论文网
关于互联网方面论文范文参考文献,与针对某高校一次网络攻击后的安全防御相关论文怎么写
本论文是一篇关于互联网方面论文怎么写,关于针对某高校一次网络攻击后的安全防御相关专科毕业论文范文。免费优秀的关于互联网及工程师及服务器方面论文范文资料,适合互联网论文写作的大学硕士及本科毕业论文开题报告范文和学术职称论文参考文献下载。
摘 要:近年的互联网络攻击日益增多,其攻击方式种类,技术革新速度远远超过了网络防御技术发展,各种类型的僵尸网络攻击数据流给网络管理人员带来了更大的挑战,提出了更高的要求.本文以一次针对某高校的持续僵尸网络攻击为案例,记录了其攻击过程,概述了其攻击原理,陈述了高校采取的针对型防御措施.最后总结了网络攻击的趋势,针对性的从用户和运营商角度提出一些改进应对思路,以期提供更稳定优质的网络服务.
关 键 词:攻击;僵尸;网络
中图分类号:TP311文献标识码:aDoI:10.3969/j.issn.1003-6970.2012.02.016
ThoughtsonthesecuritydefenseagainsttheworkattackfromonecollegewaNGQi(NetworkInformationCenter,JiangsuAnimalHusbandry&VeterinaryCollege,Taizhou225300China)
【Abstract】Inrecentyears,theInterattacksincreaseinvariousways,andtheirtechnicalinnovationisfarmorerapiddeveloped
thanthatoftheworkdefensetechnology.ThekindsofBotattackdataflowbringtheworkmanagementgreaterchallengesandhigherdemand.Inthispaper,wetakeatargetedattackforauniversityworkforexample,recordthewholeattackprocess,summarizeitsattackingprinciple,presentthecorrespondingmeasurestakenbycolleges,andfinallyweconcludedtheattackingtrend,therefore,weputforwardsomeimprovementcountermeasuresfromthestandofuserandoperatorstoprovideamorestableandhigh-qualityworkservices.
【Keywords】attack,bot,work
0引言
僵尸网络和DDOS攻击是近年来黑客广泛利用的攻击跳板与手段,它们无意识的受控于网络攻击者,向指定目标发送大量的DOS数据包,不仅严重影响被攻击者对互联网的访问与对外服务,还会严重冲击互联网络提供商(ISP)网络的正常运行.本文通过对对去年发生于江苏某高校教育网线路的网络攻击事件进行分析,总结出当前网络攻击的新趋势,并有针对性地从运行商、用户角度提出应对思路,保证互联网的安全.
1攻击事件背景
众所周知,教育网以其独特的edu域名而为高校所推崇,作为一个公益性质的实验研究网络,它扮演着国内几乎所有高校的网站信息发布等各类对外应用服务网络支持者的角色,是高校对外一个重要窗口.高校作为一个非商业盈利性单位,理论上应该不存在商业竞争为目的的恶意攻击,但本次攻击时间之长(14天)、攻击手段变化之频繁为20年内江苏省高校界中很罕见的一次记录.
2攻击过程
2011年6月,江苏省某高校教育网线路遭受网络攻击,造成edu域名的web服务器、邮件服务器、DNS服务器等所有对外应用无法使用.
在6月1日开始,学院网络中心发现系部服务器长时间无响应,因为所有二级院系网站新闻发布功能及软件代码部署都在该服务器上,所以求助很快就反馈过来.
2.1TCPSYN泛洪攻击
6月1日下午经过抓包分析,服务器受到攻击,攻击流量来自教育网线路.攻击数据采用TCPSYN泛洪冲击服务器,服务器CPU资源迅速被消耗完毕,进入死机状态,所以无法响应正常访问数据请求.技术人员在咨询防火墙厂商后,调整了防火墙处理TCPSYN请求的模式,将TCPSYN网关模式调整为TCPSYN代理模式中继模式.防火墙收到SYN请求包后,不向服务器转发该请求,而是主动向请求方发送SYN/ACK包,在收到请求方的ACK确认包并判断为正常访问后,才将SYN请求包发送给服务器,完成会话建立.调整后可以基本过滤不可用的恶意连接发往服务器,同时服务器CPU内存高利用率的状况得到缓解.
2.2海量访问攻击
6月2日上午,攻击者采用了海量访问方式,在防火墙连接数监控中发现访问源IP地址数呈现几何级数增长.虽然每个IP都与服务器完成正常的三次握手协议,但同时递交了相当多的无用查询请求,查询目标为一些并不存在的数据条目或者页面.海量的访问又造成了服务器CPU资源耗尽,无法提供对外服务,攻击包抓包解析如图1.
图1攻击包解析
针对这种情况,技术人员采取防御策略是更换服务器硬件,将服务器代码从台式机迁移至刀片服务器阵列中,这样使服务器的CPU与内存资源都得到了一定程度的提升.同时,还更改了新服务器IP地址,相应在DNS服务器中更换了域名记录.但数小时后,攻击立刻转向至新更换的IP地址上,仍然造成了服务器失效宕机.当时邀请了天融信、山石网科防火墙厂商在现场协助解决,用不同的防火墙轮流切换使用,并在防火墙上额外加载了IPS入侵防御功能模块,设置访问控制粒度,设定了相对严格的IP访问阀值.最后使用山石网科的M3150识别遏制该种攻击效果较好,能降低服务器部分负载.山石防火墙的粒度控制和安全防护设置界面如图2和3.
该文来源:http://www.sxsky.net/benkelunwen/060369501.html
2.3分布式泛洪攻击
2011年6月4日,经过抓包分析,攻击数据转换为TCP、UDP随机端口方式,也就是分布式拒绝服务攻击,并且把攻击目标扩展到了国示范专题网站及校园门户网站,但不以冲垮服务器为目的.这是一个很致命的问题,虽然防火墙的安全策略拒绝攻击包涌入内网,但攻击包堵塞了防火墙上游的数据带宽.教育网在6月7日,6月8日分别将学院的线路带宽从10Mbit/s紧急升级到35Mbit/s和100Mbit/s,但攻击流量水涨船高.技术人员通过外网交换机统计端口查看瞬时数据后发现,在短短几分钟之内,带宽就消耗殆尽.教育网清华维护中心在与学院沟通后暂时设置了路由黑洞,将210.29.233.0全网段屏蔽.虽然学院的线路带宽利用率立即下降到正常值,但该网段的所有服务应用全部无法被外网访问了,反而达到了骇客攻击的目的.期间曾经尝试部署金盾防御DDOS硬件设备在学院出口处防火墙设备前端,但效果不明显.在沟通后,厂方工程师也认为该类型设备应部署在教育网的江苏高校总出口处才能起到防御效果.同时教育网东南大学地网中心配置了一台小型号的流量清洗设备来过滤学院的数据流,但因为地网中心至北京的互联带宽有限,为了防止骨干通道被攻击数据堵塞,所以不能无限制放宽流量来支援受害院校,所以这样部署后的效果是仅能维持江苏教育网内用户访问受害学院,效果不理想.分布式拒绝服务攻击数据包解析如图4.
图4分布式DDOS攻击包
2.4查找攻击源
当时学院按照流程报警,警方力量接入,并与教育网方面开会讨论,布置任务,根据收集到的抓包文件,确认了一个真实攻击僵尸IP地址是镇江某IDC机房的一台服务器,其他的IP地址归属地则是世界各地,可以确认为伪造或无法完成追踪.当天警方到IDC机房将该服务器下线,并将硬盘数据进行备份,分析硬盘中的入侵痕迹顺藤摸瓜寻找上游控制端,但未能发现进一步证据来查询到上游代理控制端.
2.5SYN-ACK反射攻击
2011年6月10日下午,经过抓包解析,分布式拒绝服务攻击数据消失了.但网络中出现大量的SYN-ACK数据包,经过详细研究查阅了部分资料后了解到,这是一种间接的反射攻击.受控于上游控制端的大量僵尸机器向各类合法在线用户发送伪造的以学院IP地址为源地址的SYN请求包,合法用户或服务器误认为该数据由学院的IP地址发出请求访问,根据三次握手原理于是便回复SYN-ACK包来响应请求,间接成了被利用的反射节点,反射攻击的原理如图5.一旦反射节点数量足够多,同样能消耗尽受害者的网络带宽.所幸这种攻击的数据量已经不如先前的规模,未造成带宽耗尽的情况.
图5反射攻击示意图
2.6攻击停止
2011年6月14日之后,针对教育网线路的网络攻击完全停止.在攻击后的各方交流中,大家普遍对此次攻击的目的性表示疑惑,因为未曾有相应的经济或政治勒索,所以东南大学的龚教授认为此次攻击是初级网络骇客利用受控的僵尸网络可能性较大.
3防御方的经验和体会
通过本次事件,作为受害方的学院技术人员,经过反思,也从中总结出一些受害方和运营商方面的可以借鉴的经验教训.
在用户方面:
学院方面没有使用智能DNS解析来实现不同
关于互联网方面论文范文参考文献,与针对某高校一次网络攻击后的安全防御相关论文怎么写参考文献资料: