断,把我国网络安全和信息化的重要性认识提到了一个新的高度。

2.   国内外信息网络安全现状分析

今年1月公安机关,运营商和网络安全厂商已经意识到网络攻击问题的严重性,由三方参加的在北京举办的防护网络黑客DDoS的高层研讨会上,提出了很多有建设性的意见。2014年3月23日,某供电局对外门户网站遭受连续的分布式拒绝服务攻击(简称DDoS攻击),互联网出口流量由原有正常的200GB左右达到高峰期的520GB(23日、24日的流量平均在400GB左右)。
棱镜"项目于2007年启动,美国前情报人员斯诺登前不久就透露,美国国家安全局曾入侵华为总部的服务器,还曾监控数位中国前任国家领导人和多个政府部门及银行,是我国互联网史上最严重的网络安全事件的序幕,波及范围不断扩大。同时,微软Windows XP“退役”引发中国两亿用户的安全顾虑,进一步警示中国信息安全形势严峻,网络安全再一次震撼的进入人们的视野。可见,企业对网络的要求不仅仅是网络的持续运行,还需要保证网络的安全性。

3.   什么是DDoS攻击?

DDoS即分布式拒绝服务,攻击者将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通俗的说,DoS攻击是最早出现的,和DDoS相比较,DoS就是“单挑”,两个机器比速度,比性能,如果攻击者的机器每秒能够发送20个数据包攻击对方,而对方的的机器性能和网络带宽都优于攻击者,每秒可接受100个这样的数据包,结果这样的攻击并没有给对方造成任何威胁,反而因为攻击者的机器CPU占用率过高而导致死机。而DDoS就是“群殴”,用很多机器分布式的对另一台机器发起攻击,后台由一位黑客控制,通过黑客的机器来占领很多的“肉鸡”,并且控制“肉鸡”来发动DDoS攻击,如果每台“肉鸡”发送20个数据包攻击,50台就发送了1000个数据包,迅速形成一个庞大的DoS攻击群,攻击力度远远大于被攻击的机器的承受力。DDoS攻击,是一种分布、协作大的规模攻击方式,这种暴力的攻击可以将原本处理能力很强的目标服务器攻陷,由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。
DDoS攻击可分为3层:攻击者、主控端、代理端,三者在攻击中扮演着不同的角色。(如图一所示)

 (1)攻击者:攻击者使用的计算机相当于攻击主控台,可以是网络上的任何一台主机,甚至可以是一个活动的便携机。攻击者操纵整个攻击过程,它向主控端发送攻击命令。
 (2)主控端:主控端是攻击者非法侵入并控制的一些主机,这些主机还分别控制大量的代理主机。攻击者在主控端主机的上面安装了特定的程序,因此它们可以接受攻击者发来的特殊指令,并且可以把这些命令发送到代理主机上。
 (3)代理端:代理端同样也是攻击者侵入并控制的一批主机,它接受和运行主控端发来的命令。代理端主机是攻击的执行者,真正向受害者主机发送攻击。
  攻击者发起DDoS攻击的第一步,就是寻找在Internet上有漏洞的主机,攻击者进入系统,在系统上安装后门程序,入侵并控制的主机越多,攻击队伍就越壮大。第二步在入侵主机上安装攻击程序,其中一部分主机充当攻击的主控端,一部分主机充当攻击的代理端。最后各部分主机各司其职,在攻击者的调遣下对攻击对象发起猛烈的攻击。由于攻击者是幕后操纵,在攻击的时候不会受到监控系统的追踪,IP不容易被发现,身份很难确定。

4. 预防和抵御DDoS的思路和措施

4.1望闻问切,确诊被DDoS了吗?

攻击造成的网络故障是比较明显的,例如网络带宽被大量的消耗,服务器的CPU和内存消耗大且快,网络利用率几乎接近100%,正常的服务响应很慢或完全无响应等现象。遇到上述情况时,很大可能是被攻击了,是什么攻击导致?根据以下异常现象分析,能够较准确地监测出DDoS攻击。
企业受到DDoS攻击的表现形式主要有两种,一种为流量攻击,即主要是针对网络带宽的攻击,故障表现为大量攻击包导致网络带宽被阻塞,合法网络包被攻击者的虚假攻击包淹没而无法到达主机;另一种为资源耗尽攻击,即如果是服务器被攻击,攻击者在进行DDoS攻击前要解析目标的主机名,BIND域名服务器能够记录这些请求,同时通过大量攻击包导致主机的内存被耗尽、系统服务器 CPU 利用率极高,处理速度缓慢,甚至宕机,CPU被内核及应用程序消耗殆尽而造成无法提供网络服务。
     如何判断网站是否遭受了流量攻击呢?可通过Ping命令来测试,如果平常工作是正常的,此时若发现Ping超时或丢包严重,则可能遭受了流量攻击,若发现和发起ping命令的主机接在同一交换机上的服务器也访问不了,基本可以确定是遭受了流量攻击。这样测试的前提是发起ping命令的主机到服务器主机之间的ICMP协议没有被路由器和防火墙等设备屏蔽。如果有相关设备被屏蔽,可采取Telnet主机服务器的网络服务端口来测试,若平时Ping主机服务器和接在同一交换机上的主机服务器都是正常的,突然都Ping不通了或者是丢包严重,在排除是网络故障因素导致的前提下,则很可能是遭受了流量攻击,同时,一旦遭受流量攻击,会发现用远程终端连接网站服务器会失败。
     相对于流量攻击而言,资源耗尽攻击要容易判断一些,如果平时Ping网站主机和访问网站都是正常的,发现突然网站访问非常缓慢或无法访问,但是还可以Ping通,则很可能遭受了资源耗尽攻击,此时若在服务器上用Netstat -na命令观察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等状态存在,而ESTABLISHED很少,则可判定很大可能是遭受了资源耗尽攻击。还有一种属于资源耗尽攻击的现象是,Ping自己的网站主机不通或者是丢包严重,而Ping与自己的主机在同一交换机上的服务器则正常,造成这种原因是网站主机遭受攻击后导致系统内核或某些应用程序CPU利用率达到100%无法回应Ping命令,实际上带宽还是有的,否则无法Ping通接在同一交换机上的主机。

4.2知己知彼,沉着应对DDoS攻击

目前比较流行的是SYN /ACK Flood攻击,这种攻击方法是经典最有效的DDoS方法,可攻击各种系统的网络服务,主要是通过向受害主机发送大量伪造源IP和源端口的SYN或ACK包,导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务,由于源IP和源端口都是伪造的,故追踪起来比较困难。此时故障的表现形式是,SYN数量大于100则是遭到了SYN Flood式的DDOS攻击,ACK数量大于500则遭受了ACK Flood式的DDOS攻击(下载站正常情况下也可能会达到1000个以上)。当然,SYN /ACK Flood攻击缺点是实施起来有一定难度,需要高带宽的主控端主机和代理端主机的支持。
防范此类攻击可以做以下几点措施: 1.使用代理技术或者使用缓存 ;2.加固服务器TCP/IP的协议栈,增加最大半连接数,缩短SYN、ACK的超时时间,使用SYN cookies 技术等 ;3. 使用防DDOS攻击的硬件设备和模块。
其它攻击如UDP Flood,这种攻击现象是UDP数量很少而带宽占用很大,则可能遭到了UDP Flood攻击。针对UDP Flood的攻击防护可以从以下几点来做: 1.增大网络带宽和服务器性能;2.路由器和防火墙设置UDP会话限制;3.利用SP的一些类似源地址过滤手段来丢弃没有回传路由的UDP请求。

4.3面对DDoS攻击,做好充分的准备

预防DDoS攻击必需要制定更严格的网络标准来解决。每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注重系统安全,避免被黑客和自动化的DDoS程序植入攻击程序,以免成为黑客攻击的帮凶。可采取以下方法做好预防工作。
(1)定期扫描网络节点,及早发现系统存在的攻击漏洞,及时对漏洞进行修补,及时安装系统补丁程序;
(2)配置防火墙,认真检查特权端口和非特权端口,提防错误配置造成的隐患,抵御DDoS攻击和其他一些攻击;
(3)充分利用网络设备,首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。遭受DDoS攻击以后,相对服务器的重启,网络路由器等网络设备的重启会快很多,而且路由器数据不会有太多的丢失,最大限度地降低DDoS的攻击产生的负面影响;
(4)服务器只开放服务端口,禁止那些不必要的网络服务。同时,网络管理员需要每天查看工作日志,保留并定期查看各种日志是预防攻击的好措施,即使遭受攻击也能及时准确采取应急措施;
(5)检查访问者的来源,利用Unicast Reverse Path Forwarding(单播反向路径转发)可以减少虚假IP地址的出现,挖掘出黑客攻击时的真正IP;
(6)限制SYN/ICMP流量,在防火墙上配置SYN/ICMP的最大流量来限制其所能占用的最大带宽;
(7)限制在防火墙外与网络文件共享,否则会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪;
(8)把网站做成静态页面,大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦。
4.4企业级防御DDoS
     互联网企业防御DDoS攻击,重点在于“事前预防,事中监控,事后总结”。监控需要具备多层监控、纵深防御的概念,从骨干网络、IDC入口网络的BPS、PPS、协议分布,负载均衡层的VIP新建连接数、TCP新建连接数状态、并发连接数,BPS、PPS到主机层的CPU状态,到业务层的业务处理量、业务连通性等多个点部署监控系统。即使某一个监控点失效,其他监控点也能够及时给出报警信息,多个监控点的信息结合分析,可以较准确地判断被攻击目标和攻击手法。
     一旦发现异常,企业应立即启动网络安全应急预案。应急队伍需要有足够全面的人员,至少包含领导小组、监控部门、运维部门、网络部门、安全部门、客服部门等,所有人员都需要2-3个备份。应急预案启动后,除了人工处理,网络的软硬件设备还应该包含一定的自动处理、半自动处理能力。例如,自动化的攻击分析,确定攻击类型,自动化、半自动化的防御策略,在安全人员到位之前,最先发现攻击的部门可以采取一些缓解措施。
    企业防御DDoS攻击,更多的准备是在攻击到来之前,需要重点保护好网络层。首先确保所有的路由器都能够屏蔽垃圾数据包,剔除掉一些不用的协议,比如ICMP。然后设置好防火墙,很显然,企业的网站不会让随机DNS服务器进行访问,所以没有必要允许UDP 53端口的数据包通过服务器。同时,还需要对边界网络进行一些设置,阻止一些没用的流量,保证能够得到一个最大的最通畅的带宽。当然,企业的防御点主要包含CDN节点部署、DNS设置、预案演习等,对于企业来说,具备多个CDN节点是DDoS防御容量的关键指标。当企业的机房承受能力面对海量数据攻击时,可以通过DNS轮询的方式,把流量引导到多个分布节点,使用防御设备分头处理。因此,DNS的TTL值需要设置得足够小,能够快速切换,每个CDN节点的各种VIP设置也需要充分准备。
  最后,在这些攻击到达企业网站前就要将它们拦截住。例如,目前企业网站大多数都应用了许多动态资源,在受到攻击的时候其实带宽是比较容易掌控的,但最终往往受到损失的是数据库或是运行的脚本程序,这时候企业可以使用缓存服务器来提供尽可能多的静态内容,同时快速用静态资源取代动态资源并确保检测系统正常运行。
  在虚拟化时代,各种用户的不同业务共处在相同的物理机平台,遭受DDoS攻击的可能性越来越高,而且一个用户被攻击可能牵扯到大量的其他用户,危害被显著放大,因此防御显得尤为重要。
综上所述,企业面对DDoS攻击,应该在攻击刚刚开始的时候就要有一套完整的预备方案,加强基础设施的建设,合理部署网络,强化网路设置,定期分析工作日志并持续监控网络,这些都是非常重要的,因为攻击一旦开始,想要从源头阻止DDoS是比较困难的。

五 总结

安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值,而网络最大的价值,是在于企业的信息化应用。对于能源行业来说,网络的持续、平稳、安全运行是至关重要的,无论是安全、性能还是故障性问题,不能快速解决,给企业带来的是难以衡量的损失。如何才能保障网络的畅通性与安全性,这对每一个企业都是巨大的挑战。
企业需要有居安思危的思想准备,有备无患才是长治久安之计。首先需要努力使员工的安全意识融入到企业的环境和文化中,建立网络安全策略及安全保障体系,强化防御方案,重视灾难备份建设,时刻注意系统运行情况,这样的防范和管理可以大大抵御攻击者的破坏力,让员工的工作效率得到提高,同时也间接的保障企业的安全生产,从而实现社会效益和经济效益的最大化,实现信息化与信息安全的同步发展。
 
参考文献:
【1】                黄文宇.  基于行为分布的DDoS攻击检测方法[D]. 北京化工大学,2010.
【2】                黄强.  基于分布式的DDoS攻击及防范技术研究[D]. 合肥工业大学,2011.
大云网官方微信售电那点事儿
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞

相关新闻