防御網站被攻擊對策探討

摘  要   隨著網絡的發展，網站遭惡意攻擊變得日趨頻繁，其危害也日趨嚴重。網站遭惡意攻擊是大量消耗網絡或系統有用資源使用戶不能得到正常服務的惡意行為。通過對網站遭惡意攻擊的各種攻擊形式和特點的詳細分析，介紹了網站遭惡意攻擊的基本攻擊原理并提出了防御網站遭惡意攻擊的策略。
 關鍵詞   網站安全；防護；檢測；應對策略
   
 網站遭惡意攻擊幾乎是從互聯網絡及誕生以來伴隨著互聯網絡的發展而一直存在也不斷發展和升級的。不少網站遭惡意攻擊而陷入癱瘓，網絡安全帶來重大的威脅。本文就如何防范網站遭惡意攻擊提出一些應變策略,供網絡愛好者參考。
1網站遭惡意攻擊
    網站遭惡意攻擊，這種攻擊行為使網站服務器充斥大量要求回復的信息，消耗網絡帶寬或系統的其它有用資源，導致網絡或系統不勝負荷以至于癱瘓而停止提供正常的網絡服務。黑客不正當地利用標準協議或連接方法，向攻擊的服務發出大量的信息，占用及超越受攻擊服務器所能處理的能力，使它不能正常地為用戶服務。
    網站遭惡意攻擊的具體表現方式主要有以下幾種：
    ①制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊。
    ②利用受害主機提供的服務或傳輸協議上的缺陷，反復高速地發出特定的服務請求，使受害主機無法及時處理所有正常請求。
    ③利用受害主機所提供服務中處理數據上的缺陷，反復發送畸形數據引發服務程序錯誤，大量占用系統資源，使主機處于假死狀態甚至死機。
    網站遭惡意攻擊技術嚴格地說是一種破壞網絡服務的技術方式，其根本目的是使受害主機或網絡失去及時接受處理外界請求，或無法及時回應外界請求。使用戶的正常服務請求無法得到響應。
    在這些網站遭惡意攻擊方法中，又可以分為下列幾種：TCPSYNFlood、Smurf、Fraggle。
1．1  TCP Syn Flood
    SynFlood是當前流行的網站遭惡意攻擊與分布式網站遭惡意攻擊的方式之一，這是一種利用TCP協議缺陷，發送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。
 由于TCP協議連接三次握手的需要，在每個TCP建立連接時，都要發送一個帶Syn標記的數據包，如果在服務器端發送應答包后，客戶端不發出確認，服務器會等待到數據超時，如果大量的帶Syn標記的數據包發到服務器端后都沒有應答，會使服務器端的TCP資源迅速枯竭，導致正常的連接不能進入，甚至會導致服務器的系統崩潰。這就是TCP SynFlood攻擊的過程。原理圖如圖1所示。
 
1．2  Smurf
    黑客采用1CMP(Internet Control Message Pro—tocolRFC792)技術進行攻擊。常用的ICMP有PING。首先黑客找出網絡上有哪些路由器會回應ICMP請求。然后用一個虛假的IP源地址向路由器的廣播地址發出信息，路由器會把這些信息廣播到網絡上所連接的每一臺設備。這些設備又馬上回應，這樣會產生大量信息流量，從而占用所有設備的資源及網絡帶寬，而回應的地址就是受攻擊的目標。例如用500kB／s流量的ICMPecho(PING)包廣播到100臺設備，產生100個PING回應，便產生50B／s流量。這些流量流向被攻擊的服務器，便會使這些服務器癱瘓。
 ICMPSmurf的襲擊加深了ICMP的泛濫程度，導致了一個數據包產生成干的ICMP數據包發送到一個根本不需要它們的主機中去，傳輸多重信息包的服務器成了Smurf的放大器。
 
1．3  Fraggle
  Fraggle基本概念及方法與Smurf類似，但它采用的是UDPecho信息。
    另外，分布式網站遭惡意攻擊近來也日趨頻繁，而且成功地攻擊了上述數個著名的大型網站的黑客使用的都是此種方法。
2  網站遭惡意攻擊的應對策略
    目前從現有的技術角度來講，對網站遭惡意攻擊較為有效的一項解決方法是做好防護、檢測、應對三項工作。下面主要討論這個方法。
2．1  防御方法的總原則
    要對網站遭惡意攻擊進行防御，則只有知道防御目標時防御才有意義。由于不可能使所有的系統不受拒絕服務的攻擊，所以在構筑防護時，做出有關使用有限
的資源的決定要格外慎重。
    首先，在考慮應對攻擊中所做出的諸如要做什么，何時做以及如何去做之類的信息安全方面的決定的同時，要仔細分析鑒別所要保護的關鍵服務和信息的策略和目的。將關鍵服務從一般服務中區分出來是這一分析的主要結果。這一結果可以用于在受到攻擊時建立系統必須進行的應對性通信的優先權。
    其次，由于一般很難將網站遭惡意攻擊與一般合法過度請求相區分，所以在構建可升級的系統的同時，使用各種防護網站遭惡意攻擊的方法都是有用的。
    一般來說，系統和網絡對網站遭惡意攻擊的應對反應如下：①吸收攻擊；②降低網絡服務；③停止服務。
2．2該方法的三部分
    對網站遭惡意攻擊的反應很大程度上取決于在攻擊到來之前的準備工作。—旦攻擊到來，再建構、安裝附加的網絡處理能力和進行檢測都已經太晚了，這就需要事先做好準備。
    網站遭惡意攻擊的防御應圍繞以下三個主題：
    ①從生存性角度，設計好網絡和系統，做好防護工作；②檢測在線操作，要清楚地掌握對于網絡來說一些“正常”的操作的狀況，以便檢測其變化；③做好非技術工作來人為有效的應對攻擊。
    第一，從生存性角度，設計好網絡和系統。
    生存性是指當一個網絡計算系統在網絡受到攻擊或發生錯誤時所能夠提供必要的服務及及時恢復全部服務的行為的能力。設計網絡和系統來應對拒絕服務
攻擊的主要目的是在攻擊過程中盡可能長時間的維持關鍵隆服務。從生存性角度，設計網絡和系統可以遵循的原則如下：
    ●在實踐中區分出關鍵性服務。
    ●盡可能多的提供網絡處理能力。
 ●使“目標節點”最小化。(最小化系統服務需求來限制可視化系統和服務，顯現出最小的可被攻擊目標)
 第二，檢測在線操作。
 為了能夠檢測到不正常操作，必須能夠在網絡范圍內找出正常的操作。這就需要用到網絡操作度量，網絡協議以及網絡通信流量。在網絡上建立一個正常通
信模式準則，這可以使系統管理員能夠區分網站遭惡意攻擊和正常的通信量過載。
    當在網絡上進行檢測時，應把重點放在對那些平時和受到攻擊時網絡消耗最大的資源上進行檢測。例如，要對網絡通信帶寬的使用情況、包傳輸率以及路由
器CPU和內存的使用情況進行檢測。
    同樣的，主機級檢測可以包括對諸如CPU和存儲器的使用情況、剩余磁盤容量的情況以及諸如在特)殊情況(SYN等待，FIN等待等)下TCP連接之類的
網絡操作等的情況的統計。此類入侵檢測系統通過對操作的統計可以察覺到潛在的攻擊，當然，也可能將通信量的突然增加誤認為是網站遭惡意攻擊。
 第三，做好應對攻擊準備。
 除了以上的各種網絡和系統對網站遭惡意攻擊的應對技術外，我們可以采取非技術方式來減輕網站遭惡意攻擊帶來的影響。這主要包括：①培養分析能力。如果
不能夠及時的分析處理，那么僅僅收集統計的情況和日志是毫無意義的。雖然一些工具可以幫助分析最大的數據量，但是仍需要一個訓練有素的系統管理員來進行分析區別。因為將網站遭惡意攻擊與合法用戶的過量請求進行區分是很不容易的一件事。②制定應急應對計劃。在應對任何攻擊中，攻擊應對計劃是十分重要的。
3  結束語
    網站遭惡意攻擊入侵網絡可以造成很大損害，所以，要對付這種攻擊歸根到底還是要解決網絡的整體安全題，但真正要解決安全問題要求整個網絡內部之間各部分的配合，從邊緣設備到骨干網絡都要認真做好防范攻擊的準備，注意平時的檢測工作。一旦受到攻擊要盡快響應，限制攻擊力度的無限增強，使損失降到最小。

參 考 文 獻

 [1]  聶元銘，丘乎著．網絡信息安全技術（第二版）．北京：科學出版社，2006．2：全書
 [2]  Dr John D．Howard An Analysis Of Security lncidents Onthe Internet“Denial—Of—Service lncidents”，2002—2005Chapter 1l
 [3] CERT security improvement module SIM—·009：DetectingSigns O{Intrusions．http：//www．cert．org/security—im-provement
[4]  Denial Of Service Attacks(tech tip)．http；//www．cert．org/tech—tips／denial—Of—service．html