关键词 计算机网络安全 ARP 安全策略
中图分类号:TP393.08 文献标识码:A
1 ARP攻击的基本原理
1.1 ARP攻击的理论依据
ARP攻击,是针对以太网ARP协议的一种攻击技术,通过伪造IP地址和MAC 地址实现ARP 欺骗,在计算机网络中产生大量的ARP通信量使网络阻塞。盗用IP地址实现对目标MAC地址的攻击,出现多个地址对应一个MAC地址的现象,从而达到对计算机网络进行攻击的目的。
1.2 ARP攻击的特点
(1)隐蔽性:传统的防御手段,人们可以通过IP地址冲突进行判断,并采取防御措施,但是ARP攻击不会造成计算机系统的任何明显变化这就给防御技术带来了很大难度,具有很强的隐蔽性。(2)网络阻塞性:ARP攻击通过伪造IP地址和MAC 地址,能够在网络中产生大量的ARP通信量使网络阻塞,通讯能力被严重破坏。(3)不易消除性:ARP攻击的危害是非常难于对付和消除,这样就增加了计算机网络管理员维护计算机网络安全的难度。
1.3 ARP攻击的危害
按照ARP欺骗带来的危害性质可分为四大类:网络异常、数据窃取、数据篡改、非法控制。具体表现如下:网络异常,计算机网络的网速时快时慢,极其不稳定, 导致网络的通讯质量不稳定,具体表现为频繁的掉线、IP冲突;数据窃取,经常引起的后果是个人隐私泄露、账号被盗;数据篡改,则是访问的内容被添加恶意内容,比如木马等;非法控制,主要表现为网络速度、网络访问,受到第三方非法控制或者限制。
2 防ARP攻击的网络安全策略
2.1 判断是否受到ARP攻击的方法
及时、有效、正确的判断出局域网内部是否存在ARP攻击,是降低ARP对网络攻击的有效途径。要求计算机网络管理员定时对局域网进行检测,一旦发现网络状态异常,就必须进入MS - DOS窗口并输入ARP-a命令,检验局域网内所有IP地址中的MAC 地址的内容,通过比对找出局域网内部受到攻击的计算机,并将其锁定。
2.2 个人用户防ARP攻击办法
对于个人用户而言,要养成良好的上网习惯,并具备一定的安全意识。给个人电脑选择安装一个有效的杀毒软件和防火墙。在使用U盘、光盘、软盘等移动存储器前先进行病毒扫描,并且定期给个人电脑进行杀毒,以及打系统补丁,关闭不必要的端口等。
2.2.1 简单防ARP攻击安全策略
这种策略对计算机水平要求不是很高,可以暂时消除故障, 但不能持久,适合计算机技术水平不高的人员,具体方法如下:(1)重启计算机:由于计算机的重启使ARP 攻击失去了环境。(2)网络设备复位:使设备恢复到出厂时的配置。(3)禁用网卡: ARP攻击也就没了目标,攻击失败。
2.2.2 ARP防火墙防ARP攻击安全策略
ARP防火墙技术的主要功能是:(1)计算机获取的网关MAC地址是合法的、网关获取的计算机MAC 地址是合法的,即在计算机被动的防ARP攻击而不受假的ARP 数据包影响,过滤假的ARP数据包,保证本计算机获取的网关MAC 地址是正确的。(2)主动防御功能,向网关通告本计算机的正确MAC 地址,保证网关获取到的本主机MAC 是正确的。
2.3 管理员防ARP攻击方法
对于网吧经营者,小区局域网维护人员等网络管理人员而言,防范ARP攻击,目前主要的办法有以下几种:(1)设置静态的MAC--IP对应表,不让主机刷新设定好的转换表;停止使用ARP,将ARP做为永久条目保存在对应表中。(2)使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被攻击。(3)在主机数目较大的情况下,多采用各类ARP防护软件,例如Antiarp等。它们除了本身能检测出ARP攻击外,还能在一定频率向网络广播正确的ARP信息。这些软件,一般都有ARP欺骗检测、IP/MAC清单、主动维护、路由器日志、抓包等功能。(4)目前大多数路由器,都具备防ARP攻击功能。在网络组建初期,选用思科等防ARP攻击能力强的路由器,也能起到很好的防护作用。
3 结束语
计算机网络在给我们工作带来方便的同时也带来了安全隐患,如何在安全的环境下使用计算机网络已成为社会需求的必然趋势。本文从目前计算机网络安全的ARP 攻击现状进行分析,提出了防御ARP攻击常用的办法,为解决计算机网络安全方面的问题提供一些解决思路。
参考文献
关键词:网络安全;SQL注入攻击;防范get注入;防范post注入;防范cookies注入
中图分类号:TP393.18
1 SQL注入攻击相关概念
1.1 攻击简介
SQL注入通常是从万维网端口开始访问,一般给我们基本的web访问没有太大的差别,因此常规情况下,防火墙都不会对SQL注入发出警报,如果用户没有查看ⅡS日志的习惯,极有可能遭受长时间的攻击都不知道。
1.2 SQL注入攻击原理
要阐述SQL注入攻击原理我们以登录验证中的模块为例,说明SQL注入攻击的实现方法。SQL注入攻击往往是SQL语法中的一部分,通过执行SQL语句而执行入侵者的想要的操作。在登陆模块中,一般有用户名(username)和密码(password)两个参数,其原理是通过查找user表中的用户名(username)和密码(password)的结果来进行授权访问,典型的SQL查询语句为:
Select*from users where username='admin' and password='smith’
假如给username和password赋值“admin'or 1=1--”和“aaa”则SQL脚本解释器中的程序代码就变成:
select*from users where username=’admin’ or 1=1―and password=’aaa’
通过上面代码就可以在输入参数中构建SQL语法,且可以删除数据库中的表,查询、插入和更新数据库中的数据等危险操作,这就是SQL注入攻击的主要原理
1.3 入侵操作步骤
(1)找一个类似http://xxx.xxx.xxx/abc.asp?p=YY的网站。
(2)在http://xxx.xxx.xxx/abc.asp?p=YY后面追加“and 1=1”,并访问该网址即http://xxx.xxx.xxx/abc.asp?p=YY and 1=1应该与访问原地址得到的结果相同。
(3)在http://xxx.xxx.xxx/abc.asp?p=YY后面追加“and 1=2”,并访问该网址即
http://xxx.xxx.xxx/abc.asp?p=YY and 1=2应该与访问原地址得到的结果不同,并提示数据库错误。
((2),(3)同时满足则此网站必定存在SQL漏洞。)
(4)访问http://xxx.xxx.xxx/abc.asp?p=YY and exists (select*from网站数据库常用表段名)网站数据库常用表段名:admin users administrator等,如果进入的网页像步骤二一样,是正常网页,证明存在该表段名。找寻该SQL数据库使用的表名,进而寻找网站的管理员名、密码等信息。我们可以通过Socket编程,把常用表段名写成一个链表,通过Socket编程遍历一边,并找到可入侵点。
(5)访问http://xxx.xxx.xxx/abc.asp?p=YY and exists select*from第四步找到的可入侵表名。
2 如何防止SQL注入
2.1 永远不要信任用户的输入
对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。
在构造动态SQL语句时,一定要使用类安全(type-safe)的参数加码机制。大多数的数据API,包括ADO和,有这样的支持,允许你指定所提供的参数的确切类型(譬如,字符串,整数,日期等),可以保证这些参数被恰当地escaped/encoded了,来避免黑客利用它们。一定要从始到终地使用这些特性。
例如,在里对动态SQL,你可以像下面这样重写上述的语句,使之安全:Dim SSN as String=Request.QueryString("SSN")
Dim cmd As new SqlCommand("SELECT au_lname,au_fname FROM authors WHERE au_id =@au_id")
Dim param=new SqlParameter("au_id",SqlDbType.VarChar)param.Value=SSN
cmd.Parameters.Add(param)
2.2 当然已可以通过防范get注入防范post注入
防范cookies注入等措施来防止SQL注入。具体的实现代码如下:
防范post注入
If Request.QueryString””
Then StopInjection(Request.QueryString)
防范post注入
If Request.Form””Then StopInjection(Request.Form)
防范cookies 注入
If Request.Cookies””Then StopInjection(If Request.Cookies)
2.3 预防工具
Pangolin(中文译名为穿山甲)一款帮助渗透测试人员进行Sql注入测试的安全工具,是深圳宇造诺赛科技有限公司(Nosec)旗下的网站安全测试产品之一。通过该软件就能够经过很简单的操作,达到最显著的防范及测试SQL攻击的效果。
3 结束语
本文阐述了防止SQL注入攻击的基本原理和防御方法来管理我们越来越复杂的计算机网络安全,使得繁琐的网络管理变得简单,安全,可靠,使网络管理系统得以高效地运行。总之,防止SQL注入攻击经过短短的十多年发展,已给计算机网络安全带来了一些可喜的变化,人们的生活已经和网络密不可分,随着网络规模不断扩大,人们的思想不断革新,防止SQL注入攻击技术会越来越完善,迎来新的发展和长足的进步。
参考文献:
[1]林常君.基于web的网络设备管理系统的设计与实现[J].科技信息,2011(01).
[2]David Zeltserman.SNMPv3与网络管理[M].北京:人民邮电出版社,2000.
[3]孟洛明.现代网络管理技术[M].北京:邮电大学出版社,2000.
[4]萨师煊,王珊.数据库系统概论[M].北京:高等教育出版社(第三版).
[5]钟增胜.注入漏洞的分析及防范[J].重庆工商大学学报(自然科学版).
[6]蒋继娅,刘彤,王树威.Web应用中的SQL注入攻击与防护方案研究[J].计算机安全,2008(05).
[7]王功明,吴华瑞,赵春江.正则表达式在电子政务客户端校验中的应用[J].计算机工程,2007(09).
[8]周敬利,王晓锋,余胜生.一种新的反SQL注入策略的研究与实现[J].计算机科学,2006(11).
1.1 企业信息化建设现状
随着信息技术的飞速发展,特别是进入新世纪以来,我国信息化基础设施普及已达到较高水平,但应用深度有待进一步建设。从《第35次中国互联网络发展状况统计报告》的一组数据显示出,截至2014年12月,全国使用计算机办公的企业比例为90.4%,截至2014年12月,全国使用互联网办公的企业比例为78.7%。近些年,我国企业在办公中使用计算机的比例基本保持在90%左右的水平上,互联网的普及率也保持在80%左右,在使用互联网办公的企业中,固定宽带的接入率也连续多年超过95% 。基础设施普及工作已基本完成,但根据企业开展互联网应用的实际情况来看,仍存在很大的提升空间。
一方面,是采取提升内部运营效率措施的企业比例较低,原因之一在于企业的互联网应用意识不足,之二在于内部信息化改造与传统业务流程的契合度较低,难以实现真正互联网化,之三在于软硬件和人力成本较高,多数小微企业难以承受;另一方面,营销推广、电子商务等外部运营方面开展互联网活动的企业比例较低,且在实际应用容易受限于传统的经营理念,照搬传统方法。
1.2 企业网络应用现状
根据最新的《第35次中国互联网络发展状况统计报告》中的数据显示,企业开展的互联网应用种类较为丰富,基本涵盖了企业经营的各个环节。电子邮件作为最基本的互联网沟通类应用,普及率最高,达83.0%;互联网信息类应用也较为普遍,各项应用的普及率的都超过50%;而在商务服务类和内部支撑类应用中,除网上银行、与政府机构互动、网络招聘的普及率较高以外,其他应用均不及50%。我国大部分企业尚未开展全面深入的互联网建设,仍停留在基础应用水平上。
由于目前我国网民数量已经突破6亿,在人们的日常工作、学习中网络已经扮演了不可替代的角色,因此网络安全问题就凸显出来,2014年,总体网民中有46.3%的网民遭遇过网络安全问题,我国个人互联网使用的安全状况不容乐观。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。
1.3 网络安全防护现状
当前企业网络中已部署的基本的网络安全设备如防火墙等,但网络使用安全意识不高且网络安全是一个动态维护的过程,企业面临的内外部安全威胁日益巨增,整体安全形势不容乐观。在网络安全威胁中,对于来着企业内网的安全威胁特别难以防范,传统的安全防护措施,只能面对外部威胁,对内不具备防护能力。
高校在校园网信息化过程中数字化校园就是一典型例子,数字化校园网可以方便学生使用各类网络学习资源。但也有部分学生在好奇心的驱使下,往往会在网络中进行试探性的病毒传播、网络攻击等等。也有部分学生以获得学院某台服务器或者网站的控制权来显示其在黑客技术水平。因此,在内网中维护网络安全,保护信息安全,就显得更加重要和紧迫了。
2 内网面临的网络威胁
笔者在高校内网信息化建设过程中,通过多年的研究调查发现,学生的攻击往往是盲目地,且由于部分高校内网管理较混乱,学生可以绕过一些身份认证等安全检测,进入校园核心网络。学生的这些行为,一般不存在恶意性质,也不会进行蓄意破坏,但这就向我们提出了警示,一旦有不法分子轻松突破防线,其带来的危害也是灾难性的。
笔者以本单位学生通过校园网络攻击校园网服务器的例子,说明其网络攻击有时往往非常容易,其造成的危害却非常之大。
2.1 突破内网,寻找突破口
学生通过学院内网IP地址管理漏洞,轻松接入校园内部办公网络,并获得内网地址网段划分情况。通过流行黑客软件扫描学院内网获得内网安全薄弱处,检测出共青团委员会 http://10.0.1.30:90/该网页存在漏洞。进一步利用路径检测工具进行扫描,获得了后台地址http://10.0.1.30:90/wtgy/login.php。
2.2 一击得手
学生在获得了正确的管理地址后,只是进行了简单的尝试就取得了战果,通过弱口令扫描发现系统存在弱口令,于是尝试了如admin admin admin admin888 admin 123456等,居然顺利进入后台。
然后利用后台的附件管理里面的功能,添加了php格式,从而实现了上传。得到了内网的webshell(如图1)。
2.3 再接再厉,权限提升
学生不断尝试,测试了asp和aspx 的支持情况,答案是支持asp,不支持aspx的。自然就上传了 asp webshell,可以实现跨目录访问。访问权限进一步提升,如图,目标主机D盘内容一览无余,其中不乏一些关键目录信息就展现在攻击者眼前(如图2):
2.4 获得系统管理员权限,完全掌控目标主机服务器
查看系统所支持的组件,获取目标服务器系统关键信息。可以看到ws这个组件没有被禁用,从而上传cmd,以获得终极权限系统管理员权限。首先想到的是利用webshell中的上传进行,但是权限问题,webshell上传均失败,所以转向ftp上传(同样存在弱口令),从而绕过了限制,上传了cmd.exe。
实验性的执行命令Systeminfo查看系统信息命令,结果可以正常运行,终极权限获得(如图3):
可以看出,学生攻击学院内网的手段并不高明,其用到的黑客攻击工具,网络上也都能随意下载到,但其通过自己的仔细琢磨,充分利用了内网管理的漏洞,获得了关键信息。好在这是实验性,未造成实质性破坏。内网管理员也及时发现了问题,并对目标服务器进行了安全加固工作。
但我们不难发现,其实网络安全的程度存在着“木桶原理”的问题,也就是网络最薄弱的环节,决定着内网的安全程度。在现实中往往由于管理者的疏忽或者使用者贪图一时方便的原因,给网络中潜在的攻击者留下致命的后门。3 建立信息防泄露的内网访问控制模型
针对上述服务器网络攻击,最有效的方法就是对用户访问进行准入控制,隔离潜在威胁用户。例如,在内网中对所有用户进行身份认证,分配相应的网络访问权限。在内网安全架构中,访问控制是非常重要的一环,其承担着与后台策略决策系统交互,决定终端对网络访问权限发分配。目前主要使用的访问控制技术主要有:
3.1 802.1X 访问控制技术
802.1X 是一个二层协议,需要接入层交换机支持。在终端接入时,端口缺省只打开802.1X的认证通道,终端通过802.1X认证之后,交换机端口才打开网络通信通道。其优点是:在终端接入网络时就进行准入控制,控制力度强,已经定义善的协议标准。
其缺点是:对以网交换机技术要求高,必须支持802.1X认证,配置过程比较复杂,需要考虑多个设备之间的兼容性,交换机下可能串接HUB,交换机可能对一个端口上的多台PC 当成一个状态处理,存在访问控制漏洞。
3.2 ARP spoofing访问控制技术
在每个局域网上安装一个ARP spoofing,对终端发起ARP 请求代替路由网关回ARP spoofing,从而使其他终端的网络流量必须经过。在这个ARP spoofing上进行准入控制。其优点是:ARP适用于任何IP 网络,并且不需要改动网络和主机配置,易于安装和配置。其缺点是:类似DHCP控制,终端可以通过配置静态ARP表,来绕过准入控制体系。此外,终端安全软件和网络设备可能会将ARP spoofing当成恶意软件处理。
3.3 DNS重定向访问控制技术
在DNS重定向机制中,将终端的所有DNS解析请求全部指定到一个固定的服务器IP地址。其优点是:类似DHCP管理和ARP spoofing,适用于任何适用DNS协议的网络,易于安装和部署,支持WEB portal页面,可以通过DNS 重定向,将终端的HTML 请求重定向到WEB认证和安全检查页面。其缺点是:类似DHCP控制和ARP spoofing,终端可以通过不使用DNS 协议来绕开准入控制限制(例如:使用静态HOSTS文件)。
以上是内网安全设备主流使用的准入控制方式,每种方式都具有其特定的优缺点,一般来说每个设备都会支持两种以上的准入控制方式。
但是,网络管控对于网络使用的便捷性是一对矛盾体,如果既要使用的便捷性,又要对网络进行有效管控,这对网络安全设备的性能提出了相当高的要求。然而,高性能的安全设备价格非常昂贵,这也是很多企业宁可暴露威胁,也不防范的原因之一。
3.4 网关准入控制——UTM(统一威胁管理)
UTM产品的设计初衷是为了中小型企业提供网络安全防护解决方案,其低廉的价格和强大的集成功能,在企业内网中扮演着重要的角色。UTM将安全网关、终端软件、终端策略服务器、认证控制点四位一体化部署,可以在内网中进行多点部署,从而构建出内网用户访问控制模型,实现全面覆盖用户内网每一个区域和角落。
(1)合理部署网关位置
UTM的位置本身即位于安全域边界,由于UTM的设备性能参数,一般不建议部署在互联网出口、服务器出口及办公网出口等网络核心节点,在内网访问控制模型中,可以部署在网络拓扑中的汇聚节点。
从安全理论的角度讲,对某一区域网络中的所有用户进行控制(包括访问控制、准入控制、业务控制等);同时,UTM设备的入侵防御、防病毒、外连控制等模块可以与准入控制功能相互配合,UTM一旦发现某用户行为违规,就可以通过内网管理系统直接断开该用户的所有连接。
(2)UTM优势分析
采用UTM网关配合内网管理系统实现访问控制,用户只需要购买少量UTM设备,采用透明方式部署至网络关键节点处,即可以实现全面的准入控制。与基于DHCP控制,ARP spoofing,DNS 劫持等准入控制相比,UTM 准入控制能力更强、更全面,终端用户在任何情况下均无法突破或绕过准入控制。
除此以外,UTM设备还可根据终端的安全情况自动配置合适的安全策略,如在终端未满足某些安全要求的情况下开放其访问修复服务器的权限。
网络安全,不应只关注网络出口安全,更应关注内网中的信息安全,信息的泄漏往往是从内部开始,因此,构建内网访问控制模型就非常重要,采取UTM帮助内网进行安全管控是一个非常便捷、高效的手段。
关键词:攻击;僵尸;网络
中图分类号:TP311 文献标识码:a DoI: 10.3969/j.issn.1003-6970.2012.02.016
Thoughts on the security defense against the network attack from one college waNG Qi(Network Information Center,Jiangsu Animal Husbandry&Veterinary College,Taizhou 225300 China)
【Abstract】In recent years, the Internet attacks increase in various ways, and their technical innovation is far more rapid developed
than that of the network defense technology. The kinds of Botnet attack data flow bring the network management greater challenges and higher demand. In this paper, we take a targeted attack for a university network for example, record the whole attack process, summarize its attacking principle, present the corresponding measures taken by colleges, and finally we concluded the attacking trend, therefore, we put forward some improvement countermeasures from the stand of user and operators to provide a more stable and high-quality network services.
【Key words】attack; botnet; network
0 引 言
僵尸网络和DDOS攻击是近年来黑客广泛利用的攻击跳板与手段,它们无意识的受控于网络攻击者,向指定目标发送大量的DOS数据包,不仅严重影响被攻击者对互联网的访问与对外服务,还会严重冲击互联网络提供商(ISP)网络的正常运行。本文通过对对去年发生于江苏某高校教育网线路的网络攻击事件进行分析,总结出当前网络攻击的新趋势,并有针对性地从运行商、用户角度提出应对思路,保证互联网的安全。
1 攻击事件背景
众所周知,教育网以其独特的edu域名而为高校所推崇,作为一个公益性质的实验研究网络,它扮演着国内几乎所有高校的网站信息等各类对外应用服务网络支持者的角色,是高校对外一个重要窗口。高校作为一个非商业盈利性单位,理论上应该不存在商业竞争为目的的恶意攻击,但本次攻击时间之长(14天)、攻击手段变化之频繁为20年内江苏省高校界中很罕见的一次记录。
2 攻击过程
2011年6月,江苏省某高校教育网线路遭受网络攻击,造成edu域名的web服务器、邮件服务器、DNS服务器等所有对外应用无法使用。
在6月1日开始,学院网络中心发现系部服务器长时间无响应,因为所有二级院系网站新闻功能及软件代码部署都在该服务器上,所以求助电话很快就反馈过来。
2.1 TCP SYN泛洪攻击
6月1日下午经过抓包分析,服务器受到攻击,攻击流量来自教育网线路。攻击数据采用TCP SYN泛洪冲击服务器,服务器CPU资源迅速被消耗完毕,进入死机状态,所以无法响应正常访问数据请求。技术人员在咨询防火墙厂商后,调整了防火墙处理TCP SYN请求的模式,将TCP SYN网关模式调整为TCP SYN模式中继模式。防火墙收到SYN请求包后,不向服务器转发该请求,而是主动向请求方发送SYN/ACK包,在收到请求方的ACK确认包并判断为正常访问后,才将SYN请求包发送给服务器,完成会话建立。调整后可以基本过滤不可用的恶意连接发往服务器,同时服务器CPU内存高利用率的状况得到缓解。
2.2 海量访问攻击
6月2日上午,攻击者采用了海量访问方式,在防火墙连接数监控中发现访问源IP地址数呈现几何级数增长。虽然每个IP都与服务器完成正常的三次握手协议,但同时递交了相当多的无用查询请求,查询目标为一些并不存在的数据条目或者页面。海量的访问又造成了服务器CPU资源耗尽,无法提供对外服务,攻击包抓包解析如图1。
图1 攻击包解析
针对这种情况,技术人员采取防御策略是更换服务器硬件,将服务器代码从台式机迁移至刀片服务器阵列中,这样使服务器的CPU与内存资源都得到了一定程度的提升。同时,还更改了新服务器IP地址,相应在DNS服务器中更换了域名记录。但数小时后,攻击立刻转向至新更换的IP地址上,仍然造成了服务器失效宕机。当时邀请了天融信、山石网科防火墙厂商在现场协助解决,用不同的防火墙轮流切换使用,并在防火墙上额外加载了IPS入侵防御功能模块,设置访问控制粒度,设定了相对严格的IP访问阀值。最后使用山石网科的M3150识别遏制该种攻击效果较好,能降低服务器部分负载。山石防火墙的粒度控制和安全防护设置界面如图2和3。
2.3 分布式泛洪攻击
2011年6月4日,经过抓包分析,攻击数据转换为TCP 、UDP随机端口方式,也就是分布式拒绝服务攻击,并且把攻击目标扩展到了国示范专题网站及校园门户网站,但不以冲垮服务器为目的。这是一个很致命的问题,虽然防火墙的安全策略拒绝攻击包涌入内网,但攻击包堵塞了防火墙上游的数据带宽。教育网在6月7日,6月8日分别将学院的线路带宽从10Mbit/s紧急升级到35Mbit/s和100Mbit/s,但攻击流量水涨船高。技术人员通过外网交换机统计端口查看瞬时数据后发现,在短短几分钟之内,带宽就消耗殆尽。教育网清华维护中心在与学院沟通后暂时设置了路由黑洞,将210.29.233.0全网段屏蔽。虽然学院的线路带宽利用率立即下降到正常值,但该网段的所有服务应用全部无法被外网访问了,反而达到了骇客攻击的目的。期间曾经尝试部署金盾防御DDOS硬件设备在学院出口处防火墙设备前端,但效果不明显。在沟通后,厂方工程师也认为该类型设备应部署在教育网的江苏高校总出口处才能起到防御效果。同时教育网东南大学地网中心配置了一台小型号的流量清洗设备来过滤学院的数据流,但因为地网中心至北京的互联带宽有限,为了防止骨干通道被攻击数据堵塞,所以不能无限制放宽流量来支援受害院校,所以这样部署后的效果是仅能维持江苏教育网内用户访问受害学院,效果不理想。分布式拒绝服务攻击数据包解析如图4。
图4 分布式DDOS攻击包
2.4 查找攻击源
当时学院按照流程报警,警方力量接入,并与教育网方面开会讨论,布置任务,根据收集到的抓包文件,确认了一个真实攻击僵尸IP地址是镇江某IDC机房的一台服务器,其他的IP地址归属地则是世界各地,可以确认为伪造或无法完成追踪。当天警方到IDC机房将该服务器下线,并将硬盘数据进行备份,分析硬盘中的入侵痕迹顺藤摸瓜寻找上游控制端,但未能发现进一步证据来查询到上游控制端。
2.5 SYN-ACK反射攻击
2011年6月10日下午,经过抓包解析,分布式拒绝服务攻击数据消失了。但网络中出现大量的SYN-ACK数据包,经过详细研究查阅了部分资料后了解到,这是一种间接的反射攻击。受控于上游控制端的大量僵尸机器向各类合法在线用户 发送伪造的以学院IP地址为源地址的SYN请求包,合法用户或服务器误认为该数据由学院的IP地址发出请求访问,根据三次握手原理于是便回复SYN-ACK包来响应请求,间接成了被利用的反射节点,反射攻击的原理如图5。一旦反射节点数量足够多,同样能消耗尽受害者的网络带宽。所幸这种攻击的数据量已经不如先前的规模,未造成带宽耗尽的情况。
图5 反射攻击示意图
2.6 攻击停止
2011年6月14日之后,针对教育网线路的网络攻击完全停止。在攻击后的各方交流中,大家普遍对此次攻击的目的性表示疑惑,因为未曾有相应的经济或政治勒索,所以东南大学的龚教授认为此次攻击是初级网络骇客利用受控的僵尸网络可能性较大。
3 防御方的经验和体会
通过本次事件,作为受害方的学院技术人员,经过反思,也从中总结出一些受害方和运营商方面的可以借鉴的经验教训。
在用户方面:
学院方面没有使用智能DNS解析来实现不同运营商接入用户从不同线路进行访问,并且没有异地服务器节点与部署多播源发现协议MSDP。因为该协议原理是当网络设备接到对服务器的访问请求,则检查距离最近的服务器是否可用,如服务器不可用,选播机制将请求转发给不同地理位置的下一个服务器来相应请求,同时能将DDOS带来的攻击数据自动分配到最接近攻击源的服务器上[1]。经过资料查询,这个方式是百度及谷歌等大型全球性网站进行流量分担的一种策略。由于异地服务器部署的代价较大,受经费及技术力量所限,在短期内无法实现,但仍旧不失为一种优异的防御方式。
目前重要服务器仍旧是单发引擎,没有配置本地负载均衡设备和多机容灾。大部分服务器没有后台与前台隔离,导致到服务后台直接面向网络攻击,一旦收到大量的搜索页面或者数据库请求,则瘫痪无法正常工作。而有前台与编辑后台的机制则优势明显,即使前台服务器瘫痪了,但后台数据和编辑功能仍旧不受影响,能保护核心数据安全不受侵犯。
大部分的服务器未能部署反篡改软件,有许多不安全的的服务或端口开启着,如文件共享TCP135 139,有可上传文件权限的FTP默认用户存在。在内网用户访问服务器时,没有内网防火墙来过滤数据包,只使用了一台三层交换机进扩展ACL进行过滤,服务器代码老化少有维护。鉴于本次事故,受害学院已经邀请测评中心对全域服务器做全方位的第三方安全检测,并出具检测报告并提出相应修复建议。
未注意网络安全的木桶效应,去弥补最薄弱的环节―终端用户。堡垒往往从内部攻破,保护未能从终端做起。众所周知WINDOWS系统漏洞非常多,微软要定期补丁来修复,所以很容易受到入侵。用户计算机安全意识较差,无杀毒软件使用的情况较多,所以造成僵尸机器横行。在本次攻击中抓包发现不少内网机器已经沦为被利用的僵尸机器,成为被利用的工具,所以要在用户终端接入方面设置准入系统,强制性安装杀毒软件及反木马软件。目前主要网络互联节点及出口处未部署IDS或者IPS,没有定期对比数据流变化报告或者安全分析。
防范社会行为学行为泄密,在外来人员较多的情况下,需要注意拓扑结构、数据组成、出口带宽、部门结构、骨干网规模方面的信息保密。
在运营商方:
教育网方面缺乏相应的应对此类危害事故的紧急状态机制,同时由于其自身的科研和公益性等特点,维护人员组成多为大学教授和研究生以及少量兼职工程师,所以服务响应与质量较大型运营商有一定的差距。
分配给最终用户的带宽过于狭小(10Mbit/s),一次小的攻击往往就立竿见影起到破坏效果。
全网没有部署反向路由追踪功能,造成伪造的IP流量横行。因为URPF全面部署后能阻断虚假源IP的攻击,能提供快速定位能力来杜绝伪造源IP地址的数据包在网络中传输,从而阻断部分黑客攻击流量,并对攻击的溯源有很大帮助[2]。
有限能力的流量清洗,仅能实现清洗处下游访问正常,上游数据仍旧被堵塞。江苏高校的出口上联至北京清华维护中心的带宽只有数Gbit/s,所以无法提供更多带宽来支援被攻击的学院。在参考过几篇联通电信技术人员的相关文档论文后,我们也了解到大型运营商防御分布式攻击的思路和原理:提供分布式的清洗中心,针对不同级别的城域网出口部署不同层次的防DDOS设备,可以根据用户请求手动添加被攻击IP进入BGP路由或由设备发现攻击后自动添加路由方式,将有问题的流量引导进入防DDOS设备进行流量清洗后回灌到原有网络中。不同的清洗中心可以互为备份增强清洗效果,如一个10GB清洗能力的中心,在相互交叉支持的情况下甚至可以1TB带宽的用户范围的保护。下图6是引用的清洗流程,源自北京联通防DDOS攻击服务介绍。
图6 运营商流量清洗示意图
4 反思与展望:
随着网关服务器、交换机、防火墙、服务器硬件、操作系统软件更新升级由TCP SYN发起的DDOS攻击看似得到了缓解。但本次针对消耗带宽方式的DDOS攻击最后仍旧是不了了之,目前我们能做的似乎就仅此而已了。即使大型运行商,提供的解决方案或大致思路应该也是用ISP的带宽资源、防御设备去消耗抵御僵尸网络的流量,这也是一个减法问题,如果未来僵尸网络的流量大于ISP能力极限的情况后如何应对,是一个值得研究的问题。
伴随着电信联通光城市计划的推广,现今宽带用户大规模提速,10M、20M甚至100M家庭入户已经成为现实,企业千兆早已不是传说。即使用于GB流速的出口带宽,也禁不住越来越强劲的僵尸网络攻击,所以最后提出的问题已经逐步有了研究的现实基础。正如业内著名的防御DDOS服务商Arbor Networks 公司首席解决方案专家Roland Dobbins在NANOG 的邮件中所说的:“DDoS 攻击只是表象,真正的问题根源是僵尸网络。”而僵尸网络的问题,不是一时半会儿就能彻底解决的[3]。
参考文献
[1] DDOS. 尝试阻止DDOS攻击[J].网络与信息,2011,(04):53. DDOS . Try to stop DDOS Attack [J]. Network and Information,2011,(04):53.
摘 要 文章介绍了ARP地址解析协议的含义和工作原理,分析了ARP协议所存在的安全漏洞,给出了网段内和跨网段ARP欺骗的实现过程。最后,结合网络管理的实际工作,重点介绍了IP地址和MAC地址绑定、交换机端口和MAC地址绑定、VLAN隔离等技术等几种能够有效防御ARP欺骗攻击的安全防范策略,并通过实验验证了该安全策略的有效性。 关健词 ARP协议 ARP欺骗 MAC地址 IP地址 网络安全
关键词:网络攻防;技术;模拟方法;特点
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)08-1772-02
Network Attack and Defense Technology and the Characteristics of Network Attack and Defense Simulation Development
TAN Jian
(Wenzhou City radio and Television University,Wenzhou 325000,China)
Abstract: In recent years, along with the computer network the rapid development of communications technology, network security and reliability has become the network user issues of common concern. This article from the network attack and defense technology related concepts, and then a detailed analysis of the network attack and defense technology characteristic, finally on the network attack and defense simulation method development are expounded and illustrated.
Key words: network attack; technology; the simulation method; characteristics
随着网络数据传输量的不断增加的同时,网上传输的数据也遭到了不同程度的攻击和破坏。为了提高网络的安全性,基于各种网络攻击的防御技术也应运而生,同时网络攻防模拟方法的提出为分析网络攻防技术的特点以及进行网络攻防的实验提供了一个很好的平台。
1网络攻防技术概述
1.1认识网络攻击
1.1.1网络攻击的概念
所谓的网络攻击就是通过对网络系统的相关信息进行收集、整理和分析后,找到网络系统中目标系统所存在的漏洞,有针对性地对目标系统的服务器或其他网络通信设备等进行资源入侵与破坏,窃取网络传输的数据信息以及对网络数据的传输进行监视与控制的活动。
1.1.2网络攻击的步骤
1)隐藏自己的位置,一般网络攻击者进行网络攻击时都会隐藏自己的真实IP地址。
2)寻找要攻击的目标,并对目标主机的系统进行分析,为入侵作好充分的准备。
3)获取登录目标主机的账号和密码,然后登录到目标主机。
4)获得对目标机的控制权,网络攻击者往往会通过更改系统的某些设置或者在系统中置入一些木马或其他一些远程操纵程序,为再次进入目标主机的系统留下后门。
5)进行网络攻击,窃取网络资源或致使目标机的网络系统瘫痪等。
1.1.3网络攻击的类别
常见的网络攻击类别主要有如下几种:一是口令入侵的方式,就是利用用户的账号和口令登录到目的主机,然后再实施攻击活动的入侵方式;二是利用木马程序进行攻击的方式;三是基于万维网欺骗技术的网络攻击方式;四是基于电子邮件服务的网络攻击方式;五是利用黑客软件进行网络攻击的方式;六是利用系统的安全漏洞进行网络攻击的方式;七是基于端口扫描的网络攻击方式。
1.2认识网络防御技术
网络防御技术主要包括局域网网络防御技术和广域网网络防御技术,以下将分别给予详细的说明。
1.2.1局域网网络防御技术
目前常用的局域网网络防御技术主要有如下三种:
1)基于网络分段的局域网网络防御技术,网络分段通常被认为是控制网络广播风暴的一种有效手段,同时它也是保证网络安全的一项重要举措,可以有效防范局域网内部的非法窃听。
2)用交换式集线器代替共享式集线器来实现局域网网络防御的技术,这一技术的应用可以有效防范网络黑客的攻击。
3)基于VLAN划分技术的局域网网络防御技术,该技术可以将以太网通信变为点到点通信,从而可以有效防止绝大多数基于网络侦听的网络攻击。
1.2.2广域网网络防御技术
目前常用的广域网网络防御技术主要有如下三种:
1)加密技术。加密技术的基本思想是不依赖于网络中数据通道的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性。
2) VPN技术。所谓的VPN技术即虚拟专网技术,该技术的核心技术就是隧道技术,将企业专网的数据加密封装后,通过虚拟的公网隧道进行传输,可以有效防止网络传输中数据的窃取。
3)身份认证技术。所谓的身份认证技术,就是一种基于对登录系统用户的身份进行验证并记录完备的登录日志的网络防御技术。
2网络攻防技术的特点剖析
2.1网络攻击技术的特点剖析
2.1.1造成的损失比较大
网络攻击的对象多是网络上的计算机,网络攻击的后果就是使网络的计算机处于瘫痪状态,从而会给计算机用户带来巨大的经济损失。
2.1.2网络攻击手段具有多元化和隐蔽性的特点
正如前文中所介绍的,网络攻击的手段和方式往往是多种多样的,具有显著的多元化的特点,而且攻击者在进行网络攻击时往往不留任何痕迹,具有很好的隐蔽性。
2.1.3网络攻击技术主要以软件攻击为主
绝大多数的网络攻击都是通过对软件的截取和攻击从而破坏整个计算机系统的。基于软件的攻击是网络攻击技术常用的方法和手段。
2.2网络防御技术的特点剖析
2.2.1程序行为监控并举
多数网络防御技术在全面监视程序运行的同时,自主分析程序行为,发现有网络攻击的时候,自动阻止相应的程序运行,从而起到网络防御的效果。
2.2.2可以实现多重防护
在采用动态仿真技术的同时,有效克服特征值扫描技术滞后于网络攻击的缺陷,有效实现对网络攻击的快速检测,从而使用户系统得到安全高效的多重防护。
2.2.3提供可视化的显示监控信息
当前一些常用的网络防御软件都为用户提供了可视化的显示监控信息,通过这些软件用户直观掌握系统运行状态,并依据其分析系统安全性。
3网络攻防模拟方法的发展
笔者查阅相关文献,总结一下,认为网络攻防模拟方法的发展主要经历了基于限制性对抗、嗅探器和网络设计工具相结合以及角色扮演三个不同的网络攻防模拟方法。以下将分别给予详细的说明。
3.1基于限制性对抗的网络攻防模拟方法
限制性对抗模拟方法主要是从战术层面来对网络的攻击和防御进行模拟,它是通过建立包括服务器、客户机、交换器和路由器等网络通信设备在内的实际的、相对独立的网络,形成一个限制性的网络环境,来进行网络攻防实验的。
3.2基于嗅探器和网络设计工具相结合的网络攻防模拟方法
这是应用最为广泛的网络攻防仿真工具,嗅探器和网络设计工具的综合应用为用户提供“真实”的网络虚拟服务,来进行网络攻防实验。
3.3基于角色扮演的网络攻防模拟方法
这种模拟方法不是基于计算机进行仿真,而是面向参与者的仿真。这种模拟方法通过对网络攻防情节进行模拟,使人们能更好地理解在网络攻击时各自的角色。
4结束语
明确网络攻防技术的特点,采用有效的网络防御措施做好网络的防御工作对提高网络运行的安全性具有非常重要的意义。同时随着研究的深入和训练要求的提出,网络攻防模拟方法成为了一个新的研究方向,我们可以通过网络攻防模拟方法营造网络攻防的虚拟环境,进而可以更好的学习网络攻防技术的原理。
参考文献:
[1]向阳霞.基于虚拟靶机的方法在网络攻防实验教学中的应用[J].网络与通信技术,2010(5).
1 网络安全技术发展特点
1.1保护的网络层面不断增多
过去的网络安全如电报时代的通讯网络安全更侧重于数据传输过程中的安全,其固定的通信线路和通信用户决定了防护网络安全的手段也较为简单,主要采用在通信线路两端设置解密机的手段来维护网络安全 。该方法具有成本高和扩展性低的特点,随着一条物理线路可以同时承载多个信道,该方法不能适应日益变化的通信用户的要求。因此,此时的网络安全技术也开始向链接层保护方向发展。然而当网络的使用规模逐渐扩大,网络安全技术则更侧重于网络安全保护和对话层安全保护发展。如TLS协议的出现。由于网络复杂的技术和管理缺失引起的威胁Et益增多,保护的网络层面不断增多已经成为网络安全技术必须解决的重要内容。
1.2内涵不断扩大
随着网络技术的快速发展,网络使用范围的不断扩大,网络安全技术的内涵也不断扩大。如最早的网络安全技术主要为加密、认证技术,后来扩展到网络访问控制、监听监控、入侵检测、漏洞扫描、查杀病毒、内容过滤、应急通信等领域。
1.3组成系统不断扩大
最早的网络安全技术为通信DUl解密算法,主要运用与通信线路和用户固定的网络安全。然而随着网络商业化进程的加快,网络安全的组成系统已从过去简单的数据传输安全发展为以认证和授权为主要内容的阶段,并通过安全协议来实现。目前的网络安全问题主要是由于IP网络开放引起的。网络安全技术针对这一问题产生的安全漏洞,采用防火墙和人侵检测系统等进行防御。网络安全技术的组成系统不断扩大,并朝着防御的方向发展。
1.4从被动防御发展到主动防御
最早的网络安全防御技术主要是被动防御,即对已发展的网络安全攻击方式,寻找能够阻挡网络攻击的安全技术。随着网络承载的信息资产的价值越来越大,网络攻击的技术不断发展和更新,被动防御已经逐渐被淘汰,目前的网络安全技术主要是主动防御,即首先对正常的网络行为建立模型,通过采用一定的网络安全技术将所有网络数据和正常模式进行匹配,防止受到可能的未知攻击。
2 计算机安全隐患
2.1网络攻击计算机系统是个庞大的复杂的系统,系统开发者很难做到十分完美,因此,计算机系统大多存在着较为严重的安全隐患,十分容易收到安全侵袭。其中网络攻击方式主要有以下几种 :
1)利用型攻击。这种攻击方法主要利用口令猜测,木马程序或者缓存 溢出等方式发控制电脑系统。这种攻击方式的解决相对比较容易,主要通过设置密码的方式来及时更新浏览器,避免木马病毒攻击。
2)拒绝服务式攻击。这种网络攻击主要是通过破坏计算机系统使计算机和网络停止提供拂去,又称为DOS(Daniel of Service)。其中危害最严重的拒绝式服务攻击是分布式拒绝服务攻击,它将多台计算机联合为一个攻击目标,针对其发动拒绝服务式攻击,其威力十分巨大。一般情况下,的DOS攻击主要有互联网带宽攻击及其连通性的攻击。带宽攻击通过发送流量巨大的数据包,耗尽网络流量,造成网络数据无法传输。而连通性攻击主要是通过阻止用户连接宽带而达到拒绝服务的攻击。
3)信息收集型攻击。这种攻击方法主要以截取信息或植入非法信息为目的,在网络攻击中十分常见,且十分难以发现。主要有系统扫描,系统结构探测以及信息服务利用三种信息收集攻击方式。系统扫描和系统结构探测攻击的基本原理较为相似,前者主要采用一些远程软件对要攻击系统进行检测并查处系统漏洞从而攻击。后者则是对攻击对象的特点进行判断确定适合的攻击手段。利用信息服务主要是控制攻击对象操作系统中信息服务功能保存的主信息,对主机进行攻击。
4)虚假信息攻击。虚假信息攻击具有十分强的隐蔽性,最常见的主要有DNS攻击和电子邮件攻击。在DNS进行信息交换时不进行信息来源验证,将虚假信息植入到要攻击的计算机系统中,使自己的主机控制要攻击的主机,这种虚假信息植入方式为DNS攻击。而电子邮件攻击则是由于部分用户对邮件发送者的身份不进行验证,打开攻击者植入木马程序的邮件,使电脑主机受到攻击。
5)脚本与Activex跨站攻击。这实质上是网页攻击,主要是利用网页操作系统的漏洞,将JavaApplet、Javascript以及Activex等具有自动执行的程序代码强行植入到网页中,并修改用户操作系统中的注册表,来达到攻击计算机网络的目的。网页攻击的危害t分强大,可以对数据产生较大的破坏。网页攻击一方面通过IE浏览器将程序代码植入,修改受攻击的IE浏览器的主页,强行访问该网页。另一方面,将程序代码植入浏览器后不断的对系统进行攻击,当用户点击该网页时,便会不断的弹出同一个窗口,直至系统奔溃。
2.2计算机病毒攻击
1)蠕虫病毒。计算机蠕虫病毒因能够对用户终端实施单独攻击而被重视,该病毒程序主要以扫描系统漏洞为途径,一旦发现存在漏洞,就会自动编译攻击程序,被不断复制和转移,从而达到控制电脑主程序的目的,进而实施攻击。我国爆发的蠕虫病毒最着名的当属“熊猫烧香病毒”,该病毒甚至一度引起整个国家网络用户的恐慌。由于蠕虫病毒的潜伏性极强,任何程序都可能成为其传播的丁具,而这个程序一旦为其他用户所使用也会被感染。此外,蠕虫病毒能够根据不同的系统漏洞进行针对性变异,这使得市场上的一般杀毒软件难以识别和扫杀,因此造成的危害也就更大。
2)脚本病毒。从专业的角度来讲,脚本病毒也称为VBS病毒。较之其他类型的计算机病毒,该病毒主要对互联网用户实施攻击。用户在浏览网页时,可能会无意识激活依附在网页中的病毒脚本,而这类脚本一旦被激动就会脱离IE的控制,从而使主机感染病毒。由于互联网用户的猛增,这类病毒的危害程度也不断加深,而用户一旦感染该类病毒,主机的内从空间就会被大量占用,进而导致系统运行不畅,甚至造成操作系统的瘫痪,更为严重的情况是格式化硬盘导致数据资料丢失。
3)木马病毒。该病毒是目前计算机用户普遍面临的病毒程序,又名特洛伊木马。该病毒的主要特点就是诱骗性极强,主要诱导用户下载病毒程序,一旦进入主机就会寻找系统漏洞并迅速隐藏,进而窃取用户关键信息。由于木马病毒的隐蔽性极强,用户一般很难及时发现,这为病毒攻击主程序提供了足够的时间,而用户一旦不能控制主机程序,计算机信息就会被病毒窃取。
4)间谍病毒。该病毒是近年出现的一种攻击性不太明确的病毒变种,主要影响计算机的正常网络访问,如主页劫持等。在日常网页访问过程巾,我们会发现一些非法窗口会随着主网页程序弹出,通过这种方式来增加其访问量。由于该病毒对用户的实际应用影响不大,尚未引起足够的重视,相应的针对性防范策略也比较缺失。
3 计算机安全防范技术
3.1防火墙技术防火墙技术是日前应用最为广泛的计算机 安全防范技术,主要包括包过滤防火墙和应用级防火墙两类。1)包过滤防火墙。数据传输的路线先由路由器再到主机,包过滤防火墙就是对经过路南器传输至主机的数据包进行过滤分析,如果数据安全则将其传递至主机,如果发现存在安全隐患则进行拦截,并自动告知用户。2)应用级防火墙。该类防火墙是安装在服务器源头的安全防范技术,主要是对外部进入服务器的数据包进行扫描,一旦发现存在恶意攻击行为,那么内网服务器与服务器之问的信号传输被中断,从而起到保护用户的作用。
3.2加密技术该类技术是一类广泛应用的计算机安全防范技术,通常包括对称性加密技术和非对称加密技术,其防范原理截然不同。前者又被称为私钥加密,其原理就是从已经破解的密匙中编译设密密码,如目前广泛应用的DES加密标准;后者义被称为公钥加密,其原理就是将加密密钥与解密密钥相分离,如RAS算法、PKI技术以及DES与RAS混合技术等。两类加密技术都可以较好地实现用户网络安全的防护。
3.3访问控制技术该技术主要是对用户访问网络资源的权限进行设置,从杜绝非法用户的恶意访问。该技术主要包括自主访问控制和强制访问控制两类。前者主要是要求用户按照制定好的访问序列浏览网络资源,尽管用户的操作行为被限定,但可以根据需要及时调整访问控制策略;后者主要独立于系统外运行,用户既不能改变随便改变被保护的对象的级别,也不能实施越级保护。显然,该类技术存在的最大局限在于,对拥有访问权限的用户行为没有约束力。
3.4虚拟专用网技术虚拟专用网技术是目前使用范围较为广泛的一种防御安全技术,一般也可将其称为VPN技术。这种技术的特点是将加密数据通道从公共网络中分离出来,使数据信息能够得到有效的保护,主要有路由器包过滤技术和隧道技术 。路由器包过滤技术将网络上流人流出的IP包采用路由器进行监视和防御,将可疑的数据隔离出来拒绝发送。
3.5 GAP隔离技术GAP隔离技术是一种网络安全隔离技术,是以将各种可能进入用户计算机网络中的信息先进行隔离,通过验证后才允许其进入为目的的一种网络安全防护技术。具有支全性能高的特点,即即使网络或计算机主机受到攻击,也可以很快将网络切断,将风险降到最低,使计算机网络不会受到持续性的攻击。GAP隔离技术是与防火墙技术完全不同的安全隔离技术,它不像防火墙禁止数据交换,而是采用网闸允许最低限度的数据交换。这种技术的核心是GPA,具有强大的隔离功能,即当大量数据到达计算机主机时,GPA将所有数据进行检测和控制,并对这些数据进行验证,只有符合要求通过验证的数据才能进入计算机系统中,没有通过验证的数据则存储在隔离硬盘中等待用户判断。GAP隔离技术因其动态循环的防御方式适用范围受到了一定的限制。
关键词:网络环境;黑客技术;网络安全
中图分类号:TP393 文献标识码:A
随着信息化时代的到来,数字化全面覆盖了所有信息,在社会中各个领域都不能缺少网络。但是,网络的协议和设备非常复杂,因此其难免存在漏洞和缺陷。除此之外,由于网络具有非常广的地域分布,因此连接网络的各个点很难被全部顾及,网络的服务属于开放式,在此情况下黑客攻击起来也更加容易。网络安全性很难受到保障,对网络安全来说最大的威胁就是黑客攻击。
一、黑客攻击
(一)黑客攻击原理
随着计算机技术的不断发展,其软件和硬件也在不断更新,在此过程中也可以看到有许多漏洞和缺陷存在于其中,随着计算机的发展和推广,其漏洞和缺陷问题涉及的范围也越来越广。计算机中的缺陷主要包括人为失误、网络协议缺陷、软件缺陷、管理缺陷以及硬件缺陷等,这些缺陷也对黑客攻击的出现以及发展起到了促进作用。
黑客攻击通常是对损坏的物理链路进行应用,对物理地址进行盗用,并且在传输数据的时候对网卡进行利用,从而监听数据,将攻击操作在接口层实行。黑客一般会对IGMP、ICMP协议漏洞进行利用,将路由欺骗、DOS攻击在网际层实现,探测主机。黑客还会对TCP序列号以及UDP、TCP协议的不足进行利用,将IP欺骗或DDOS、DOS攻击在传输层实现。除此之外,黑客在攻击过程中还会对众多应用层协议进行利用。在用户开启每一项服务之后,都有漏洞出现,从而使得黑客有机会在用户计算机中植入木马,发动攻击。
(二)黑客攻击方法
黑客通常都是对网络开放性、硬软件漏洞、物理链路损坏等进行利用,从而将捆绑控制、植入、阻断、盗用、窃取、篡改、欺骗、监听等破坏实现。其具体攻击方法如下。
1.分布式拒绝服务攻击(DDOS)
这种攻击就是对存在漏洞的主机进行入侵,对其控制权进行获取,将攻击程序安装在每台受到入侵的主机上,随后对入侵主机进行利用,将攻击和扫描行为继续进行。
2.拒绝服务攻击(DOS)
这种攻击就是对系统资源或网络带宽进行消耗,从而使得系统或者网络无法对其消耗进行承受,使得正常的网络服务停止或瘫痪。
3.解码攻击
这种攻击就是在对密码文件进行窃取之后,对用户密码和账号应用口令猜测程序破译,从而将解码攻击实现。
4.探测攻击
这种攻击就是对允许连接的开放端口和服务进行扫描,从而将口令攻击发起。
5.伪装攻击
这种攻击就是对假地址进行伪造,从而对假冒身份进行利用,将假报文送给其他主机,使得误操作出现在被攻击的主机之中。
6.木马攻击
这种攻击就是在目标计算机中植入特洛伊木马,目标计算机启动的时候木马程序也会启动,从而将捆绑控制、文件删改以及口令监听窃取等目的实现。
二、网络环境下防范黑客技术的对策
在网络环境下,若想对黑客技术进行防范,就需要做好预防和防范工作。主动防范技术和被动防范技术是对黑客攻击进行预防的两大主要技术。其中主动防范技术主要包括黑客入侵取证技术、设置陷阱网络技术以及入侵检测技术等。被动防范技术包括数据备份恢复技术、查杀病毒技术、防火墙技术等。下文就重点阐述了对大多数黑客攻击进行防范的对策,并以DDOS与DOS攻击为例,具体阐述了DDOS与DOS攻击检测与防范。
(一)对黑客攻击进行防范的对策
在网络环境中,若想对黑客攻击进行防范,就需要对下述措施进行应用。首先,需要将具有安全防护能力的网络建立起来,对已有网络环境的安全状况进行改善。对计算机用户和专业网络管理人员安全防范意识进行增强,对其应急处理能力和预防黑客攻击的技术进行提升。企事业单位在防范黑客攻击这一方面,应该对计算机管理网站以及中心进行改建和新建,将具备安全防护能力的网站建立起来,将黑客入侵取证技术、陷阱O置网络技术以及防火墙技术应用到配件配置上,将物理隔层保护进行多层设置。与此同时,还需要将入侵检测技术、数据备份恢复技术以及查杀病毒技术等应用到软件配置上。其次,在配备网络专业管理人员的时候,需要保证安全管理人员的专业性,对其应急处理能力和预防黑客攻击的技术进行提升,其中最重要的是对其防范意识进行提升。一般使用计算机的用户,需要对查杀木马和病毒的软件进行安装,对于系统漏洞进行及时的修补,备份和加密重要的数据,注意保护个人密码和账号,保证自身上网习惯良好。在我国网络安全方面法律法规不断完善的情况下,企事业单位和国家机关的信息安全环境也在不断变化,在此情况下,黑客攻击也能够得到很好的遏制。
(二)DDOS与DOS攻击检测与防范
分析DDOS与DOS攻击的过程,就可以发现其攻击目的主要如下。第一,攻击服务器特定服务,二,攻击网络带宽流量。DDOS与DOS攻击就是将许多垃圾数据发送给攻击主机,从而使得目标主机服务器或网络设备处理这些数据时,主机资源占用超过允许上线,无法对正常服务进行提供或网络中断。
1.网络级安全检测与防范
在企业内部网络应用专业入侵检测系统(IDS)和防火墙,从而将安全屏障构建起来是目前使用最多的网络级安全防范措施。防火墙能够对有害数据进行有效的阻隔,IDS则能够发现和分析有害数据,其实质上也是在延续防火墙功能。联合使用IDS和防火墙,能够对DDOS与DOS攻击及时发现,并对其攻击进行减缓,对攻击导致的损失进行减轻。
一般情况下,人们都认为只要进行防火墙的安装,就可以对其网络进行保护,防止外界对其造成干扰和侵袭。然而,在网络技术不断发展的情况下,网络也有了越来越复杂的结构,在使用防火墙的过程中,这种传统的防火墙的缺点就会暴露出来。
2.常规安全检测与防范
网络中所有客户机和服务器都可以进行常规检测和防范,其是对网络安全进行保护的关键。一旦所有计算机的防范机制都做到优良,就可以大面积减少DDOS攻击以及计算机病毒发生几率。因此,在对安全防范体系进行应用的过程中,需要对基本防护手段进行应用,将用户安全意识树立起来,对安全教育进行加强。如果想要对服务器在网络中的抵抗力进行增强,就可以对下述措施进行应用。
(1)对补丁程序进行安装
黑客对系统漏洞进行利用,从而发动的攻击之中就包括了输入法攻击,对于这一类攻击若想进行防范,就可以对微软中的补丁程序进行下载和安装,从而对系统进行完善,对黑客利用漏洞发动的攻击更好地进行防范。除此之外,还可以对windows中最新的补丁程度进行下载,也可以对开始菜单中的windows更新进行操作,从而自动更新程序。
(2)将不必要的服务关闭
由于目前硬盘容量越来越大,很多人在对操作系统进行安装的时候,就会尽量多地安装软件。然而安装越多的软件,其就会具有越多的服务,系统也就会具有越多的漏洞。如果其是将计算机当做服务器使用,就可以只对防火墙、杀毒软件、软件以及最小化操作系统进行安装,不需要对任何应用软件进行安装,更不能对上网软件进行安装,进行上网下载等操作,尽量不要安装输入法,禁止他人对这台服务器进行使用。
(3)将有害和无用的端口关闭
端口是计算机连接网络必须应用的,若想对电脑进行控制就需要对端口进行应用。因此可以对一些目前不使用的端口进行关闭,其原因就在于这些端口非常容易成为黑客发动攻击的途径,将不使用的服务关闭,能够对黑客攻击的渠道进行减少。除此之外,还可以将“管理工具”这一“控制面板”中的程序进行操作,从而进入“服务”,也可以将“IP/TCP协议”打开,对“属性”进行选择,将“常规”打开,对“高级”进行选择,将“选项”打开,对“IP/TCP筛选”进行选择,随后点击“属性”,对“IP/TCP筛选”进行双击,对“只允许”进行选择,对“添加”进行选择,从而将需要打开的端口添加,如果想要上网就需要对80端口进行应用。
结语
本文就网络环境下的防范黑客技术进行了探讨,首先对黑客攻击的原理以及方法进行了介绍,随后将网络环境下防范黑客技术的对策提了出来。在网络环境下存在着太多的漏洞和不确定性,因此用户计算机受到攻击的情况屡见不鲜。对此就需要对黑客攻击所使用的方法进行分析,对不同的攻击采取不同的应对措施,在本文中就具体分析了DDOS与DOS攻击的特点以及目的,并阐述了其具体防范措施。
参考文献
[1]刘勇.网络在信息化环境下的安全技术和防范对策[J].网络安全技术与应用,2016(1):19+21.
[2]李越.网络环境下的计算机病毒及其防范技术[J].电子技术与软件工程,2013(24):233-234.
[3]马海英.浅议网络环境下的计算机病毒及其防范技术[J].信息c电脑(理论版),2011(5):8+10.
[4]于志刚.网络空间中培训黑客技术行为的入罪化[J].云南大学学报(法学版),2010(1):86-95.
[5]李洪军,郭继卫.“生物黑客”安全问题分析及对策研究[J].军事医学,2016(4):276-280.
[6]宣少永.计算机网络安全的问题及其防范措施[J].计算机光盘软件与应用,2014(3):186+188.
[7]肖文建,戚华丽.网络环境下个人信息安全存在的主要问题及防范措施[J].衡阳师范学院学报,2013(4):128-131.
[8]吴秀娟,徐骁.浅析黑客攻击与网络安全技术的防范[J].电脑知识与技术,2013(17):3953-3954+3974.
“零日攻击”被用来构建恶意网络
近两年来,“零日攻击”一直被视为信息安全技术界的头号公敌,也是目前最棘手的网安全威胁之一。即使目前具有主动防御功能的安全设备也不可能百分之百地防御“零日攻击”。这一方面是由于防御技术还不完善,存在漏报、误报的可能,另一方面黑客也会在编写攻击脚本时通过一些手段逃避安全设备的检测。因此,“零日攻击”的成功率几乎达到100%,而且每次都能造成非常广泛的影响。
不仅如此,黑客利用“零日漏洞”发起攻击的方法也在改变。在黑色产业链的驱动下,网络攻击的目标变成了盗取数据,而效率太低且影响力较小的直接攻击目标的行为,逐渐被黑客抛弃。当前,主流“零日攻击”的特点表现为:黑客团体先控制住大量存在漏洞的服务器,作为攻击其他网络目标的跳板,通过这些受控服务器形成的恶意网络向真正的目标发动攻击,以便盗取更多的数据。
Blue Coat刚刚的《2012网络安全报告》显示,2011年网络威胁中最重大的变化是利用恶意网络频繁发动网络攻击。这些网络架构更加复杂,影响比任何单个攻击更持久,并且直接导致恶意网站的数量大幅增长240%。该报告预测,2012年,有2/3的网络攻击将源自恶意网络。
“负日防御”在行动
被恶意网络放大的“零日攻击”不再仅是一种难以应付的攻击行为,特别是黑客将它与其他网络攻击手段组合,造成的威胁甚至已远远超过了我们的想象。Blue Coat《2012网络安全报告》显示,去年企业网络平均每个月会遭遇5000次以上的网络攻击,搜索引擎中平均每142个搜索结果就会有一个恶意链接。
借助恶意网络的攻击力,用户“中招”的概率与过去相比大幅增加。但只要安全防御系统还无法识别这些攻击,安全防范措施就等同于无效,用户的损失就会出现。可见,新型的“零日攻击”带来了更难解的攻防课题。对付这样的网络威胁,我们是否应该换个防御思路呢?
今年的RSA大会上,Blue Coat提出了一种全新的防御理念――“负日防御”,并引起了不小的轰动。这种防御理念主张在网络攻击未发生之前就开始跟踪、监测准备发动攻击的恶意网络的行为,并了解攻击发动的形式,在网络攻击发生的同时对其进行拦截,让使用这类防御技术的用户,不必“先中招,再疗伤”。Blue Coat支撑“负日防御”理念的防御系统被称为WebPulse,它是一个基于云技术,并且能够进行实时分析和评级的服务系统。WebPulse的工作原理是,通过布局在全球各地的数据中心,每日接收到来自全球7500万用户的10亿个网页内容请求。通过对海量请求的自动分析,WebPulse能发现异常流量并将其与已知的恶意网络联系起来,在恶意网络发动攻击前便将其封锁。透过感知技术和分析工具,WebPulse目前每天能封锁大约330万个威胁。
购物车(0)