IP網(wǎng)絡(luò)攻擊及安全防護(hù)淺析

1 引言

眾所周知，目前國(guó)內(nèi)通信業(yè)的焦點(diǎn)仍有很多，比如TD和WCDMA之爭(zhēng)，手機(jī)電視與各種3G增值業(yè)務(wù)之爭(zhēng)，牌照之爭(zhēng)，共享資源減少重復(fù)投資之爭(zhēng)等。但至少有一點(diǎn)，在各大運(yùn)營(yíng)商廠商以及研究院學(xué)者之間已經(jīng)達(dá)成了共識(shí)。那就是今后的所有業(yè)務(wù)都將使用IP網(wǎng)絡(luò)來(lái)承載，實(shí)現(xiàn)真正的All Over IP。

隨著3G，IPTV等業(yè)務(wù)離我們的生活越來(lái)越近，全I(xiàn)P網(wǎng)絡(luò)的融合也離我們?cè)絹?lái)越近。全I(xiàn)P承載網(wǎng)絡(luò)給我們帶來(lái)了標(biāo)準(zhǔn)化、高帶寬、資源共享、網(wǎng)絡(luò)共享等優(yōu)點(diǎn)的同時(shí)，也給我們帶來(lái)了新的思考和挑戰(zhàn)。最大的挑戰(zhàn)無(wú)非來(lái)自于兩個(gè)方面，即IP的服務(wù)質(zhì)量以及IP的網(wǎng)絡(luò)安全。毫無(wú)疑問(wèn)，傳統(tǒng)的專網(wǎng)專用的通信網(wǎng)絡(luò)可以提供給用戶穩(wěn)定性更好、更安全的業(yè)務(wù)，帶給用戶更好的網(wǎng)絡(luò)體驗(yàn)。使用IP網(wǎng)絡(luò)來(lái)承載上層應(yīng)用確實(shí)帶給我們很多不確定性。延遲、丟包、抖動(dòng)、不穩(wěn)定性都會(huì)給運(yùn)營(yíng)商的服務(wù)質(zhì)量帶來(lái)很大沖擊。同時(shí)，針對(duì)IP網(wǎng)絡(luò)的安全攻擊事件也層出不窮。但從總的趨勢(shì)來(lái)看，全I(xiàn)P承載是大勢(shì)所趨，利遠(yuǎn)大于弊。因此，我們需要花更多的時(shí)間來(lái)關(guān)注服務(wù)質(zhì)量以及IP的網(wǎng)絡(luò)安全。本文主要側(cè)重于IP網(wǎng)絡(luò)安全，從多個(gè)方面進(jìn)行探討。

說(shuō)起網(wǎng)絡(luò)安全，首先要說(shuō)起網(wǎng)絡(luò)攻擊。如果沒(méi)有網(wǎng)絡(luò)攻擊，天下自然太平。而分析起網(wǎng)絡(luò)攻擊，自然離不開(kāi)對(duì)黑客的討論。只有切實(shí)了解了黑客發(fā)起網(wǎng)絡(luò)攻擊的動(dòng)機(jī)才能反黑客。只有消滅了犯罪的根源，才能杜絕犯罪，維護(hù)社會(huì)穩(wěn)定。

2 按照OSI 7層模型對(duì)網(wǎng)絡(luò)攻擊行為的分類

2.1 針對(duì)數(shù)據(jù)鏈路層的攻擊

（1）ARP欺騙攻擊

ARP協(xié)議用來(lái)完成IP地址到MAC地址的轉(zhuǎn)換。ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量，使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“Man in the Middle”進(jìn)行ARP重定向和嗅探攻擊。目前，網(wǎng)絡(luò)上有很多種工具可以完成此類攻擊（如網(wǎng)絡(luò)執(zhí)法官等）。針對(duì)此類攻擊也有很多種防范措施，比如MAC地址靜態(tài)綁定，ARP智能檢測(cè)等。

（2）Mac地址泛洪

交換機(jī)主動(dòng)學(xué)習(xí)客戶端的MAC地址，并建立維護(hù)端口和MAC地址的對(duì)應(yīng)表以建立交換路徑，這個(gè)表就是通常我們所說(shuō)的MAC地址表。MAC地址表的大小是固定的，不同交換機(jī)的MAC地址表大小不同。MAC地址泛洪攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿MAC地址表，交換機(jī)MAC地址表被填滿后，交換機(jī)以廣播方式處理通過(guò)交換機(jī)的報(bào)文，這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。MAC地址表滿了以后，流量以泛洪方式發(fā)送到所有接口，也就代表TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰近交換機(jī)，會(huì)造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。目前，主流廠家的中低端交換MAC地址表容量在8k左右，而使用Dsniff工具可以輕松地在1min內(nèi)產(chǎn)生15萬(wàn)個(gè)左右的MAC地址沖擊我們的局域網(wǎng)。針對(duì)這種類型的攻擊防護(hù)可以在交換機(jī)啟動(dòng)最大MAC地址限制，端口安全等策略。

2.2 針對(duì)網(wǎng)絡(luò)層的攻擊

（1）針對(duì)路由協(xié)議的攻擊

●BGP協(xié)議。由于BGP協(xié)議是依賴于TCP的179端口進(jìn)行傳輸，因此可以很容易地通過(guò)掃描工具探測(cè)179端口來(lái)判別BGP的存在而實(shí)現(xiàn)攻擊。同時(shí)，很多基于TCP的攻擊以及TCP本身暴露出來(lái)的協(xié)議漏洞同樣都成為BGP協(xié)議潛在的風(fēng)險(xiǎn)。如基于TCP的SYN Flood攻擊，序列號(hào)攻擊，針對(duì)此類攻擊，可以采用針對(duì)179端口的訪問(wèn)過(guò)濾以及BGP對(duì)等體的MD5認(rèn)證來(lái)加以保護(hù)。

●OSPF協(xié)議。常見(jiàn)的針對(duì)OSPF協(xié)議的攻擊主要有：

——Max Age攻擊：指的是攻擊者持續(xù)發(fā)送帶有最大Maxage(缺省為3600s)的LSA，將導(dǎo)致路由器產(chǎn)生刷新信息來(lái)發(fā)送LSA，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)混亂，路由震蕩而產(chǎn)生拒絕服務(wù)攻擊。

——序列號(hào)攻擊：RFC規(guī)定OSPF通過(guò)序列號(hào)來(lái)判斷舊的LSA是否需要更新。當(dāng)攻擊者持續(xù)插入比較大的LSA序列號(hào)報(bào)文時(shí)，網(wǎng)絡(luò)中的路由器將發(fā)送更新的LSA序列號(hào)報(bào)文來(lái)與攻擊者的LSA報(bào)文進(jìn)行競(jìng)爭(zhēng)，最終導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定。

——最大序列號(hào)攻擊：根據(jù)RFC規(guī)定，當(dāng)LSA的報(bào)文超過(guò)最大序列號(hào)0x7FFFFFFF，需要將此LSA重新初始化在域中進(jìn)行刷新。當(dāng)攻擊者持續(xù)發(fā)送帶有最大序列號(hào)的LSA報(bào)文到網(wǎng)絡(luò)中時(shí)，將造成OSPF整個(gè)域的持續(xù)震蕩。

●ISIS協(xié)議。針對(duì)ISIS協(xié)議的攻擊比較難以實(shí)現(xiàn)，因?yàn)楸旧鞩SIS的LSP的交互是直接承載于二層的，而不是由IP包頭來(lái)承載的，因此ISIS協(xié)議本身安全性較高被大型骨干數(shù)據(jù)網(wǎng)絡(luò)選為IGP協(xié)議。

（2）給予ICMP協(xié)議的攻擊

●死亡之Ping攻擊：即向目的主機(jī)發(fā)送大于64k字節(jié)載荷的報(bào)文，許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64kB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形時(shí)，聲稱自己的尺寸超過(guò)ICMP上限的包，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方宕機(jī)。可以通過(guò)打系統(tǒng)補(bǔ)丁或防火墻過(guò)濾等方法來(lái)進(jìn)行保護(hù)。

●Smurf攻擊：用一臺(tái)PC發(fā)包，將目的地址改為廣播地址（網(wǎng)段的廣播地址，如192.168.1.255），源地址改為你想要攻擊的那臺(tái)設(shè)備的地址，這樣所有的設(shè)備都將向這臺(tái)設(shè)備回ACK包。導(dǎo)致那臺(tái)設(shè)備性能下降。利用Sniffer可以實(shí)現(xiàn)此類攻擊。可以通過(guò)打系統(tǒng)補(bǔ)丁或防火墻過(guò)濾等方法來(lái)進(jìn)行保護(hù)。

●ICMP重定向攻擊：通過(guò)偽造ICMP重定向報(bào)文，使受害設(shè)備的路由表混亂�？梢酝ㄟ^(guò)在網(wǎng)關(guān)設(shè)備上關(guān)閉ICMP重定向來(lái)進(jìn)行防護(hù)。

2.3 針對(duì)傳輸層的攻擊

（1）Land攻擊：攻擊設(shè)備將TCP SYN的源和目的地址都設(shè)置為需要攻擊的設(shè)備地址，這將導(dǎo)致受害者將向自己發(fā)送SYN-ACK報(bào)文，然后這臺(tái)設(shè)備還要向自己發(fā)送一個(gè)TCP-ACK消息，最后這條空連接將保持到超時(shí)為止。許多UNIX的主機(jī)將崩潰，NT的機(jī)器將變得非常緩慢。

（2）TCP Syn半開(kāi)連接攻擊：攻擊設(shè)備偽裝源地址(設(shè)置為一個(gè)不可達(dá)的IP)，向要攻擊的目的設(shè)備發(fā)起大量的虛假TCP SYN連接，被攻擊設(shè)備將分配大量的內(nèi)存緩沖區(qū)來(lái)建立連接最終導(dǎo)致內(nèi)存溢出。此類攻擊可通過(guò)防火墻來(lái)檢查T(mén)CP連接狀態(tài)或TCP代理來(lái)解決。

（3）淚滴攻擊：IP包在分片后通過(guò)偏移量，MF位，Payload等來(lái)重組經(jīng)過(guò)分片后的IP包。通過(guò)偽造這些字段，有弱點(diǎn)的TCP/IP棧就會(huì)為這些重組包分配相當(dāng)大的內(nèi)存空間。此類攻擊也可以通過(guò)設(shè)置防火墻來(lái)檢查IP包狀態(tài)來(lái)進(jìn)行防范。

（4）UDP/TCP炸彈：針對(duì)特定端口的發(fā)送大量UDP或TCP信息。

（5）分片報(bào)文攻擊：發(fā)送大量只有第一片分片報(bào)文的包。使受害者不斷等待后續(xù)的分片報(bào)文到達(dá)來(lái)重組，消耗大量的CPU資源。

2.4 針對(duì)應(yīng)用層的攻擊

（1）針對(duì)操作系統(tǒng)的漏洞攻擊：如早期所出現(xiàn)的沖擊波，震蕩波等操作系統(tǒng)漏洞侵入系統(tǒng)獲取系統(tǒng)最高權(quán)限的攻擊�？梢酝ㄟ^(guò)打系統(tǒng)補(bǔ)丁來(lái)解決。

（2）SQL注入攻擊。通過(guò)ASP頁(yè)面語(yǔ)言的一些缺陷執(zhí)行SQL查詢語(yǔ)言獲取后臺(tái)數(shù)據(jù)庫(kù)的管理員權(quán)限從而獲取整個(gè)網(wǎng)站的管理權(quán)。

（3）DHCP的攻擊：通過(guò)不斷發(fā)起DHCP請(qǐng)求，不斷申請(qǐng)IP又釋放IP，從而消耗系統(tǒng)資源，造成網(wǎng)絡(luò)的不穩(wěn)定。

（4）其他針對(duì)某種特定應(yīng)用層協(xié)議的攻擊：如SNMP攻擊對(duì)網(wǎng)管的干擾，RADIUS攻擊對(duì)用戶認(rèn)證的干擾。

另外，網(wǎng)絡(luò)攻擊還有很多種其他的劃分方法。從網(wǎng)絡(luò)攻擊者的角度來(lái)看，早期網(wǎng)絡(luò)攻擊只是一些網(wǎng)絡(luò)愛(ài)好者的技術(shù)交流，他們互相之間渴望獲得對(duì)方對(duì)自己技術(shù)實(shí)力的認(rèn)可。因此，越有技術(shù)含量的攻擊越容易得到大家的認(rèn)可，同時(shí)這類攻擊也更加難以防范。例如SYN攻擊，連續(xù)發(fā)送上百個(gè)SYN攻擊的數(shù)據(jù)包可能只有幾十k，但確能使一臺(tái)大型服務(wù)器宕機(jī)。

3 攻擊目的性分類

早期的網(wǎng)絡(luò)攻擊行為純粹是網(wǎng)絡(luò)愛(ài)好者的技術(shù)交流，現(xiàn)在網(wǎng)絡(luò)攻擊的行為傳播已經(jīng)逐漸發(fā)展為以經(jīng)濟(jì)為利益。我們可以把上述的攻擊行為按照攻擊的目的性分為兩類。

第一類：以獲取目標(biāo)對(duì)象的機(jī)密信息為目的。如盜取網(wǎng)游，銀行賬號(hào)或受委托攻擊獲取商業(yè)競(jìng)爭(zhēng)對(duì)手核心資料的。我們通過(guò)圖1的案例來(lái)了解一下此類的行為。

圖1 “灰鴿子”病毒產(chǎn)業(yè)鏈?zhǔn)疽鈭D

這些非法傳播者通過(guò)一些交易網(wǎng)站銷售從“肉雞（肉雞就是通過(guò)漏洞完全被黑客控制的計(jì)算機(jī)）”上盜竊來(lái)的賬號(hào)，隱私資料等非法獲利，并且直接操縱“肉雞”，成為他們牟利的工具。通過(guò)這些肉雞的銷售，可以派生出一個(gè)新的產(chǎn)業(yè)鏈，比如購(gòu)買(mǎi)者可以通過(guò)購(gòu)買(mǎi)“肉雞”對(duì)競(jìng)爭(zhēng)對(duì)手進(jìn)行DDOS攻擊，打擊競(jìng)爭(zhēng)對(duì)手的商業(yè)信譽(yù)度。另外，一些黑客還可以同時(shí)控制幾萬(wàn)臺(tái)甚至幾十萬(wàn)臺(tái)計(jì)算機(jī)同時(shí)點(diǎn)擊某廠家的廣告，每次點(diǎn)擊向廠家收取0.1~0.3元。據(jù)某著名防病毒廠家工程師估計(jì)，每年黑客產(chǎn)業(yè)的凈利潤(rùn)在十億元人民幣左右。

第二類：以攻擊對(duì)方的服務(wù)為目的。此類攻擊并不需要侵入對(duì)方的系統(tǒng)獲取權(quán)限，僅僅是需要攻癱對(duì)方的主機(jī)網(wǎng)絡(luò)，使對(duì)方提供的客戶服務(wù)中斷，從而達(dá)到打擊競(jìng)爭(zhēng)對(duì)手的目的。

例如我們常見(jiàn)的DDOS攻擊。DDOS攻擊需要有大量的“肉雞”瞬間產(chǎn)生巨大的流量來(lái)對(duì)目標(biāo)對(duì)象實(shí)現(xiàn)攻擊。而“肉雞”的獲取可以直接通過(guò)向黑客購(gòu)買(mǎi)獲得。攻擊者只需要在控制終端上執(zhí)行簡(jiǎn)單的操作指令即可命令“肉雞”同時(shí)發(fā)起流量進(jìn)行攻擊。由于“肉雞”來(lái)自四面八方甚至國(guó)外，非常分散，因此給防范帶來(lái)很大的困難。正是有了這些灰色的產(chǎn)業(yè)鏈，才促使國(guó)內(nèi)、國(guó)外的安全產(chǎn)業(yè)一片繁榮。

同樣，由于運(yùn)營(yíng)商位置的特殊性，其作為用戶通信的載體。對(duì)網(wǎng)絡(luò)的攻擊行為有被動(dòng)的防御權(quán)，同時(shí)也有主動(dòng)的監(jiān)測(cè)和掌控權(quán)。因此，網(wǎng)絡(luò)攻擊的行為對(duì)運(yùn)營(yíng)商來(lái)說(shuō)，既是一種威脅，也是一種機(jī)遇。比如中國(guó)電信提供的在線殺毒業(yè)務(wù)就是很好的例子。另外，在其他方面也可以做一些嘗試。比如：

（1）通過(guò)向客戶提供有償?shù)木W(wǎng)絡(luò)邊界監(jiān)控服務(wù)，給客戶提供相應(yīng)的賬號(hào)，使客戶可以實(shí)時(shí)查看自己當(dāng)前網(wǎng)絡(luò)邊界的流量及服務(wù)情況。為用戶提供安全咨詢類的服務(wù)。這里的客戶可以是一些比較小的ICP等。

（2）為客戶提供DDOS清洗服務(wù)。因?yàn)镈DOS攻擊如果到達(dá)了客戶的網(wǎng)絡(luò)，客戶自身即使有再好的安全技術(shù)人員，對(duì)這種DDOS攻擊也只能做到被動(dòng)防御，基本上是無(wú)能為力的。真正消除只能是運(yùn)營(yíng)商通過(guò)相關(guān)手段消除。

（3）提供不同SLA等級(jí)的安全保障服務(wù)。

4 結(jié)束語(yǔ)

運(yùn)營(yíng)商在面對(duì)IP網(wǎng)絡(luò)安全問(wèn)題的同時(shí)，也可以考慮采取何種策略來(lái)變廢為寶，將安全服務(wù)變成一種增值服務(wù)來(lái)為客戶提供，達(dá)到雙贏的結(jié)果。

來(lái)源：電信網(wǎng)技術(shù)