甄龙飞

摘要：为了强化计算机网络信息安全的重要性，针对威胁互联网安全的惯性手段进行研究，通过分析找寻对网络攻击行之有效的预防途径或措施。以高隐蔽性、易操控性、强破坏性著称的分布式拒绝服务（DDoS）攻击为特例入手，通过研究其基本概念、特征和攻击原理研究出有效避免和预防DDoS攻击的方法，并通过实验进行研究和分析。

关键词：计算机网络安全；DDoS攻击；预警阈值；防范措施

中图分类号：TP393文献标志码：A文章编号：1008-1739（2020）07-69-3

0引言

网络信息化时代的迅猛发展与革新，使计算机网络已成为社会发展和人民生活中不可或缺的一部分，在潜移默化中影响着人们日常的生活和工作。计算机、智能机、无线网络及智能家电等在人们的生活中随处可见，为人们带来了前所未有的方便与快捷，但在提供便捷的同时也带来了网络安全的挑战。人们常以网络攻击、信息泄密及网络黑客等作为日常谈资，却不明白真正的含义和危害性。

截止目前，我国国家互联网应急中心CERT发布了一份《2019年上半年我国互联网网络安全态势》的报告，报告显示现在最新、最流行的网络攻击方式以高隐蔽性、易操控性和强破坏性著称的DDoS攻击为主，肆虐网络空间、窃取人们的隐私、入侵企业平台、危害个人财产安全及攻击国家网络等，造成极为恶劣的影响，因此重视网络安全极为重要。

1 DDoS攻击

DDoS是指处于不同地域的多个攻击方同时向一个或数个目标发动攻击[1]，或一个攻击者控制了位于不同方位的多台网络设备并利用这些设备对被攻击对象同时实施攻击的一种手段。由于攻击的出发点分布在不同地域，这类攻击统称为分布式拒绝服务攻击。最常见的攻击方式[2]有：SYN Flooding攻击、UDP Flood攻击、ICMP Flood攻击、HTTP Get攻击及UDP DNS Query Flood攻击等。

1.1攻击原理

DDoS是以DoS攻击为主的特殊形式的拒绝服务攻击，是一种分布式大规模协同集群型的网络攻击。通过利用网络协议和系统漏洞以欺骗和伪装IP数据包的手段来进行网络攻击，使网络或网络设备充斥大量要求回复的数据包，消耗网络带宽或系统资源，导致网络或系统因负荷过载而瘫痪并终止正常服务[3]。与DoS相比，DDoS是借助成百上千台傀儡机同时发起的集团大规模攻击行为，DDoS攻击原理如图1所示。

一个DDoS攻击的完整体系[4]由攻击者、主控端、傀儡端和攻击目标4个部分组成。主控端和傀儡端分别用于主机控制和实际发起攻击的傀儡机，其中主控端只发布命令而不参与实际的攻击，傀儡端发出DDoS的实际攻击包。对于主控端和傀儡端的计算机，攻击者对傀儡机具有实质的控制权，但傀儡端计算机用户并不知道自己的电脑已被控制，DDoS在攻击过程中会利用各种手段隐藏自己而不被发现。真正的攻击者一旦将攻击的命令传送到傀儡端，攻击者就可以关闭计算机或离开网络，而由主控端将命令发布到各个傀儡主机上，这样攻击者可以逃避追踪。每一个傀儡端都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它们的来源[5]，而且这些数据包所请求的服务要消耗大量的带宽和系统资源，造成目标主机无法为用户提供正常服务，最终导致系统崩溃。

1.2 DDoS攻击过程

攻击者需要控制一台或多台计算机作为傀儡端，通过这些受控的计算机向有系统漏洞、安全漏洞的其他计算机或服务器发送伪装的数据包来进行入侵，并在神不知鬼不觉的情况下控制其设备作为傀儡，一般受到控制的计算机会异常响应2声后恢复正常。

攻击者控制了傀儡机就会安装相应功能的攻击程序[6]，有些攻击程序具有定时性，也有一些是非定时的，需要攻击者因时制宜地控制傀儡机，对目标主机发起数据包攻击。

发动攻击，通常有2种情况：①傀儡机群安装的是预定时攻击程序，则会在规定时间内对攻击目标进行狂轰乱炸，疯狂地发送攻击数据包使之陷入瘫痪或死机以终止服务；②手动攻击，攻击者根据所需的时间、空间以及地理方位进行随机性攻击。现实情况下一般黑客会选用前者以保护自己的身份不被泄露和发觉。

2实验

2.1实验准备

实验需2台作为路由网关的3层交换机，用以连接攻击者、傀儡机群（多台计算机）、受攻击者（包括計算机和服务器）和正常网络用户（正常数据通信的计算机）。通过对比受攻击者和正常网络用户的数据流量的实时变化情况，来实时监测DDoS攻击的流量突变情况，并对流量数据进行统计与收集，通过科学计算校验出DDoS攻击预警流量值再进行预警以提高技术员对DDoS攻击的防范意识，实验平台的搭建如图2所示。

2.2数据统计分析

以图2的实验拓扑图进行DDoS攻击的假设性实验，分别对不同对象进行模拟攻击，假设实验流程如图3所示。通过图2中的流量数据统计与分析服务器进行数据采集和统计分析，采集数据包括SYN Flood攻击、UDP Flood攻击及ICMP Flood攻击等的流量数据和异常数据包，以及正常用户的流量值与数据包。用收集的实验数据进行比对分析并进行异常流量窗口值的计算，用以确定对DDoS攻击的持续时间的最低预警阈值。所谓最低预警阈值是指当计算机或服务器受到一定时间的DDoS攻击，将异常数据流达到最低临界窗口值作为定界标准，以判定是否为DDoS攻击。当前常用的DDoS攻击预警值是当攻击流量在一定时间内达到的最大峰值来进行判定，如果用DDoS攻击的异常流窗口值作为最低的预警阈值，可能会有意想不到的结果。

2.3科学计算及定界

众所周知，Hurst指数是使用最广泛、认同度最高的表征自相似型的数学参数。Hurst指数是描述非函数长周期的重要指标，它反映的是一长串相互联系事件的结果。通过计算正常流和异常流的Hurst指数，可以得到不同种类的网络流量的自相似特性，且能够知道正常的网络流量模型是符合自相似模型的[7]。通过与DDoS攻击的异常流模型进行比对，其标准的自相似特性将会发生改变，从而能判定网络流量是否发生异常，因而能利用这一特点来检测DDoS攻击的发生。

通过对实验数据进行Hurst值的计算和曲线图的对照，利用Hurst指数的3种形式特性：①如果=0.5，表明时间序列可以用随机游走来描述；②如果0.5< <1，表明时间序列存在长期记忆性；③如果0≤<0.5，表明粉红噪声（反持续性），即均值回复过程，可判定并得出最低预警阈值。

3对DDoS攻击的防范措施

DDoS攻击之所以难以被清除或预防是因为：①DDoS攻击利用Internet的开放性和从任意源地址向任意目标地址发送数据包的网络通信模式[8]，这种开放式的网络通信扩大了DDoS攻击包的入侵路径，提升了受攻击的轻重程度；②对隐藏在合法数据包通信流中的非法数据包的辨别和剔除有一定难度，增加了预防和消除DDoS攻击的难度。因此，应对DDoS攻击要从网络流量异常监测、数据包的鉴定、系统漏洞周期性修复及网络用户应遵守的规则等方面入手。

3.1流量异常监测

DDoS攻击是在短时间内伪造大量的请求数据包发送给目标设备，导致大量数据包在同一时间内进行请求连接，致使受攻击设备没有足够的时间去处理这些请求包，因此就会使受攻击设备的CPU利用率急剧上升导致其陷入瘫痪。基于此，DDoS攻击者首先会试探性地攻击目标设备的系统漏洞，此时会在短时间内产生较多的数据流量，经过部署的安全软件就会及时监控网络产生的异常流量流，并告警用户辨别是否为DDoS攻击以做好相关防范措施。

3.2数据包的鉴定

通过对数据包插入相应的辨识帧以防非法用户伪装我方网络的数据来入侵我方网络或设备。一旦我方知晓有DDoS攻击源正在攻击网络或设备时，就可以通过辨识帧来甄别非法数据包来达到消除过滤异常非法数据流的功用。这样既不用终止网络服务也不用将合法和非法数据包一同删除或过滤，既能有效防范DDoS攻击又能维持网络服务正常运行。

3.3系统漏洞周期性修复

系统漏洞[9]是一种网络信息化安全的潜在威胁，主要有应用程序漏洞、Web应用漏洞、操作系统漏洞、网络设备漏洞及数据库漏洞等，涉及的方式有信息泄露、权限绕过、远程代码执行及弱口令等。系统漏洞在网络或设备中比较常见，如360安全、金山毒霸、瑞星杀毒等安全软件就常提醒计算机用户去修复漏洞为系统打补丁，其实这就为预防网络攻击奠定坚实基础[10]。因此互联网用户要定期扫描检测网络设备是否有重大安全隐患的系统漏洞，以及时修复来保障网络或设备通信的安全性。

3.4网络用户守则

网络用户要注意使用正规的、安全的网络设备，提高网络安全意识，遵守有关网络安全措施。及时升级系统以提高系统抗攻击的能力并在系统中安装防火墙、入侵检测工具（如NIPC，NGREP），经常扫描检查系统解决系统漏洞，对系统文件和应用程序进行加密，并定期检查这些文件的变化[11]。也可以根据IP地址对数据包进行过滤、为系统访问提供更高级别的身份验证，以及使用安全工具軟件检测不正常的高信息流量来防范DDoS攻击。

4结束语

本文主要通过对DDoS攻击的研究来强调计算机网络安全的重要性，并从DDoS攻击入手研究其攻击原理、过程方式、危害手段等来探寻出预防DDoS攻击的策略规则，并通过设计模拟实验来进行验证。基于此，在设计模拟实验中需统计收集正常用户和受攻击设备的数据流量，用科学计算的方式与Hurst值进行比较来判断其是否符合自相似性。若计算值被判定为符合自相似性，则确定是正常的数据通信，反之则可判定为受到了DDoS攻击，其中判定为受攻击的流量窗口值可作为预警阈值。这种新的判定方式将比传统检测方式更为有效。进而对预防DDoS攻击提出几点预防建议，来辅助用户或网络运维人员及时防范DDoS攻击。

参考文献

[1]刘远生，辛一.计算机网络安全[M].北京：清华大学出版社， 2009.

[2]王麦玲.分布式拒绝服务攻击与防范措施[J].办公自动化， 2008（18）：42-43.

[3]滕建，陈骏君，赵英.基于用户网络行为模型的DDoS攻击检测[C]//中国计算机用户协会网络应用分会2018年第二十二届网络新技术与应用年会论文集，2018-10，中国江苏苏州：出版社不详，2018：22-26.

[4]李仲龙，司瑾.分布式拒绝服务攻击浅析[J].电脑知识与技术，2010，6（10）：2373-2374.

[5]赵陇，王志勃，章万静.基于DDoS安全区的伪造IP检测技术研究[J].计算机技术与发展，2019，29（9）：106-109.

[6]王麦玲.分布式拒绝服务攻击与防范措施[J].办公自动化， 2008（18）：42-43.

[7]王志猛.基于流量相似性的DDoS攻击检测的研究[D].合肥：合肥工业大学，2018.

[8]冯国礼，李蓉，王晔.浅析数据中心网络安全防护与设计要求[J].信息系统工程，2017（3）：132-134.

[9]吴倩倩.综合型漏洞扫描系统的研究与设计[D].保定：华北电力大学，2015.

[10]邹俊威.计算机网络安全技术与防范措施[J].电子技术与软件工程，2019（17）：188-189.

[11]刘辉.分布式拒绝服务攻击的特点与防御[J].新课程（教育学术），2012（2）：164.