蔡體龍　王瀟　杜金庭

摘要：計(jì)算機(jī)網(wǎng)絡(luò)一直伴隨著我們的生活，它使兩個(gè)無論相聚多遠(yuǎn)的人可以實(shí)現(xiàn)及時(shí)聯(lián)絡(luò)，相互通信，讓我們做到資源共享，信息傳輸，現(xiàn)在網(wǎng)絡(luò)已經(jīng)融入了我們的社會(huì)。但是任何事物都具有雙面性，網(wǎng)絡(luò)的快速發(fā)展也帶來了網(wǎng)絡(luò)安全問題。

關(guān)鍵詞：網(wǎng)絡(luò)安全;黑客攻擊及防御;洪水攻擊

由于網(wǎng)絡(luò)通信主要依靠各種網(wǎng)絡(luò)協(xié)議，先稍微了解一下網(wǎng)絡(luò)層的協(xié)議，然后再去介紹一下幾個(gè)常見的攻擊方式以及防御的方法。

常見網(wǎng)絡(luò)安全協(xié)議及作用

網(wǎng)絡(luò)接口層：1.點(diǎn)到點(diǎn)通道協(xié)議（PPTP）一種支持多協(xié)議虛擬專用網(wǎng)的新型技術(shù)，它可以使遠(yuǎn)程用戶通過Internet安全的訪問企業(yè)網(wǎng) 2.第二層通道協(xié)議（L2TP），是Cisco的L2F與PPTP相結(jié)合的一個(gè)協(xié)議

網(wǎng)絡(luò)層：常用的有IP協(xié)議、ARP協(xié)議、ICMP協(xié)議、RARP等，IP是網(wǎng)絡(luò)層唯一的核心協(xié)議。網(wǎng)絡(luò)層向上只提供簡單靈活的、無連接的、盡最大努力交付的數(shù)據(jù)報(bào)服務(wù)

傳輸層：主要是TCP和UDP，TCP提供可靠的面向連接服務(wù)，UDP應(yīng)用程序提供了一種無需建立連接就可以發(fā)送封裝的 IP 數(shù)據(jù)包的方法，是OSI參考模型中一種無連接的傳輸層協(xié)議。

應(yīng)用層：應(yīng)用層有很多日常傳輸數(shù)據(jù)用到的協(xié)議，HTTP（超文本傳輸協(xié)議）、HTTPS、FTP（文件傳輸協(xié)議）、SMTP（主要任務(wù)是負(fù)責(zé)服務(wù)器之間的郵件傳送，最大的特點(diǎn)是簡單。只規(guī)定了電子郵件如何在互聯(lián)網(wǎng)中通過TCP協(xié)議在發(fā)送方和接收方之間進(jìn)行傳送。）、Telnet、DNS（用域名系統(tǒng)來處理IP地址和主機(jī)名之間的轉(zhuǎn)換， 在DNS中主機(jī)名即為域名。DNS也是一個(gè)應(yīng)用層協(xié)議）、POP3等。

常見網(wǎng)絡(luò)安全攻擊方法以及防御措施

（1）DNS欺騙

DNS欺騙是一種非常危險(xiǎn)的中間人攻擊，它容易被黑客利用，非法獲取數(shù)據(jù)，攻擊者可以利用一個(gè)漏洞來偽造網(wǎng)絡(luò)流量。DNS欺騙主要得到目標(biāo)主機(jī)的端口號(hào)。

原理：冒充域名服務(wù)器，然后把查詢的IP地址設(shè)為攻擊者的IP地址，這樣的話，用戶上網(wǎng)就只能看到攻擊者的主頁，而不是用戶想要取得的網(wǎng)站的主頁了，這就是DNS欺騙的基本原理。DNS欺騙其實(shí)并不是真的“黑掉”了對方的網(wǎng)站，而是冒名頂替、招搖撞騙罷了。常被利用來釣魚等。

（2）DDOS

DDoS簡單粗暴，可以達(dá)到直接摧毀目標(biāo)的目的。另外，相對其他攻擊手段DDoS的技術(shù)要求和發(fā)動(dòng)攻擊的成本很低，只需要購買部分服務(wù)器權(quán)限或控制一批肉雞即可，而且攻擊相應(yīng)速度很快，攻擊效果可視。一種服務(wù)需要面向大眾就需要提供用戶訪問接口，這些接口恰恰就給了黑客有可乘之機(jī)。

攻擊方式：

1.資源消耗類攻擊

資源消耗類是比較典型的DDoS攻擊，最具代表性的包括：Syn Flood、Ack Flood、UDP

Flood。這類攻擊的目標(biāo)很簡單，就是通過大量請求消耗正常的帶寬和協(xié)議處理資源的能力，從而達(dá)到服務(wù)端無法正常工作的目的。

2.服務(wù)消耗性攻擊

相比資源消耗類攻擊，服務(wù)消耗類攻擊不需要太大的流量，它主要是針對服務(wù)的特點(diǎn)進(jìn)行精確定點(diǎn)打擊，如web的CC，數(shù)據(jù)服務(wù)的檢索，文件服務(wù)的下載等。這類攻擊往往不是為了擁塞流量通道或協(xié)議處理通道，它們是讓服務(wù)端始終處理高消耗型的業(yè)務(wù)的忙碌狀態(tài)，進(jìn)而無法對正常業(yè)務(wù)進(jìn)行響應(yīng)。

3.反射類攻擊

反射攻擊也叫放大攻擊，該類攻擊以UDP協(xié)議為主，一般請求回應(yīng)的流量遠(yuǎn)遠(yuǎn)大于請求本身流量的大小。攻擊者通過流量被放大的特點(diǎn)以較小的流量帶寬就可以制造出大規(guī)模的流量源，從而對目標(biāo)發(fā)起攻擊。反射類攻擊嚴(yán)格意義上來說不算是攻擊的一種，它只是利用某些服務(wù)的業(yè)務(wù)特征來實(shí)現(xiàn)用更小的代價(jià)發(fā)動(dòng)Flood攻擊。

4.混合型攻擊

混合型攻擊是結(jié)合上述幾種攻擊類型，并在攻擊過程中進(jìn)行探測選擇最佳的攻擊方式?；旌闲凸敉殡S這資源消耗和服務(wù)消耗兩種攻擊類型特征。

DDOS洪水攻擊，（以hping3舉例 kali系統(tǒng)）

常用于金融借貸平臺(tái)、游戲、電商、教育培訓(xùn)、競價(jià)排名、醫(yī)療等高危網(wǎng)站，可以造成網(wǎng)站的癱瘓，可能幾秒網(wǎng)站就無法提供訪問，造成資金損失及客戶信息流失，或者競價(jià)排名的不可靠性。

DDOS的防御手段：1.基于異常入侵檢測技術(shù)，比較主機(jī)的記錄與平常的不同，如果差距過大，則視為異常，檢測系統(tǒng)就會(huì)發(fā)出警報(bào)2.進(jìn)行防御流量清洗設(shè)備可以起到一定的作用，Guard、Detector和 Manager完整組成了異常流量檢測與清洗方案，有一定的容災(zāi)功能。3. 做好硬件保護(hù)措施，大多數(shù)情況下用戶無法及時(shí)更新或重新配置帶有漏洞的軟件，尤其是在工作負(fù)載量大的關(guān)鍵服務(wù)器上，也無法更新不受制造商設(shè)備支持的舊版軟件4.了解病毒攻擊類型。

（3） ARP欺騙

通過IP地址去尋找mac地址。然后從實(shí)現(xiàn)上來說就是先廣播ARP請求分組出去尋找IP對應(yīng)的mac，然后再單播ARP響應(yīng)分組回來。關(guān)鍵在于這個(gè)ARP數(shù)據(jù)包是可以用軟件進(jìn)行偽造的。例如：當(dāng)局域網(wǎng)中有人使用了ARP欺騙的木馬程序。由于ARP欺騙的木馬發(fā)作的時(shí)候會(huì)發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞，用戶會(huì)感覺上網(wǎng)速度越來越慢。當(dāng)木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換中用戶會(huì)再斷一次線。

ARP欺騙的防御手段：

1.網(wǎng)絡(luò)硬件，記錄用戶的IP地址、MAC地址和端口信息，并在交換機(jī)上做多元素綁定，根本上阻斷非法ARP報(bào)文傳播

2.端口綁定

3.端口隔離（VLAN）

4.優(yōu)化操作系統(tǒng)設(shè)置

5.采用ARP防火墻，有很多的ARP的防火墻還是很管用的，可以起到一定的作用。

當(dāng)代是信息大時(shí)代，網(wǎng)絡(luò)已經(jīng)融入了人們的生活，與生活密不可分，網(wǎng)絡(luò)安全不得不成為人人議論的熱點(diǎn)，網(wǎng)絡(luò)安全與個(gè)人安全，社會(huì)乃至國家安全都密不可分，在這個(gè)信息飛速發(fā)展的時(shí)代，網(wǎng)絡(luò)安全是國家穩(wěn)定發(fā)展的一個(gè)保障。在這個(gè)時(shí)代，會(huì)有越來越多的幻想成為現(xiàn)實(shí)。