李森

随着军队办公自动化，作战自动化的发展，边防部队计算机网络已经成为了边防部队平时、战时进行指挥协调的主要平台，因此高效、稳定的网络环境是保证边防部队平时训练和作战任务顺利完成的重要条件。DDoS攻击不以获取边防部队计算机网络中的信息为主要目的，而是通过DDoS攻击来使得边防部队计算机网络无法提供正常的服务。在边防部队计算机网络中，由于DDoS攻击破坏较大，防御困难，而且由于边防部队计算机网络的防范意识较为单薄，用户层次复杂，因此研究边防部队计算机网络的DDoS攻击防御对策更显重要。

DDoS攻击简介

DDoS攻击原理及流程

DoS攻击，就是通过合理的手段请求过多的服务器资源，从而使得合法用户无法正常获得服务器所提供服务的攻击手段。DDoS则是在DoS基础上产生的一种攻击方式，即通过大量的攻击机器，来同时对服务器进行攻击。

DDoS攻击分成攻击软件安装和攻击实施两个阶段，进行DDoS攻击时，一般都会经过如下的几个步骤：

了解目标情况。在一个大型的应用中，一般都会采用负载均衡技术，有很多台服务器来提供服务，有时甚至采用四层、七层交换机来实现负载均衡。那么在进行攻击时，攻击者就需要更多的傀儡机来实现DDoS攻击。

占领傀儡机。黑客会随机扫描网络中有数据库漏洞、FTP漏洞、CGI漏洞等计算机，然后通过各种手段入侵计算机，并且获得傀儡机的一个较高的权限。然后，利用FTP将DDoS攻击程序上传到傀儡机上，并通过这个攻击程序来向被攻击服务器进行攻击。

实现攻击。在占领了足够多的傀儡机后，攻击者就会控制傀儡机向被攻击服务器发送请求，从而造成被攻击服务器在短时间内需要进行大量请求的响应，一旦超出了服务器的处理能力，那么就会造成服务器的瘫痪。

DDoS攻击分类

DDoS攻击多种多样，按照不同的分类标准，DDoS攻击可以分成不同的类别。根据自动化程度分可以分成手动、半自动和自动攻击。根据攻击弱点可以分成协议攻击和暴力攻击，协议攻击即通过网络协议弱点，采取相应的攻击策略；暴力攻击则是通过大量正常的请求来快速消耗服务器资源，从而实现对服务器的攻击。根据攻击频率可以分成持续攻击和变动频率攻击，持续攻击即在发动攻击后，就全力发起攻击，因此在短时间内形成大量攻击；变动攻击频率攻击，即采取速度逐渐加快或者频率高低变化的方式对服务器进行攻击。

DDoS攻击分析

处于安全考虑，边防部队计算机网络中所传输的数据大多是经过加密的，为此，对边防部队计算网络实施的攻击大多是以瘫痪计算机网络的Flood攻击为主。Flood攻击是一种暴力攻击方式，通过大量的正常请求占用服务器资源，从而实现对服务器的攻击。

PingFlood攻击

即大量傀儡计算机向服务器发送大量的ping请求，从而使得服务器忙于处理这些请求而消耗掉大量的资源，最终可能导致服务器无法响应其它用户请求，甚至死机。随着信息技术的发展，PingFlood攻击较少在边防部队计算机网络攻击中应用。

SynFlood攻击

SynFlood利用了TCP协议三次握手的漏洞傀儡机向服务器发送的TCP数据包源IP地址是伪造的，在三次握手过程中第二步服务器所发送的SYN/ACK数据包永远也到不了傀儡机上，从而服务器无法接收到客户端所发送的ACK数据包。这种情况下，一般服务器会一段时间内重复按照SYN数据包的源地址发送SYN/ACK数据包，使得服务器端在较长的一段时间内需要维护一个很大的半连接列表，不仅需要进行繁忙的重复发送SYN/ACK操作，而无法响应正常用户请求，同时还有可能由于半连接表长度过大，而导致数据溢出，最终造成服务器崩溃，造成边防部队计算机网络中断。

UDPFlood攻击

UDP是一种无连接协议，在进行数据传输时，不需要建立客户端与服务器的连接。因此，攻击者可以随意给服务器发送大量UDP数据包。当服务器接收到客户端素所发送的UDP数据包之后，通过对UDP数据包的分析，如果在服务器上没有找到正在等待该UDP数据包的应用程序，则向伪造源地址发送一个ICMP数据包，当足够多的客户端发送了足够多的UDP数据包给服务器时，就会造成服务器的崩溃，最终造成部队计算机网络的中断。

SMURF欺骗

这种攻击方式结合了ICMP响应和IP欺骗的方式，在短时间内形成大量、正常的服务器请求，最终导致服务器拒绝为正常的请求进行相应。其具体流程如下：攻击者伪造服务器IP地址，向路由器发送一个IP广播地址分组，在网络中广播一个echo请求，路由器在接收到这个广播分组之后，会向网段中的所有主机广播这个消息，由于消息的源地址为伪造的服务器地址，因此所有主机都会向服务器发送echo响应信息，如果所在的局域网较大，那么在短时间内就有数百台的主机向服务器发送echo请求消息。由于大多数的服务器都会优先处理ICMP传输信息，为此短时间内大量的echo信息就可以轻易的阻止服务器拒绝正常用户的请求，从而使得边防部队局域网中断。

防范策略

根据边防部队计算机网络和DDoS的特点，可以采取如下的手段来提高边防部队计算机网络的抗DDoS攻击能力。

简单服务，严格的访问控制

简单服务基于“越单一，越安全”原则，如果边防部队计算机网络中的应用过多，一旦攻击者找到其中某个应用的漏洞，就有可能获取计算机足够高的权限来发动攻击。严格方位控制，即通过防火墙技术的支持，除非是被明确允许的行为，否则一律予以拒绝。

进行定期安全检查

在具体的工作中，可以采用如下两种工具来实现边防部队计算机网络安全的检查：入侵检测工具。可以实现入侵踪迹的实时监测，同时也可以进行漏洞监测，帮助管理员及时发现系统所存在的漏洞，以及及时了解网络的异常情况。系统完整性监测工具。

建立完善的报警机制

边防部队计算机网络中的基准值主要包括错误数据包的数量和类型、各类数据包占总力量的比例、各类数据包的发送频率、带宽利用率等。通过正常时，对网络进行多次测量来确定基准值，一旦这些参数发生变化，就及时通知管理员对网络进行监控，从而提高边防部队计算机网络抵抗DDoS攻击的能力。

日志记录分析

日志记录的分析是处理DDoS攻击的主要手段之一，但是一般的日志记录并没有详细信息，而且也缺乏对日志信息进行检索和统计的手段。为此，网络管理员应该采用其他辅助工具来进行日志的记录和日志记录的分析。当发现网络中的以外事件，或者是基准值超标时，就可以通过日志记录分析工具来实现快速定位，并且制定相应的解决措施，保证边防部队计算机网络的安全。

边防部队计算机网络对安全性要求极高，计算机网络安全甚至可以决定一场战争的胜败。由于边防部队计算机网络的特点，网络攻击主要以DDoS攻击为主，本文通过对边防部队计算机网络中DDoS攻击的分析，对边防部队计算机网络如何防范DDoS攻击进行了研究，从而为提高边防部队计算机网络的安全性尽自己的一份努力。