科技网

当前位置: 首页 >VR

IP网络攻击及安全防护浅析0

VR
来源: 作者: 2019-03-21 11:39:21

众所周知,目前国内通信业的焦点仍有很多,比如TD-SCDMA和WCDMA之争,电视以及各种3G增值业务之争,牌照之争,共享资源减少重复投资之争,诸如此类。但至少有一点,在各大运营商厂商以及研究院学者之间已经达成了共识。那就是今后的所有业务都将使用IP络来承载。实现真正的AllOverIP。

并且随着3G,IPTV等业务离我们的生活越来越近,全IP络的融合也离我们越来越近。全IP承载络给我们带来了标准化,高带宽,资源共享,络共享等优点的同时,也给我们带来了新的思考和挑战。最大的挑战无非来自于两个方面。IP的服务质量以及IP的络安全。毫无疑问,传统的专专用的通信络可以提供给用户稳定性更好更安全的业务,带给了用户更好的络体验。使用IP络来承载上层应用确实带给了我们很多不确定性。延迟,丢包,抖动,不稳定性都会给运营商的服务质量带来很大冲击。同时,针对IP络的安全攻击事件也层出不穷。但从总的趋势来看,全IP承载是大势所趋,利远大于弊。因此我们需要花更多的时间来关注服务质量以及IP的络安全。本文则主要侧重于IP络安全,从多个方面进行探讨。

说起络安全,首先自然要说起络攻击。如果没有络攻击,自然天下太平。而分析起络攻击,自然离不开对黑客的讨论。那么为什么要发起络攻击呢?只有切实了解了黑客发起络攻击的动机才能反黑客。只有消灭了犯罪的根源,也才能杜绝犯罪,维护社会稳定。下面我们可以先从技术的角度对络攻击行为进行一个分类。按照OSI七层模型来进行分类,可以分为针对应用层的攻击,针对传输层的攻击,针对络层的攻击还有针对数据链路层的攻击。

常见的络攻击

针对数据链路层的攻击

ARP欺骗攻击

ARP协议用来完成IP地址到MAC地址的转换。ARP协议对络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在络中产生大量的ARP通信量使络阻塞或者实现“maninthemiddle”进行ARP重定向和嗅探攻击。目前络上有很多种工具可以完成此类攻击,如络执法官等。针对此类攻击也有很多种防范措施,比如MAC地址静态绑定,ARP智能检测等。

Mac地址泛洪

交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的MAC地址表。MAC地址表的大小是固定的,不同的交换机的MAC地址表大小不同。MAC地址泛洪攻击是指利用工具产生欺骗MAC,快速填满MAC地址表,交换机MAC地址表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取络信息。MAC地址表满了后,流量以泛洪方式发送到所有接口,也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,络缓慢和丢包甚至瘫痪。目前主流厂家的中低端交换MAC地址表容量在8K左右,而使用Dsniff工具可以轻松地在1分钟内产生15万左右MAC地址冲击我们的局域。而针对这种类型的攻击防护可以在交换机启动最大MAC地址限制,端口安全等策略。

针对络层的攻击

针对路由协议的攻击

BGP协议:由于BGP协议是依赖于TCP的179端口进行传输,因此可以很容易的通过扫描工具

探测179端口来判别BGP的存在而实现攻击。同时,很多基于TCP的攻击以及TCP本身暴露出来的协议漏洞同样都成为BGP协议潜在的风险。如基于TCP的SYNflood攻击,序列号攻击,针对此类攻击,可以采用针对179端口的访问过滤以及BGP对等体的MD5认证来加以保护。

OSPF协议:常见的针对OSPF协议的攻击主要有以下几种。

●Maxage攻击。指的是攻击者持续发送带有最大maxage(缺省为3600秒)的LSA,将导致路由器产生刷新信息来发送这个LSA,最终将导致整个络混乱路由震荡后以及产生拒绝服务攻击。

●序列号攻击。RFC规定OSPF通过序列号来判断旧的LSA是否需要更新。当攻击者持续插入比较大的LSA序列号报文时,络中的路由器将发送更新的LSA序列号报文来与攻击者的LSA报文进行竞争,最终导致络的不稳定。

●最大序列号攻击。根据RFC规定,当LSA的报文超过最大序列号0x7FFFFFFF,需要将此LSA重新初始化在域中进行刷新。当攻击者持续发送带有最大序列号的LSA报文到络中时,将造成OSPF整个域的持续震荡。

ISIS协议:针对ISIS协议的攻击比较难以实现,因为本身ISIS的LSP的交互是直接承载于二层的,而不是由IP包头来承载的,因此ISIS协议本身安全性较高并被大型骨干数据络选为IGP协议的主要原因之一。

给予ICMP协议的攻击

●死亡之ping攻击:即向目的主机发送大于64K字节载荷的报文,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。可以通过打系统补丁或防火墙过滤等方法来进行保护。

●Smurf攻击:用一台PC发包,将目的地址改为广播地址(不一定为255.255.255.255,也可以是一个段的广播地址如192.168.1.255),源地址改为你想要攻击的那台设备的地址,这样所有的设备都将向这台设备回ACK包。导致那台设备性能下降。利用Sniffer就可实现此类攻击。可以通过打系统补丁或防火墙过滤等方法来进行保护。

●ICMP重定向攻击:通过伪造ICMP重定向报文,使受害设备的路由表混乱。可以通过在关设备上关闭ICMP重定向来进行防护。

针对传输层的攻击

常见的包括以下几方面。

●Land攻击:攻击设备将TCPSYN的源和目的地址都设置为需要攻击的设备地址,这将导致受害者将向自己发送SYN-ACK报文,然后这台设备还要向自己发送一个TCP-ACK消息,最后这条空连接将保持到超时为止。许多UNIX的主机将崩溃,NT的机器将变得非常缓慢。

●TCPSyn半开连接攻击:攻击设备伪装源地址(设置为一个不可达的IP),向要攻击的目的设备发起大量的虚假TCPSYN连接,被攻击设备将分配大量的内存缓冲区来建立连接最终导致内存溢出。此类攻击可通过防火墙来检查TCP连接状态或TCP代理来解决。

●泪滴攻击:IP包在分片后通过偏移量,MF位,payload等来重组经过分片后的IP包。通过伪造这些字段,有弱点的TCP/IP栈就会为这些重组包分配相当大的内存空间。此类攻击也可以通过设置防火墙来检查IP包状态来进行防范。

●UDP/TCP炸弹:针对特定端口的发送大量UDP或TCP信息。分片报文攻击:发送大量只有第一片分片报文的包。使受害者不断等待后续的分片报文到达来重组,消耗大量的CPU资源。

针对应用层的攻击

●针对操作系统的漏洞攻击:如早期所出现的冲击波,震荡波等操作系统漏洞侵入系统获取系

●统最高权限的攻击。可以通过打系统补丁来解决。

●SQL注入攻击。通过ASP页面语言的一些缺陷执行SQL查询语言获取后台数据库的管理员权限从而获取整个站的管理权。

●DHCP的攻击:通过不断发起DHCP请求,不断申请IP又释放IP,从而消耗系统资源,造成络的不稳定。

●其他针对某种特定应用层协议的攻击:如SNMP攻击对管的干扰,RADIUS攻击对用户认证的干扰。

另外,络攻击还有很多种其他的划分方法。从络攻击者的角度来看,在早期,络攻击只是一些络爱好者的技术交流,他们互相之间渴望获得对方对自己技术实力的认可。因此,越有技术含量的攻击越容易得到大家的认可,同时这类攻击也更加难以防范。那什么类型的攻击算更有技术含量呢?个人认为,单纯的打大流量的这种类型攻击是最没有技术含量的。因为一般来说被攻击的目标通常来说是一台高性能的服务器,比攻击者的设备性能要更好。如果单纯只是通过发送垃圾流量的方式进行攻击的话,可能目标还没宕机,攻击者就先宕掉了。这是遭人鄙视的“肉搏”战。而如果只是发送一个很小的数据包就能引起目标的服务中断则应该被视为有技术含量的。例如SYN攻击,连续发送上百个SYN攻击的数据包可能只有几十K,但确能使一台大型服务器宕机。这就要求攻击者对TCP协议有比较深的理解才能完成。类似的攻击还有很多。

络攻击的类别

如果说早期的时候络攻击的行为纯粹是络爱好者的技术交流,那么到现在络攻击的行为传播已经逐渐发展为以经济利益驱动的一条完整产业链了。我们可以把上述的攻击行为按照攻击的目的性分为两类。

第一类是:以获取目标对象的机密信息为目的。如盗取游,银行帐号,或受委托攻击获取商业竞争对手核心资料的。下面我们通过一个具体的案例来了解一下此类的行为。

如图所示,为曾经传播一时的“灰鸽子”病毒产业链示意图。

这些非法传播者通过一些交易站销售从”肉鸡(肉鸡就是通过漏洞完全被黑客控制的计算机)”上盗窃来的账号,隐私资料等非法获利。并且直接操纵肉鸡,成为他们牟利的工具。例如,他们还在著名的商务站上公开叫卖肉鸡,比如一台内陆肉鸡0.1~0.4元一台,广东肉鸡1元1台,国外肉鸡5元。通过这些肉鸡的销售,可以派生出一个新的产业链,比如购买者可以通过购买肉鸡对竞争对手进行DDOS攻击,打击竞争对手的商业信誉度。另外,一些黑客还同时控制几万台甚至几十万台计算机同时点击某厂家的广告,每次点击向厂家收取0.1~0.3元。据某著名防病毒厂家工程师估计,每年黑客产业的净利润在十亿元人民币左右。

第二类是:以攻击对方的服务为目的。此类攻击并不需要侵入对方的系统获取权限,仅仅是需要攻瘫对方的主机络,使对方提供的客户服务中断,从而达到打击竞争对手的目的。例如我们常见的DDOS攻击。DDOS攻击需要有大量的肉鸡瞬间产生巨大的流量来对目标对象实现攻击。而肉鸡的获取可以直接通过向黑客购买获得。攻击者只需要在控制终端上执行简单的操作指令即可命令肉鸡同时发起流量进行攻击。由于肉鸡来自四面八方甚至国外,非常分散。因此给防范带来很大的困难。甚至有的黑客还在公开叫卖DDOS服务,并提供相应的SLA服务,不攻垮不收费,少宕机一分钟也不收费。关于此类事件最近的有“19岁黑客为推销防火墙产品黑掉联众游”。因为联众不购买其自行研发的防火墙产品而对联众进行DDOS攻击,致使联众损失上百万元。为此联众还特意找了很多厂家包括一些国外著名厂家的防火墙产品进行测试,唯独只有这家公司生产的未知名防火墙才能防住DDOS攻击。这才使联众产生了疑点最终报警打掉了这个犯罪团伙。

络安全防御策略

也正是有了这些灰色的产业链,才促使国内的安全产业一片繁荣。例如国内的瑞星,金山等公司净盈利也是最近几年都在逐年猛增。国外的一些安全厂家如趋势,赛门铁克,Arbor等也都不断推出一系列的安全防范产品并都取得了非常好的销售业绩。

同样,由于运营商位置的特殊性,其作为用户通信的载体。对络的攻击行为有被动的防御权,同时也有主动的监测和掌控权。因此,络攻击的行为对运营商来说,既是一种威胁,同时也是一种机遇。比如中国电信提供的杀毒业务就是很好的例子。另外,在其他方面也可以做一些尝试。

●通过向客户提供有偿的络边界监控服务,并且可以给客户提供相应的账号,使客户可以实时查看自己当前络边界的流量及服务情况。并可为用户提供安全咨询类的服务。这里的客户可以是一些比较小的ICP等等。

●为客户提供DDOS清洗服务。因为DDOS攻击如果到达了客户的络,客户自身即使有再好的安全技术人员,对这种DDOS攻击也只能做到被动防御,基本上是无能为力的。真正消除只能在运营商侧通过相关手段消除。

●提供不同SLA等级的安全保障服务。

综上所述,运营商在面对IP络安全问题的同时,也可以考虑采取何种策略来变废为宝,将安全服务变成一种增值服务来为客户提供,达到双赢的结果。同时,这也符合国内部分运营商制定的由传统电信运营商向“综合信息服务提供商”的转型的长远战略。

玉林鸡骨草胶囊价格多少
疲倦乏力什么原因
老是腰酸背痛怎么办
什么是老年性阴道炎

相关推荐