张正宜

(山西交通职业技术学院，山西 太原 030031)

0 前言

近年来，随着通信技术和网络技术的飞速发展以及推广，很多经营信息化的企业将网络技术引入到煤炭行业，针对煤炭企业现在的行业现状，提出诸多建设煤矿信息化系统的方案，比如矿用无线调度通信系统，矿用安全生产管理系统、无人值守运销自动化控制系统、智能巡更系统等。但在实施过程中却出现了诸多网络安全问题，安全信息泄露、数据信号传输延迟等都得不到有效解决，而且这样脆弱的网络很容易遭受黑客的攻击。通过分析统计，DOS攻击在煤矿日常的信息化管理中是比较高发的。那么了解DOS攻击原理，明确黑客对煤矿的攻击过程，并且制定出有针对性的解决方案具有很大的意义[1]。

1 煤矿网络安全DOS攻击原理及攻击手段

1.1 煤矿网络安全DOS攻击原理

所谓DOS，全称是Denial Of Service，用中文讲就是拒绝提供服务，我们简单的讲就是阻止或者拒绝合法用户正常存取网络服务器。DOS攻击是目前网络攻击手段中最常见的一种[2]。它专门利用网络协议的漏洞或者直接通过使用某些方法来耗尽被攻击者的系统资源，目的是让被攻击主机或者网络失去正常的服务能力，使被攻击者的服务停止响应。从工作原理上来讲，无论被攻击目标的内存有多大、CPU速度有多快、网络速度有多快都无法避免这样的攻击。计算机资源都有一个峰值，所以黑客总能设计出一个方法使请求的值大于该极限值，最终导致服务器所提供的资源被耗尽。要是从技术分类的角度上来讲，最常见的DOS攻击有两种，第一种是对网络的带宽攻击，第二种是对系统连通性的攻击。带宽攻击就是指用庞大的数据量冲击计算机网络，导致计算机网络中的可用资源被消耗尽，最终的结果就是使得合法者的申请无法通过。那么连通性攻击是怎么样的呢？它是指以大量的申请连接冲击网络服务器，后果就是操作系统的资源都被消耗殆尽，最终导致网络服务器无法再处理合法计算机的请求[3]。

我们要是很熟悉计算机网络的TCP协议以及连接过程，那么黑客想要发起DOS攻击的话，方式无非就是两种，一种是使用非法手段迫使网络服务器的缓冲区溢满，无法接收新的连接申请；另外一种是通过IP地址欺骗的方式，使得网络服务器把合法用户的连接reset，导致网络中正常的连接不可用，这就是DOS攻击实施的基本思想。我们都熟知的TCP三次握手，如图1所示，它的通信过程分三步。

图1 TCP三次握手

客户端与服务器进行的首次握手：client先发送位码为syn=1,会随机产生seq number=1234567的数据包到server，server通过SYN=1就会知道，client正在要求与之建立联机；再次握手：server收到请求会确认这个信息，向client发送客户端ack number=主机客户端的seq+1,syn=1,客户端ack=1,随机产生seq=7654321的包；第三次握手：client收到后检查ack number的正确性，若正确，主机客户端会再发送客户端ack number=(服务器端的seq+1),客户端ack=1，服务器端收到后确认seq值与客户端ack=1则连接建立成功[4]。这样就完成了三次握手，客户端与服务器端开始进行数据的传送。那黑客如何利用三次握手进行攻击的呢？

1.2 DOS的攻击手段

1.2.1 synchronous洪水攻击

网络上现在最常见的DOS就是通过使用SYN洪水进行黑客攻击。这种攻击方式是专门不去完成TCP三次握手的最后一步，也就是说它不发送确认连接的数据给server，结果就是导致server不能够完成第三次握手的过程，服务器会继续进行连接申请，经过一个时间段才会丢弃这个不完整的连接，这个时间段我们叫做SYN timeout，约为30 s～120 s。假如只有一个用户这样去做，使得server的一个线程等待60s也不会造成什么影响，但是大规模的网络用户通过这种方式去攻击服务器，后果就很可怕了[5]。网络服务器为了应付这些非法请求，消耗了大部分系统资源和网络带宽，这个服务器就无法工作了。

1.2.2 IP地址欺骗

IP欺骗是利用RST位来实现的。我们假设有一个合法用户20.20.20.1已经和计算机server建立了合法的连接，那么黑客想要进行攻击，首先伪装自己的IP地址也是20.20.20.1，同时给server发送一个带有RST位的TCP数据包。当服务器接收到这个数据，它会认为从20.20.20.1发送的连接有错误，接着便清空缓冲区中已经建立好的连接。这时，假如该用户20.20.20.1进行连接申请，但是服务器里的连接已经清除了，那么这个用户就得建立新的连接。通过这样的模式，假如黑客伪造大量的IP地址，向服务器发送RST数据，就会导致服务器资源被耗尽而无法正常工作。

1.2.3 网络带宽DOS攻击

这是一种进行带宽消耗的攻击模式，假如你这里的带宽非常大，但是服务器的带宽却不是很大，这样你就可以利用你的大带宽来消耗服务器的小带宽了，很简单，不停的向服务器提出请求，再加上SYN洪水攻击，效果惊人。

2 如何检测DOS攻击

2.1 内部步履方法监测

大多的DOS攻击是针对服务器的Web端发起的，而服务器所安装的监控软件可能为抵制DOS攻击从而导致HTTP运行速度变慢、CPU高负荷等问题，但是这些现象并不能100%断定服务器是遭到了DOS攻击，这一切还将取决于网络管理员对整个网络的判断。

2.2 外部性能监测

IT打点员可操作一个外部性能监控解决方案来评估一个暗藏产生的DOS报复抨击袭击。和安装于用户汇集内部的工具分歧，外部性能监控解决方案凡是由第三方供给，经过过程位于世界各地的监控节点对网站或操作法式榜样进行性延续性探测。

2.3 流量监测

汇集流量监控能够显示已经启动并毗连汇集的法式榜样，查概念式下载或上传的速度和流量信息。此外，您还可以限制某些法式榜样的上传和下载速度，防止其访谒汇集，辅助用户创造并禁止某些法式榜样在用户不知情的景象下，偷偷访谒汇集占用带宽，主动禁止DOS报复抨击袭击[6]。

2.4 前置监测

捕获DOS的监控方案可以在汇集或者数据核心内部安装DOS监测设备，当地监测和防护设备措置在可用带宽内的DOS报复抨击袭击，若是报复抨击袭击超出带宽，就切换到云防护。世界上没有完善的解决方案，任何防护都有裂缝可循，我们需要做的就是熟谙DOS报复抨击袭击，提早创造，尽早预防，躲避风险于萌芽之初。

3 解决煤矿网络信息遭受DOS攻击的方案

现在面临的主要问题是如何识别具有恶意攻击的计算机，尤其是使用DOS攻击的黑客。这些攻击性的计算机隐藏了自己的IP地址，冒用被攻击者的地址，使用了大量的伪装数据来使我们的合法用户受到攻击。为了解决这类问题，我们采用一些专业手段来防御。我们常见的煤炭网络结构就是通过核心路由器和交换机来进行数据转发，我们可以通过对核心路由器的安全设置来达到对DOS攻击的有效防范，通常采用ACL技术对数据进行包过滤，制定合理的策略。

1) 通过配置ACL控制流出内部网络的地址必须是内部网络的数据

Router(Config)# no access-list 101

Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any

Router(Config)# access-list 101 deny ip any any

Router(Config)# interface eth 0/1

Router(Config-if)# description “internet Ethernet”

Router(Config-if)# ip address 192.168.0.254 255.255.255.0

2) 通过配置ACL实现限制主机远程登录路由器

Router#confit t

Router(config)#access-list 1 permit host 192.168.0.1

192.168.0.1远程登录

Router(config)#line vty 0 4

Router(config-line)#access-class 1 in

Router(config-line)#

3) 通过配置ACL禁止192.168.0.0网段与192.168.1.0网段互通

Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Router(config)#access-list 101 permit ip any any

Router(config)#int fa0/1

Router(config-if)#ip access-group 101 out

4 结语

对于煤炭企业信息化网络安全来说，不管是在网络设计上的不足，还是在管理上人为造成的不安定因素，都会被黑客利用进行DOS攻击，从而给煤炭企业造成很大的损失[7]。所以，为了保障煤炭企业的安全生产建设，在网络安全方面上必须了解黑客的攻击技术，加强自身的网络安全设置，做到预防为主，为煤矿的安全提供有力的保障。