针对某高校一次网络攻击后安全防御思考.docVIP

针对某高校一次网络攻击后的安全防御思考 摘 要：近年的互联网络攻击日益增多，其攻击方式种类，技术革新速度远远超过了网络防御技术发展，各种类型的僵尸网络攻击数据流给网络管理人员带来了更大的挑战，提出了更高的要求。本文以一次针对某高校的持续僵尸网络攻击为案例，记录了其攻击过程，概述了其攻击原理，陈述了高校采取的针对型防御措施。最后总结了网络攻击的趋势，针对性的从用户和运营商角度提出一些改进应对思路，以期提供更稳定优质的网络服务。 关键词：攻击；僵尸；网络 thoughts on the security defense against the network attack from one college wang qi(network information center,jiangsu animal husbandryveterinary college,taizhou 225300 china) 【abstract】in recent years, the internet attacks increase in various ways, and their technical innovation is far more rapid developed than that of the network defense technology. the kinds of botnet attack data flow bring the network management greater challenges and higher demand. in this paper, we take a targeted attack for a university network for example, record the whole attack process, summarize its attacking principle, present the corresponding measures taken by colleges, and finally we concluded the attacking trend, therefore, we put forward some improvement countermeasures from the stand of user and operators to provide a more stable and high-quality network services. 【key words】attack; botnet; network 0 引 言 僵尸网络和ddos攻击是近年来黑客广泛利用的攻击跳板与手段,它们无意识的受控于网络攻击者，向指定目标发送大量的dos数据包，不仅严重影响被攻击者对互联网的访问与对外服务,还会严重冲击互联网络提供商(isp)网络的正常运行。本文通过对对去年发生于江苏某高校教育网线路的网络攻击事件进行分析,总结出当前网络攻击的新趋势，并有针对性地从运行商、用户角度提出应对思路,保证互联网的安全。 1 攻击事件背景 众所周知，教育网以其独特的edu域名而为高校所推崇，作为一个公益性质的实验研究网络，它扮演着国内几乎所有高校的网站信息发布等各类对外应用服务网络支持者的角色，是高校对外一个重要窗口。高校作为一个非商业盈利性单位，理论上应该不存在商业竞争为目的的恶意攻击，但本次攻击时间之长（14天）、攻击手段变化之频繁为20年内江苏省高校界中很罕见的一次记录。 2 攻击过程 2011年6月，江苏省某高校教育网线路遭受网络攻击，造成edu域名的web服务器、邮件服务器、dns服务器等所有对外应用无法使用。 在6月1日开始，学院网络中心发现系部服务器长时间无响应，因为所有二级院系网站新闻发布功能及软件代码部署都在该服务器上，所以求助电话很快就反馈过来。 2.1 tcp syn泛洪攻击 6月1日下午经过抓包分析，服务器受到攻击，攻击流量来自教育网线路。攻击数据采用tcp syn泛洪冲击服务器，服务器cpu资源迅速被消耗完毕，进入死机状态，所以无法响应正常访问数据请求。技术人员在咨询防火墙厂商后，调整了防火墙处理tcp syn请求的模式，将tcp syn网关模式调整为tcp syn代理模式中继模式。防火墙收到syn请求包后，不向服务器转发该请求，而是主动向请求方发送syn/ack包，在收到请求方的ack确认包并判断为正常访问后，才将syn请求包发送给服务器，完成会话建立。调整后可以基本过滤不可用的恶意连接发往服务器，同时服务器cpu内存高利用率的状况得到缓解。 2.2 海量访问攻击 6月2日上午，攻击者采用了海量访问方式，在防