相关专题:
1 引言
众所周知,目前国内通信业的焦点仍有很多,比如TD和WCDMA之争,手机电视与各种3G增值业务之争,牌照之争,共享资源减少重复投资之争等。但至少有一点,在各大运营商厂商以及研究院学者之间已经达成了共识。那就是今后的所有业务都将使用IP网络来承载,实现真正的All Over IP。
随着3G,IPTV等业务离我们的生活越来越近,全IP网络的融合也离我们越来越近。全IP承载网络给我们带来了标准化、高带宽、资源共享、网络共享等优点的同时,也给我们带来了新的思考和挑战。最大的挑战无非来自于两个方面,即IP的服务质量以及IP的网络安全。毫无疑问,传统的专网专用的通信网络可以提供给用户稳定性更好、更安全的业务,带给用户更好的网络体验。使用IP网络来承载上层应用确实带给我们很多不确定性。延迟、丢包、抖动、不稳定性都会给运营商的服务质量带来很大冲击。同时,针对IP网络的安全攻击事件也层出不穷。但从总的趋势来看,全IP承载是大势所趋,利远大于弊。因此,我们需要花更多的时间来关注服务质量以及IP的网络安全。本文主要侧重于IP网络安全,从多个方面进行探讨。
说起网络安全,首先要说起网络攻击。如果没有网络攻击,天下自然太平。而分析起网络攻击,自然离不开对黑客的讨论。只有切实了解了黑客发起网络攻击的动机才能反黑客。只有消灭了犯罪的根源,才能杜绝犯罪,维护社会稳定。
2 按照OSI 7层模型对网络攻击行为的分类
2.1 针对数据链路层的攻击
(1)ARP欺骗攻击
ARP协议用来完成IP地址到MAC地址的转换。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞或者实现“Man in the Middle”进行ARP重定向和嗅探攻击。目前,网络上有很多种工具可以完成此类攻击(如网络执法官等)。针对此类攻击也有很多种防范措施,比如MAC地址静态绑定,ARP智能检测等。
(2)Mac地址泛洪
交换机主动学习客户端的MAC地址,并建立维护端口和MAC地址的对应表以建立交换路径,这个表就是通常我们所说的MAC地址表。MAC地址表的大小是固定的,不同交换机的MAC地址表大小不同。MAC地址泛洪攻击是指利用工具产生欺骗MAC,快速填满MAC地址表,交换机MAC地址表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。MAC地址表满了以后,流量以泛洪方式发送到所有接口,也就代表TRUNK接口上的流量也会发给所有接口和邻近交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。目前,主流厂家的中低端交换MAC地址表容量在8k左右,而使用Dsniff工具可以轻松地在1min内产生15万个左右的MAC地址冲击我们的局域网。针对这种类型的攻击防护可以在交换机启动最大MAC地址限制,端口安全等策略。
2.2 针对网络层的攻击
(1)针对路由协议的攻击
●BGP协议。由于BGP协议是依赖于TCP的179端口进行传输,因此可以很容易地通过扫描工具探测179端口来判别BGP的存在而实现攻击。同时,很多基于TCP的攻击以及TCP本身暴露出来的协议漏洞同样都成为BGP协议潜在的风险。如基于TCP的SYN Flood攻击,序列号攻击,针对此类攻击,可以采用针对179端口的访问过滤以及BGP对等体的MD5认证来加以保护。
●OSPF协议。常见的针对OSPF协议的攻击主要有:
——Max Age攻击:指的是攻击者持续发送带有最大Maxage(缺省为3600s)的LSA,将导致路由器产生刷新信息来发送LSA,最终将导致整个网络混乱,路由震荡而产生拒绝服务攻击。
——序列号攻击:RFC规定OSPF通过序列号来判断旧的LSA是否需要更新。当攻击者持续插入比较大的LSA序列号报文时,网络中的路由器将发送更新的LSA序列号报文来与攻击者的LSA报文进行竞争,最终导致网络的不稳定。
——最大序列号攻击:根据RFC规定,当LSA的报文超过最大序列号0x7FFFFFFF,需要将此LSA重新初始化在域中进行刷新。当攻击者持续发送带有最大序列号的LSA报文到网络中时,将造成OSPF整个域的持续震荡。
●ISIS协议。针对ISIS协议的攻击比较难以实现,因为本身ISIS的LSP的交互是直接承载于二层的,而不是由IP包头来承载的,因此ISIS协议本身安全性较高被大型骨干数据网络选为IGP协议。
(2)给予ICMP协议的攻击
●死亡之Ping攻击:即向目的主机发送大于64k字节载荷的报文,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64kB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息为有效载荷生成缓冲区。当产生畸形时,声称自己的尺寸超过ICMP上限的包,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方宕机。可以通过打系统补丁或防火墙过滤等方法来进行保护。
●Smurf攻击:用一台PC发包,将目的地址改为广播地址(网段的广播地址,如192.168.1.255),源地址改为你想要攻击的那台设备的地址,这样所有的设备都将向这台设备回ACK包。导致那台设备性能下降。利用Sniffer可以实现此类攻击。可以通过打系统补丁或防火墙过滤等方法来进行保护。
●ICMP重定向攻击:通过伪造ICMP重定向报文,使受害设备的路由表混乱。可以通过在网关设备上关闭ICMP重定向来进行防护。
2.3 针对传输层的攻击
(1)Land攻击:攻击设备将TCP SYN的源和目的地址都设置为需要攻击的设备地址,这将导致受害者将向自己发送SYN-ACK报文,然后这台设备还要向自己发送一个TCP-ACK消息,最后这条空连接将保持到超时为止。许多UNIX的主机将崩溃,NT的机器将变得非常缓慢。
(2)TCP Syn半开连接攻击:攻击设备伪装源地址(设置为一个不可达的IP),向要攻击的目的设备发起大量的虚假TCP SYN连接,被攻击设备将分配大量的内存缓冲区来建立连接最终导致内存溢出。此类攻击可通过防火墙来检查TCP连接状态或TCP代理来解决。
(3)泪滴攻击:IP包在分片后通过偏移量,MF位,Payload等来重组经过分片后的IP包。通过伪造这些字段,有弱点的TCP/IP栈就会为这些重组包分配相当大的内存空间。此类攻击也可以通过设置防火墙来检查IP包状态来进行防范。
(4)UDP/TCP炸弹:针对特定端口的发送大量UDP或TCP信息。
(5)分片报文攻击:发送大量只有第一片分片报文的包。使受害者不断等待后续的分片报文到达来重组,消耗大量的CPU资源。
2.4 针对应用层的攻击
(1)针对操作系统的漏洞攻击:如早期所出现的冲击波,震荡波等操作系统漏洞侵入系统获取系统最高权限的攻击。可以通过打系统补丁来解决。
(2)SQL注入攻击。通过ASP页面语言的一些缺陷执行SQL查询语言获取后台数据库的管理员权限从而获取整个网站的管理权。
(3)DHCP的攻击:通过不断发起DHCP请求,不断申请IP又释放IP,从而消耗系统资源,造成网络的不稳定。
(4)其他针对某种特定应用层协议的攻击:如SNMP攻击对网管的干扰,RADIUS攻击对用户认证的干扰。
另外,网络攻击还有很多种其他的划分方法。从网络攻击者的角度来看,早期网络攻击只是一些网络爱好者的技术交流,他们互相之间渴望获得对方对自己技术实力的认可。因此,越有技术含量的攻击越容易得到大家的认可,同时这类攻击也更加难以防范。例如SYN攻击,连续发送上百个SYN攻击的数据包可能只有几十k,但确能使一台大型服务器宕机。
3 攻击目的性分类
早期的网络攻击行为纯粹是网络爱好者的技术交流,现在网络攻击的行为传播已经逐渐发展为以经济为利益。我们可以把上述的攻击行为按照攻击的目的性分为两类。
第一类:以获取目标对象的机密信息为目的。如盗取网游,银行账号或受委托攻击获取商业竞争对手核心资料的。我们通过图1的案例来了解一下此类的行为。
图1 “灰鸽子”病毒产业链示意图
这些非法传播者通过一些交易网站销售从“肉鸡(肉鸡就是通过漏洞完全被黑客控制的计算机)”上盗窃来的账号,隐私资料等非法获利,并且直接操纵“肉鸡”,成为他们牟利的工具。通过这些肉鸡的销售,可以派生出一个新的产业链,比如购买者可以通过购买“肉鸡”对竞争对手进行DDOS攻击,打击竞争对手的商业信誉度。另外,一些黑客还可以同时控制几万台甚至几十万台计算机同时点击某厂家的广告,每次点击向厂家收取0.1~0.3元。据某著名防病毒厂家工程师估计,每年黑客产业的净利润在十亿元人民币左右。
第二类:以攻击对方的服务为目的。此类攻击并不需要侵入对方的系统获取权限,仅仅是需要攻瘫对方的主机网络,使对方提供的客户服务中断,从而达到打击竞争对手的目的。
例如我们常见的DDOS攻击。DDOS攻击需要有大量的“肉鸡”瞬间产生巨大的流量来对目标对象实现攻击。而“肉鸡”的获取可以直接通过向黑客购买获得。攻击者只需要在控制终端上执行简单的操作指令即可命令“肉鸡”同时发起流量进行攻击。由于“肉鸡”来自四面八方甚至国外,非常分散,因此给防范带来很大的困难。正是有了这些灰色的产业链,才促使国内、国外的安全产业一片繁荣。
同样,由于运营商位置的特殊性,其作为用户通信的载体。对网络的攻击行为有被动的防御权,同时也有主动的监测和掌控权。因此,网络攻击的行为对运营商来说,既是一种威胁,也是一种机遇。比如中国电信提供的在线杀毒业务就是很好的例子。另外,在其他方面也可以做一些尝试。比如:
(1)通过向客户提供有偿的网络边界监控服务,给客户提供相应的账号,使客户可以实时查看自己当前网络边界的流量及服务情况。为用户提供安全咨询类的服务。这里的客户可以是一些比较小的ICP等。
(2)为客户提供DDOS清洗服务。因为DDOS攻击如果到达了客户的网络,客户自身即使有再好的安全技术人员,对这种DDOS攻击也只能做到被动防御,基本上是无能为力的。真正消除只能是运营商通过相关手段消除。
(3)提供不同SLA等级的安全保障服务。
4 结束语
运营商在面对IP网络安全问题的同时,也可以考虑采取何种策略来变废为宝,将安全服务变成一种增值服务来为客户提供,达到双赢的结果。
来源:电信网技术
