網(wǎng)絡(luò)攻防平臺及防火墻的設(shè)計與實現(xiàn)

徐子嘉

摘 要：隨著信息技術(shù)的快速發(fā)展，計算機網(wǎng)絡(luò)得到廣泛應(yīng)用。其具有的開放性、共享性以及復雜性等特點，給用戶網(wǎng)絡(luò)安全帶來一定的威脅，尤其是網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，給企業(yè)帶來了一定的威脅也給人們工作、學習帶來不利影響。因此，探究網(wǎng)絡(luò)攻防平臺及防火墻的設(shè)計與實現(xiàn)具有重要意義，為保障網(wǎng)絡(luò)系統(tǒng)安全奠定良好基礎(chǔ)。

關(guān)鍵詞：網(wǎng)絡(luò)攻防；防火墻；設(shè)計；系統(tǒng)

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2017）05-0016-01

由于當前網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)發(fā)展之間差距較大，網(wǎng)絡(luò)安全問題頻繁發(fā)生，給各個企業(yè)單位的網(wǎng)絡(luò)安全造成巨大威脅。網(wǎng)絡(luò)攻防平臺及防火墻設(shè)計是保障網(wǎng)絡(luò)完全的重要部分，其對保障網(wǎng)絡(luò)安全發(fā)揮重要作用。本文針對首先分析了網(wǎng)絡(luò)攻防平臺的設(shè)計，探討了防火墻系統(tǒng)的設(shè)計與實現(xiàn)。

1 DoS/DDos攻擊的原理與防范

1.1 DoS/DDos攻擊原理

拒絕服務(wù)攻擊是建立在TCP/IP協(xié)議的弱點與系統(tǒng)存在的漏洞的基礎(chǔ)上，其主要是利用合理的服務(wù)請求，使網(wǎng)絡(luò)帶寬和服務(wù)器資源占用過多，實現(xiàn)正常的連接請求沒有辦法回應(yīng)。DoS最為常見的有這幾種：SYN Flood 攻擊、Land攻擊、Smurf攻擊、UDP攻擊等[1]。

DDoS的攻擊主要分為三個部分，分別為攻擊者、主控端、代理端，這三個部分在攻擊中發(fā)揮著不同功效。其中攻擊者使用攻擊主控臺，其不僅可以是網(wǎng)絡(luò)上任意主機，也可以是一個活動便攜機。攻擊者對整個攻擊過程發(fā)揮主導作用。主控端是攻擊者非法入侵并控制的主機，其還能控制其它代理主機。主控端主機能對攻擊者發(fā)來的指令作出回應(yīng)，并將命令傳送至代理主機。代理端也是攻擊者侵入并控制的一批主機，其能夠?qū)χ骺囟税l(fā)來的命令作出回應(yīng)，代理端主機主要發(fā)揮執(zhí)行作用，是向受害者發(fā)送攻擊的一個部分。

攻擊者發(fā)起DDoS攻擊首要步驟是在找尋存在漏洞的主機，之后對主機的系統(tǒng)對后面程序安裝，在入侵主機上安裝攻擊程序，主控端、代理端分別是其中兩個部分，并完成各自的職責。

DoS、DDos攻擊的目的有：（1）網(wǎng)絡(luò)帶寬的流量攻擊；（2）對服務(wù)器某特定服務(wù)的攻擊。攻擊方法為發(fā)送垃圾數(shù)據(jù)，使資源占用超出正常范圍，從而導致網(wǎng)絡(luò)中斷的現(xiàn)象。

由于DoS、DDos是建立在網(wǎng)絡(luò)協(xié)議的缺陷上，因此，對消除攻擊危害的完全消除具有一定的困難。從本質(zhì)上來講，不論是帶寬還是服務(wù)其資源有限的系統(tǒng)，在DoS、DDos的基礎(chǔ)上都會遭到攻擊威脅。暴力型DDoS攻擊是一種具有較強攻擊性的特點，先進的防火墻也無法發(fā)揮作用。

將SNMP代理應(yīng)用網(wǎng)絡(luò)設(shè)備中，對檢查網(wǎng)絡(luò)設(shè)備的異常發(fā)揮重要作用，通過預定的或用戶的命令，可以采用入口過濾、出口過濾等操作應(yīng)用網(wǎng)絡(luò)信息中，為達到防范Dos攻擊的目的奠定基礎(chǔ)。

比如，當傳送器檢測到網(wǎng)絡(luò)系統(tǒng)出現(xiàn)異常時，就會出現(xiàn)報警的報文，用戶在這時就會按預先的設(shè)定作出相應(yīng)的防范對策，對不必要的服務(wù)應(yīng)關(guān)閉，將具有攻擊性的報文丟棄等。

1.2 常規(guī)安全檢測與防范

常規(guī)檢測與防范主要針對于網(wǎng)絡(luò)中所有服務(wù)器和客戶機的，其是保證網(wǎng)絡(luò)安全的重要部分。假如所有計算機都具有良好的防范安全性質(zhì)，那么DDoS攻擊發(fā)生的概率將逐漸降低。

對于實際生活中DoS、DDoS攻擊的檢測，可以通過Ping命令、an命令來實現(xiàn)[2]。一旦發(fā)現(xiàn)網(wǎng)絡(luò)速度較之前存在異常，應(yīng)用Ping命令來查看是否出現(xiàn)超時現(xiàn)象，是否是遭受流量攻擊等。假如Ping命令測試某服務(wù)器時沒有顯著的異常，但是計算機卻無法打開網(wǎng)頁，而Ping同一交換機上的其他主機正常，那么極大可能是由于資源耗盡所致。在服務(wù)器上執(zhí)行Netstat-an命令，假如存著著YYN-RECEIVED等情況，而出現(xiàn)ESTABLISHED的情況較少，就可以確定是由于資源耗盡造成。

對于提高網(wǎng)絡(luò)服務(wù)器的抵抗力的方法有這幾種：（1）對服務(wù)器硬件配置的提升，并將網(wǎng)絡(luò)寬帶提高；（2）將不必要的服務(wù)進行關(guān)閉；（3）對于同時打開的SYN不完整連接數(shù)量進行限制；（4）減少SYN超時時間；（5）進行Windows Updata自動更新，并使補丁程序進行及時安裝；（6）安裝最新的殺毒軟件：（7）將較為復雜的密碼作為管理員賬號。

2 網(wǎng)絡(luò)攻擊子系統(tǒng)的設(shè)計

網(wǎng)絡(luò)攻擊子系統(tǒng)是對常見網(wǎng)絡(luò)攻擊操作展開的模擬，對用戶提供良好的接口及豐富的攻擊工具，其對用戶更好的進行網(wǎng)絡(luò)攻擊實驗提供有利條件保障[2]。網(wǎng)絡(luò)攻擊子系統(tǒng)由多個部分組成，其中包括DDOS攻擊模塊、漏洞掃描模塊、ARP欺騙模塊、網(wǎng)絡(luò)嗅探模塊等。這些系統(tǒng)對實現(xiàn)目標系統(tǒng)的一些典型網(wǎng)絡(luò)攻擊行為發(fā)揮重要作用。網(wǎng)絡(luò)漏洞是其中的重要部分，它是建立在攻擊源碼的基礎(chǔ)上，在實際應(yīng)用中需要修改漏洞源碼才能發(fā)揮攻擊作用。在設(shè)計網(wǎng)絡(luò)攻擊子系統(tǒng)中應(yīng)用二次開發(fā)接口，能夠有效實現(xiàn)修漏洞利用攻擊源碼。

3 結(jié)語

由于網(wǎng)絡(luò)具有的開放性、共享性等特點，導致網(wǎng)絡(luò)安全的問題時常出現(xiàn)，“網(wǎng)絡(luò)黑客”攻擊事件頻繁發(fā)生，給各個企業(yè)單位的網(wǎng)絡(luò)安全造成巨大威脅。網(wǎng)絡(luò)攻防平臺及防火墻的設(shè)計與實現(xiàn)能夠有效解決這一問題，其為保障計算機網(wǎng)絡(luò)安全奠定良好基礎(chǔ)。

參考文獻

[1]孔紅山，唐俊，張明清.基于SITL的網(wǎng)絡(luò)攻防仿真平臺的設(shè)計與實現(xiàn)[J].計算機應(yīng)用研究，2011，07：2715-2718.

[2]崔陽華.基于Openstack的網(wǎng)絡(luò)攻防實驗平臺設(shè)計與實現(xiàn)[J].山東工業(yè)技術(shù)，2015，04：130.