计算机信息系统DoS攻击和ARP欺骗的解决对策

◆邹桂颖

（阿坝师范学院 四川 623000）

计算机信息系统DoS攻击和ARP欺骗的解决对策

◆邹桂颖

（阿坝师范学院 四川 623000）

进入21世纪以来，计算机网络信息系统的快速发展打破了国家的界限，给这个世界带来了自由和繁荣，人们对于计算机网络信息系统的依赖也不断加深。但与此同时，计算机网络攻击、计算机网络犯罪等各种网络安全威胁却愈演愈烈，严重影响着各国经济社会的稳定和发展。本文系统分析了DoS攻击、ARP欺骗攻击的基本原理，提出了相应的解决和防护办法，从而有效抵御和防范了针对计算机网络信息系统环境问题的主要威胁。

计算机网络信息系统；安全问题；对策

0 引言

截止到2015年12月底，中国互联网用户达到了7.13亿，如此巨大的网络用户，促进了各种网络应用的发展，计算机网络信息系统应用已成为人们日常生活中最重要的应用之一，大到政府、国有大型企事业单位，小到小型公司及家庭用户，纷纷依靠网站来开展各项日常工作或者体现个性思想行为，同时各种门户、搜索、即时聊天、个人电脑安全等网站也五花八门，成了人们获取信息、娱乐、进行沟通的重要手段。网站应用在体现重要作用、重要价值的同时，也日益成为不法分子破坏的目标，2015年我国计算机网络应急技术处理协调中心共接收境内外报告的网络安全事件126916起，其他没有统计在内的网站亦多不胜举。

1 计算机网络信息系统环境安全问题分析

1.1 DoS攻击

DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。

DoS通过调用大量网络资源向目标服务器在一个时间段中大量发送无意义的数据包，拥塞服务器通往广域网的网络端口，造成被攻击服务器不能与外界联网互动。通过目标服务器重复提供服务和传输协议而导致的漏洞，不停地向目标服务器要求重复服务，消耗大量目标服务器的有限资源，从而使得目标服务器无法响应其它用户的正常的服务请求。通过目标服务器重复提供服务和传输协议而导致的漏洞，高频发送变态的攻击数据，从而引发系统紊乱性错误，直至耗尽系统资源而死机。

DoS的攻击方法。（1）利用软件实现的缺陷。OOB攻击、teardrop攻击、land攻击、IGMP碎片包攻击等，这些手段仅仅只是利用了那些软件的功能上的软肋，从而完成DoS攻击的。一般情况之下，这些工具软件向网站系统发送特殊的一些报文，这些手段都非常致命，基本上一发不可收拾，直接将目标服务器堵死，这些攻击很难查到攻击源，一般都是都不是真实的地址，即使通过log日志也找不到发起攻击的源在何方，由于报文的特殊性和重复性，本身短小精简的报文，如果可以隐藏ip地址，几乎不可能完成追查源的工作。（2）利用协议的漏洞。利用协议漏洞的Dos攻击的生存能力却非常之强，因为网络协议一旦发布就很难改变，而软件要能在网络上使用，就必须遵守这个协议了，而如果这种协议存在漏洞的话，所有遵循此协议的软件都会受到影响。

1.2 ARP欺骗攻击

ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。（1）截获网关数据。ARP表通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。（2）伪造网关。通过建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC 看来，就是上不了网了，“网络掉线了”。

一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员不了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。

2 计算机网络信息系统环境安全问题解决对策

2.1 DoS攻击解决对策

（1）定期扫描

定期扫描现有的网络主节点，清查存在的安全漏洞并及时修复处理。黑客对骨干节点的计算机十分青睐，其较高的带宽使其成为黑客利用的最佳位置，因此要将加强主机安全提到十分重视的地位。连接到网络主节点的服务器级别的计算机，对定期扫描漏洞也要十分重视。

（2）在骨干节点配置防火墙

防火墙本身能抵御DdoS 攻击和其他一些攻击。在受到攻击时，为了保护真正的主机不被攻击，可把攻击引向一些牺牲主机。这些牺牲主机可选择不重要的，或者是天生防范攻击优秀的系统，Linux和unix等漏洞少的系统也是不错的选择。

（3）用足够的机器承受黑客攻击

如果用户有极多的容量和资源，在黑客访问用户、夺取用户资源的同时，黑客自身的系统能量也在减少，当能量被耗尽时，或许用户仍未被攻击死。显然可见，这对资金投入和设备的空闲状态有较高的要求，同目前中小企业网络实际运行状况是不相符的。因此，不得不承认，这是一种较理想主义的应对方法。

（4）充分利用网络设备保护网络资源

路由器、防火墙等负载均衡设备都是网络设备，充分利用这些网络设备可以保护网络。若网络被攻击，最先死去的是路由器，其他机器依然运转正常。通过重新启动路由器将恢复正常，不仅没什么损失，而且重启速度很快。若其他服务器死掉，不仅会丢失很多数据，而且重启服务器速度非常慢，花费时间很长。一个公司利用负载均衡设备，当一台路由器被攻击死机时，另一台立即投入工作，这样就大大削减了DoS攻击的损失和影响。

（5）过滤不必要的服务和端口

利用Inexpress、Express、Forwarding等工具过滤不必要的服务和端口，也就是在路由器上过滤假IP。Cisco公司的CEF（Cisco Express Fowarding）能针对封包Source IP和Routing Table作比较，并加以过滤。目前很多服务器通常只开放服务端口，例如WWW服务器只开放80却将其他所有端口关闭或在防火墙上做阻止策略。

（6）检查访问者的来源

很多黑客攻击常运用假IP 地址方式迷惑用户，很难找到来自何处，Unicast Reverse Path Forwarding 等能通过反向路由器查询的方法，检查访问者的IP 地址是否为真，若为假，则会对其屏蔽。由此，Unicast Reverse Path Forwarding 能减少假IP 地址的出现，对保障网络安全性很有帮助。

（7）限制SYN/ICMP流量

用户可以在路由器上设置SYN/ICMP的最大流量，SYN/ICMP封包占据的最高频宽就会被限制。若出现超出设置的SYN/ICMP最大流量很多的情况，则说明网络访问很不正常，黑客很有可能已入侵。这种方法曾是最好的防范DoS的方法。如今虽然效果不太显著，但聊胜于无。

2.2 ARP欺骗解决对策

（1）使用静态ARP表。

（2）把IP地址与MAC地址绑定。

（3）使用ARP服务器。

（4）采用安全的网络拓扑结构。

（5）定期轮询。管理员定期轮询（可通过软件实现）网络内部的IP地址与MAC地址的对应关系，通过与已有记录的比较来发现ARP欺骗。

（6）采用各种针对ARP欺骗进行防治的安全软件。

（7）对客户端进行安全防范。ARP欺骗往往是由客户端主机发起的，同时客户端主机也是受害者。应该采用必要的防御手段，如使用并及时更新杀毒软件，给系统安装补丁，关闭不必要的服务等。

3 结语

网站是运行在公共网络上面的，是为网络上的客户端提供应用服务的，这也是它很容易受到攻击的原因。在这些对网络造成的威胁当中，对我切身感受的两个威胁就是Dos 攻击、ARP 欺骗攻击。本文对这两种防御办法进行了研究，并对原理加以分析，以便更好地处理这些问题。

[1]韩伟.计算机网络信息系统安全问题的分析[J].科学与财富，2015.

[2]侯海科.浅析计算机网络信息系统安全问题的分析与对策[J].民营科技，2015.

[3]孙研.计算机网络信息系统安全问题的分析与对策[J].科技资讯，2015.