◆鄒桂穎

（阿壩師范學(xué)院 四川 623000）

計算機(jī)信息系統(tǒng)DoS攻擊和ARP欺騙的解決對策

◆鄒桂穎

（阿壩師范學(xué)院 四川 623000）

進(jìn)入21世紀(jì)以來，計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的快速發(fā)展打破了國家的界限，給這個世界帶來了自由和繁榮，人們對于計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)的依賴也不斷加深。但與此同時，計算機(jī)網(wǎng)絡(luò)攻擊、計算機(jī)網(wǎng)絡(luò)犯罪等各種網(wǎng)絡(luò)安全威脅卻愈演愈烈，嚴(yán)重影響著各國經(jīng)濟(jì)社會的穩(wěn)定和發(fā)展。本文系統(tǒng)分析了DoS攻擊、ARP欺騙攻擊的基本原理，提出了相應(yīng)的解決和防護(hù)辦法，從而有效抵御和防范了針對計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)環(huán)境問題的主要威脅。

計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)；安全問題；對策

0 引言

截止到2015年12月底，中國互聯(lián)網(wǎng)用戶達(dá)到了7.13億，如此巨大的網(wǎng)絡(luò)用戶，促進(jìn)了各種網(wǎng)絡(luò)應(yīng)用的發(fā)展，計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用已成為人們?nèi)粘Ｉ钪凶钪匾膽?yīng)用之一，大到政府、國有大型企事業(yè)單位，小到小型公司及家庭用戶，紛紛依靠網(wǎng)站來開展各項日常工作或者體現(xiàn)個性思想行為，同時各種門戶、搜索、即時聊天、個人電腦安全等網(wǎng)站也五花八門，成了人們獲取信息、娛樂、進(jìn)行溝通的重要手段。網(wǎng)站應(yīng)用在體現(xiàn)重要作用、重要價值的同時，也日益成為不法分子破壞的目標(biāo)，2015年我國計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心共接收境內(nèi)外報告的網(wǎng)絡(luò)安全事件126916起，其他沒有統(tǒng)計在內(nèi)的網(wǎng)站亦多不勝舉。

1 計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)環(huán)境安全問題分析

1.1 DoS攻擊

DoS是Denial of Service的簡稱，即拒絕服務(wù)，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)。最常見的DoS攻擊有計算機(jī)網(wǎng)絡(luò)帶寬攻擊和連通性攻擊。

DoS通過調(diào)用大量網(wǎng)絡(luò)資源向目標(biāo)服務(wù)器在一個時間段中大量發(fā)送無意義的數(shù)據(jù)包，擁塞服務(wù)器通往廣域網(wǎng)的網(wǎng)絡(luò)端口，造成被攻擊服務(wù)器不能與外界聯(lián)網(wǎng)互動。通過目標(biāo)服務(wù)器重復(fù)提供服務(wù)和傳輸協(xié)議而導(dǎo)致的漏洞，不停地向目標(biāo)服務(wù)器要求重復(fù)服務(wù)，消耗大量目標(biāo)服務(wù)器的有限資源，從而使得目標(biāo)服務(wù)器無法響應(yīng)其它用戶的正常的服務(wù)請求。通過目標(biāo)服務(wù)器重復(fù)提供服務(wù)和傳輸協(xié)議而導(dǎo)致的漏洞，高頻發(fā)送變態(tài)的攻擊數(shù)據(jù)，從而引發(fā)系統(tǒng)紊亂性錯誤，直至耗盡系統(tǒng)資源而死機(jī)。

DoS的攻擊方法。（1）利用軟件實現(xiàn)的缺陷。OOB攻擊、teardrop攻擊、land攻擊、IGMP碎片包攻擊等，這些手段僅僅只是利用了那些軟件的功能上的軟肋，從而完成DoS攻擊的。一般情況之下，這些工具軟件向網(wǎng)站系統(tǒng)發(fā)送特殊的一些報文，這些手段都非常致命，基本上一發(fā)不可收拾，直接將目標(biāo)服務(wù)器堵死，這些攻擊很難查到攻擊源，一般都是都不是真實的地址，即使通過log日志也找不到發(fā)起攻擊的源在何方，由于報文的特殊性和重復(fù)性，本身短小精簡的報文，如果可以隱藏ip地址，幾乎不可能完成追查源的工作。（2）利用協(xié)議的漏洞。利用協(xié)議漏洞的Dos攻擊的生存能力卻非常之強(qiáng)，因為網(wǎng)絡(luò)協(xié)議一旦發(fā)布就很難改變，而軟件要能在網(wǎng)絡(luò)上使用，就必須遵守這個協(xié)議了，而如果這種協(xié)議存在漏洞的話，所有遵循此協(xié)議的軟件都會受到影響。

1.2 ARP欺騙攻擊

ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。（1）截獲網(wǎng)關(guān)數(shù)據(jù)。ARP表通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進(jìn)行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。（2）偽造網(wǎng)關(guān)。通過建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC 看來，就是上不了網(wǎng)了，“網(wǎng)絡(luò)掉線了”。

一般來說，ARP欺騙攻擊的后果非常嚴(yán)重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員不了解，出現(xiàn)故障時，認(rèn)為PC沒有問題，交換機(jī)沒掉線的“本事”，電信也不承認(rèn)寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡(luò)就能全面恢復(fù)，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

2 計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)環(huán)境安全問題解決對策

2.1 DoS攻擊解決對策

（1）定期掃描

定期掃描現(xiàn)有的網(wǎng)絡(luò)主節(jié)點，清查存在的安全漏洞并及時修復(fù)處理。黑客對骨干節(jié)點的計算機(jī)十分青睞，其較高的帶寬使其成為黑客利用的最佳位置，因此要將加強(qiáng)主機(jī)安全提到十分重視的地位。連接到網(wǎng)絡(luò)主節(jié)點的服務(wù)器級別的計算機(jī)，對定期掃描漏洞也要十分重視。

（2）在骨干節(jié)點配置防火墻

防火墻本身能抵御DdoS 攻擊和其他一些攻擊。在受到攻擊時，為了保護(hù)真正的主機(jī)不被攻擊，可把攻擊引向一些犧牲主機(jī)。這些犧牲主機(jī)可選擇不重要的，或者是天生防范攻擊優(yōu)秀的系統(tǒng)，Linux和unix等漏洞少的系統(tǒng)也是不錯的選擇。

（3）用足夠的機(jī)器承受黑客攻擊

如果用戶有極多的容量和資源，在黑客訪問用戶、奪取用戶資源的同時，黑客自身的系統(tǒng)能量也在減少，當(dāng)能量被耗盡時，或許用戶仍未被攻擊死。顯然可見，這對資金投入和設(shè)備的空閑狀態(tài)有較高的要求，同目前中小企業(yè)網(wǎng)絡(luò)實際運(yùn)行狀況是不相符的。因此，不得不承認(rèn)，這是一種較理想主義的應(yīng)對方法。

（4）充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源

路由器、防火墻等負(fù)載均衡設(shè)備都是網(wǎng)絡(luò)設(shè)備，充分利用這些網(wǎng)絡(luò)設(shè)備可以保護(hù)網(wǎng)絡(luò)。若網(wǎng)絡(luò)被攻擊，最先死去的是路由器，其他機(jī)器依然運(yùn)轉(zhuǎn)正常。通過重新啟動路由器將恢復(fù)正常，不僅沒什么損失，而且重啟速度很快。若其他服務(wù)器死掉，不僅會丟失很多數(shù)據(jù)，而且重啟服務(wù)器速度非常慢，花費(fèi)時間很長。一個公司利用負(fù)載均衡設(shè)備，當(dāng)一臺路由器被攻擊死機(jī)時，另一臺立即投入工作，這樣就大大削減了DoS攻擊的損失和影響。

（5）過濾不必要的服務(wù)和端口

利用Inexpress、Express、Forwarding等工具過濾不必要的服務(wù)和端口，也就是在路由器上過濾假IP。Cisco公司的CEF（Cisco Express Fowarding）能針對封包Source IP和Routing Table作比較，并加以過濾。目前很多服務(wù)器通常只開放服務(wù)端口，例如WWW服務(wù)器只開放80卻將其他所有端口關(guān)閉或在防火墻上做阻止策略。

（6）檢查訪問者的來源

很多黑客攻擊常運(yùn)用假IP 地址方式迷惑用戶，很難找到來自何處，Unicast Reverse Path Forwarding 等能通過反向路由器查詢的方法，檢查訪問者的IP 地址是否為真，若為假，則會對其屏蔽。由此，Unicast Reverse Path Forwarding 能減少假IP 地址的出現(xiàn)，對保障網(wǎng)絡(luò)安全性很有幫助。

（7）限制SYN/ICMP流量

用戶可以在路由器上設(shè)置SYN/ICMP的最大流量，SYN/ICMP封包占據(jù)的最高頻寬就會被限制。若出現(xiàn)超出設(shè)置的SYN/ICMP最大流量很多的情況，則說明網(wǎng)絡(luò)訪問很不正常，黑客很有可能已入侵。這種方法曾是最好的防范DoS的方法。如今雖然效果不太顯著，但聊勝于無。

2.2 ARP欺騙解決對策

（1）使用靜態(tài)ARP表。

（2）把IP地址與MAC地址綁定。

（3）使用ARP服務(wù)器。

（4）采用安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

（5）定期輪詢。管理員定期輪詢（可通過軟件實現(xiàn)）網(wǎng)絡(luò)內(nèi)部的IP地址與MAC地址的對應(yīng)關(guān)系，通過與已有記錄的比較來發(fā)現(xiàn)ARP欺騙。

（6）采用各種針對ARP欺騙進(jìn)行防治的安全軟件。

（7）對客戶端進(jìn)行安全防范。ARP欺騙往往是由客戶端主機(jī)發(fā)起的，同時客戶端主機(jī)也是受害者。應(yīng)該采用必要的防御手段，如使用并及時更新殺毒軟件，給系統(tǒng)安裝補(bǔ)丁，關(guān)閉不必要的服務(wù)等。

3 結(jié)語

網(wǎng)站是運(yùn)行在公共網(wǎng)絡(luò)上面的，是為網(wǎng)絡(luò)上的客戶端提供應(yīng)用服務(wù)的，這也是它很容易受到攻擊的原因。在這些對網(wǎng)絡(luò)造成的威脅當(dāng)中，對我切身感受的兩個威脅就是Dos 攻擊、ARP 欺騙攻擊。本文對這兩種防御辦法進(jìn)行了研究，并對原理加以分析，以便更好地處理這些問題。

[1]韓偉.計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全問題的分析[J].科學(xué)與財富，2015.

[2]侯海科.淺析計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全問題的分析與對策[J].民營科技，2015.

[3]孫研.計算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全問題的分析與對策[J].科技資訊，2015.