【摘要】： 電力行業(yè)是國民經(jīng)濟的重要工業(yè)，隨著信息化的快速發(fā)展和廣泛應用,企業(yè)精益化管理的提出對網(wǎng)絡(luò)安全的要求越來越高。本文闡述了DDoS攻擊的原理，探索企業(yè)遭受DDoS攻擊的防御對策，為保障企業(yè)網(wǎng)絡(luò)安全提供了一定的思路。
【關(guān)鍵詞】：DDoS攻擊   網(wǎng)絡(luò)安全   企業(yè)防御

1.   前言

隨著我國企業(yè)信息化的快速發(fā)展，企業(yè)承載了許多商業(yè)應用，特別對于政府、金融、能源、運營商等企業(yè)而言，網(wǎng)絡(luò)的持續(xù)、平穩(wěn)、安全運行是至關(guān)重要的，這不僅僅關(guān)系到企業(yè)的業(yè)務(wù)運轉(zhuǎn)以及盈利問題，還關(guān)系到一個對外公眾的形象問題。信息網(wǎng)絡(luò)技術(shù)給企業(yè)帶來了極大的信息化發(fā)展空間的同時，也產(chǎn)生了許多網(wǎng)絡(luò)安全問題，若處理不當，給企業(yè)造成的損失也是極大的。由習近平擔任中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組組長可以看出，我國網(wǎng)絡(luò)安全依然有一定的提升空間，習近平提出的“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，“努力把我國建設(shè)成為網(wǎng)絡(luò)強國”等重要論斷，把我國網(wǎng)絡(luò)安全和信息化的重要性認識提到了一個新的高度。

2.   國內(nèi)外信息網(wǎng)絡(luò)安全現(xiàn)狀分析

今年1月公安機關(guān)，運營商和網(wǎng)絡(luò)安全廠商已經(jīng)意識到網(wǎng)絡(luò)攻擊問題的嚴重性，由三方參加的在北京舉辦的防護網(wǎng)絡(luò)黑客DDoS的高層研討會上，提出了很多有建設(shè)性的意見。2014年3月23日，某供電局對外門戶網(wǎng)站遭受連續(xù)的分布式拒絕服務(wù)攻擊（簡稱DDoS攻擊），互聯(lián)網(wǎng)出口流量由原有正常的200GB左右達到高峰期的520GB（23日、24日的流量平均在400GB左右）。
棱鏡"項目于2007年啟動，美國前情報人員斯諾登前不久就透露，美國國家安全局曾入侵華為總部的服務(wù)器，還曾監(jiān)控數(shù)位中國前任國家領(lǐng)導人和多個政府部門及銀行，是我國互聯(lián)網(wǎng)史上最嚴重的網(wǎng)絡(luò)安全事件的序幕，波及范圍不斷擴大。同時，微軟Windows XP“退役”引發(fā)中國兩億用戶的安全顧慮，進一步警示中國信息安全形勢嚴峻，網(wǎng)絡(luò)安全再一次震撼的進入人們的視野?？梢姡髽I(yè)對網(wǎng)絡(luò)的要求不僅僅是網(wǎng)絡(luò)的持續(xù)運行，還需要保證網(wǎng)絡(luò)的安全性。

3.   什么是DDoS攻擊？

DDoS即分布式拒絕服務(wù)，攻擊者將多個計算機聯(lián)合起來作為攻擊平臺，對一個或多個目標發(fā)動DDoS攻擊，從而成倍地提高拒絕服務(wù)攻擊的威力。通俗的說，DoS攻擊是最早出現(xiàn)的，和DDoS相比較，DoS就是“單挑”，兩個機器比速度，比性能，如果攻擊者的機器每秒能夠發(fā)送20個數(shù)據(jù)包攻擊對方，而對方的的機器性能和網(wǎng)絡(luò)帶寬都優(yōu)于攻擊者，每秒可接受100個這樣的數(shù)據(jù)包，結(jié)果這樣的攻擊并沒有給對方造成任何威脅，反而因為攻擊者的機器CPU占用率過高而導致死機。而DDoS就是“群毆”，用很多機器分布式的對另一臺機器發(fā)起攻擊，后臺由一位黑客控制，通過黑客的機器來占領(lǐng)很多的“肉雞”，并且控制“肉雞”來發(fā)動DDoS攻擊，如果每臺“肉雞”發(fā)送20個數(shù)據(jù)包攻擊，50臺就發(fā)送了1000個數(shù)據(jù)包，迅速形成一個龐大的DoS攻擊群，攻擊力度遠遠大于被攻擊的機器的承受力。DDoS攻擊，是一種分布、協(xié)作大的規(guī)模攻擊方式，這種暴力的攻擊可以將原本處理能力很強的目標服務(wù)器攻陷，由于容易實施、難以防范、難以追蹤等而成為最難解決的網(wǎng)絡(luò)安全問題之一，給網(wǎng)絡(luò)社會帶來了極大的危害。
DDoS攻擊可分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。（如圖一所示）

?。?）攻擊者：攻擊者使用的計算機相當于攻擊主控臺，可以是網(wǎng)絡(luò)上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發(fā)送攻擊命令。
?。?）主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。攻擊者在主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發(fā)來的特殊指令，并且可以把這些命令發(fā)送到代理主機上。
?。?）代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它接受和運行主控端發(fā)來的命令。代理端主機是攻擊的執(zhí)行者，真正向受害者主機發(fā)送攻擊。
　　攻擊者發(fā)起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機，攻擊者進入系統(tǒng)，在系統(tǒng)上安裝后門程序，入侵并控制的主機越多，攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序，其中一部分主機充當攻擊的主控端，一部分主機充當攻擊的代理端。最后各部分主機各司其職，在攻擊者的調(diào)遣下對攻擊對象發(fā)起猛烈的攻擊。由于攻擊者是幕后操縱，在攻擊的時候不會受到監(jiān)控系統(tǒng)的追蹤，IP不容易被發(fā)現(xiàn)，身份很難確定。

4. 預防和抵御DDoS的思路和措施

4.1望聞問切，確診被DDoS了嗎？

攻擊造成的網(wǎng)絡(luò)故障是比較明顯的，例如網(wǎng)絡(luò)帶寬被大量的消耗，服務(wù)器的CPU和內(nèi)存消耗大且快，網(wǎng)絡(luò)利用率幾乎接近100%，正常的服務(wù)響應很慢或完全無響應等現(xiàn)象。遇到上述情況時，很大可能是被攻擊了，是什么攻擊導致？根據(jù)以下異?，F(xiàn)象分析，能夠較準確地監(jiān)測出DDoS攻擊。
企業(yè)受到DDoS攻擊的表現(xiàn)形式主要有兩種，一種為流量攻擊，即主要是針對網(wǎng)絡(luò)帶寬的攻擊，故障表現(xiàn)為大量攻擊包導致網(wǎng)絡(luò)帶寬被阻塞，合法網(wǎng)絡(luò)包被攻擊者的虛假攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，即如果是服務(wù)器被攻擊，攻擊者在進行DDoS攻擊前要解析目標的主機名，BIND域名服務(wù)器能夠記錄這些請求，同時通過大量攻擊包導致主機的內(nèi)存被耗盡、系統(tǒng)服務(wù)器 CPU 利用率極高，處理速度緩慢，甚至宕機，CPU被內(nèi)核及應用程序消耗殆盡而造成無法提供網(wǎng)絡(luò)服務(wù)。
     如何判斷網(wǎng)站是否遭受了流量攻擊呢？可通過Ping命令來測試，如果平常工作是正常的，此時若發(fā)現(xiàn)Ping超時或丟包嚴重，則可能遭受了流量攻擊，若發(fā)現(xiàn)和發(fā)起ping命令的主機接在同一交換機上的服務(wù)器也訪問不了，基本可以確定是遭受了流量攻擊。這樣測試的前提是發(fā)起ping命令的主機到服務(wù)器主機之間的ICMP協(xié)議沒有被路由器和防火墻等設(shè)備屏蔽。如果有相關(guān)設(shè)備被屏蔽，可采取Telnet主機服務(wù)器的網(wǎng)絡(luò)服務(wù)端口來測試，若平時Ping主機服務(wù)器和接在同一交換機上的主機服務(wù)器都是正常的，突然都Ping不通了或者是丟包嚴重，在排除是網(wǎng)絡(luò)故障因素導致的前提下，則很可能是遭受了流量攻擊，同時，一旦遭受流量攻擊，會發(fā)現(xiàn)用遠程終端連接網(wǎng)站服務(wù)器會失敗。
     相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，如果平時Ping網(wǎng)站主機和訪問網(wǎng)站都是正常的，發(fā)現(xiàn)突然網(wǎng)站訪問非常緩慢或無法訪問，但是還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務(wù)器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態(tài)存在，而ESTABLISHED很少，則可判定很大可能是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現(xiàn)象是，Ping自己的網(wǎng)站主機不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的服務(wù)器則正常，造成這種原因是網(wǎng)站主機遭受攻擊后導致系統(tǒng)內(nèi)核或某些應用程序CPU利用率達到100%無法回應Ping命令，實際上帶寬還是有的，否則無法Ping通接在同一交換機上的主機。

4.2知己知彼，沉著應對DDoS攻擊

目前比較流行的是SYN /ACK Flood攻擊，這種攻擊方法是經(jīng)典最有效的DDoS方法，可攻擊各種系統(tǒng)的網(wǎng)絡(luò)服務(wù)，主要是通過向受害主機發(fā)送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發(fā)送回應包而造成拒絕服務(wù)，由于源IP和源端口都是偽造的，故追蹤起來比較困難。此時故障的表現(xiàn)形式是，SYN數(shù)量大于100則是遭到了SYN Flood式的DDOS攻擊，ACK數(shù)量大于500則遭受了ACK Flood式的DDOS攻擊（下載站正常情況下也可能會達到1000個以上）。當然，SYN /ACK Flood攻擊缺點是實施起來有一定難度，需要高帶寬的主控端主機和代理端主機的支持。
防范此類攻擊可以做以下幾點措施： 1．使用代理技術(shù)或者使用緩存 ；2．加固服務(wù)器TCP/IP的協(xié)議棧，增加最大半連接數(shù)，縮短SYN、ACK的超時時間，使用SYN cookies 技術(shù)等 ；3. 使用防DDOS攻擊的硬件設(shè)備和模塊。
其它攻擊如UDP Flood，這種攻擊現(xiàn)象是UDP數(shù)量很少而帶寬占用很大，則可能遭到了UDP Flood攻擊。針對UDP Flood的攻擊防護可以從以下幾點來做： 1．增大網(wǎng)絡(luò)帶寬和服務(wù)器性能；2．路由器和防火墻設(shè)置UDP會話限制；3．利用SP的一些類似源地址過濾手段來丟棄沒有回傳路由的UDP請求。

4.3面對DDoS攻擊，做好充分的準備

預防DDoS攻擊必需要制定更嚴格的網(wǎng)絡(luò)標準來解決。每臺網(wǎng)絡(luò)設(shè)備或主機都需要隨時更新其系統(tǒng)漏洞、關(guān)閉不需要的服務(wù)、安裝必要的防毒和防火墻軟件、隨時注重系統(tǒng)安全，避免被黑客和自動化的DDoS程序植入攻擊程序，以免成為黑客攻擊的幫兇?？刹扇∫韵路椒ㄗ龊妙A防工作。
（1）定期掃描網(wǎng)絡(luò)節(jié)點，及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞，及時對漏洞進行修補，及時安裝系統(tǒng)補丁程序；
（2）配置防火墻，認真檢查特權(quán)端口和非特權(quán)端口，提防錯誤配置造成的隱患，抵御DDoS攻擊和其他一些攻擊；
（3）充分利用網(wǎng)絡(luò)設(shè)備，首先要保證網(wǎng)絡(luò)設(shè)備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設(shè)備的時候要盡量選用知名度高、口碑好的產(chǎn)品。遭受DDoS攻擊以后，相對服務(wù)器的重啟，網(wǎng)絡(luò)路由器等網(wǎng)絡(luò)設(shè)備的重啟會快很多，而且路由器數(shù)據(jù)不會有太多的丟失，最大限度地降低DDoS的攻擊產(chǎn)生的負面影響；
（4）服務(wù)器只開放服務(wù)端口，禁止那些不必要的網(wǎng)絡(luò)服務(wù)。同時，網(wǎng)絡(luò)管理員需要每天查看工作日志，保留并定期查看各種日志是預防攻擊的好措施，即使遭受攻擊也能及時準確采取應急措施；
（5）檢查訪問者的來源，利用Unicast Reverse Path Forwarding（單播反向路徑轉(zhuǎn)發(fā)）可以減少虛假IP地址的出現(xiàn)，挖掘出黑客攻擊時的真正IP;
（6）限制SYN/ICMP流量,在防火墻上配置SYN/ICMP的最大流量來限制其所能占用的最大帶寬；
（7）限制在防火墻外與網(wǎng)絡(luò)文件共享，否則會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓；
（8）把網(wǎng)站做成靜態(tài)頁面，大量事實證明，把網(wǎng)站盡可能做成靜態(tài)頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。
4.4企業(yè)級防御DDoS
     互聯(lián)網(wǎng)企業(yè)防御DDoS攻擊，重點在于“事前預防，事中監(jiān)控，事后總結(jié)”。監(jiān)控需要具備多層監(jiān)控、縱深防御的概念，從骨干網(wǎng)絡(luò)、IDC入口網(wǎng)絡(luò)的BPS、PPS、協(xié)議分布，負載均衡層的VIP新建連接數(shù)、TCP新建連接數(shù)狀態(tài)、并發(fā)連接數(shù)，BPS、PPS到主機層的CPU狀態(tài)，到業(yè)務(wù)層的業(yè)務(wù)處理量、業(yè)務(wù)連通性等多個點部署監(jiān)控系統(tǒng)。即使某一個監(jiān)控點失效，其他監(jiān)控點也能夠及時給出報警信息，多個監(jiān)控點的信息結(jié)合分析，可以較準確地判斷被攻擊目標和攻擊手法。
     一旦發(fā)現(xiàn)異常，企業(yè)應立即啟動網(wǎng)絡(luò)安全應急預案。應急隊伍需要有足夠全面的人員，至少包含領(lǐng)導小組、監(jiān)控部門、運維部門、網(wǎng)絡(luò)部門、安全部門、客服部門等，所有人員都需要2-3個備份。應急預案啟動后，除了人工處理，網(wǎng)絡(luò)的軟硬件設(shè)備還應該包含一定的自動處理、半自動處理能力。例如，自動化的攻擊分析，確定攻擊類型，自動化、半自動化的防御策略，在安全人員到位之前，最先發(fā)現(xiàn)攻擊的部門可以采取一些緩解措施。
    企業(yè)防御DDoS攻擊，更多的準備是在攻擊到來之前，需要重點保護好網(wǎng)絡(luò)層。首先確保所有的路由器都能夠屏蔽垃圾數(shù)據(jù)包，剔除掉一些不用的協(xié)議，比如ICMP。然后設(shè)置好防火墻，很顯然，企業(yè)的網(wǎng)站不會讓隨機DNS服務(wù)器進行訪問，所以沒有必要允許UDP 53端口的數(shù)據(jù)包通過服務(wù)器。同時，還需要對邊界網(wǎng)絡(luò)進行一些設(shè)置，阻止一些沒用的流量，保證能夠得到一個最大的最通暢的帶寬。當然，企業(yè)的防御點主要包含CDN節(jié)點部署、DNS設(shè)置、預案演習等，對于企業(yè)來說，具備多個CDN節(jié)點是DDoS防御容量的關(guān)鍵指標。當企業(yè)的機房承受能力面對海量數(shù)據(jù)攻擊時，可以通過DNS輪詢的方式，把流量引導到多個分布節(jié)點，使用防御設(shè)備分頭處理。因此，DNS的TTL值需要設(shè)置得足夠小，能夠快速切換，每個CDN節(jié)點的各種VIP設(shè)置也需要充分準備。
　　最后，在這些攻擊到達企業(yè)網(wǎng)站前就要將它們攔截住。例如，目前企業(yè)網(wǎng)站大多數(shù)都應用了許多動態(tài)資源，在受到攻擊的時候其實帶寬是比較容易掌控的，但最終往往受到損失的是數(shù)據(jù)庫或是運行的腳本程序，這時候企業(yè)可以使用緩存服務(wù)器來提供盡可能多的靜態(tài)內(nèi)容，同時快速用靜態(tài)資源取代動態(tài)資源并確保檢測系統(tǒng)正常運行。
　　在虛擬化時代，各種用戶的不同業(yè)務(wù)共處在相同的物理機平臺，遭受DDoS攻擊的可能性越來越高，而且一個用戶被攻擊可能牽扯到大量的其他用戶，危害被顯著放大，因此防御顯得尤為重要。
綜上所述，企業(yè)面對DDoS攻擊，應該在攻擊剛剛開始的時候就要有一套完整的預備方案，加強基礎(chǔ)設(shè)施的建設(shè)，合理部署網(wǎng)絡(luò)，強化網(wǎng)路設(shè)置，定期分析工作日志并持續(xù)監(jiān)控網(wǎng)絡(luò)，這些都是非常重要的，因為攻擊一旦開始，想要從源頭阻止DDoS是比較困難的。

五　總結(jié)

安全是網(wǎng)絡(luò)賴以生存的保障，只有安全得到保障，網(wǎng)絡(luò)才能實現(xiàn)自身的價值，而網(wǎng)絡(luò)最大的價值，是在于企業(yè)的信息化應用。對于能源行業(yè)來說，網(wǎng)絡(luò)的持續(xù)、平穩(wěn)、安全運行是至關(guān)重要的，無論是安全、性能還是故障性問題，不能快速解決，給企業(yè)帶來的是難以衡量的損失。如何才能保障網(wǎng)絡(luò)的暢通性與安全性，這對每一個企業(yè)都是巨大的挑戰(zhàn)。
企業(yè)需要有居安思危的思想準備，有備無患才是長治久安之計。首先需要努力使員工的安全意識融入到企業(yè)的環(huán)境和文化中，建立網(wǎng)絡(luò)安全策略及安全保障體系，強化防御方案，重視災難備份建設(shè)，時刻注意系統(tǒng)運行情況，這樣的防范和管理可以大大抵御攻擊者的破壞力，讓員工的工作效率得到提高，同時也間接的保障企業(yè)的安全生產(chǎn)，從而實現(xiàn)社會效益和經(jīng)濟效益的最大化，實現(xiàn)信息化與信息安全的同步發(fā)展。
 
參考文獻：
【1】                黃文宇.  基于行為分布的DDoS攻擊檢測方法[D]. 北京化工大學，2010.
【2】                黃強.  基于分布式的DDoS攻擊及防范技術(shù)研究[D]. 合肥工業(yè)大學，2011.