計算機信息系統DoS攻擊和ARP欺騙的解決對策

◆鄒桂穎

（阿壩師范學院 四川 623000）

計算機信息系統DoS攻擊和ARP欺騙的解決對策

◆鄒桂穎

（阿壩師范學院 四川 623000）

進入21世紀以來，計算機網絡信息系統的快速發展打破了國家的界限，給這個世界帶來了自由和繁榮，人們對于計算機網絡信息系統的依賴也不斷加深。但與此同時，計算機網絡攻擊、計算機網絡犯罪等各種網絡安全威脅卻愈演愈烈，嚴重影響著各國經濟社會的穩定和發展。本文系統分析了DoS攻擊、ARP欺騙攻擊的基本原理，提出了相應的解決和防護辦法，從而有效抵御和防范了針對計算機網絡信息系統環境問題的主要威脅。

計算機網絡信息系統；安全問題；對策

0 引言

截止到2015年12月底，中國互聯網用戶達到了7.13億，如此巨大的網絡用戶，促進了各種網絡應用的發展，計算機網絡信息系統應用已成為人們日常生活中最重要的應用之一，大到政府、國有大型企事業單位，小到小型公司及家庭用戶，紛紛依靠網站來開展各項日常工作或者體現個性思想行為，同時各種門戶、搜索、即時聊天、個人電腦安全等網站也五花八門，成了人們獲取信息、娛樂、進行溝通的重要手段。網站應用在體現重要作用、重要價值的同時，也日益成為不法分子破壞的目標，2015年我國計算機網絡應急技術處理協調中心共接收境內外報告的網絡安全事件126916起，其他沒有統計在內的網站亦多不勝舉。

1 計算機網絡信息系統環境安全問題分析

1.1 DoS攻擊

DoS是Denial of Service的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網絡無法提供正常的服務。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。

DoS通過調用大量網絡資源向目標服務器在一個時間段中大量發送無意義的數據包，擁塞服務器通往廣域網的網絡端口，造成被攻擊服務器不能與外界聯網互動。通過目標服務器重復提供服務和傳輸協議而導致的漏洞，不停地向目標服務器要求重復服務，消耗大量目標服務器的有限資源，從而使得目標服務器無法響應其它用戶的正常的服務請求。通過目標服務器重復提供服務和傳輸協議而導致的漏洞，高頻發送變態的攻擊數據，從而引發系統紊亂性錯誤，直至耗盡系統資源而死機。

DoS的攻擊方法。（1）利用軟件實現的缺陷。OOB攻擊、teardrop攻擊、land攻擊、IGMP碎片包攻擊等，這些手段僅僅只是利用了那些軟件的功能上的軟肋，從而完成DoS攻擊的。一般情況之下，這些工具軟件向網站系統發送特殊的一些報文，這些手段都非常致命，基本上一發不可收拾，直接將目標服務器堵死，這些攻擊很難查到攻擊源，一般都是都不是真實的地址，即使通過log日志也找不到發起攻擊的源在何方，由于報文的特殊性和重復性，本身短小精簡的報文，如果可以隱藏ip地址，幾乎不可能完成追查源的工作。（2）利用協議的漏洞。利用協議漏洞的Dos攻擊的生存能力卻非常之強，因為網絡協議一旦發布就很難改變，而軟件要能在網絡上使用，就必須遵守這個協議了，而如果這種協議存在漏洞的話，所有遵循此協議的軟件都會受到影響。

1.2 ARP欺騙攻擊

ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。（1）截獲網關數據。ARP表通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。（2）偽造網關。通過建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC 看來，就是上不了網了，“網絡掉線了”。

一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積掉線。有些網管員不了解，出現故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時，只要重啟路由器，網絡就能全面恢復，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。

2 計算機網絡信息系統環境安全問題解決對策

2.1 DoS攻擊解決對策

（1）定期掃描

定期掃描現有的網絡主節點，清查存在的安全漏洞并及時修復處理。黑客對骨干節點的計算機十分青睞，其較高的帶寬使其成為黑客利用的最佳位置，因此要將加強主機安全提到十分重視的地位。連接到網絡主節點的服務器級別的計算機，對定期掃描漏洞也要十分重視。

（2）在骨干節點配置防火墻

防火墻本身能抵御DdoS 攻擊和其他一些攻擊。在受到攻擊時，為了保護真正的主機不被攻擊，可把攻擊引向一些犧牲主機。這些犧牲主機可選擇不重要的，或者是天生防范攻擊優秀的系統，Linux和unix等漏洞少的系統也是不錯的選擇。

（3）用足夠的機器承受黑客攻擊

如果用戶有極多的容量和資源，在黑客訪問用戶、奪取用戶資源的同時，黑客自身的系統能量也在減少，當能量被耗盡時，或許用戶仍未被攻擊死。顯然可見，這對資金投入和設備的空閑狀態有較高的要求，同目前中小企業網絡實際運行狀況是不相符的。因此，不得不承認，這是一種較理想主義的應對方法。

（4）充分利用網絡設備保護網絡資源

路由器、防火墻等負載均衡設備都是網絡設備，充分利用這些網絡設備可以保護網絡。若網絡被攻擊，最先死去的是路由器，其他機器依然運轉正常。通過重新啟動路由器將恢復正常，不僅沒什么損失，而且重啟速度很快。若其他服務器死掉，不僅會丟失很多數據，而且重啟服務器速度非常慢，花費時間很長。一個公司利用負載均衡設備，當一臺路由器被攻擊死機時，另一臺立即投入工作，這樣就大大削減了DoS攻擊的損失和影響。

（5）過濾不必要的服務和端口

利用Inexpress、Express、Forwarding等工具過濾不必要的服務和端口，也就是在路由器上過濾假IP。Cisco公司的CEF（Cisco Express Fowarding）能針對封包Source IP和Routing Table作比較，并加以過濾。目前很多服務器通常只開放服務端口，例如WWW服務器只開放80卻將其他所有端口關閉或在防火墻上做阻止策略。

（6）檢查訪問者的來源

很多黑客攻擊常運用假IP 地址方式迷惑用戶，很難找到來自何處，Unicast Reverse Path Forwarding 等能通過反向路由器查詢的方法，檢查訪問者的IP 地址是否為真，若為假，則會對其屏蔽。由此，Unicast Reverse Path Forwarding 能減少假IP 地址的出現，對保障網絡安全性很有幫助。

（7）限制SYN/ICMP流量

用戶可以在路由器上設置SYN/ICMP的最大流量，SYN/ICMP封包占據的最高頻寬就會被限制。若出現超出設置的SYN/ICMP最大流量很多的情況，則說明網絡訪問很不正常，黑客很有可能已入侵。這種方法曾是最好的防范DoS的方法。如今雖然效果不太顯著，但聊勝于無。

2.2 ARP欺騙解決對策

（1）使用靜態ARP表。

（2）把IP地址與MAC地址綁定。

（3）使用ARP服務器。

（4）采用安全的網絡拓撲結構。

（5）定期輪詢。管理員定期輪詢（可通過軟件實現）網絡內部的IP地址與MAC地址的對應關系，通過與已有記錄的比較來發現ARP欺騙。

（6）采用各種針對ARP欺騙進行防治的安全軟件。

（7）對客戶端進行安全防范。ARP欺騙往往是由客戶端主機發起的，同時客戶端主機也是受害者。應該采用必要的防御手段，如使用并及時更新殺毒軟件，給系統安裝補丁，關閉不必要的服務等。

3 結語

網站是運行在公共網絡上面的，是為網絡上的客戶端提供應用服務的，這也是它很容易受到攻擊的原因。在這些對網絡造成的威脅當中，對我切身感受的兩個威脅就是Dos 攻擊、ARP 欺騙攻擊。本文對這兩種防御辦法進行了研究，并對原理加以分析，以便更好地處理這些問題。

[1]韓偉.計算機網絡信息系統安全問題的分析[J].科學與財富，2015.

[2]侯海科.淺析計算機網絡信息系統安全問題的分析與對策[J].民營科技，2015.

[3]孫研.計算機網絡信息系統安全問題的分析與對策[J].科技資訊，2015.