煤礦網(wǎng)絡(luò)安全DOS攻擊分析及解決方案

張正宜

(山西交通職業(yè)技術(shù)學(xué)院，山西 太原 030031)

0 前言

近年來，隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及推廣，很多經(jīng)營信息化的企業(yè)將網(wǎng)絡(luò)技術(shù)引入到煤炭行業(yè)，針對煤炭企業(yè)現(xiàn)在的行業(yè)現(xiàn)狀，提出諸多建設(shè)煤礦信息化系統(tǒng)的方案，比如礦用無線調(diào)度通信系統(tǒng)，礦用安全生產(chǎn)管理系統(tǒng)、無人值守運銷自動化控制系統(tǒng)、智能巡更系統(tǒng)等。但在實施過程中卻出現(xiàn)了諸多網(wǎng)絡(luò)安全問題，安全信息泄露、數(shù)據(jù)信號傳輸延遲等都得不到有效解決，而且這樣脆弱的網(wǎng)絡(luò)很容易遭受黑客的攻擊。通過分析統(tǒng)計，DOS攻擊在煤礦日常的信息化管理中是比較高發(fā)的。那么了解DOS攻擊原理，明確黑客對煤礦的攻擊過程，并且制定出有針對性的解決方案具有很大的意義[1]。

1 煤礦網(wǎng)絡(luò)安全DOS攻擊原理及攻擊手段

1.1 煤礦網(wǎng)絡(luò)安全DOS攻擊原理

所謂DOS，全稱是Denial Of Service，用中文講就是拒絕提供服務(wù)，我們簡單的講就是阻止或者拒絕合法用戶正常存取網(wǎng)絡(luò)服務(wù)器。DOS攻擊是目前網(wǎng)絡(luò)攻擊手段中最常見的一種[2]。它專門利用網(wǎng)絡(luò)協(xié)議的漏洞或者直接通過使用某些方法來耗盡被攻擊者的系統(tǒng)資源，目的是讓被攻擊主機或者網(wǎng)絡(luò)失去正常的服務(wù)能力，使被攻擊者的服務(wù)停止響應(yīng)。從工作原理上來講，無論被攻擊目標(biāo)的內(nèi)存有多大、CPU速度有多快、網(wǎng)絡(luò)速度有多快都無法避免這樣的攻擊。計算機資源都有一個峰值，所以黑客總能設(shè)計出一個方法使請求的值大于該極限值，最終導(dǎo)致服務(wù)器所提供的資源被耗盡。要是從技術(shù)分類的角度上來講，最常見的DOS攻擊有兩種，第一種是對網(wǎng)絡(luò)的帶寬攻擊，第二種是對系統(tǒng)連通性的攻擊。帶寬攻擊就是指用龐大的數(shù)據(jù)量沖擊計算機網(wǎng)絡(luò)，導(dǎo)致計算機網(wǎng)絡(luò)中的可用資源被消耗盡，最終的結(jié)果就是使得合法者的申請無法通過。那么連通性攻擊是怎么樣的呢？它是指以大量的申請連接沖擊網(wǎng)絡(luò)服務(wù)器，后果就是操作系統(tǒng)的資源都被消耗殆盡，最終導(dǎo)致網(wǎng)絡(luò)服務(wù)器無法再處理合法計算機的請求[3]。

我們要是很熟悉計算機網(wǎng)絡(luò)的TCP協(xié)議以及連接過程，那么黑客想要發(fā)起DOS攻擊的話，方式無非就是兩種，一種是使用非法手段迫使網(wǎng)絡(luò)服務(wù)器的緩沖區(qū)溢滿，無法接收新的連接申請；另外一種是通過IP地址欺騙的方式，使得網(wǎng)絡(luò)服務(wù)器把合法用戶的連接reset，導(dǎo)致網(wǎng)絡(luò)中正常的連接不可用，這就是DOS攻擊實施的基本思想。我們都熟知的TCP三次握手，如圖1所示，它的通信過程分三步。

圖1 TCP三次握手

客戶端與服務(wù)器進行的首次握手：client先發(fā)送位碼為syn=1,會隨機產(chǎn)生seq number=1234567的數(shù)據(jù)包到server，server通過SYN=1就會知道，client正在要求與之建立聯(lián)機；再次握手：server收到請求會確認這個信息，向client發(fā)送客戶端ack number=主機客戶端的seq+1,syn=1,客戶端ack=1,隨機產(chǎn)生seq=7654321的包；第三次握手：client收到后檢查ack number的正確性，若正確，主機客戶端會再發(fā)送客戶端ack number=(服務(wù)器端的seq+1),客戶端ack=1，服務(wù)器端收到后確認seq值與客戶端ack=1則連接建立成功[4]。這樣就完成了三次握手，客戶端與服務(wù)器端開始進行數(shù)據(jù)的傳送。那黑客如何利用三次握手進行攻擊的呢？

1.2 DOS的攻擊手段

1.2.1 synchronous洪水攻擊

網(wǎng)絡(luò)上現(xiàn)在最常見的DOS就是通過使用SYN洪水進行黑客攻擊。這種攻擊方式是專門不去完成TCP三次握手的最后一步，也就是說它不發(fā)送確認連接的數(shù)據(jù)給server，結(jié)果就是導(dǎo)致server不能夠完成第三次握手的過程，服務(wù)器會繼續(xù)進行連接申請，經(jīng)過一個時間段才會丟棄這個不完整的連接，這個時間段我們叫做SYN timeout，約為30 s～120 s。假如只有一個用戶這樣去做，使得server的一個線程等待60s也不會造成什么影響，但是大規(guī)模的網(wǎng)絡(luò)用戶通過這種方式去攻擊服務(wù)器，后果就很可怕了[5]。網(wǎng)絡(luò)服務(wù)器為了應(yīng)付這些非法請求，消耗了大部分系統(tǒng)資源和網(wǎng)絡(luò)帶寬，這個服務(wù)器就無法工作了。

1.2.2 IP地址欺騙

IP欺騙是利用RST位來實現(xiàn)的。我們假設(shè)有一個合法用戶20.20.20.1已經(jīng)和計算機server建立了合法的連接，那么黑客想要進行攻擊，首先偽裝自己的IP地址也是20.20.20.1，同時給server發(fā)送一個帶有RST位的TCP數(shù)據(jù)包。當(dāng)服務(wù)器接收到這個數(shù)據(jù)，它會認為從20.20.20.1發(fā)送的連接有錯誤，接著便清空緩沖區(qū)中已經(jīng)建立好的連接。這時，假如該用戶20.20.20.1進行連接申請，但是服務(wù)器里的連接已經(jīng)清除了，那么這個用戶就得建立新的連接。通過這樣的模式，假如黑客偽造大量的IP地址，向服務(wù)器發(fā)送RST數(shù)據(jù)，就會導(dǎo)致服務(wù)器資源被耗盡而無法正常工作。

1.2.3 網(wǎng)絡(luò)帶寬DOS攻擊

這是一種進行帶寬消耗的攻擊模式，假如你這里的帶寬非常大，但是服務(wù)器的帶寬卻不是很大，這樣你就可以利用你的大帶寬來消耗服務(wù)器的小帶寬了，很簡單，不停的向服務(wù)器提出請求，再加上SYN洪水攻擊，效果驚人。

2 如何檢測DOS攻擊

2.1 內(nèi)部步履方法監(jiān)測

大多的DOS攻擊是針對服務(wù)器的Web端發(fā)起的，而服務(wù)器所安裝的監(jiān)控軟件可能為抵制DOS攻擊從而導(dǎo)致HTTP運行速度變慢、CPU高負荷等問題，但是這些現(xiàn)象并不能100%斷定服務(wù)器是遭到了DOS攻擊，這一切還將取決于網(wǎng)絡(luò)管理員對整個網(wǎng)絡(luò)的判斷。

2.2 外部性能監(jiān)測

IT打點員可操作一個外部性能監(jiān)控解決方案來評估一個暗藏產(chǎn)生的DOS報復(fù)抨擊襲擊。和安裝于用戶匯集內(nèi)部的工具分歧，外部性能監(jiān)控解決方案凡是由第三方供給，經(jīng)過過程位于世界各地的監(jiān)控節(jié)點對網(wǎng)站或操作法式榜樣進行性延續(xù)性探測。

2.3 流量監(jiān)測

匯集流量監(jiān)控能夠顯示已經(jīng)啟動并毗連匯集的法式榜樣，查概念式下載或上傳的速度和流量信息。此外，您還可以限制某些法式榜樣的上傳和下載速度，防止其訪謁匯集，輔助用戶創(chuàng)造并禁止某些法式榜樣在用戶不知情的景象下，偷偷訪謁匯集占用帶寬，主動禁止DOS報復(fù)抨擊襲擊[6]。

2.4 前置監(jiān)測

捕獲DOS的監(jiān)控方案可以在匯集或者數(shù)據(jù)核心內(nèi)部安裝DOS監(jiān)測設(shè)備，當(dāng)?shù)乇O(jiān)測和防護設(shè)備措置在可用帶寬內(nèi)的DOS報復(fù)抨擊襲擊，若是報復(fù)抨擊襲擊超出帶寬，就切換到云防護。世界上沒有完善的解決方案，任何防護都有裂縫可循，我們需要做的就是熟諳DOS報復(fù)抨擊襲擊，提早創(chuàng)造，盡早預(yù)防，躲避風(fēng)險于萌芽之初。

3 解決煤礦網(wǎng)絡(luò)信息遭受DOS攻擊的方案

現(xiàn)在面臨的主要問題是如何識別具有惡意攻擊的計算機，尤其是使用DOS攻擊的黑客。這些攻擊性的計算機隱藏了自己的IP地址，冒用被攻擊者的地址，使用了大量的偽裝數(shù)據(jù)來使我們的合法用戶受到攻擊。為了解決這類問題，我們采用一些專業(yè)手段來防御。我們常見的煤炭網(wǎng)絡(luò)結(jié)構(gòu)就是通過核心路由器和交換機來進行數(shù)據(jù)轉(zhuǎn)發(fā)，我們可以通過對核心路由器的安全設(shè)置來達到對DOS攻擊的有效防范，通常采用ACL技術(shù)對數(shù)據(jù)進行包過濾，制定合理的策略。

1) 通過配置ACL控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)

Router(Config)# no access-list 101

Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any

Router(Config)# access-list 101 deny ip any any

Router(Config)# interface eth 0/1

Router(Config-if)# description “internet Ethernet”

Router(Config-if)# ip address 192.168.0.254 255.255.255.0

2) 通過配置ACL實現(xiàn)限制主機遠程登錄路由器

Router#confit t

Router(config)#access-list 1 permit host 192.168.0.1

192.168.0.1遠程登錄

Router(config)#line vty 0 4

Router(config-line)#access-class 1 in

Router(config-line)#

3) 通過配置ACL禁止192.168.0.0網(wǎng)段與192.168.1.0網(wǎng)段互通

Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

Router(config)#access-list 101 permit ip any any

Router(config)#int fa0/1

Router(config-if)#ip access-group 101 out

4 結(jié)語

對于煤炭企業(yè)信息化網(wǎng)絡(luò)安全來說，不管是在網(wǎng)絡(luò)設(shè)計上的不足，還是在管理上人為造成的不安定因素，都會被黑客利用進行DOS攻擊，從而給煤炭企業(yè)造成很大的損失[7]。所以，為了保障煤炭企業(yè)的安全生產(chǎn)建設(shè)，在網(wǎng)絡(luò)安全方面上必須了解黑客的攻擊技術(shù)，加強自身的網(wǎng)絡(luò)安全設(shè)置，做到預(yù)防為主，為煤礦的安全提供有力的保障。