網絡攻防平臺及防火墻的設計與實現

徐子嘉

摘 要：隨著信息技術的快速發展，計算機網絡得到廣泛應用。其具有的開放性、共享性以及復雜性等特點，給用戶網絡安全帶來一定的威脅，尤其是網絡攻擊事件頻繁發生，給企業帶來了一定的威脅也給人們工作、學習帶來不利影響。因此，探究網絡攻防平臺及防火墻的設計與實現具有重要意義，為保障網絡系統安全奠定良好基礎。

關鍵詞：網絡攻防；防火墻；設計；系統

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1671-2064（2017）05-0016-01

由于當前網絡安全技術與網絡發展之間差距較大，網絡安全問題頻繁發生，給各個企業單位的網絡安全造成巨大威脅。網絡攻防平臺及防火墻設計是保障網絡完全的重要部分，其對保障網絡安全發揮重要作用。本文針對首先分析了網絡攻防平臺的設計，探討了防火墻系統的設計與實現。

1 DoS/DDos攻擊的原理與防范

1.1 DoS/DDos攻擊原理

拒絕服務攻擊是建立在TCP/IP協議的弱點與系統存在的漏洞的基礎上，其主要是利用合理的服務請求，使網絡帶寬和服務器資源占用過多，實現正常的連接請求沒有辦法回應。DoS最為常見的有這幾種：SYN Flood 攻擊、Land攻擊、Smurf攻擊、UDP攻擊等[1]。

DDoS的攻擊主要分為三個部分，分別為攻擊者、主控端、代理端，這三個部分在攻擊中發揮著不同功效。其中攻擊者使用攻擊主控臺，其不僅可以是網絡上任意主機，也可以是一個活動便攜機。攻擊者對整個攻擊過程發揮主導作用。主控端是攻擊者非法入侵并控制的主機，其還能控制其它代理主機。主控端主機能對攻擊者發來的指令作出回應，并將命令傳送至代理主機。代理端也是攻擊者侵入并控制的一批主機，其能夠對主控端發來的命令作出回應，代理端主機主要發揮執行作用，是向受害者發送攻擊的一個部分。

攻擊者發起DDoS攻擊首要步驟是在找尋存在漏洞的主機，之后對主機的系統對后面程序安裝，在入侵主機上安裝攻擊程序，主控端、代理端分別是其中兩個部分，并完成各自的職責。

DoS、DDos攻擊的目的有：（1）網絡帶寬的流量攻擊；（2）對服務器某特定服務的攻擊。攻擊方法為發送垃圾數據，使資源占用超出正常范圍，從而導致網絡中斷的現象。

由于DoS、DDos是建立在網絡協議的缺陷上，因此，對消除攻擊危害的完全消除具有一定的困難。從本質上來講，不論是帶寬還是服務其資源有限的系統，在DoS、DDos的基礎上都會遭到攻擊威脅。暴力型DDoS攻擊是一種具有較強攻擊性的特點，先進的防火墻也無法發揮作用。

將SNMP代理應用網絡設備中，對檢查網絡設備的異常發揮重要作用，通過預定的或用戶的命令，可以采用入口過濾、出口過濾等操作應用網絡信息中，為達到防范Dos攻擊的目的奠定基礎。

比如，當傳送器檢測到網絡系統出現異常時，就會出現報警的報文，用戶在這時就會按預先的設定作出相應的防范對策，對不必要的服務應關閉，將具有攻擊性的報文丟棄等。

1.2 常規安全檢測與防范

常規檢測與防范主要針對于網絡中所有服務器和客戶機的，其是保證網絡安全的重要部分。假如所有計算機都具有良好的防范安全性質，那么DDoS攻擊發生的概率將逐漸降低。

對于實際生活中DoS、DDoS攻擊的檢測，可以通過Ping命令、an命令來實現[2]。一旦發現網絡速度較之前存在異常，應用Ping命令來查看是否出現超時現象，是否是遭受流量攻擊等。假如Ping命令測試某服務器時沒有顯著的異常，但是計算機卻無法打開網頁，而Ping同一交換機上的其他主機正常，那么極大可能是由于資源耗盡所致。在服務器上執行Netstat-an命令，假如存著著YYN-RECEIVED等情況，而出現ESTABLISHED的情況較少，就可以確定是由于資源耗盡造成。

對于提高網絡服務器的抵抗力的方法有這幾種：（1）對服務器硬件配置的提升，并將網絡寬帶提高；（2）將不必要的服務進行關閉；（3）對于同時打開的SYN不完整連接數量進行限制；（4）減少SYN超時時間；（5）進行Windows Updata自動更新，并使補丁程序進行及時安裝；（6）安裝最新的殺毒軟件：（7）將較為復雜的密碼作為管理員賬號。

2 網絡攻擊子系統的設計

網絡攻擊子系統是對常見網絡攻擊操作展開的模擬，對用戶提供良好的接口及豐富的攻擊工具，其對用戶更好的進行網絡攻擊實驗提供有利條件保障[2]。網絡攻擊子系統由多個部分組成，其中包括DDOS攻擊模塊、漏洞掃描模塊、ARP欺騙模塊、網絡嗅探模塊等。這些系統對實現目標系統的一些典型網絡攻擊行為發揮重要作用。網絡漏洞是其中的重要部分，它是建立在攻擊源碼的基礎上，在實際應用中需要修改漏洞源碼才能發揮攻擊作用。在設計網絡攻擊子系統中應用二次開發接口，能夠有效實現修漏洞利用攻擊源碼。

3 結語

由于網絡具有的開放性、共享性等特點，導致網絡安全的問題時常出現，“網絡黑客”攻擊事件頻繁發生，給各個企業單位的網絡安全造成巨大威脅。網絡攻防平臺及防火墻的設計與實現能夠有效解決這一問題，其為保障計算機網絡安全奠定良好基礎。

參考文獻

[1]孔紅山，唐俊，張明清.基于SITL的網絡攻防仿真平臺的設計與實現[J].計算機應用研究，2011，07：2715-2718.

[2]崔陽華.基于Openstack的網絡攻防實驗平臺設計與實現[J].山東工業技術，2015，04：130.