徐子嘉

摘 要：隨著信息技術(shù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)得到廣泛應(yīng)用。其具有的開放性、共享性以及復(fù)雜性等特點(diǎn)，給用戶網(wǎng)絡(luò)安全帶來一定的威脅，尤其是網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，給企業(yè)帶來了一定的威脅也給人們工作、學(xué)習(xí)帶來不利影響。因此，探究網(wǎng)絡(luò)攻防平臺及防火墻的設(shè)計(jì)與實(shí)現(xiàn)具有重要意義，為保障網(wǎng)絡(luò)系統(tǒng)安全奠定良好基礎(chǔ)。

關(guān)鍵詞：網(wǎng)絡(luò)攻防；防火墻；設(shè)計(jì)；系統(tǒng)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2017）05-0016-01

由于當(dāng)前網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)發(fā)展之間差距較大，網(wǎng)絡(luò)安全問題頻繁發(fā)生，給各個(gè)企業(yè)單位的網(wǎng)絡(luò)安全造成巨大威脅。網(wǎng)絡(luò)攻防平臺及防火墻設(shè)計(jì)是保障網(wǎng)絡(luò)完全的重要部分，其對保障網(wǎng)絡(luò)安全發(fā)揮重要作用。本文針對首先分析了網(wǎng)絡(luò)攻防平臺的設(shè)計(jì)，探討了防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)。

1 DoS/DDos攻擊的原理與防范

1.1 DoS/DDos攻擊原理

拒絕服務(wù)攻擊是建立在TCP/IP協(xié)議的弱點(diǎn)與系統(tǒng)存在的漏洞的基礎(chǔ)上，其主要是利用合理的服務(wù)請求，使網(wǎng)絡(luò)帶寬和服務(wù)器資源占用過多，實(shí)現(xiàn)正常的連接請求沒有辦法回應(yīng)。DoS最為常見的有這幾種：SYN Flood 攻擊、Land攻擊、Smurf攻擊、UDP攻擊等[1]。

DDoS的攻擊主要分為三個(gè)部分，分別為攻擊者、主控端、代理端，這三個(gè)部分在攻擊中發(fā)揮著不同功效。其中攻擊者使用攻擊主控臺，其不僅可以是網(wǎng)絡(luò)上任意主機(jī)，也可以是一個(gè)活動(dòng)便攜機(jī)。攻擊者對整個(gè)攻擊過程發(fā)揮主導(dǎo)作用。主控端是攻擊者非法入侵并控制的主機(jī)，其還能控制其它代理主機(jī)。主控端主機(jī)能對攻擊者發(fā)來的指令作出回應(yīng)，并將命令傳送至代理主機(jī)。代理端也是攻擊者侵入并控制的一批主機(jī)，其能夠?qū)χ骺囟税l(fā)來的命令作出回應(yīng)，代理端主機(jī)主要發(fā)揮執(zhí)行作用，是向受害者發(fā)送攻擊的一個(gè)部分。

攻擊者發(fā)起DDoS攻擊首要步驟是在找尋存在漏洞的主機(jī)，之后對主機(jī)的系統(tǒng)對后面程序安裝，在入侵主機(jī)上安裝攻擊程序，主控端、代理端分別是其中兩個(gè)部分，并完成各自的職責(zé)。

DoS、DDos攻擊的目的有：（1）網(wǎng)絡(luò)帶寬的流量攻擊；（2）對服務(wù)器某特定服務(wù)的攻擊。攻擊方法為發(fā)送垃圾數(shù)據(jù)，使資源占用超出正常范圍，從而導(dǎo)致網(wǎng)絡(luò)中斷的現(xiàn)象。

由于DoS、DDos是建立在網(wǎng)絡(luò)協(xié)議的缺陷上，因此，對消除攻擊危害的完全消除具有一定的困難。從本質(zhì)上來講，不論是帶寬還是服務(wù)其資源有限的系統(tǒng)，在DoS、DDos的基礎(chǔ)上都會(huì)遭到攻擊威脅。暴力型DDoS攻擊是一種具有較強(qiáng)攻擊性的特點(diǎn)，先進(jìn)的防火墻也無法發(fā)揮作用。

將SNMP代理應(yīng)用網(wǎng)絡(luò)設(shè)備中，對檢查網(wǎng)絡(luò)設(shè)備的異常發(fā)揮重要作用，通過預(yù)定的或用戶的命令，可以采用入口過濾、出口過濾等操作應(yīng)用網(wǎng)絡(luò)信息中，為達(dá)到防范Dos攻擊的目的奠定基礎(chǔ)。

比如，當(dāng)傳送器檢測到網(wǎng)絡(luò)系統(tǒng)出現(xiàn)異常時(shí)，就會(huì)出現(xiàn)報(bào)警的報(bào)文，用戶在這時(shí)就會(huì)按預(yù)先的設(shè)定作出相應(yīng)的防范對策，對不必要的服務(wù)應(yīng)關(guān)閉，將具有攻擊性的報(bào)文丟棄等。

1.2 常規(guī)安全檢測與防范

常規(guī)檢測與防范主要針對于網(wǎng)絡(luò)中所有服務(wù)器和客戶機(jī)的，其是保證網(wǎng)絡(luò)安全的重要部分。假如所有計(jì)算機(jī)都具有良好的防范安全性質(zhì)，那么DDoS攻擊發(fā)生的概率將逐漸降低。

對于實(shí)際生活中DoS、DDoS攻擊的檢測，可以通過Ping命令、an命令來實(shí)現(xiàn)[2]。一旦發(fā)現(xiàn)網(wǎng)絡(luò)速度較之前存在異常，應(yīng)用Ping命令來查看是否出現(xiàn)超時(shí)現(xiàn)象，是否是遭受流量攻擊等。假如Ping命令測試某服務(wù)器時(shí)沒有顯著的異常，但是計(jì)算機(jī)卻無法打開網(wǎng)頁，而Ping同一交換機(jī)上的其他主機(jī)正常，那么極大可能是由于資源耗盡所致。在服務(wù)器上執(zhí)行Netstat-an命令，假如存著著YYN-RECEIVED等情況，而出現(xiàn)ESTABLISHED的情況較少，就可以確定是由于資源耗盡造成。

對于提高網(wǎng)絡(luò)服務(wù)器的抵抗力的方法有這幾種：（1）對服務(wù)器硬件配置的提升，并將網(wǎng)絡(luò)寬帶提高；（2）將不必要的服務(wù)進(jìn)行關(guān)閉；（3）對于同時(shí)打開的SYN不完整連接數(shù)量進(jìn)行限制；（4）減少SYN超時(shí)時(shí)間；（5）進(jìn)行Windows Updata自動(dòng)更新，并使補(bǔ)丁程序進(jìn)行及時(shí)安裝；（6）安裝最新的殺毒軟件：（7）將較為復(fù)雜的密碼作為管理員賬號。

2 網(wǎng)絡(luò)攻擊子系統(tǒng)的設(shè)計(jì)

網(wǎng)絡(luò)攻擊子系統(tǒng)是對常見網(wǎng)絡(luò)攻擊操作展開的模擬，對用戶提供良好的接口及豐富的攻擊工具，其對用戶更好的進(jìn)行網(wǎng)絡(luò)攻擊實(shí)驗(yàn)提供有利條件保障[2]。網(wǎng)絡(luò)攻擊子系統(tǒng)由多個(gè)部分組成，其中包括DDOS攻擊模塊、漏洞掃描模塊、ARP欺騙模塊、網(wǎng)絡(luò)嗅探模塊等。這些系統(tǒng)對實(shí)現(xiàn)目標(biāo)系統(tǒng)的一些典型網(wǎng)絡(luò)攻擊行為發(fā)揮重要作用。網(wǎng)絡(luò)漏洞是其中的重要部分，它是建立在攻擊源碼的基礎(chǔ)上，在實(shí)際應(yīng)用中需要修改漏洞源碼才能發(fā)揮攻擊作用。在設(shè)計(jì)網(wǎng)絡(luò)攻擊子系統(tǒng)中應(yīng)用二次開發(fā)接口，能夠有效實(shí)現(xiàn)修漏洞利用攻擊源碼。

3 結(jié)語

由于網(wǎng)絡(luò)具有的開放性、共享性等特點(diǎn)，導(dǎo)致網(wǎng)絡(luò)安全的問題時(shí)常出現(xiàn)，“網(wǎng)絡(luò)黑客”攻擊事件頻繁發(fā)生，給各個(gè)企業(yè)單位的網(wǎng)絡(luò)安全造成巨大威脅。網(wǎng)絡(luò)攻防平臺及防火墻的設(shè)計(jì)與實(shí)現(xiàn)能夠有效解決這一問題，其為保障計(jì)算機(jī)網(wǎng)絡(luò)安全奠定良好基礎(chǔ)。

參考文獻(xiàn)

[1]孔紅山，唐俊，張明清.基于SITL的網(wǎng)絡(luò)攻防仿真平臺的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用研究，2011，07：2715-2718.

[2]崔陽華.基于Openstack的網(wǎng)絡(luò)攻防實(shí)驗(yàn)平臺設(shè)計(jì)與實(shí)現(xiàn)[J].山東工業(yè)技術(shù)，2015，04：130.