【摘要】： 電力行業是國民經濟的重要工業，隨著信息化的快速發展和廣泛應用,企業精益化管理的提出對網絡安全的要求越來越高。本文闡述了DDoS攻擊的原理，探索企業遭受DDoS攻擊的防御對策，為保障企業網絡安全提供了一定的思路。
【關鍵詞】：DDoS攻擊   網絡安全   企業防御

1.   前言

隨著我國企業信息化的快速發展，企業承載了許多商業應用，特別對于政府、金融、能源、運營商等企業而言，網絡的持續、平穩、安全運行是至關重要的，這不僅僅關系到企業的業務運轉以及盈利問題，還關系到一個對外公眾的形象問題。信息網絡技術給企業帶來了極大的信息化發展空間的同時，也產生了許多網絡安全問題，若處理不當，給企業造成的損失也是極大的。由習近平擔任中央網絡安全和信息化領導小組組長可以看出，我國網絡安全依然有一定的提升空間，習近平提出的“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”，“努力把我國建設成為網絡強國”等重要論斷，把我國網絡安全和信息化的重要性認識提到了一個新的高度。

2.   國內外信息網絡安全現狀分析

今年1月公安機關，運營商和網絡安全廠商已經意識到網絡攻擊問題的嚴重性，由三方參加的在北京舉辦的防護網絡黑客DDoS的高層研討會上，提出了很多有建設性的意見。2014年3月23日，某供電局對外門戶網站遭受連續的分布式拒絕服務攻擊（簡稱DDoS攻擊），互聯網出口流量由原有正常的200GB左右達到高峰期的520GB（23日、24日的流量平均在400GB左右）。
棱鏡"項目于2007年啟動，美國前情報人員斯諾登前不久就透露，美國國家安全局曾入侵華為總部的服務器，還曾監控數位中國前任國家領導人和多個政府部門及銀行，是我國互聯網史上最嚴重的網絡安全事件的序幕，波及范圍不斷擴大。同時，微軟Windows XP“退役”引發中國兩億用戶的安全顧慮，進一步警示中國信息安全形勢嚴峻，網絡安全再一次震撼的進入人們的視野。可見，企業對網絡的要求不僅僅是網絡的持續運行，還需要保證網絡的安全性。

3.   什么是DDoS攻擊？

DDoS即分布式拒絕服務，攻擊者將多個計算機聯合起來作為攻擊平臺，對一個或多個目標發動DDoS攻擊，從而成倍地提高拒絕服務攻擊的威力。通俗的說，DoS攻擊是最早出現的，和DDoS相比較，DoS就是“單挑”，兩個機器比速度，比性能，如果攻擊者的機器每秒能夠發送20個數據包攻擊對方，而對方的的機器性能和網絡帶寬都優于攻擊者，每秒可接受100個這樣的數據包，結果這樣的攻擊并沒有給對方造成任何威脅，反而因為攻擊者的機器CPU占用率過高而導致死機。而DDoS就是“群毆”，用很多機器分布式的對另一臺機器發起攻擊，后臺由一位黑客控制，通過黑客的機器來占領很多的“肉雞”，并且控制“肉雞”來發動DDoS攻擊，如果每臺“肉雞”發送20個數據包攻擊，50臺就發送了1000個數據包，迅速形成一個龐大的DoS攻擊群，攻擊力度遠遠大于被攻擊的機器的承受力。DDoS攻擊，是一種分布、協作大的規模攻擊方式，這種暴力的攻擊可以將原本處理能力很強的目標服務器攻陷，由于容易實施、難以防范、難以追蹤等而成為最難解決的網絡安全問題之一，給網絡社會帶來了極大的危害。
DDoS攻擊可分為3層：攻擊者、主控端、代理端，三者在攻擊中扮演著不同的角色。（如圖一所示）

　（1）攻擊者：攻擊者使用的計算機相當于攻擊主控臺，可以是網絡上的任何一臺主機，甚至可以是一個活動的便攜機。攻擊者操縱整個攻擊過程，它向主控端發送攻擊命令。
　（2）主控端：主控端是攻擊者非法侵入并控制的一些主機，這些主機還分別控制大量的代理主機。攻擊者在主控端主機的上面安裝了特定的程序，因此它們可以接受攻擊者發來的特殊指令，并且可以把這些命令發送到代理主機上。
　（3）代理端：代理端同樣也是攻擊者侵入并控制的一批主機，它接受和運行主控端發來的命令。代理端主機是攻擊的執行者，真正向受害者主機發送攻擊。
　　攻擊者發起DDoS攻擊的第一步，就是尋找在Internet上有漏洞的主機，攻擊者進入系統，在系統上安裝后門程序，入侵并控制的主機越多，攻擊隊伍就越壯大。第二步在入侵主機上安裝攻擊程序，其中一部分主機充當攻擊的主控端，一部分主機充當攻擊的代理端。最后各部分主機各司其職，在攻擊者的調遣下對攻擊對象發起猛烈的攻擊。由于攻擊者是幕后操縱，在攻擊的時候不會受到監控系統的追蹤，IP不容易被發現，身份很難確定。

4. 預防和抵御DDoS的思路和措施

4.1望聞問切，確診被DDoS了嗎？

攻擊造成的網絡故障是比較明顯的，例如網絡帶寬被大量的消耗，服務器的CPU和內存消耗大且快，網絡利用率幾乎接近100%，正常的服務響應很慢或完全無響應等現象。遇到上述情況時，很大可能是被攻擊了，是什么攻擊導致？根據以下異常現象分析，能夠較準確地監測出DDoS攻擊。
企業受到DDoS攻擊的表現形式主要有兩種，一種為流量攻擊，即主要是針對網絡帶寬的攻擊，故障表現為大量攻擊包導致網絡帶寬被阻塞，合法網絡包被攻擊者的虛假攻擊包淹沒而無法到達主機；另一種為資源耗盡攻擊，即如果是服務器被攻擊，攻擊者在進行DDoS攻擊前要解析目標的主機名，BIND域名服務器能夠記錄這些請求，同時通過大量攻擊包導致主機的內存被耗盡、系統服務器 CPU 利用率極高，處理速度緩慢，甚至宕機，CPU被內核及應用程序消耗殆盡而造成無法提供網絡服務。
     如何判斷網站是否遭受了流量攻擊呢？可通過Ping命令來測試，如果平常工作是正常的，此時若發現Ping超時或丟包嚴重，則可能遭受了流量攻擊，若發現和發起ping命令的主機接在同一交換機上的服務器也訪問不了，基本可以確定是遭受了流量攻擊。這樣測試的前提是發起ping命令的主機到服務器主機之間的ICMP協議沒有被路由器和防火墻等設備屏蔽。如果有相關設備被屏蔽，可采取Telnet主機服務器的網絡服務端口來測試，若平時Ping主機服務器和接在同一交換機上的主機服務器都是正常的，突然都Ping不通了或者是丟包嚴重，在排除是網絡故障因素導致的前提下，則很可能是遭受了流量攻擊，同時，一旦遭受流量攻擊，會發現用遠程終端連接網站服務器會失敗。
     相對于流量攻擊而言，資源耗盡攻擊要容易判斷一些，如果平時Ping網站主機和訪問網站都是正常的，發現突然網站訪問非常緩慢或無法訪問，但是還可以Ping通，則很可能遭受了資源耗盡攻擊，此時若在服務器上用Netstat -na命令觀察到有大量的SYN_RECEIVED、TIME_WAIT、FIN_WAIT_1等狀態存在，而ESTABLISHED很少，則可判定很大可能是遭受了資源耗盡攻擊。還有一種屬于資源耗盡攻擊的現象是，Ping自己的網站主機不通或者是丟包嚴重，而Ping與自己的主機在同一交換機上的服務器則正常，造成這種原因是網站主機遭受攻擊后導致系統內核或某些應用程序CPU利用率達到100%無法回應Ping命令，實際上帶寬還是有的，否則無法Ping通接在同一交換機上的主機。

4.2知己知彼，沉著應對DDoS攻擊

目前比較流行的是SYN /ACK Flood攻擊，這種攻擊方法是經典最有效的DDoS方法，可攻擊各種系統的網絡服務，主要是通過向受害主機發送大量偽造源IP和源端口的SYN或ACK包，導致主機的緩存資源被耗盡或忙于發送回應包而造成拒絕服務，由于源IP和源端口都是偽造的，故追蹤起來比較困難。此時故障的表現形式是，SYN數量大于100則是遭到了SYN Flood式的DDOS攻擊，ACK數量大于500則遭受了ACK Flood式的DDOS攻擊（下載站正常情況下也可能會達到1000個以上）。當然，SYN /ACK Flood攻擊缺點是實施起來有一定難度，需要高帶寬的主控端主機和代理端主機的支持。
防范此類攻擊可以做以下幾點措施： 1．使用代理技術或者使用緩存 ；2．加固服務器TCP/IP的協議棧，增加最大半連接數，縮短SYN、ACK的超時時間，使用SYN cookies 技術等 ；3. 使用防DDOS攻擊的硬件設備和模塊。
其它攻擊如UDP Flood，這種攻擊現象是UDP數量很少而帶寬占用很大，則可能遭到了UDP Flood攻擊。針對UDP Flood的攻擊防護可以從以下幾點來做： 1．增大網絡帶寬和服務器性能；2．路由器和防火墻設置UDP會話限制；3．利用SP的一些類似源地址過濾手段來丟棄沒有回傳路由的UDP請求。

4.3面對DDoS攻擊，做好充分的準備

預防DDoS攻擊必需要制定更嚴格的網絡標準來解決。每臺網絡設備或主機都需要隨時更新其系統漏洞、關閉不需要的服務、安裝必要的防毒和防火墻軟件、隨時注重系統安全，避免被黑客和自動化的DDoS程序植入攻擊程序，以免成為黑客攻擊的幫兇。可采取以下方法做好預防工作。
（1）定期掃描網絡節點，及早發現系統存在的攻擊漏洞，及時對漏洞進行修補，及時安裝系統補丁程序；
（2）配置防火墻，認真檢查特權端口和非特權端口，提防錯誤配置造成的隱患，抵御DDoS攻擊和其他一些攻擊；
（3）充分利用網絡設備，首先要保證網絡設備不能成為瓶頸，因此選擇路由器、交換機、硬件防火墻等設備的時候要盡量選用知名度高、口碑好的產品。遭受DDoS攻擊以后，相對服務器的重啟，網絡路由器等網絡設備的重啟會快很多，而且路由器數據不會有太多的丟失，最大限度地降低DDoS的攻擊產生的負面影響；
（4）服務器只開放服務端口，禁止那些不必要的網絡服務。同時，網絡管理員需要每天查看工作日志，保留并定期查看各種日志是預防攻擊的好措施，即使遭受攻擊也能及時準確采取應急措施；
（5）檢查訪問者的來源，利用Unicast Reverse Path Forwarding（單播反向路徑轉發）可以減少虛假IP地址的出現，挖掘出黑客攻擊時的真正IP;
（6）限制SYN/ICMP流量,在防火墻上配置SYN/ICMP的最大流量來限制其所能占用的最大帶寬；
（7）限制在防火墻外與網絡文件共享，否則會使黑客有機會截獲系統文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓；
（8）把網站做成靜態頁面，大量事實證明，把網站盡可能做成靜態頁面，不僅能大大提高抗攻擊能力，而且還給黑客入侵帶來不少麻煩。
4.4企業級防御DDoS
     互聯網企業防御DDoS攻擊，重點在于“事前預防，事中監控，事后總結”。監控需要具備多層監控、縱深防御的概念，從骨干網絡、IDC入口網絡的BPS、PPS、協議分布，負載均衡層的VIP新建連接數、TCP新建連接數狀態、并發連接數，BPS、PPS到主機層的CPU狀態，到業務層的業務處理量、業務連通性等多個點部署監控系統。即使某一個監控點失效，其他監控點也能夠及時給出報警信息，多個監控點的信息結合分析，可以較準確地判斷被攻擊目標和攻擊手法。
     一旦發現異常，企業應立即啟動網絡安全應急預案。應急隊伍需要有足夠全面的人員，至少包含領導小組、監控部門、運維部門、網絡部門、安全部門、客服部門等，所有人員都需要2-3個備份。應急預案啟動后，除了人工處理，網絡的軟硬件設備還應該包含一定的自動處理、半自動處理能力。例如，自動化的攻擊分析，確定攻擊類型，自動化、半自動化的防御策略，在安全人員到位之前，最先發現攻擊的部門可以采取一些緩解措施。
    企業防御DDoS攻擊，更多的準備是在攻擊到來之前，需要重點保護好網絡層。首先確保所有的路由器都能夠屏蔽垃圾數據包，剔除掉一些不用的協議，比如ICMP。然后設置好防火墻，很顯然，企業的網站不會讓隨機DNS服務器進行訪問，所以沒有必要允許UDP 53端口的數據包通過服務器。同時，還需要對邊界網絡進行一些設置，阻止一些沒用的流量，保證能夠得到一個最大的最通暢的帶寬。當然，企業的防御點主要包含CDN節點部署、DNS設置、預案演習等，對于企業來說，具備多個CDN節點是DDoS防御容量的關鍵指標。當企業的機房承受能力面對海量數據攻擊時，可以通過DNS輪詢的方式，把流量引導到多個分布節點，使用防御設備分頭處理。因此，DNS的TTL值需要設置得足夠小，能夠快速切換，每個CDN節點的各種VIP設置也需要充分準備。
　　最后，在這些攻擊到達企業網站前就要將它們攔截住。例如，目前企業網站大多數都應用了許多動態資源，在受到攻擊的時候其實帶寬是比較容易掌控的，但最終往往受到損失的是數據庫或是運行的腳本程序，這時候企業可以使用緩存服務器來提供盡可能多的靜態內容，同時快速用靜態資源取代動態資源并確保檢測系統正常運行。
　　在虛擬化時代，各種用戶的不同業務共處在相同的物理機平臺，遭受DDoS攻擊的可能性越來越高，而且一個用戶被攻擊可能牽扯到大量的其他用戶，危害被顯著放大，因此防御顯得尤為重要。
綜上所述，企業面對DDoS攻擊，應該在攻擊剛剛開始的時候就要有一套完整的預備方案，加強基礎設施的建設，合理部署網絡，強化網路設置，定期分析工作日志并持續監控網絡，這些都是非常重要的，因為攻擊一旦開始，想要從源頭阻止DDoS是比較困難的。

五　總結

安全是網絡賴以生存的保障，只有安全得到保障，網絡才能實現自身的價值，而網絡最大的價值，是在于企業的信息化應用。對于能源行業來說，網絡的持續、平穩、安全運行是至關重要的，無論是安全、性能還是故障性問題，不能快速解決，給企業帶來的是難以衡量的損失。如何才能保障網絡的暢通性與安全性，這對每一個企業都是巨大的挑戰。
企業需要有居安思危的思想準備，有備無患才是長治久安之計。首先需要努力使員工的安全意識融入到企業的環境和文化中，建立網絡安全策略及安全保障體系，強化防御方案，重視災難備份建設，時刻注意系統運行情況，這樣的防范和管理可以大大抵御攻擊者的破壞力，讓員工的工作效率得到提高，同時也間接的保障企業的安全生產，從而實現社會效益和經濟效益的最大化，實現信息化與信息安全的同步發展。
 
參考文獻：
【1】                黃文宇.  基于行為分布的DDoS攻擊檢測方法[D]. 北京化工大學，2010.
【2】                黃強.  基于分布式的DDoS攻擊及防范技術研究[D]. 合肥工業大學，2011.