1 引言
眾所周知,目前國內(nèi)通信業(yè)的焦點仍有很多,比如TD和WCDMA之爭,手機電視與各種3G增值業(yè)務之爭,牌照之爭,共享資源減少重復投資之爭等。但至少有一點,在各大運營商廠商以及研究院學者之間已經(jīng)達成了共識。那就是今后的所有業(yè)務都將使用IP網(wǎng)絡來承載,實現(xiàn)真正的All Over IP。
隨著3G,IPTV等業(yè)務離我們的生活越來越近,全IP網(wǎng)絡的融合也離我們越來越近。全IP承載網(wǎng)絡給我們帶來了標準化、高帶寬、資源共享、網(wǎng)絡共享等優(yōu)點的同時,也給我們帶來了新的思考和挑戰(zhàn)。最大的挑戰(zhàn)無非來自于兩個方面,即IP的服務質(zhì)量以及IP的網(wǎng)絡安全。毫無疑問,傳統(tǒng)的專網(wǎng)專用的通信網(wǎng)絡可以提供給用戶穩(wěn)定性更好、更安全的業(yè)務,帶給用戶更好的網(wǎng)絡體驗。使用IP網(wǎng)絡來承載上層應用確實帶給我們很多不確定性。延遲、丟包、抖動、不穩(wěn)定性都會給運營商的服務質(zhì)量帶來很大沖擊。同時,針對IP網(wǎng)絡的安全攻擊事件也層出不窮。但從總的趨勢來看,全IP承載是大勢所趨,利遠大于弊。因此,我們需要花更多的時間來關(guān)注服務質(zhì)量以及IP的網(wǎng)絡安全。本文主要側(cè)重于IP網(wǎng)絡安全,從多個方面進行探討。
說起網(wǎng)絡安全,首先要說起網(wǎng)絡攻擊。如果沒有網(wǎng)絡攻擊,天下自然太平。而分析起網(wǎng)絡攻擊,自然離不開對黑客的討論。只有切實了解了黑客發(fā)起網(wǎng)絡攻擊的動機才能反黑客。只有消滅了犯罪的根源,才能杜絕犯罪,維護社會穩(wěn)定。
2 按照OSI 7層模型對網(wǎng)絡攻擊行為的分類
2.1 針對數(shù)據(jù)鏈路層的攻擊
(1)ARP欺騙攻擊
ARP協(xié)議用來完成IP地址到MAC地址的轉(zhuǎn)換。ARP協(xié)議對網(wǎng)絡安全具有重要的意義。通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙,能夠在網(wǎng)絡中產(chǎn)生大量的ARP通信量,使網(wǎng)絡阻塞或者實現(xiàn)“Man in the Middle”進行ARP重定向和嗅探攻擊。目前,網(wǎng)絡上有很多種工具可以完成此類攻擊(如網(wǎng)絡執(zhí)法官等)。針對此類攻擊也有很多種防范措施,比如MAC地址靜態(tài)綁定,ARP智能檢測等。
(2)Mac地址泛洪
交換機主動學習客戶端的MAC地址,并建立維護端口和MAC地址的對應表以建立交換路徑,這個表就是通常我們所說的MAC地址表。MAC地址表的大小是固定的,不同交換機的MAC地址表大小不同。MAC地址泛洪攻擊是指利用工具產(chǎn)生欺騙MAC,快速填滿MAC地址表,交換機MAC地址表被填滿后,交換機以廣播方式處理通過交換機的報文,這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡信息。MAC地址表滿了以后,流量以泛洪方式發(fā)送到所有接口,也就代表TRUNK接口上的流量也會發(fā)給所有接口和鄰近交換機,會造成交換機負載過大,網(wǎng)絡緩慢和丟包甚至癱瘓。目前,主流廠家的中低端交換MAC地址表容量在8k左右,而使用Dsniff工具可以輕松地在1min內(nèi)產(chǎn)生15萬個左右的MAC地址沖擊我們的局域網(wǎng)。針對這種類型的攻擊防護可以在交換機啟動最大MAC地址限制,端口安全等策略。
2.2 針對網(wǎng)絡層的攻擊
(1)針對路由協(xié)議的攻擊
●BGP協(xié)議。由于BGP協(xié)議是依賴于TCP的179端口進行傳輸,因此可以很容易地通過掃描工具探測179端口來判別BGP的存在而實現(xiàn)攻擊。同時,很多基于TCP的攻擊以及TCP本身暴露出來的協(xié)議漏洞同樣都成為BGP協(xié)議潛在的風險。如基于TCP的SYN Flood攻擊,序列號攻擊,針對此類攻擊,可以采用針對179端口的訪問過濾以及BGP對等體的MD5認證來加以保護。
●OSPF協(xié)議。常見的針對OSPF協(xié)議的攻擊主要有:
——Max Age攻擊:指的是攻擊者持續(xù)發(fā)送帶有最大Maxage(缺省為3600s)的LSA,將導致路由器產(chǎn)生刷新信息來發(fā)送LSA,最終將導致整個網(wǎng)絡混亂,路由震蕩而產(chǎn)生拒絕服務攻擊。
——序列號攻擊:RFC規(guī)定OSPF通過序列號來判斷舊的LSA是否需要更新。當攻擊者持續(xù)插入比較大的LSA序列號報文時,網(wǎng)絡中的路由器將發(fā)送更新的LSA序列號報文來與攻擊者的LSA報文進行競爭,最終導致網(wǎng)絡的不穩(wěn)定。
——最大序列號攻擊:根據(jù)RFC規(guī)定,當LSA的報文超過最大序列號0x7FFFFFFF,需要將此LSA重新初始化在域中進行刷新。當攻擊者持續(xù)發(fā)送帶有最大序列號的LSA報文到網(wǎng)絡中時,將造成OSPF整個域的持續(xù)震蕩。
●ISIS協(xié)議。針對ISIS協(xié)議的攻擊比較難以實現(xiàn),因為本身ISIS的LSP的交互是直接承載于二層的,而不是由IP包頭來承載的,因此ISIS協(xié)議本身安全性較高被大型骨干數(shù)據(jù)網(wǎng)絡選為IGP協(xié)議。
(2)給予ICMP協(xié)議的攻擊
●死亡之Ping攻擊:即向目的主機發(fā)送大于64k字節(jié)載荷的報文,許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64kB,并且在對包的標題頭進行讀取之后,要根據(jù)該標題頭里包含的信息為有效載荷生成緩沖區(qū)。當產(chǎn)生畸形時,聲稱自己的尺寸超過ICMP上限的包,就會出現(xiàn)內(nèi)存分配錯誤,導致TCP/IP堆棧崩潰,致使接受方宕機?梢酝ㄟ^打系統(tǒng)補丁或防火墻過濾等方法來進行保護。
●Smurf攻擊:用一臺PC發(fā)包,將目的地址改為廣播地址(網(wǎng)段的廣播地址,如192.168.1.255),源地址改為你想要攻擊的那臺設(shè)備的地址,這樣所有的設(shè)備都將向這臺設(shè)備回ACK包。導致那臺設(shè)備性能下降。利用Sniffer可以實現(xiàn)此類攻擊?梢酝ㄟ^打系統(tǒng)補丁或防火墻過濾等方法來進行保護。
●ICMP重定向攻擊:通過偽造ICMP重定向報文,使受害設(shè)備的路由表混亂?梢酝ㄟ^在網(wǎng)關(guān)設(shè)備上關(guān)閉ICMP重定向來進行防護。
2.3 針對傳輸層的攻擊
(1)Land攻擊:攻擊設(shè)備將TCP SYN的源和目的地址都設(shè)置為需要攻擊的設(shè)備地址,這將導致受害者將向自己發(fā)送SYN-ACK報文,然后這臺設(shè)備還要向自己發(fā)送一個TCP-ACK消息,最后這條空連接將保持到超時為止。許多UNIX的主機將崩潰,NT的機器將變得非常緩慢。
(2)TCP Syn半開連接攻擊:攻擊設(shè)備偽裝源地址(設(shè)置為一個不可達的IP),向要攻擊的目的設(shè)備發(fā)起大量的虛假TCP SYN連接,被攻擊設(shè)備將分配大量的內(nèi)存緩沖區(qū)來建立連接最終導致內(nèi)存溢出。此類攻擊可通過防火墻來檢查TCP連接狀態(tài)或TCP代理來解決。
(3)淚滴攻擊:IP包在分片后通過偏移量,MF位,Payload等來重組經(jīng)過分片后的IP包。通過偽造這些字段,有弱點的TCP/IP棧就會為這些重組包分配相當大的內(nèi)存空間。此類攻擊也可以通過設(shè)置防火墻來檢查IP包狀態(tài)來進行防范。
(4)UDP/TCP炸彈:針對特定端口的發(fā)送大量UDP或TCP信息。
(5)分片報文攻擊:發(fā)送大量只有第一片分片報文的包。使受害者不斷等待后續(xù)的分片報文到達來重組,消耗大量的CPU資源。
2.4 針對應用層的攻擊
(1)針對操作系統(tǒng)的漏洞攻擊:如早期所出現(xiàn)的沖擊波,震蕩波等操作系統(tǒng)漏洞侵入系統(tǒng)獲取系統(tǒng)最高權(quán)限的攻擊?梢酝ㄟ^打系統(tǒng)補丁來解決。
(2)SQL注入攻擊。通過ASP頁面語言的一些缺陷執(zhí)行SQL查詢語言獲取后臺數(shù)據(jù)庫的管理員權(quán)限從而獲取整個網(wǎng)站的管理權(quán)。
(3)DHCP的攻擊:通過不斷發(fā)起DHCP請求,不斷申請IP又釋放IP,從而消耗系統(tǒng)資源,造成網(wǎng)絡的不穩(wěn)定。
(4)其他針對某種特定應用層協(xié)議的攻擊:如SNMP攻擊對網(wǎng)管的干擾,RADIUS攻擊對用戶認證的干擾。
另外,網(wǎng)絡攻擊還有很多種其他的劃分方法。從網(wǎng)絡攻擊者的角度來看,早期網(wǎng)絡攻擊只是一些網(wǎng)絡愛好者的技術(shù)交流,他們互相之間渴望獲得對方對自己技術(shù)實力的認可。因此,越有技術(shù)含量的攻擊越容易得到大家的認可,同時這類攻擊也更加難以防范。例如SYN攻擊,連續(xù)發(fā)送上百個SYN攻擊的數(shù)據(jù)包可能只有幾十k,但確能使一臺大型服務器宕機。
3 攻擊目的性分類
早期的網(wǎng)絡攻擊行為純粹是網(wǎng)絡愛好者的技術(shù)交流,現(xiàn)在網(wǎng)絡攻擊的行為傳播已經(jīng)逐漸發(fā)展為以經(jīng)濟為利益。我們可以把上述的攻擊行為按照攻擊的目的性分為兩類。
第一類:以獲取目標對象的機密信息為目的。如盜取網(wǎng)游,銀行賬號或受委托攻擊獲取商業(yè)競爭對手核心資料的。我們通過圖1的案例來了解一下此類的行為。
圖1 “灰鴿子”病毒產(chǎn)業(yè)鏈示意圖
這些非法傳播者通過一些交易網(wǎng)站銷售從“肉雞(肉雞就是通過漏洞完全被黑客控制的計算機)”上盜竊來的賬號,隱私資料等非法獲利,并且直接操縱“肉雞”,成為他們牟利的工具。通過這些肉雞的銷售,可以派生出一個新的產(chǎn)業(yè)鏈,比如購買者可以通過購買“肉雞”對競爭對手進行DDOS攻擊,打擊競爭對手的商業(yè)信譽度。另外,一些黑客還可以同時控制幾萬臺甚至幾十萬臺計算機同時點擊某廠家的廣告,每次點擊向廠家收取0.1~0.3元。據(jù)某著名防病毒廠家工程師估計,每年黑客產(chǎn)業(yè)的凈利潤在十億元人民幣左右。
第二類:以攻擊對方的服務為目的。此類攻擊并不需要侵入對方的系統(tǒng)獲取權(quán)限,僅僅是需要攻癱對方的主機網(wǎng)絡,使對方提供的客戶服務中斷,從而達到打擊競爭對手的目的。
例如我們常見的DDOS攻擊。DDOS攻擊需要有大量的“肉雞”瞬間產(chǎn)生巨大的流量來對目標對象實現(xiàn)攻擊。而“肉雞”的獲取可以直接通過向黑客購買獲得。攻擊者只需要在控制終端上執(zhí)行簡單的操作指令即可命令“肉雞”同時發(fā)起流量進行攻擊。由于“肉雞”來自四面八方甚至國外,非常分散,因此給防范帶來很大的困難。正是有了這些灰色的產(chǎn)業(yè)鏈,才促使國內(nèi)、國外的安全產(chǎn)業(yè)一片繁榮。
同樣,由于運營商位置的特殊性,其作為用戶通信的載體。對網(wǎng)絡的攻擊行為有被動的防御權(quán),同時也有主動的監(jiān)測和掌控權(quán)。因此,網(wǎng)絡攻擊的行為對運營商來說,既是一種威脅,也是一種機遇。比如中國電信提供的在線殺毒業(yè)務就是很好的例子。另外,在其他方面也可以做一些嘗試。比如:
(1)通過向客戶提供有償?shù)木W(wǎng)絡邊界監(jiān)控服務,給客戶提供相應的賬號,使客戶可以實時查看自己當前網(wǎng)絡邊界的流量及服務情況。為用戶提供安全咨詢類的服務。這里的客戶可以是一些比較小的ICP等。
(2)為客戶提供DDOS清洗服務。因為DDOS攻擊如果到達了客戶的網(wǎng)絡,客戶自身即使有再好的安全技術(shù)人員,對這種DDOS攻擊也只能做到被動防御,基本上是無能為力的。真正消除只能是運營商通過相關(guān)手段消除。
(3)提供不同SLA等級的安全保障服務。
4 結(jié)束語
運營商在面對IP網(wǎng)絡安全問題的同時,也可以考慮采取何種策略來變廢為寶,將安全服務變成一種增值服務來為客戶提供,達到雙贏的結(jié)果。
來源:電信網(wǎng)技術(shù)