防御网站被攻击对策探讨

摘  要   随着网络的发展，网站遭恶意攻击变得日趋频繁，其危害也日趋严重。网站遭恶意攻击是大量消耗网络或系统有用资源使用户不能得到正常服务的恶意行为。通过对网站遭恶意攻击的各种攻击形式和特点的详细分析，介绍了网站遭恶意攻击的基本攻击原理并提出了防御网站遭恶意攻击的策略。
 关键词   网站安全；防护；检测；应对策略
   
 网站遭恶意攻击几乎是从互联网络及诞生以来伴随着互联网络的发展而一直存在也不断发展和升级的。不少网站遭恶意攻击而陷入瘫痪，网络安全带来重大的威胁。本文就如何防范网站遭恶意攻击提出一些应变策略,供网络爱好者参考。
1网站遭恶意攻击
    网站遭恶意攻击，这种攻击行为使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统的其它有用资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。黑客不正当地利用标准协议或连接方法，向攻击的服务发出大量的信息，占用及超越受攻击服务器所能处理的能力，使它不能正常地为用户服务。
    网站遭恶意攻击的具体表现方式主要有以下几种：
    ①制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。
    ②利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求。
    ③利用受害主机所提供服务中处理数据上的缺陷，反复发送畸形数据引发服务程序错误，大量占用系统资源，使主机处于假死状态甚至死机。
    网站遭恶意攻击技术严格地说是一种破坏网络服务的技术方式，其根本目的是使受害主机或网络失去及时接受处理外界请求，或无法及时回应外界请求。使用户的正常服务请求无法得到响应。
    在这些网站遭恶意攻击方法中，又可以分为下列几种：TCPSYNFlood、Smurf、Fraggle。
1．1  TCP Syn Flood
    SynFlood是当前流行的网站遭恶意攻击与分布式网站遭恶意攻击的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
 由于TCP协议连接三次握手的需要，在每个TCP建立连接时，都要发送一个带Syn标记的数据包，如果在服务器端发送应答包后，客户端不发出确认，服务器会等待到数据超时，如果大量的带Syn标记的数据包发到服务器端后都没有应答，会使服务器端的TCP资源迅速枯竭，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。这就是TCP SynFlood攻击的过程。原理图如图1所示。
 
1．2  Smurf
    黑客采用1CMP(Internet Control Message Pro—tocolRFC792)技术进行攻击。常用的ICMP有PING。首先黑客找出网络上有哪些路由器会回应ICMP请求。然后用一个虚假的IP源地址向路由器的广播地址发出信息，路由器会把这些信息广播到网络上所连接的每一台设备。这些设备又马上回应，这样会产生大量信息流量，从而占用所有设备的资源及网络带宽，而回应的地址就是受攻击的目标。例如用500kB／s流量的ICMPecho(PING)包广播到100台设备，产生100个PING回应，便产生50B／s流量。这些流量流向被攻击的服务器，便会使这些服务器瘫痪。
 ICMPSmurf的袭击加深了ICMP的泛滥程度，导致了一个数据包产生成干的ICMP数据包发送到一个根本不需要它们的主机中去，传输多重信息包的服务器成了Smurf的放大器。
 
1．3  Fraggle
  Fraggle基本概念及方法与Smurf类似，但它采用的是UDPecho信息。
    另外，分布式网站遭恶意攻击近来也日趋频繁，而且成功地攻击了上述数个著名的大型网站的黑客使用的都是此种方法。
2  网站遭恶意攻击的应对策略
    目前从现有的技术角度来讲，对网站遭恶意攻击较为有效的一项解决方法是做好防护、检测、应对三项工作。下面主要讨论这个方法。
2．1  防御方法的总原则
    要对网站遭恶意攻击进行防御，则只有知道防御目标时防御才有意义。由于不可能使所有的系统不受拒绝服务的攻击，所以在构筑防护时，做出有关使用有限
的资源的决定要格外慎重。
    首先，在考虑应对攻击中所做出的诸如要做什么，何时做以及如何去做之类的信息安全方面的决定的同时，要仔细分析鉴别所要保护的关键服务和信息的策略和目的。将关键服务从一般服务中区分出来是这一分析的主要结果。这一结果可以用于在受到攻击时建立系统必须进行的应对性通信的优先权。
    其次，由于一般很难将网站遭恶意攻击与一般合法过度请求相区分，所以在构建可升级的系统的同时，使用各种防护网站遭恶意攻击的方法都是有用的。
    一般来说，系统和网络对网站遭恶意攻击的应对反应如下：①吸收攻击；②降低网络服务；③停止服务。
2．2该方法的三部分
    对网站遭恶意攻击的反应很大程度上取决于在攻击到来之前的准备工作。—旦攻击到来，再建构、安装附加的网络处理能力和进行检测都已经太晚了，这就需要事先做好准备。
    网站遭恶意攻击的防御应围绕以下三个主题：
    ①从生存性角度，设计好网络和系统，做好防护工作；②检测在线操作，要清楚地掌握对于网络来说一些“正常”的操作的状况，以便检测其变化；③做好非技术工作来人为有效的应对攻击。
    第一，从生存性角度，设计好网络和系统。
    生存性是指当一个网络计算系统在网络受到攻击或发生错误时所能够提供必要的服务及及时恢复全部服务的行为的能力。设计网络和系统来应对拒绝服务
攻击的主要目的是在攻击过程中尽可能长时间的维持关键隆服务。从生存性角度，设计网络和系统可以遵循的原则如下：
    ●在实践中区分出关键性服务。
    ●尽可能多的提供网络处理能力。
 ●使“目标节点”最小化。(最小化系统服务需求来限制可视化系统和服务，显现出最小的可被攻击目标)
 第二，检测在线操作。
 为了能够检测到不正常操作，必须能够在网络范围内找出正常的操作。这就需要用到网络操作度量，网络协议以及网络通信流量。在网络上建立一个正常通
信模式准则，这可以使系统管理员能够区分网站遭恶意攻击和正常的通信量过载。
    当在网络上进行检测时，应把重点放在对那些平时和受到攻击时网络消耗最大的资源上进行检测。例如，要对网络通信带宽的使用情况、包传输率以及路由
器CPU和内存的使用情况进行检测。
    同样的，主机级检测可以包括对诸如CPU和存储器的使用情况、剩余磁盘容量的情况以及诸如在特)殊情况(SYN等待，FIN等待等)下TCP连接之类的
网络操作等的情况的统计。此类入侵检测系统通过对操作的统计可以察觉到潜在的攻击，当然，也可能将通信量的突然增加误认为是网站遭恶意攻击。
 第三，做好应对攻击准备。
 除了以上的各种网络和系统对网站遭恶意攻击的应对技术外，我们可以采取非技术方式来减轻网站遭恶意攻击带来的影响。这主要包括：①培养分析能力。如果
不能够及时的分析处理，那么仅仅收集统计的情况和日志是毫无意义的。虽然一些工具可以帮助分析最大的数据量，但是仍需要一个训练有素的系统管理员来进行分析区别。因为将网站遭恶意攻击与合法用户的过量请求进行区分是很不容易的一件事。②制定应急应对计划。在应对任何攻击中，攻击应对计划是十分重要的。
3  结束语
    网站遭恶意攻击入侵网络可以造成很大损害，所以，要对付这种攻击归根到底还是要解决网络的整体安全题，但真正要解决安全问题要求整个网络内部之间各部分的配合，从边缘设备到骨干网络都要认真做好防范攻击的准备，注意平时的检测工作。一旦受到攻击要尽快响应，限制攻击力度的无限增强，使损失降到最小。

参 考 文 献

 [1]  聂元铭，丘乎著．网络信息安全技术（第二版）．北京：科学出版社，2006．2：全书
 [2]  Dr John D．Howard An Analysis Of Security lncidents Onthe Internet“Denial—Of—Service lncidents”，2002—2005Chapter 1l
 [3] CERT security improvement module SIM—·009：DetectingSigns O{Intrusions．http：//www．cert．org/security—im-provement
[4]  Denial Of Service Attacks(tech tip)．http；//www．cert．org/tech—tips／denial—Of—service．html