電力二次系統的DDoS攻擊及防御技術研究

馬一杰

摘 要：本文以DDoS攻擊的基本理論為切入點，進一步分析了電力二次系統的DDoS攻擊方式與攻擊風險，最后著重探討了電力二次系統DDoS攻擊的防御技術，以供參考借鑒。

關鍵詞：電力二次系統;安全防護;DDoS攻擊;防御技術

中圖分類號：TP393 文獻標識碼：A 文章編號：1671-2064（2019）09-0156-02

1 DDoS攻擊的基本理論

1.1 DDoS攻擊

DDoS（分布式拒絕服務）攻擊是通過利用服務器技術，控制多臺計算機成為攻擊平臺，并對單個或多個目標實施攻擊，此種攻擊方式來勢十分迅猛，幾秒鐘就能激活成百上千臺電腦發起攻擊，使攻擊規模及威力突增。該種攻擊的攻擊方式十分多樣，但最根本最常用的是通過服務請求消耗系統服務資源，使其無法正常提供服務。

1.2 DDoS攻擊模型

DDoS攻擊模型主要分為三部分組成，包括攻擊者、主控端以及傀儡主機。其中，攻擊者作為控制整個攻擊過程的控制臺，其將攻擊命令發送至主控端進行傳達，此處的主控端可以是網絡上被攻擊者入侵的任意主機。主控端在被攻擊者入侵后受到控制，其通過接收攻擊者的特定指令，并將這些特定的指令發送至其控制的傀儡機執行攻擊命令。傀儡機同樣是受到攻擊者控制的被入侵主機，其在收到主控端的特定指令后，執行命令并攻擊受害機。

DDoS的攻擊過程主要通過以下環節予以實現：第一，對主機進行掃描。在互聯網上通過使用安全漏洞掃描工具進行掃描，以便尋找其中安全系數較低的計算機實施入侵控制。第二，對主機實施入侵。在掃描過程中篩選可進行入侵的主機，攻擊者通過某種方式獲取其控制權后，將后門程序及攻擊程序安裝至入侵主機，并將入侵主機分為攻擊的主控端及傀儡機，在整個入侵過程中，被控制的主機越多，后期實施攻擊的規模也就越大。第三，對受害主機發起攻擊。主控端及傀儡機通過攻擊者的控制攻擊目標主機，入侵主機發送大量攻擊數據包占據并消耗受害主機的服務器系統資源，與此同時，限制受害主機相關的網絡設備，迫使其無法正常提供網絡服務。

2 電力二次系統的DDoS攻擊

2.1 DDoS攻擊方式

DDoS攻擊主要包括泛洪攻擊與畸形報文攻擊兩種形式。其中，泛洪攻擊是指攻擊者源源不斷向受害主機發送一些無用數據包，通過大量數據包占用受害主機帶寬、阻塞網絡、消耗系統資源;畸形報文攻擊是指攻擊者在獲取到系統軟件存在的漏洞后，將畸形數據包發送至服務器系統，促使其崩潰。而泛洪攻擊由于對系統的破壞較大，因此，也是DDoS攻擊中最為常見的攻擊方式。

2.1.1 泛洪攻擊

第一，SYN泛洪攻擊。該種攻擊方式是通過TCP/IP協議所存在的缺陷及漏洞，發送SYN報文至受害主機，但與此同時對于受害主機所發出的SYN+ACK報文攻擊端又不予以回應，受害主機在接收不到ACK報文時，便進入維護等待關閉連接階段，雖然這一階段耗時并不長，但是如若攻擊者蓄意制造大量SYN報文數據，將會消耗受害主機大量資源，而達到攻擊的目的。第二，Smurf泛洪攻擊。利用網絡所具有的廣播功能及ICMP報文應答功能，通過回應產生大量數據包淹沒主機，導致受害主機網絡受阻。該攻擊通過將受害主機地址作為廣播地址并發送ICMP數據，一旦數據發送出去，那么所有處于廣播域內的主機都會對做出回應，所有回應數據聚集形成大量流量回應給受害主機，導致網絡受阻，攻擊受害主機。第三，Ping泛洪攻擊。該種攻擊方式是在短時間內，通過不間斷向指定IP發送大量不接收回復的數據包，從而大量占用并消耗有限的系統資源，使得系統資源耗盡而面臨崩潰。第四，UDP泛洪攻擊。向目標主機發送UDP數據包，若端口開放則會返回UDP數據包，若端口未開放則會相應返回ICMP數據包。攻擊者正是抓住這一特性，將大量UDP數據發送至受害主機UDP端口，消耗受害主機系統大量資源，使主機系統面臨崩潰或死機。

2.1.2 畸形報文攻擊

第一，Ping of Death（死拼）攻擊。TCP/IP協議中明確指出最大報文數據包長度不得超過65536字節，而攻擊者通過向目標主機發送超大尺寸的ICMP報文實施攻擊，使目標主機收到有缺陷的ICMP報文后，因處理方式不當而導致主機出現宕機。第二，Tear Drop攻擊。攻擊者向受害主機發送分片IP報文，并故意設計成為錯誤的有重疊偏移的數據包，而在收到這樣一個數據包并進行處理時，就會導致主機系統出現崩潰。第三，Land Based攻擊。攻擊者將數據包源地址及目標地址都設為受害主機地址，在將該數據包通過IP地址欺騙的方式發生至受害主機。在收到有問題的數據包后，受害主機會嘗試與自己建立連接而陷入死循環，這種攻擊大大降低了系統性能，而無法為用戶提供正常服務。

2.2 DDoS攻擊風險

電力二次系統安全防護的建設應堅持“安全分區、網絡專用、橫向隔離、縱向認證”的基本原則。通過專用網絡的構建，使被防護的二次系統與外網間的網絡連接有效分離，并通過專用物理隔離裝置，實現與外網的有效連接，實現了“物理隔離”。而通過物理隔離可以使各安全分區間網絡連接被阻斷，防止安全分區間通過網絡連接而受到攻擊。但是，攻擊者若不以安全分區為攻擊目標，而是直接攻擊兩個安全分區間的正常通信，也會對電力的正常運行造成影響。因此，攻擊風險分析如下：（1）雖然物理隔離對安全分區實施了保護，但隔離裝置與各安全分區間仍存在網絡連接，此時，攻擊者可能就會利用這一漏洞，對隔離裝置實施攻擊。（2）通過物理隔離裝置構成的安全分區的通信鏈路，是各安全分區聯系的唯一通道，因此，也極易成為攻擊者的主要攻擊對象。（3）對關鍵鏈路實施DDoS攻擊時，可以使該鏈路主機及網絡設備失效，因此，攻擊關鍵鏈路，將會嚴重威脅電力二次系統主機及設備。（4）圖2安全Ⅲ區連接主要通過企業數據網，防護級別及信息安全技術偏低，加之因管理不善而導致企業數據網內主機造成DDoS攻擊，使得安全Ⅰ區與Ⅲ區間的鏈路及物理隔離裝置也將面臨DDoS的攻擊風險。

3 電力二次系統DDoS攻擊的防御技術

3.1 攻擊預防

（1）被動防護。站在被動角度分析，為避免主機被攻擊者控制而淪為主控端或傀儡機，應做好主機的安全防護工作，對此，相關安全管理人員可從以下幾點入手：首先，時常進行系統漏洞掃描，修復漏洞，不斷更新系統安全補丁;其次，積極使用系統安全防護軟件，通過防病毒軟件及防火墻等，防止系統遭受外界攻擊;另外，有效提高安全監測系統的質量，以便及時發現主機網絡中的異常行為。（2）主動防御。站在主動角度分析，為防止DDOS攻擊對主機造成破壞，在未出現DDOS攻擊前，通過利用相關軟件對主機行為進行判斷，并對疑似的攻擊行為實施截獲。但是，此種預防仍存在一定弊端，對于部分主機安全性能偏低，極易成為攻擊者的目標而淪為傀儡機，因此，攻擊預防應采用多種方式相結合的防御技術，全面保護主機的系統安全。

3.2 攻擊源回溯

攻擊源回溯主要用在攻擊過程中和攻擊之后，這里的具體方法主要指IP回溯。IP回溯常見的防御技術有鏈路測試、日志記錄、覆蓋網追蹤及數據包標記。其中，鏈路測試是檢查與受害者聯系最近的路由器，逐級回溯至與攻擊者最接近的路由器。日志記錄是通過路由器對上游鏈路數據包信息予以記錄，然后對比提取的攻擊數據包，將攻擊數據包經過的路由器逐級恢復，從而找到攻擊源。IP覆蓋網追蹤是將追蹤路由（TR）引入互聯網，通過動態路由對攻擊行為進行檢測，向ISP發送追蹤請求，ISP通過動態配置將接入路由與TR構建IP通道形成覆蓋網絡，然后TR管理員根據攻擊包檢測其源端口，并查找所對應的路由器，以便實現追蹤。數據包標記是通過數據包記錄路由器信息，當受害主機接收到一些攻擊數據包后，便可重建攻擊路徑，查找攻擊源。

3.3 攻擊檢測與過濾

在DDoS攻擊時，攻擊檢測對攻擊及攻擊包予以識別，而攻擊過濾則對識別出的攻擊包分類并限速或丟棄。（1）攻擊檢測。首先，濫用檢測。將疑似對象對比入侵檢測規則，以判斷是否存在非法攻擊，與入侵規則相符判為攻擊，濫用檢測的準確性雖高，但靈活性較差，與入侵規則不同的攻擊則無法檢測。其次，異常檢測。通過構建統計概率模型，定義正常行為為異常檢測模型，提升正常行為標準，然后利用異常檢測模型對疑似對象的正常程度實施檢測，達不到標準的判為異常。此種檢測可對未知攻擊予以有效判斷，但數據分析量較大。（2）攻擊過濾。攻擊過濾關鍵在于對攻擊包過濾后所保留的正常服務的程度。最簡單的過濾做法是對可疑數據包進行丟棄或限速，在異常流量經過一段時間持續超出限制值，就會對超出部分予以丟棄。

3.4 網絡入侵防御系統

網絡入侵防御系統是一種專業化、智能化的網絡入侵檢測與防御產品，其是一種主動防御方式，通過與網絡關鍵路徑串聯，對入侵行為及攻擊數據包予以區分并過濾，避免攻擊后再防御而導致的損失。該系統一旦發現有攻擊行為，便能及時介入終止攻擊的進一步蔓延，防止系統受到實質性破壞。與防火墻技術相比，該系統能夠有效過濾未進行定義的攻擊數據流量，對于出現的某些入侵攻擊能夠主動防御，具有較高的靈活性;與傳統入侵檢測系統相比，該檢測系統通過主動防御，能夠在未實施攻擊前便發出預警，同時能夠動態過濾攻擊數據流量。

4 結語

互聯網技術的不斷進步，使得DDoS攻擊形式愈來愈多，攻擊規模愈來愈大，攻擊頻度愈來愈高，造成的損失也愈來愈大，并成為現階段威脅互聯網安全的重要攻擊手段之一。因此，必須不斷提高電力二次系統安全防護的可靠性與安全性，實現電力系統的安全穩定運行。

參考文獻

[1] 馬艷潔，吳漾.大型數據中心如何防范新型DDoS攻擊[J].計算機安全，2014（11）：48-50.

[2] 魏玉人，徐育軍.DDoS攻擊及防御技術綜述[J].軟件導刊，2017，16（3）：173-175.