馬一杰

摘 要：本文以DDoS攻擊的基本理論為切入點(diǎn)，進(jìn)一步分析了電力二次系統(tǒng)的DDoS攻擊方式與攻擊風(fēng)險(xiǎn)，最后著重探討了電力二次系統(tǒng)DDoS攻擊的防御技術(shù)，以供參考借鑒。

關(guān)鍵詞：電力二次系統(tǒng);安全防護(hù);DDoS攻擊;防御技術(shù)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2019）09-0156-02

1 DDoS攻擊的基本理論

1.1 DDoS攻擊

DDoS（分布式拒絕服務(wù)）攻擊是通過(guò)利用服務(wù)器技術(shù)，控制多臺(tái)計(jì)算機(jī)成為攻擊平臺(tái)，并對(duì)單個(gè)或多個(gè)目標(biāo)實(shí)施攻擊，此種攻擊方式來(lái)勢(shì)十分迅猛，幾秒鐘就能激活成百上千臺(tái)電腦發(fā)起攻擊，使攻擊規(guī)模及威力突增。該種攻擊的攻擊方式十分多樣，但最根本最常用的是通過(guò)服務(wù)請(qǐng)求消耗系統(tǒng)服務(wù)資源，使其無(wú)法正常提供服務(wù)。

1.2 DDoS攻擊模型

DDoS攻擊模型主要分為三部分組成，包括攻擊者、主控端以及傀儡主機(jī)。其中，攻擊者作為控制整個(gè)攻擊過(guò)程的控制臺(tái)，其將攻擊命令發(fā)送至主控端進(jìn)行傳達(dá)，此處的主控端可以是網(wǎng)絡(luò)上被攻擊者入侵的任意主機(jī)。主控端在被攻擊者入侵后受到控制，其通過(guò)接收攻擊者的特定指令，并將這些特定的指令發(fā)送至其控制的傀儡機(jī)執(zhí)行攻擊命令。傀儡機(jī)同樣是受到攻擊者控制的被入侵主機(jī)，其在收到主控端的特定指令后，執(zhí)行命令并攻擊受害機(jī)。

DDoS的攻擊過(guò)程主要通過(guò)以下環(huán)節(jié)予以實(shí)現(xiàn)：第一，對(duì)主機(jī)進(jìn)行掃描。在互聯(lián)網(wǎng)上通過(guò)使用安全漏洞掃描工具進(jìn)行掃描，以便尋找其中安全系數(shù)較低的計(jì)算機(jī)實(shí)施入侵控制。第二，對(duì)主機(jī)實(shí)施入侵。在掃描過(guò)程中篩選可進(jìn)行入侵的主機(jī)，攻擊者通過(guò)某種方式獲取其控制權(quán)后，將后門程序及攻擊程序安裝至入侵主機(jī)，并將入侵主機(jī)分為攻擊的主控端及傀儡機(jī)，在整個(gè)入侵過(guò)程中，被控制的主機(jī)越多，后期實(shí)施攻擊的規(guī)模也就越大。第三，對(duì)受害主機(jī)發(fā)起攻擊。主控端及傀儡機(jī)通過(guò)攻擊者的控制攻擊目標(biāo)主機(jī)，入侵主機(jī)發(fā)送大量攻擊數(shù)據(jù)包占據(jù)并消耗受害主機(jī)的服務(wù)器系統(tǒng)資源，與此同時(shí)，限制受害主機(jī)相關(guān)的網(wǎng)絡(luò)設(shè)備，迫使其無(wú)法正常提供網(wǎng)絡(luò)服務(wù)。

2 電力二次系統(tǒng)的DDoS攻擊

2.1 DDoS攻擊方式

DDoS攻擊主要包括泛洪攻擊與畸形報(bào)文攻擊兩種形式。其中，泛洪攻擊是指攻擊者源源不斷向受害主機(jī)發(fā)送一些無(wú)用數(shù)據(jù)包，通過(guò)大量數(shù)據(jù)包占用受害主機(jī)帶寬、阻塞網(wǎng)絡(luò)、消耗系統(tǒng)資源;畸形報(bào)文攻擊是指攻擊者在獲取到系統(tǒng)軟件存在的漏洞后，將畸形數(shù)據(jù)包發(fā)送至服務(wù)器系統(tǒng)，促使其崩潰。而泛洪攻擊由于對(duì)系統(tǒng)的破壞較大，因此，也是DDoS攻擊中最為常見(jiàn)的攻擊方式。

2.1.1 泛洪攻擊

第一，SYN泛洪攻擊。該種攻擊方式是通過(guò)TCP/IP協(xié)議所存在的缺陷及漏洞，發(fā)送SYN報(bào)文至受害主機(jī)，但與此同時(shí)對(duì)于受害主機(jī)所發(fā)出的SYN+ACK報(bào)文攻擊端又不予以回應(yīng)，受害主機(jī)在接收不到ACK報(bào)文時(shí)，便進(jìn)入維護(hù)等待關(guān)閉連接階段，雖然這一階段耗時(shí)并不長(zhǎng)，但是如若攻擊者蓄意制造大量SYN報(bào)文數(shù)據(jù)，將會(huì)消耗受害主機(jī)大量資源，而達(dá)到攻擊的目的。第二，Smurf泛洪攻擊。利用網(wǎng)絡(luò)所具有的廣播功能及ICMP報(bào)文應(yīng)答功能，通過(guò)回應(yīng)產(chǎn)生大量數(shù)據(jù)包淹沒(méi)主機(jī)，導(dǎo)致受害主機(jī)網(wǎng)絡(luò)受阻。該攻擊通過(guò)將受害主機(jī)地址作為廣播地址并發(fā)送ICMP數(shù)據(jù)，一旦數(shù)據(jù)發(fā)送出去，那么所有處于廣播域內(nèi)的主機(jī)都會(huì)對(duì)做出回應(yīng)，所有回應(yīng)數(shù)據(jù)聚集形成大量流量回應(yīng)給受害主機(jī)，導(dǎo)致網(wǎng)絡(luò)受阻，攻擊受害主機(jī)。第三，Ping泛洪攻擊。該種攻擊方式是在短時(shí)間內(nèi)，通過(guò)不間斷向指定IP發(fā)送大量不接收回復(fù)的數(shù)據(jù)包，從而大量占用并消耗有限的系統(tǒng)資源，使得系統(tǒng)資源耗盡而面臨崩潰。第四，UDP泛洪攻擊。向目標(biāo)主機(jī)發(fā)送UDP數(shù)據(jù)包，若端口開(kāi)放則會(huì)返回UDP數(shù)據(jù)包，若端口未開(kāi)放則會(huì)相應(yīng)返回ICMP數(shù)據(jù)包。攻擊者正是抓住這一特性，將大量UDP數(shù)據(jù)發(fā)送至受害主機(jī)UDP端口，消耗受害主機(jī)系統(tǒng)大量資源，使主機(jī)系統(tǒng)面臨崩潰或死機(jī)。

2.1.2 畸形報(bào)文攻擊

第一，Ping of Death（死拼）攻擊。TCP/IP協(xié)議中明確指出最大報(bào)文數(shù)據(jù)包長(zhǎng)度不得超過(guò)65536字節(jié)，而攻擊者通過(guò)向目標(biāo)主機(jī)發(fā)送超大尺寸的ICMP報(bào)文實(shí)施攻擊，使目標(biāo)主機(jī)收到有缺陷的ICMP報(bào)文后，因處理方式不當(dāng)而導(dǎo)致主機(jī)出現(xiàn)宕機(jī)。第二，Tear Drop攻擊。攻擊者向受害主機(jī)發(fā)送分片IP報(bào)文，并故意設(shè)計(jì)成為錯(cuò)誤的有重疊偏移的數(shù)據(jù)包，而在收到這樣一個(gè)數(shù)據(jù)包并進(jìn)行處理時(shí)，就會(huì)導(dǎo)致主機(jī)系統(tǒng)出現(xiàn)崩潰。第三，Land Based攻擊。攻擊者將數(shù)據(jù)包源地址及目標(biāo)地址都設(shè)為受害主機(jī)地址，在將該數(shù)據(jù)包通過(guò)IP地址欺騙的方式發(fā)生至受害主機(jī)。在收到有問(wèn)題的數(shù)據(jù)包后，受害主機(jī)會(huì)嘗試與自己建立連接而陷入死循環(huán)，這種攻擊大大降低了系統(tǒng)性能，而無(wú)法為用戶提供正常服務(wù)。

2.2 DDoS攻擊風(fēng)險(xiǎn)

電力二次系統(tǒng)安全防護(hù)的建設(shè)應(yīng)堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基本原則。通過(guò)專用網(wǎng)絡(luò)的構(gòu)建，使被防護(hù)的二次系統(tǒng)與外網(wǎng)間的網(wǎng)絡(luò)連接有效分離，并通過(guò)專用物理隔離裝置，實(shí)現(xiàn)與外網(wǎng)的有效連接，實(shí)現(xiàn)了“物理隔離”。而通過(guò)物理隔離可以使各安全分區(qū)間網(wǎng)絡(luò)連接被阻斷，防止安全分區(qū)間通過(guò)網(wǎng)絡(luò)連接而受到攻擊。但是，攻擊者若不以安全分區(qū)為攻擊目標(biāo)，而是直接攻擊兩個(gè)安全分區(qū)間的正常通信，也會(huì)對(duì)電力的正常運(yùn)行造成影響。因此，攻擊風(fēng)險(xiǎn)分析如下：（1）雖然物理隔離對(duì)安全分區(qū)實(shí)施了保護(hù)，但隔離裝置與各安全分區(qū)間仍存在網(wǎng)絡(luò)連接，此時(shí)，攻擊者可能就會(huì)利用這一漏洞，對(duì)隔離裝置實(shí)施攻擊。（2）通過(guò)物理隔離裝置構(gòu)成的安全分區(qū)的通信鏈路，是各安全分區(qū)聯(lián)系的唯一通道，因此，也極易成為攻擊者的主要攻擊對(duì)象。（3）對(duì)關(guān)鍵鏈路實(shí)施DDoS攻擊時(shí)，可以使該鏈路主機(jī)及網(wǎng)絡(luò)設(shè)備失效，因此，攻擊關(guān)鍵鏈路，將會(huì)嚴(yán)重威脅電力二次系統(tǒng)主機(jī)及設(shè)備。（4）圖2安全Ⅲ區(qū)連接主要通過(guò)企業(yè)數(shù)據(jù)網(wǎng)，防護(hù)級(jí)別及信息安全技術(shù)偏低，加之因管理不善而導(dǎo)致企業(yè)數(shù)據(jù)網(wǎng)內(nèi)主機(jī)造成DDoS攻擊，使得安全Ⅰ區(qū)與Ⅲ區(qū)間的鏈路及物理隔離裝置也將面臨DDoS的攻擊風(fēng)險(xiǎn)。

3 電力二次系統(tǒng)DDoS攻擊的防御技術(shù)

3.1 攻擊預(yù)防

（1）被動(dòng)防護(hù)。站在被動(dòng)角度分析，為避免主機(jī)被攻擊者控制而淪為主控端或傀儡機(jī)，應(yīng)做好主機(jī)的安全防護(hù)工作，對(duì)此，相關(guān)安全管理人員可從以下幾點(diǎn)入手：首先，時(shí)常進(jìn)行系統(tǒng)漏洞掃描，修復(fù)漏洞，不斷更新系統(tǒng)安全補(bǔ)丁;其次，積極使用系統(tǒng)安全防護(hù)軟件，通過(guò)防病毒軟件及防火墻等，防止系統(tǒng)遭受外界攻擊;另外，有效提高安全監(jiān)測(cè)系統(tǒng)的質(zhì)量，以便及時(shí)發(fā)現(xiàn)主機(jī)網(wǎng)絡(luò)中的異常行為。（2）主動(dòng)防御。站在主動(dòng)角度分析，為防止DDOS攻擊對(duì)主機(jī)造成破壞，在未出現(xiàn)DDOS攻擊前，通過(guò)利用相關(guān)軟件對(duì)主機(jī)行為進(jìn)行判斷，并對(duì)疑似的攻擊行為實(shí)施截獲。但是，此種預(yù)防仍存在一定弊端，對(duì)于部分主機(jī)安全性能偏低，極易成為攻擊者的目標(biāo)而淪為傀儡機(jī)，因此，攻擊預(yù)防應(yīng)采用多種方式相結(jié)合的防御技術(shù)，全面保護(hù)主機(jī)的系統(tǒng)安全。

3.2 攻擊源回溯

攻擊源回溯主要用在攻擊過(guò)程中和攻擊之后，這里的具體方法主要指IP回溯。IP回溯常見(jiàn)的防御技術(shù)有鏈路測(cè)試、日志記錄、覆蓋網(wǎng)追蹤及數(shù)據(jù)包標(biāo)記。其中，鏈路測(cè)試是檢查與受害者聯(lián)系最近的路由器，逐級(jí)回溯至與攻擊者最接近的路由器。日志記錄是通過(guò)路由器對(duì)上游鏈路數(shù)據(jù)包信息予以記錄，然后對(duì)比提取的攻擊數(shù)據(jù)包，將攻擊數(shù)據(jù)包經(jīng)過(guò)的路由器逐級(jí)恢復(fù)，從而找到攻擊源。IP覆蓋網(wǎng)追蹤是將追蹤路由（TR）引入互聯(lián)網(wǎng)，通過(guò)動(dòng)態(tài)路由對(duì)攻擊行為進(jìn)行檢測(cè)，向ISP發(fā)送追蹤請(qǐng)求，ISP通過(guò)動(dòng)態(tài)配置將接入路由與TR構(gòu)建IP通道形成覆蓋網(wǎng)絡(luò)，然后TR管理員根據(jù)攻擊包檢測(cè)其源端口，并查找所對(duì)應(yīng)的路由器，以便實(shí)現(xiàn)追蹤。數(shù)據(jù)包標(biāo)記是通過(guò)數(shù)據(jù)包記錄路由器信息，當(dāng)受害主機(jī)接收到一些攻擊數(shù)據(jù)包后，便可重建攻擊路徑，查找攻擊源。

3.3 攻擊檢測(cè)與過(guò)濾

在DDoS攻擊時(shí)，攻擊檢測(cè)對(duì)攻擊及攻擊包予以識(shí)別，而攻擊過(guò)濾則對(duì)識(shí)別出的攻擊包分類并限速或丟棄。（1）攻擊檢測(cè)。首先，濫用檢測(cè)。將疑似對(duì)象對(duì)比入侵檢測(cè)規(guī)則，以判斷是否存在非法攻擊，與入侵規(guī)則相符判為攻擊，濫用檢測(cè)的準(zhǔn)確性雖高，但靈活性較差，與入侵規(guī)則不同的攻擊則無(wú)法檢測(cè)。其次，異常檢測(cè)。通過(guò)構(gòu)建統(tǒng)計(jì)概率模型，定義正常行為為異常檢測(cè)模型，提升正常行為標(biāo)準(zhǔn)，然后利用異常檢測(cè)模型對(duì)疑似對(duì)象的正常程度實(shí)施檢測(cè)，達(dá)不到標(biāo)準(zhǔn)的判為異常。此種檢測(cè)可對(duì)未知攻擊予以有效判斷，但數(shù)據(jù)分析量較大。（2）攻擊過(guò)濾。攻擊過(guò)濾關(guān)鍵在于對(duì)攻擊包過(guò)濾后所保留的正常服務(wù)的程度。最簡(jiǎn)單的過(guò)濾做法是對(duì)可疑數(shù)據(jù)包進(jìn)行丟棄或限速，在異常流量經(jīng)過(guò)一段時(shí)間持續(xù)超出限制值，就會(huì)對(duì)超出部分予以丟棄。

3.4 網(wǎng)絡(luò)入侵防御系統(tǒng)

網(wǎng)絡(luò)入侵防御系統(tǒng)是一種專業(yè)化、智能化的網(wǎng)絡(luò)入侵檢測(cè)與防御產(chǎn)品，其是一種主動(dòng)防御方式，通過(guò)與網(wǎng)絡(luò)關(guān)鍵路徑串聯(lián)，對(duì)入侵行為及攻擊數(shù)據(jù)包予以區(qū)分并過(guò)濾，避免攻擊后再防御而導(dǎo)致的損失。該系統(tǒng)一旦發(fā)現(xiàn)有攻擊行為，便能及時(shí)介入終止攻擊的進(jìn)一步蔓延，防止系統(tǒng)受到實(shí)質(zhì)性破壞。與防火墻技術(shù)相比，該系統(tǒng)能夠有效過(guò)濾未進(jìn)行定義的攻擊數(shù)據(jù)流量，對(duì)于出現(xiàn)的某些入侵攻擊能夠主動(dòng)防御，具有較高的靈活性;與傳統(tǒng)入侵檢測(cè)系統(tǒng)相比，該檢測(cè)系統(tǒng)通過(guò)主動(dòng)防御，能夠在未實(shí)施攻擊前便發(fā)出預(yù)警，同時(shí)能夠動(dòng)態(tài)過(guò)濾攻擊數(shù)據(jù)流量。

4 結(jié)語(yǔ)

互聯(lián)網(wǎng)技術(shù)的不斷進(jìn)步，使得DDoS攻擊形式愈來(lái)愈多，攻擊規(guī)模愈來(lái)愈大，攻擊頻度愈來(lái)愈高，造成的損失也愈來(lái)愈大，并成為現(xiàn)階段威脅互聯(lián)網(wǎng)安全的重要攻擊手段之一。因此，必須不斷提高電力二次系統(tǒng)安全防護(hù)的可靠性與安全性，實(shí)現(xiàn)電力系統(tǒng)的安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1] 馬艷潔，吳漾.大型數(shù)據(jù)中心如何防范新型DDoS攻擊[J].計(jì)算機(jī)安全，2014（11）：48-50.

[2] 魏玉人，徐育軍.DDoS攻擊及防御技術(shù)綜述[J].軟件導(dǎo)刊，2017，16（3）：173-175.