李森

隨著軍隊辦公自動化，作戰(zhàn)自動化的發(fā)展，邊防部隊計算機網(wǎng)絡已經(jīng)成為了邊防部隊平時、戰(zhàn)時進行指揮協(xié)調(diào)的主要平臺，因此高效、穩(wěn)定的網(wǎng)絡環(huán)境是保證邊防部隊平時訓練和作戰(zhàn)任務順利完成的重要條件。DDoS攻擊不以獲取邊防部隊計算機網(wǎng)絡中的信息為主要目的，而是通過DDoS攻擊來使得邊防部隊計算機網(wǎng)絡無法提供正常的服務。在邊防部隊計算機網(wǎng)絡中，由于DDoS攻擊破壞較大，防御困難，而且由于邊防部隊計算機網(wǎng)絡的防范意識較為單薄，用戶層次復雜，因此研究邊防部隊計算機網(wǎng)絡的DDoS攻擊防御對策更顯重要。

DDoS攻擊簡介

DDoS攻擊原理及流程

DoS攻擊，就是通過合理的手段請求過多的服務器資源，從而使得合法用戶無法正常獲得服務器所提供服務的攻擊手段。DDoS則是在DoS基礎上產(chǎn)生的一種攻擊方式，即通過大量的攻擊機器，來同時對服務器進行攻擊。

DDoS攻擊分成攻擊軟件安裝和攻擊實施兩個階段，進行DDoS攻擊時，一般都會經(jīng)過如下的幾個步驟：

了解目標情況。在一個大型的應用中，一般都會采用負載均衡技術，有很多臺服務器來提供服務，有時甚至采用四層、七層交換機來實現(xiàn)負載均衡。那么在進行攻擊時，攻擊者就需要更多的傀儡機來實現(xiàn)DDoS攻擊。

占領傀儡機。黑客會隨機掃描網(wǎng)絡中有數(shù)據(jù)庫漏洞、FTP漏洞、CGI漏洞等計算機，然后通過各種手段入侵計算機，并且獲得傀儡機的一個較高的權(quán)限。然后，利用FTP將DDoS攻擊程序上傳到傀儡機上，并通過這個攻擊程序來向被攻擊服務器進行攻擊。

實現(xiàn)攻擊。在占領了足夠多的傀儡機后，攻擊者就會控制傀儡機向被攻擊服務器發(fā)送請求，從而造成被攻擊服務器在短時間內(nèi)需要進行大量請求的響應，一旦超出了服務器的處理能力，那么就會造成服務器的癱瘓。

DDoS攻擊分類

DDoS攻擊多種多樣，按照不同的分類標準，DDoS攻擊可以分成不同的類別。根據(jù)自動化程度分可以分成手動、半自動和自動攻擊。根據(jù)攻擊弱點可以分成協(xié)議攻擊和暴力攻擊，協(xié)議攻擊即通過網(wǎng)絡協(xié)議弱點，采取相應的攻擊策略；暴力攻擊則是通過大量正常的請求來快速消耗服務器資源，從而實現(xiàn)對服務器的攻擊。根據(jù)攻擊頻率可以分成持續(xù)攻擊和變動頻率攻擊，持續(xù)攻擊即在發(fā)動攻擊后，就全力發(fā)起攻擊，因此在短時間內(nèi)形成大量攻擊；變動攻擊頻率攻擊，即采取速度逐漸加快或者頻率高低變化的方式對服務器進行攻擊。

DDoS攻擊分析

處于安全考慮，邊防部隊計算機網(wǎng)絡中所傳輸?shù)臄?shù)據(jù)大多是經(jīng)過加密的，為此，對邊防部隊計算網(wǎng)絡實施的攻擊大多是以癱瘓計算機網(wǎng)絡的Flood攻擊為主。Flood攻擊是一種暴力攻擊方式，通過大量的正常請求占用服務器資源，從而實現(xiàn)對服務器的攻擊。

PingFlood攻擊

即大量傀儡計算機向服務器發(fā)送大量的ping請求，從而使得服務器忙于處理這些請求而消耗掉大量的資源，最終可能導致服務器無法響應其它用戶請求，甚至死機。隨著信息技術的發(fā)展，PingFlood攻擊較少在邊防部隊計算機網(wǎng)絡攻擊中應用。

SynFlood攻擊

SynFlood利用了TCP協(xié)議三次握手的漏洞傀儡機向服務器發(fā)送的TCP數(shù)據(jù)包源IP地址是偽造的，在三次握手過程中第二步服務器所發(fā)送的SYN/ACK數(shù)據(jù)包永遠也到不了傀儡機上，從而服務器無法接收到客戶端所發(fā)送的ACK數(shù)據(jù)包。這種情況下，一般服務器會一段時間內(nèi)重復按照SYN數(shù)據(jù)包的源地址發(fā)送SYN/ACK數(shù)據(jù)包，使得服務器端在較長的一段時間內(nèi)需要維護一個很大的半連接列表，不僅需要進行繁忙的重復發(fā)送SYN/ACK操作，而無法響應正常用戶請求，同時還有可能由于半連接表長度過大，而導致數(shù)據(jù)溢出，最終造成服務器崩潰，造成邊防部隊計算機網(wǎng)絡中斷。

UDPFlood攻擊

UDP是一種無連接協(xié)議，在進行數(shù)據(jù)傳輸時，不需要建立客戶端與服務器的連接。因此，攻擊者可以隨意給服務器發(fā)送大量UDP數(shù)據(jù)包。當服務器接收到客戶端素所發(fā)送的UDP數(shù)據(jù)包之后，通過對UDP數(shù)據(jù)包的分析，如果在服務器上沒有找到正在等待該UDP數(shù)據(jù)包的應用程序，則向偽造源地址發(fā)送一個ICMP數(shù)據(jù)包，當足夠多的客戶端發(fā)送了足夠多的UDP數(shù)據(jù)包給服務器時，就會造成服務器的崩潰，最終造成部隊計算機網(wǎng)絡的中斷。

SMURF欺騙

這種攻擊方式結(jié)合了ICMP響應和IP欺騙的方式，在短時間內(nèi)形成大量、正常的服務器請求，最終導致服務器拒絕為正常的請求進行相應。其具體流程如下：攻擊者偽造服務器IP地址，向路由器發(fā)送一個IP廣播地址分組，在網(wǎng)絡中廣播一個echo請求，路由器在接收到這個廣播分組之后，會向網(wǎng)段中的所有主機廣播這個消息，由于消息的源地址為偽造的服務器地址，因此所有主機都會向服務器發(fā)送echo響應信息，如果所在的局域網(wǎng)較大，那么在短時間內(nèi)就有數(shù)百臺的主機向服務器發(fā)送echo請求消息。由于大多數(shù)的服務器都會優(yōu)先處理ICMP傳輸信息，為此短時間內(nèi)大量的echo信息就可以輕易的阻止服務器拒絕正常用戶的請求，從而使得邊防部隊局域網(wǎng)中斷。

防范策略

根據(jù)邊防部隊計算機網(wǎng)絡和DDoS的特點，可以采取如下的手段來提高邊防部隊計算機網(wǎng)絡的抗DDoS攻擊能力。

簡單服務，嚴格的訪問控制

簡單服務基于“越單一，越安全”原則，如果邊防部隊計算機網(wǎng)絡中的應用過多，一旦攻擊者找到其中某個應用的漏洞，就有可能獲取計算機足夠高的權(quán)限來發(fā)動攻擊。嚴格方位控制，即通過防火墻技術的支持，除非是被明確允許的行為，否則一律予以拒絕。

進行定期安全檢查

在具體的工作中，可以采用如下兩種工具來實現(xiàn)邊防部隊計算機網(wǎng)絡安全的檢查：入侵檢測工具?？梢詫崿F(xiàn)入侵蹤跡的實時監(jiān)測，同時也可以進行漏洞監(jiān)測，幫助管理員及時發(fā)現(xiàn)系統(tǒng)所存在的漏洞，以及及時了解網(wǎng)絡的異常情況。系統(tǒng)完整性監(jiān)測工具。

建立完善的報警機制

邊防部隊計算機網(wǎng)絡中的基準值主要包括錯誤數(shù)據(jù)包的數(shù)量和類型、各類數(shù)據(jù)包占總力量的比例、各類數(shù)據(jù)包的發(fā)送頻率、帶寬利用率等。通過正常時，對網(wǎng)絡進行多次測量來確定基準值，一旦這些參數(shù)發(fā)生變化，就及時通知管理員對網(wǎng)絡進行監(jiān)控，從而提高邊防部隊計算機網(wǎng)絡抵抗DDoS攻擊的能力。

日志記錄分析

日志記錄的分析是處理DDoS攻擊的主要手段之一，但是一般的日志記錄并沒有詳細信息，而且也缺乏對日志信息進行檢索和統(tǒng)計的手段。為此，網(wǎng)絡管理員應該采用其他輔助工具來進行日志的記錄和日志記錄的分析。當發(fā)現(xiàn)網(wǎng)絡中的以外事件，或者是基準值超標時，就可以通過日志記錄分析工具來實現(xiàn)快速定位，并且制定相應的解決措施，保證邊防部隊計算機網(wǎng)絡的安全。

邊防部隊計算機網(wǎng)絡對安全性要求極高，計算機網(wǎng)絡安全甚至可以決定一場戰(zhàn)爭的勝敗。由于邊防部隊計算機網(wǎng)絡的特點，網(wǎng)絡攻擊主要以DDoS攻擊為主，本文通過對邊防部隊計算機網(wǎng)絡中DDoS攻擊的分析，對邊防部隊計算機網(wǎng)絡如何防范DDoS攻擊進行了研究，從而為提高邊防部隊計算機網(wǎng)絡的安全性盡自己的一份努力。