電力二次系統(tǒng)的dd攻擊原理及風險分析

1ddos攻擊1.1ddos攻擊ddos攻擊通過大量服務(wù)資源消耗。其中，服務(wù)器資源包括網(wǎng)絡(luò)帶寬、文件系統(tǒng)的可用空間、開放進程或連接數(shù)，這會導致服務(wù)器和網(wǎng)絡(luò)崩潰，無法提供普通服務(wù)。DDoS攻擊有很多種攻擊方式,最基本的DDoS攻擊就是利用合理的服務(wù)請求來占用過多的系統(tǒng)服務(wù)資源,從而使合法用戶無法得到服務(wù)。簡單的DDoS攻擊的基本過程可以如下:攻擊者向服務(wù)器發(fā)送大量帶有虛假地址的請求,服務(wù)器回復請求后等待回應。由于地址是偽造的,所以服務(wù)器一直等不到回應的消息,造成服務(wù)器始終不能釋放分配給該次請求的資源。攻擊者不斷地向服務(wù)器傳送這種請求,服務(wù)器資源最終會被耗盡。1.2ddos攻擊過程DDoS攻擊模型由攻擊者、主控端、僵尸主機三部分組成(1)攻擊者:攻擊者是攻擊的控制臺,控制整個攻擊過程,向主控端發(fā)送攻擊命令,可以是網(wǎng)絡(luò)上的任一臺主機。(2)主控端:主控端是被攻擊者非法入侵并控制的一些主機,這些主機分別控制大量的僵尸主機。主控端可以接受攻擊者發(fā)來的特殊指令,并且可以把這些指令傳送到僵尸主機上。(3)僵尸主機:僵尸主機也是被攻擊者入侵并控制的一批主機,它們接受和執(zhí)行主控端發(fā)來的指令。僵尸主機是攻擊的執(zhí)行者,直接向受害者主機發(fā)起攻擊。三者在DDoS攻擊中的關(guān)系如圖1所示。一般地,一次DDoS攻擊有以下幾個步驟:(1)掃描主機。借助一系列安全漏洞掃描工具,在Internet上尋找一些安全性比較低的計算機,以便對其入侵。(2)入侵主機。對掃描獲得的可入侵主機,攻擊者使用各種方法獲得其控制權(quán),在可入侵主機上安裝后門程序和攻擊程序,其中一部分主機充當攻擊的主控端,一部分主機充當攻擊的僵尸主機。攻擊者入侵的主機越多,攻擊隊伍就越壯大。(3)發(fā)起攻擊。在攻擊者的控制下對受害者主機發(fā)起攻擊。大量的攻擊數(shù)據(jù)包會大量消耗受害者主機的系統(tǒng)資源,同時也會堵塞受害者主機所在網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備,從而使受害者主機不能提供正常的網(wǎng)絡(luò)服務(wù)。1.3ddos攻擊方案DDoS攻擊的攻擊方式可以分成兩類(1)攻擊受害者主機的特點SynFlood:該攻擊利用TCP/IP協(xié)議的固有漏洞,向受害者主機發(fā)送SYN包,但不回應受害者主機的SYNACK包。受害者主機由于沒有收到源主機ACK包而一直維護著這些隊列,造成了資源的大量消耗而不能向正常請求提供服務(wù)。Smurf:該攻擊利用網(wǎng)絡(luò)的廣播功能和ICMP的應答請求功能,產(chǎn)生的大量數(shù)據(jù)包攻擊受害者主機。該攻擊把受害者主機的地址作為源地址,向一個子網(wǎng)的廣播地址發(fā)送一個帶ICMP回應請求的數(shù)據(jù)包,子網(wǎng)上所有主機向受害者主機發(fā)送的回復數(shù)據(jù)包匯聚成很大的流量,使該主機受到攻擊。PingFlood:該攻擊在短時間內(nèi)向受害者主機發(fā)送大量Ping包,造成網(wǎng)絡(luò)堵塞或系統(tǒng)資源耗盡。UDPFlood:當提供基于UDP服務(wù)的服務(wù)器收到一個UDP數(shù)據(jù)包時,如果這個UDP包不對應服務(wù)端口,服務(wù)器必須使用一定的系統(tǒng)資源向客戶端返回一個DestinationPortUnreachable的ICMP包。利用這個特性,該攻擊向受害者主機的UDP端口發(fā)送大量的隨機端口UDP數(shù)據(jù)包,致使受害者主機處理不過來而崩潰。(2)大量用戶連接Land-based:攻擊者把源地址和目的地址都為受害者主機地址的數(shù)據(jù)包發(fā)送給受害者主機。受害者主機收到這種包就向本機回復一個ACK包并建立一個連接過程,這個連接過程一直保留到連接超時,這些大量無用連接過程會大量消耗受害者主機的資源,影響對正常用戶的服務(wù)。PingofDeath:根據(jù)TCP/IP協(xié)議,一個數(shù)據(jù)包的長度最大為65536字節(jié)。該攻擊向受害者主機發(fā)送長度大于65536字節(jié)的數(shù)據(jù)包,造成受害者主機系統(tǒng)崩潰。TearDrop:攻擊者設(shè)計出有重疊偏移的數(shù)據(jù)包發(fā)送到受害者主機,例如:第一個包的偏移量為0,長度為N,第二個包的偏移量小于N。為了合并這些數(shù)據(jù)分段,TCP/IP協(xié)議要分配很多的系統(tǒng)資源,從而造成資源缺乏甚至系統(tǒng)崩潰。2電力二次安全防護的ddos攻擊模型分析根據(jù)電力二次系統(tǒng)安全防護總體方案,安全防護體系是基于“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總體原則進行建設(shè)的。受保護的電力二次系統(tǒng)運行在一個專用的網(wǎng)絡(luò)上,與外部企業(yè)數(shù)據(jù)網(wǎng)或互聯(lián)網(wǎng)是沒有直接網(wǎng)絡(luò)連接的。受保護的電力二次系統(tǒng)通過電力專用物理隔離裝置連接與外部網(wǎng)絡(luò)連接,實現(xiàn)了“物理隔離”。電力專用物理隔離裝置的部署,阻斷了安全Ⅰ區(qū)與安全Ⅲ區(qū)的直接網(wǎng)絡(luò)連接,有效防御了安全Ⅰ區(qū)與安全Ⅲ區(qū)之間所有基于直接網(wǎng)絡(luò)連接的攻擊。但是,攻擊者可能會改變攻擊目標,不以安全Ⅰ區(qū)作為攻擊的對象,而把安全Ⅰ區(qū)與安全Ⅲ區(qū)的正常通信作為攻擊對象,從而達到影響電力生產(chǎn)管理的目的。分析如下:(1)電力專用物理隔離裝置雖然有效保護了安全Ⅰ區(qū),但是裝置本身與安全Ⅰ區(qū)、安全Ⅲ區(qū)之間仍然存在網(wǎng)絡(luò)連接,因此裝置可能成為網(wǎng)絡(luò)攻擊的對象。(2)由電力專用物理隔離裝置組成的安全Ⅰ區(qū)與安全Ⅲ區(qū)之間的通信鏈路,是安全Ⅰ區(qū)與安全Ⅲ區(qū)的惟一通信鏈路,該鏈路有可能成為網(wǎng)絡(luò)攻擊的對象。(3)根據(jù)上文對DDoS攻擊原理的討論,DDoS攻擊容易達到使關(guān)鍵鏈路上的主機或網(wǎng)絡(luò)設(shè)備失效的目的,因此,DDoS攻擊在關(guān)鍵鏈路上具有著較大的威脅性。(4)根據(jù)電力二次系統(tǒng)安全防護總體方案,安全Ⅲ區(qū)一般與企業(yè)數(shù)據(jù)網(wǎng)連接,其信息安全防護級別稍低,信息安全技術(shù)力量稍弱,或許再存在一些管理因素,企業(yè)數(shù)據(jù)網(wǎng)內(nèi)的部分主機有可能形成圖1所示的DDoS攻擊模型,從而達到DDoS攻擊的必要條件。因此,在安全Ⅰ區(qū)與安全Ⅲ區(qū)的通信鏈路和電力專用物理隔離裝置上,可能存在受到DDoS攻擊的風險。3ddos攻擊的防御方法根據(jù)上文對二次系統(tǒng)安全防護體系中的DDoS風險分析,有必要對DDoS攻擊的防御方法進行討論。對應DDoS攻擊的整個過程,探討以下的DDoS攻擊的防御方法。3.1本機中的安全監(jiān)測攻擊預防方法主要用于攻擊發(fā)生之前。從被動方面來說,主機應該被安全地保護,以防止被入侵控制成為主控端或僵尸主機,主機和服務(wù)器的管理員需要做到以下的防控措施:(1)經(jīng)常給系統(tǒng)打補丁,修補系統(tǒng)的漏洞;(2)安裝防火墻和防毒軟件等安全防護工具;(3)監(jiān)測本機和網(wǎng)絡(luò)中的通信流量是否有異常情況。從主動方面來說,可以使用網(wǎng)絡(luò)分析軟件等工具截獲將要發(fā)動DDoS攻擊的信息,以便在攻擊到來之前做出必要的防備。但總存在一些安全性能較低的主機容易被入侵成為主控端或僵尸主機;而且在DDoS攻擊發(fā)動之前,要截獲和分析相關(guān)的信息需要深厚的計算機網(wǎng)絡(luò)知識。因此,單獨使用攻擊預防方法顯然是不夠的。3.2ip性狀攻擊的檢測攻擊源的回溯和識別方法主要用于攻擊過程中和攻擊之后,這里的具體方法主要指IP回溯一般來說,IP回溯有兩個方法:第一個,路由器記錄由它們轉(zhuǎn)發(fā)的包的信息。第二個,由路由器向它們所轉(zhuǎn)發(fā)的包的目的地址發(fā)送附加的關(guān)于包的信息,方法可以是通過包本身或ICMP信息。IP回溯存在一些不足:第一,IP回溯不能中止正在進行的DDoS攻擊;第二,目前的IP回溯方法不一定能追蹤到所有包的源頭,例如某些防火墻和網(wǎng)絡(luò)地址轉(zhuǎn)換器轉(zhuǎn)發(fā)過來的包;第三,IP回溯對于反射攻擊3.3檢測和過濾攻擊攻擊檢測和過濾方法主要用于攻擊過程中。檢測部分負責識別DDoS攻擊或者攻擊包。過濾部分負責對這些包分類,然后限速或者丟棄。(1)侵及行為的檢測策略DDoS攻擊檢測方法可以分為以下兩類:基于規(guī)則的入侵檢測方法-濫用檢測(MisuseDetection)、基于行為的入侵檢測策略-異常檢測(AnomalyDetection)。濫用檢測異常檢測(2)進行有效過濾過濾部分關(guān)注過濾攻擊包后所能保留的正常服務(wù)的程度。最簡單的過濾方法就是丟棄可疑數(shù)據(jù)包,也可以對可疑數(shù)據(jù)包進行限速,當異常流量持續(xù)超出限制值一段時間后,才開始對超出限制值部分的可疑數(shù)據(jù)流量予以丟棄3.4訪問控制策略網(wǎng)絡(luò)入侵防御系統(tǒng)網(wǎng)絡(luò)入侵防御系統(tǒng)與傳統(tǒng)的防火墻比較:傳統(tǒng)的防火墻只能依靠事先定義的訪問控制策略,不能過濾策略中未作定義的攻擊流量,靈活性不足,因此防火墻無法防御某些入侵攻擊。網(wǎng)絡(luò)入侵防御系統(tǒng)與入侵檢測系統(tǒng)比較:入侵檢測系統(tǒng)多數(shù)是被動防御的,即在攻擊實際發(fā)生之前,