www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

防御DDoS攻擊,強化企業網絡安全

2014-09-01 14:31:40 大云網 作者:鄧麗娟  點擊量: 評論 (0)
【摘要】: 電力行業是國民經濟的重要工業,隨著信息化的快速發展和廣泛應用,企業精益化管理的提出對網絡安全的要求越來越高。本文闡述了DDoS攻擊的原理,探索企業遭受DDoS攻擊的防御對策,為保障企業網絡安全提
【摘要】: 電力行業是國民經濟的重要工業,隨著信息化的快速發展和廣泛應用,企業精益化管理的提出對網絡安全的要求越來越高。本文闡述了DDoS攻擊的原理,探索企業遭受DDoS攻擊的防御對策,為保障企業網絡安全提供了一定的思路。
【關鍵詞】:DDoS攻擊   網絡安全   企業防御

1.   前言

隨著我國企業信息化的快速發展,企業承載了許多商業應用,特別對于政府、金融、能源、運營商等企業而言,網絡的持續、平穩、安全運行是至關重要的,這不僅僅關系到企業的業務運轉以及盈利問題,還關系到一個對外公眾的形象問題。信息網絡技術給企業帶來了極大的信息化發展空間的同時,也產生了許多網絡安全問題,若處理不當,給企業造成的損失也是極大的。由習近平擔任中央網絡安全和信息化領導小組組長可以看出,我國網絡安全依然有一定的提升空間,習近平提出的“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化”,“努力把我國建設成為網絡強國”等重要論斷,把我國網絡安全和信息化的重要性認識提到了一個新的高度。

2.   國內外信息網絡安全現狀分析

今年1月公安機關,運營商和網絡安全廠商已經意識到網絡攻擊問題的嚴重性,由三方參加的在北京舉辦的防護網絡黑客DDoS的高層研討會上,提出了很多有建設性的意見。2014年3月23日,某供電局對外門戶網站遭受連續的分布式拒絕服務攻擊(簡稱DDoS攻擊),互聯網出口流量由原有正常的200GB左右達到高峰期的520GB(23日、24日的流量平均在400GB左右)。
棱鏡"項目于2007年啟動,美國前情報人員斯諾登前不久就透露,美國國家安全局曾入侵華為總部的服務器,還曾監控數位中國前任國家領導人和多個政府部門及銀行,是我國互聯網史上最嚴重的網絡安全事件的序幕,波及范圍不斷擴大。同時,微軟Windows XP“退役”引發中國兩億用戶的安全顧慮,進一步警示中國信息安全形勢嚴峻,網絡安全再一次震撼的進入人們的視野。可見,企業對網絡的要求不僅僅是網絡的持續運行,還需要保證網絡的安全性。

3.   什么是DDoS攻擊?

DDoS即分布式拒絕服務,攻擊者將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動DDoS攻擊,從而成倍地提高拒絕服務攻擊的威力。通俗的說,DoS攻擊是最早出現的,和DDoS相比較,DoS就是“單挑”,兩個機器比速度,比性能,如果攻擊者的機器每秒能夠發送20個數據包攻擊對方,而對方的的機器性能和網絡帶寬都優于攻擊者,每秒可接受100個這樣的數據包,結果這樣的攻擊并沒有給對方造成任何威脅,反而因為攻擊者的機器CPU占用率過高而導致死機。而DDoS就是“群毆”,用很多機器分布式的對另一臺機器發起攻擊,后臺由一位黑客控制,通過黑客的機器來占領很多的“肉雞”,并且控制“肉雞”來發動DDoS攻擊,如果每臺“肉雞”發送20個數據包攻擊,50臺就發送了1000個數據包,迅速形成一個龐大的DoS攻擊群,攻擊力度遠遠大于被攻擊的機器的承受力。DDoS攻擊,是一種分布、協作大的規模攻擊方式,這種暴力的攻擊可以將原本處理能力很強的目標服務器攻陷,由于容易實施、難以防范、難以追蹤等而成為最難解決的網絡安全問題之一,給網絡社會帶來了極大的危害。
DDoS攻擊可分為3層:攻擊者、主控端、代理端,三者在攻擊中扮演著不同的角色。(如圖一所示)

 (1)攻擊者:攻擊者使用的計算機相當于攻擊主控臺,可以是網絡上的任何一臺主機,甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程,它向主控端發送攻擊命令。
 (2)主控端:主控端是攻擊者非法侵入并控制的一些主機,這些主機還分別控制大量的代理主機。攻擊者在主控端主機的上面安裝了特定的程序,因此它們可以接受攻擊者發來的特殊指令,并且可以把這些命令發送到代理主機上。
 (3)代理端:代理端同樣也是攻擊者侵入并控制的一批主機,它接受和運行主控端發來的命令。代理端主機是攻擊的執行者,真正向受害者主機發送攻擊。
  攻擊者發起DDoS攻擊的第一步,就是尋找在Internet上有漏洞的主機,攻擊者進入系統,在系統上安裝后門程序,入侵并控制的主機越多,攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序,其中一部分主機充當攻擊的主控端,一部分主機充當攻擊的代理端。最后各部分主機各司其職,在攻擊者的調遣下對攻擊對象發起猛烈的攻擊。由于攻擊者是幕后操縱,在攻擊的時候不會受到監控系統的追蹤,IP不容易被發現,身份很難確定。

4. 預防和抵御DDoS的思路和措施

4.1望聞問切,確診被DDoS了嗎?

攻擊造成的網絡故障是比較明顯的,例如網絡帶寬被大量的消耗,服務器的CPU和內存消耗大且快,網絡利用率幾乎接近100%,正常的服務響應很慢或完全無響應等現象。遇到上述情況時,很大可能是被攻擊了,是什么攻擊導致?根據以下異常現象分析,能夠較準確地監測出DDoS攻擊。
企業受到DDoS攻擊的表現形式主要有兩種,一種為流量攻擊,即主要是針對網絡帶寬的攻擊,故障表現為大量攻擊包導致網絡帶寬被阻塞,合法網絡包被攻擊者的虛假攻擊包淹沒而無法到達主機;另一種為資源耗盡攻擊,即如果是服務器被攻擊,攻擊者在進行DDoS攻擊前要解析目標的主機名,BIND域名服務器能夠記錄這些請求,同時通過大量攻擊包導致主機的內存被耗盡、系統服務器 CPU 利用率極高,處理速度緩慢,甚至宕機,CPU被內核及應用程序消耗殆盡而造成無法提供網絡服務。
     如何判斷網站是否遭受了流量攻擊呢?可通過Ping命令來測試,如果平常工作是正常的,此時若發現Ping超時或丟包嚴重,則可能遭受了流量攻擊,若發現和發起ping命令的主機接在同一交換機上的服務器也訪問不了,基本可以確定是遭受了流量攻擊。這樣測試的前提是發起ping命令的主機到服務器主機之間的ICMP協議沒有被路由器和防火墻等設備屏蔽。如果有相關設備被屏蔽,可采取Telnet主機服務器的網絡服務端口來測試,若平時Ping主機服務器和接在同一交換機上的主機服務器都是正常的,突然都Ping不通了或者是丟包嚴重,在排除是網絡故障因素導致的前提下,則很可能是遭受了流量攻擊,同時,一旦遭受流量攻擊,會發現用遠程終端連接網站服務器會失敗。
     相對于流量攻擊而言,資源耗盡攻擊要容易判斷一些,如果平時Ping網站主機和訪問網站都是正常的,發現突然網站訪問非常緩慢或無法訪問,但是還可以Ping通,則很可能遭受了資源耗盡攻擊,此時若在服務器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在,而ESTABLISHED很少,則可判定很大可能是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現象是,Ping自己的網站主機不通或者是丟包嚴重,而Ping與自己的主機在同一交換機上的服務器則正常,造成這種原因是網站主機遭受攻擊后導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令,實際上帶寬還是有的,否則無法Ping通接在同一交換機上的主機。

4.2知己知彼,沉著應對DDoS攻擊

目前比較流行的是SYN /ACK Flood攻擊,這種攻擊方法是經典最有效的DDoS方法,可攻擊各種系統的網絡服務,主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK包,導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務,由于源IP和源端口都是偽造的,故追蹤起來比較困難。此時故障的表現形式是,SYN數量大于100則是遭到了SYN Flood式的DDOS攻擊,ACK數量大于500則遭受了ACK Flood式的DDOS攻擊(下載站正常情況下也可能會達到1000個以上)。當然,SYN /ACK Flood攻擊缺點是實施起來有一定難度,需要高帶寬的主控端主機和代理端主機的支持。
防范此類攻擊可以做以下幾點措施: 1.使用代理技術或者使用緩存 ;2.加固服務器TCP/IP的協議棧,增加最大半連接數,縮短SYN、ACK的超時時間,使用SYN cookies 技術等 ;3. 使用防DDOS攻擊的硬件設備和模塊。
其它攻擊如UDP Flood,這種攻擊現象是UDP數量很少而帶寬占用很大,則可能遭到了UDP Flood攻擊。針對UDP Flood的攻擊防護可以從以下幾點來做: 1.增大網絡帶寬和服務器性能;2.路由器和防火墻設置UDP會話限制;3.利用SP的一些類似源地址過濾手段來丟棄沒有回傳路由的UDP請求。

4.3面對DDoS攻擊,做好充分的準備

預防DDoS攻擊必需要制定更嚴格的網絡標準來解決。每臺網絡設備或主機都需要隨時更新其系統漏洞、關閉不需要的服務、安裝必要的防毒和防火墻軟件、隨時注重系統安全,避免被黑客和自動化的DDoS程序植入攻擊程序,以免成為黑客攻擊的幫兇。可采取以下方法做好預防工作。
(1)定期掃描網絡節點,及早發現系統存在的攻擊漏洞,及時對漏洞進行修補,及時安裝系統補丁程序;
(2)配置防火墻,認真檢查特權端口和非特權端口,提防錯誤配置造成的隱患,抵御DDoS攻擊和其他一些攻擊;
(3)充分利用網絡設備,首先要保證網絡設備不能成為瓶頸,因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。遭受DDoS攻擊以后,相對服務器的重啟,網絡路由器等網絡設備的重啟會快很多,而且路由器數據不會有太多的丟失,最大限度地降低DDoS的攻擊產生的負面影響;
(4)服務器只開放服務端口,禁止那些不必要的網絡服務。同時,網絡管理員需要每天查看工作日志,保留并定期查看各種日志是預防攻擊的好措施,即使遭受攻擊也能及時準確采取應急措施;
(5)檢查訪問者的來源,利用Unicast Reverse Path Forwarding(單播反向路徑轉發)可以減少虛假IP地址的出現,挖掘出黑客攻擊時的真正IP;
(6)限制SYN/ICMP流量,在防火墻上配置SYN/ICMP的最大流量來限制其所能占用的最大帶寬;
(7)限制在防火墻外與網絡文件共享,否則會使黑客有機會截獲系統文件,并以特洛伊木馬替換它,文件傳輸功能無異將陷入癱瘓;
(8)把網站做成靜態頁面,大量事實證明,把網站盡可能做成靜態頁面,不僅能大大提高抗攻擊能力,而且還給黑客入侵帶來不少麻煩。
4.4企業級防御DDoS
     互聯網企業防御DDoS攻擊,重點在于“事前預防,事中監控,事后總結”。監控需要具備多層監控、縱深防御的概念,從骨干網絡、IDC入口網絡的BPS、PPS、協議分布,負載均衡層的VIP新建連接數、TCP新建連接數狀態、并發連接數,BPS、PPS到主機層的CPU狀態,到業務層的業務處理量、業務連通性等多個點部署監控系統。即使某一個監控點失效,其他監控點也能夠及時給出報警信息,多個監控點的信息結合分析,可以較準確地判斷被攻擊目標和攻擊手法。
     一旦發現異常,企業應立即啟動網絡安全應急預案。應急隊伍需要有足夠全面的人員,至少包含領導小組、監控部門、運維部門、網絡部門、安全部門、客服部門等,所有人員都需要2-3個備份。應急預案啟動后,除了人工處理,網絡的軟硬件設備還應該包含一定的自動處理、半自動處理能力。例如,自動化的攻擊分析,確定攻擊類型,自動化、半自動化的防御策略,在安全人員到位之前,最先發現攻擊的部門可以采取一些緩解措施。
    企業防御DDoS攻擊,更多的準備是在攻擊到來之前,需要重點保護好網絡層。首先確保所有的路由器都能夠屏蔽垃圾數據包,剔除掉一些不用的協議,比如ICMP。然后設置好防火墻,很顯然,企業的網站不會讓隨機DNS服務器進行訪問,所以沒有必要允許UDP 53端口的數據包通過服務器。同時,還需要對邊界網絡進行一些設置,阻止一些沒用的流量,保證能夠得到一個最大的最通暢的帶寬。當然,企業的防御點主要包含CDN節點部署、DNS設置、預案演習等,對于企業來說,具備多個CDN節點是DDoS防御容量的關鍵指標。當企業的機房承受能力面對海量數據攻擊時,可以通過DNS輪詢的方式,把流量引導到多個分布節點,使用防御設備分頭處理。因此,DNS的TTL值需要設置得足夠小,能夠快速切換,每個CDN節點的各種VIP設置也需要充分準備。
  最后,在這些攻擊到達企業網站前就要將它們攔截住。例如,目前企業網站大多數都應用了許多動態資源,在受到攻擊的時候其實帶寬是比較容易掌控的,但最終往往受到損失的是數據庫或是運行的腳本程序,這時候企業可以使用緩存服務器來提供盡可能多的靜態內容,同時快速用靜態資源取代動態資源并確保檢測系統正常運行。
  在虛擬化時代,各種用戶的不同業務共處在相同的物理機平臺,遭受DDoS攻擊的可能性越來越高,而且一個用戶被攻擊可能牽扯到大量的其他用戶,危害被顯著放大,因此防御顯得尤為重要。
綜上所述,企業面對DDoS攻擊,應該在攻擊剛剛開始的時候就要有一套完整的預備方案,加強基礎設施的建設,合理部署網絡,強化網路設置,定期分析工作日志并持續監控網絡,這些都是非常重要的,因為攻擊一旦開始,想要從源頭阻止DDoS是比較困難的。

五 總結

安全是網絡賴以生存的保障,只有安全得到保障,網絡才能實現自身的價值,而網絡最大的價值,是在于企業的信息化應用。對于能源行業來說,網絡的持續、平穩、安全運行是至關重要的,無論是安全、性能還是故障性問題,不能快速解決,給企業帶來的是難以衡量的損失。如何才能保障網絡的暢通性與安全性,這對每一個企業都是巨大的挑戰。
企業需要有居安思危的思想準備,有備無患才是長治久安之計。首先需要努力使員工的安全意識融入到企業的環境和文化中,建立網絡安全策略及安全保障體系,強化防御方案,重視災難備份建設,時刻注意系統運行情況,這樣的防范和管理可以大大抵御攻擊者的破壞力,讓員工的工作效率得到提高,同時也間接的保障企業的安全生產,從而實現社會效益和經濟效益的最大化,實現信息化與信息安全的同步發展。
 
參考文獻:
【1】                黃文宇.  基于行為分布的DDoS攻擊檢測方法[D]. 北京化工大學,2010.
【2】                黃強.  基于分布式的DDoS攻擊及防范技術研究[D]. 合肥工業大學,2011.
大云網官方微信售電那點事兒

責任編輯:葉雨田

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
?
主站蜘蛛池模板: 国产亚洲三级| 国产精品欧美亚洲韩国日本不卡| 精品视频一区在线观看| 最新国产精品亚洲二区| 日本午夜小视频| 国产在线欧美日韩一区二区| 99精品在线| 欧美色网在线| 18岁禁黄色| 老司机毛片| 99re9精品视频在线| 青青热在线精品视频免费| 成人a网站| 久久精品视| 中美日韩在线网免费毛片视频| 欧美成人精品福利在线视频| 一级aaa级毛片午夜在线播放| 久久精品国产一区二区三区日韩| bt天堂午夜国产精品| 欧美日韩一区二区三区视视频 | 精品一区二区三区在线视频 | 欧美精品亚洲精品日韩专区 | 一区二区成人国产精品| 久久成人精品免费播放| 在线观看日本www| 国产日韩精品在线| 免费成年人在线视频| 91香蕉成人| 国产三级在线视频观看| 欧美国产精品一区二区免费| 99久热在线精品视频播放6| 欧美日韩免费播放一区二区| 亚洲男人的天堂成人| 国产精品一区二区四区| 日本黄区| 日韩亚洲天堂| 99在线视频免费| 精品国产成人三级在线观看| 欧美aaaaa一级毛片在线| 中文字幕一级毛片视频| 国产欧美网站|