《网络安全架构》由会员分享,可在线阅读,更多相关《网络安全架构(24页珍藏版)》请在金锄头文库上搜索。
1、网络安全架构常见网络攻击及解决方案网络安全威胁有:网络内部的威胁,网络的滥用,没有安全意识的员工,黑客,骇客。木马攻击原理:C/S架构,服务器端被植入目标主机,服务器端通过反弹连接和客户端连接。 从而客户端对其进行控制。病毒:一些恶意的计算机程序,具有传播性,破坏性,隐蔽性的特点。网络攻击类型主要分为三类:侦查攻击:搜集网络存在的弱点,以进一步攻击网络。分为扫描攻击和网络监听:扫描攻击 有端口扫描,主机扫描,漏洞扫描。网络监听:主要指只通过软件将使用者计算机网卡的模 式置为混杂模式,从而查看通过此网络的重要明文信息。端口扫描:根据TCP协议规范,当一台计算机收到一个TCP连接建立请求报文(TC
2、P SYN) 的时候,做这样的处理:1、如果请求的TCP端口是开放的,则回应一个TCP ACK报文,并建立 TCP连接控制结构(TCB);2、如果请求的TCP端口没有开放,则回应一个TCP RST(TCP头部中 的RST标志设为1)报文,告诉发起计算机,该端口没有开放。相应地,如果IP协议栈收到一个UDP报文,做如下处理:1、如果该报文的目标端口开放,则把该UDP报文送上层协议(UDP) 处理,不回应任何报文(上层协议根据处理结果而回应的报文例外);2、如果该报文的目标端口没有开放,则向发起者回应一个ICMP不可达 报文,告诉发起者计算机该UDP报文的端口不可达。利用这个原理,攻击者计算机便可
3、以通过发送合适的报文,判断目标计算机哪些TCP或UDP 端口是开放的,过程如下:1、发出端口号从0开始依次递增的TCP SYN或UDP报文(端口号是一 个16比特的数字,这样最大为65535,数量很有限);2、如果收到了针对这个TCP报文的RST报文,或针对这个UDP报文 的ICMP不可达报文,则说明这个端口没有开放;3、相反,如果收到了针对这个TCP SYN报文的ACK报文,或者没有 接收到任何针对该UDP报文的ICMP报文,则说明该TCP端口是开 放的,UDP端口可能开放(因为有的实现中可能不回应ICMP不可 达报文,即使该UDP端口没有开放)。这样继续下去,便可以很容易的判断出目标计算机
4、开放了哪些TCP或UDP端口,然后针对 端口的具体数字,进行下一步攻击,这就是所谓的端口扫描攻击。主机扫描即利用ICMP原 理搜索网络上存活的主机。1)网络踩点(Footprinting)攻击者事先汇集目标的信息,通常采用whois、Finger等工具和DNS、LDAP等协议获取目 标的一些信息,如域名、IP地址、网络拓扑结构、相关的用户信息等,这往往是黑客入侵 之前所做的第一步工作。2)扫描攻击扫描攻击包括地址扫描和端口扫描等,通常采用ping命令和各种端口扫描工具,可以获得 目标计算机的一些有用信息,例如机器上打开了哪些端口,这样就知道开设了哪些服务,从 而为进一步的入侵打下基础。3)协议
5、指纹黑客对目标主机发出探测包,由于不同操作系统厂商的IP协议栈实现之间存在许多细微的 差别(也就是说各个厂家在编写自己的TCP/IP协议栈时,通常对特定的RFC指南做出不同 的解释),因此各个操作系统都有其独特的响应方法,黑客经常能确定出目标主机所运行的 操作系统。常常被利用的一些协议栈指纹包括:TTL值、TCP窗口大小、DF标志、TOS、 IP碎片处理、ICMP处理、TCP选项处理等。4)信息流监视这是一个在共享型局域网环境中最常采用的方法。由于在共享介质的网络上数据包会经过每 个网络节点,网卡在一般情况下只会接受发往本机地址或本机所在广播(或多播)地址的数 据包,但如果将网卡设置为混杂模式
6、(Promiscuous),网卡就会接受所有经过的数据包。基 于这样的原理,黑客使用一个叫sniffer的嗅探器装置,可以是软件,也可以是硬件)就可 以对网络的信息流进行监视,从而获得他们感兴趣的内容,例如口令以及其他秘密的信息。 访问攻击:密码攻击:密码暴力猜测,特洛伊木马程序,数据包嗅探等方式。中间人攻击: 截获数据,窃听数据内容,弓1入新的信息到会话,会话劫持(session hijacking)利用TCP 协议本身的不足,在合法的通信连接建立后攻击者可以通过阻塞或摧毁通信的一方来接管已 经过认证建立起来的连接,从而假冒被接管方与对方通信。拒绝服务攻击:伪装大量合理的服务请求来占用过多的
7、服务资源,从而使合法用户无法得到 服务响应。要避免系统遭受DoS攻击,从前两点来看,网络管理员要积极谨慎地维护整个 系统,确保无安全隐患和漏洞;而针对第四点第五点的恶意攻击方式则需要安装防火墙等安 全设备过滤DoS攻击,同时强烈建议网络管理员定期查看安全设备的日志,及时发现对系 统存在安全威胁的行为。常见拒绝服务攻击行为特征与防御方法拒绝服务攻击是最常见的一类网络攻击类型。在这一攻击原理下,它又派生了许多种不 同的攻击方式。正确了解这些不同的拒绝攻击方式,就可以为正确、系统地为自己所在企业 部署完善的安全防护系统。入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为。要有效的进行反攻 击
8、,首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入 侵攻击行为的发生。下面我们针对几种典型的拒绝服务攻击原理进行简要分析,并提出相应 的对策。1 死亡之 Ping (Ping of death)攻击由于在早期的阶段,路由器对包的最大大小是有限制的,许多操作系统TCP/IP栈规定ICMP 包的大小限制在64KB以内。在对ICMP数据包的标题头进行读取之后,是根据该标题头里 包含的信息来为有效载荷生成缓冲区。当大小超过64KB的ICMP包,就会出现内存分配错 误,导致TCP/IP堆栈崩溃,从而使接受方计算机宕机。这就是这种“死亡之Ping”攻击的 原理所在。根据这一攻击
9、原理,黑客们只需不断地通过Ping命令向攻击目标发送超过64KB 的数据包,就可使目标计算机的TCP/IP堆栈崩溃,致使接受方宕机。防御方法:现在所有的标准TCP/IP协议都已具有对付超过64KB大小数据包的处理能力, 并且大多数防火墙能够通过对数据包中的信息和时间间隔分析,自动过滤这些攻击。Windows 98、Windows NT 4.0 (SP3 之后)、Windows 2000/XP/Server 2003、Linux、Solaris 和MacOS等系统都已具有抵抗一般“Ping of death”拒绝服务攻击的能力。此外,对防火墙进行配 置,阻断ICMP以及任何未知协议数据包,都可以
10、防止此类攻击发生。2泪滴(teardrop)攻击对于一些大的IP数据包,往往需要对其进行拆分传送,这是为了迎合链路层的MTU(最 大传输单元)的要求。比如,一个6000字节的IP包,在MTU为2000的链路上传输的时 候,就需要分成三个IP包。在IP报头中有一个偏移字段和一个拆分标志(MF)。如果MF 标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整 个IP包中的位置。例如,对一个6000字节的IP包进行拆分(MTU为2000),则三个片断 中偏移字段的值依次为:0,2000,4000。这样接收端在全部接收完IP数据包后,就可以根 据这些信息重新组装没正确的值
11、,这样接收端在收后这些分拆的数据包后就不能按数据包 中的偏移字段值正确重合这些拆分的数据包,但接收端会不断偿试,这样就可能致使目标计 算朵操作系统因资源耗尽而崩溃。泪滴攻击利用修改在TCP/IP堆栈实现中信任IP碎片中的 包的标题头所包含的信息来实现自己的攻击。IP分段含有指示该分段所包含的是原包的哪 一段的信息,某些操作系统(如SP4以前的Windows NT 4.0)的TCP/IP在收到含有重叠偏 移的伪造分段时将崩溃,不过新的操作系统已基本上能自己抵御这种攻击了。防御方法:尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接 收到同一原包中的所有拆分数据包,然后完成重组
12、工作,而不是直接转发。因为防火墙上可 以设置当出现重叠字段时所采取的规则。3 TCP SYN 洪水(TCP SYN Flood)攻击TCP/IP栈只能等待有限数量ACK (应答)消息,因为每台计算机用于创建TCP/IP连 接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息,则该计算机 就会对接下来的连接停止响应,直到缓冲区里的连接超时。TCP SYN洪水攻击正是利用了这一系统漏洞来实施攻击的。攻击者利用伪造的IP地址 向目标发出多个连接(SYN)请求。目标系统在接收到请求后发送确认信息,并等待回答。 由于黑客们发送请示的IP地址是伪造的,所以确认信息也不会到达任何计算机,当然
13、也就 不会有任何计算机为此确认信息作出应答了。而在没有接收到应答之前,目标计算机系统是 不会主动放弃的,继续会在缓冲区中保持相应连接信息,一直等待。当达到一定数量的等待 连接后,缓区部内存资源耗尽,从而开始拒绝接收任何其他连接请求,当然也包括本来属于 正常应用的请求,这就是黑客们的最终目的。防御方法:在防火墙上过滤来自同一主机的后续连接。不过“SYN洪水攻击”还是非常令 人担忧的,由于此类攻击并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。防 火墙的具体抵御TCP SYN洪水攻击的方法将在防火墙的使用手册中有详细介绍。4 Land攻击这类攻击中的数据包源地址和目标地址是相同的,当操作系
14、统接收到这类数据包时,不 知道该如何处理,或者循环发送和接收该数据包,以此来消耗大量的系统资源,从而有可能 造成系统崩溃或死机等现象。防御方法:这类攻击的检测方法相对来说比较容易,因为它可以直接从判断网络数据包的源 地址和目标地址是否相同得出是否属于攻击行为。反攻击的方法当然是适当地配置防火墙设 备或包过滤路由器的包过滤规则。并对这种攻击进行审计,记录事件发生的时间,源主机和 目标主机的MAC地址和IP地址,从而可以有效地分析并跟踪攻击者的来源。5 Smurf攻击这是一种由有趣的卡通人物而得名的拒绝服务攻击。Smurf攻击利用多数路由器中具有 同时向许多计算机广播请求的功能。攻击者伪造一个合法
15、的IP地址,然后由网络上所有的 路由器广播要求向受攻击计算机地址做出回答的请求。由于这些数据包表面上看是来自已知 地址的合法请求,因此网络中的所有系统向这个地址做出回答,最终结果可导致该网络的所 有主机都对此ICMP应答请求作出答复,导致网络阻塞,这也就达到了黑客们追求的目的了。 这种Smurf攻击比起前面介绍的“Ping of Death”洪水的流量高出一至两个数量级,更容易 攻击成功。还有些新型的Smurf攻击,将源地址改为第三方的受害者(不再采用伪装的IP 地址),最终导致第三方雪崩。防御方法:关闭外部路由器或防火墙的广播地址特性,并在防火墙上设置规则,丢弃掉ICMP 协议类型数据包。6
16、 Fraggle 攻击Fraggle攻击只是对Smurf攻击作了简单的修改,使用的是UDP协议应答消息,而不再 是ICMP协议了(因为黑客们清楚UDP协议更加不易被用户全部禁止)。同时Fraggle攻击 使用了特定的端口(通常为7号端口,但也有许多使用其他端口实施Fraggle攻击的),攻 击与Smurf攻击基本类似,不再赘述。防御方法:关闭外部路由器或防火墙的广播地址特性。在防火墙上过滤掉UDP报文,或者 屏蔽掉一些常被黑客们用来进行Fraggle攻击的端口。7电子邮件炸弹电子邮件炸弹是最古老的匿名攻击之一,通过设置一台计算机不断地向同一地址发送大 量电子邮件来达到攻击目的,此类攻击能够耗尽邮件接受者网络的带宽资源。防御方法:对邮件地址进行过滤规则配置,自动删除来自同一主机的过量或重复的消息。8虚拟终端(VTY)耗尽攻击这是一种针对网络设备的攻击
