CSRF攻击与防御(精选九篇)
CSRF攻击与防御 篇1
关键词:ARP协议,ARP攻击,ARP防护
1 引言
计算机网络频繁掉线,或者计算机网络连接正常,却无法打开网页,或者网速变得非常慢,这些网络异常现象都有可能是因网络中存在着ARP欺骗攻击。
ARP欺骗攻击不仅会造成用户联网不稳定,对于企业可以导致企业因断网而产生的重大生产事故,造成无法估量的经济损失,而且利用ARP欺骗攻击还可以实施中间人攻击,非法取得游戏、网银、文件服务等系统的账号和口令,致使被攻击者蒙受利益损失。ARP欺骗攻击这种恶劣的网络攻击行为不仅使网络用户面临财产损失,也会影响相关服务商的业务运营,威胁着网络环境的安全与和谐。
ARP攻击已经对各行各业网络产生了巨大的威胁,但一直没有得到有效的解决,甚至熟知的杀毒软件、防火墙等都挡不住ARP欺骗攻击。主要是由于ARP欺骗攻击依托于木马程序,通常会伪装成常用软件的一部分,被网络用户下载并在安装或使用的过程中激活,或者作为网页的一部分自动传送到浏览者的电脑上并被激活,或者通过U盘、移动硬盘等方式进入网络。由于木马程序的形态特征都在不断变化和升级,杀毒软件常常会失去作用。
2 ARP概述
ARP(Address Resolution Protocol)是地址解析协议,是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式:表格方式和非表格方式。ARP具体说来就是将网络层地址解析为数据连接层的MAC地址。
3 ARP攻击的特点
3.1 ARP攻击的局限性
ARP攻击仅能在以太网(局域网如机房、内网、公司网络等)进行,无法对外网(互联网、非本区域内的局域网)进行攻击。
3.2 ARP攻击的易实现性
ARP协议是用来提供一台主机通过广播一个ARP请求来获取相同网段中另外一台主机或者网关的MAC的协议。以相同网段中的两台主机A、B来举例,其ARP协议运行的主要交互机制如下:
1)如果A需要向B发起通信,A首先会在自己的ARP缓存表项中查看有无B的ARP表项。如果没有,则进行下面的步骤;
2)A在局域网上广播一个ARP请求,查询B的IP地址所对应的MAC地址;
3)本局域网上的所有主机都会收到该ARP请求;
4)所有收到ARP请求的主机都学习A所对应的ARP表项;如果B收到该请求,则发送一个ARP应答给A,告知A自己的MAC地址;
5)主机A收到B的ARP应答后,会在自己的ARP缓存中写入主机B的ARP表项。
如上所述,利用ARP协议,可以实现相同网段内的主机之间正常通信或者通过网关与外网进行通信。但由于ARP协议是基于网络中的所有主机或者网关都为可信任的前提制定,导致在ARP协议中没有认证的机制,从而导致针对ARP协议的欺骗攻击非常容易。
4 ARP欺骗的原理
既然ARP存在缺陷,就必定会被人所利用;首先可以肯定一点的就是发送ARP欺骗包是通过一个恶毒的程序自动发送的,正常的TCP/IP网络是不会有这样的错误包发送的,而人工发送又比较麻烦。也就是说当黑客如果没有运行这个恶毒程序的话,网络上通信应该是一切正常的,保留在各个计算机上的ARP缓存表也应该是正确的,只有程序启动,开始发送错误ARP信息以及ARP欺骗包后才会让某些计算机访问网络出现问题。接下来阐述ARP欺骗的原理。
第一步:一个网络中,一个Hub或交换机连接了3台机器,依次是计算机A,B,C。
A的地址为:
IP:192.168.1.1 MAC:AA-AA-AA-AA-AA-AA
B的地址为:
IP:192.168.1.2 MAC:BB-BB-BB-BB-BB-BB
C的地址为:
IP:192.168.1.3 MAC:CC-CC-CC-CC-CC-CC
第二步:正常情况下在A计算机上运行>ARP-a查询ARP缓存表应该出现如下信息。
Interface:192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 CC-CC-CC-CC-CC-CC dynamic
第三步:在计算机B上运行ARP欺骗程序,来发送ARP欺骗包。
B向A发送一个自己改写的ARP应答,而这个应答中的数据标识为发送方IP地址:192.168.10.3(C的IP地址),MAC地址是DD-DD-DD-DD-DD-DD(C的MAC地址本来应该是CC-CC-CC-CC-CC-CC,这里被伪造了)。当A接收到B伪造的ARP应答,就会更新本地的ARP缓存(A可不知道被伪造了)。而且A不知道其实是从B发送过来的,A这里只有192.168.10.3(C的IP地址)和无效的DD-DD-DD-DD-DD-DD mac地址。
第四步:欺骗完毕后,再在A计算机上运行>ARP-a来查询ARP缓存信息。你会发现原来正确的信息现在已经出现了错误。
Interface:192.168.1.1 on Interface 0x1000003
Internet Address Physical Address Type
192.168.1.3 DD-DD-DD-DD-DD-DD dynamic
在上面例子中,计算机A上的关于计算机C的MAC地址已经错误了,所以以后从A计算机访问C计算机192.168.1.3这个地址也会被ARP协议错误的解析成MAC地址为DD-DD-DD-DD-DD-DD的。
这样,A与C之间就永远无法建立连接。
当局域网中一台机器,反复向其他机器,特别是向网关、发送这样无效假冒的ARP应答信息包时,严重的网络堵塞就会开始。由于网关MAC地址错误,所以从网络中计算机发来的数据无法正常发到网关,自然也就无法正常上网,这就造成了无法访问外网的问题另外由于很多时候网关还控制着局域网LAN上网,所以这时LAN访问也就出现问题了。
5 ARP典型攻击分析
下面模拟某一小型企业网络,分析ARP攻击的实施,该案例中使用的路由、交换设备均为思科设备,PC操作系统为Windows Server 2003 Enterprise Edition。拓扑结构如图1所示。
图1中用一台路由设备(Cloud)模拟广域网络,RT1、SW1分别用来模拟内网网关与接入设备,为了直观且清晰的体现攻击原理该接入设备仅仅连接两台PC,一台为黑客对网络发起攻击所使用,另一台则为正常用户。
5.1 实验中各设备配置
Cloud:
RT1:
NATPOOL
SW1:
空配置
Hacker:
User:
5.2 验证各设备间是否正常通信
Cloud(见图2)
RT1(见图3、图4)
Hacker(见图4)
User(见图6)
5.3 攻击实施步骤
首先攻击者通过ARP-a命令掌握被攻击人及其网关的IP及MAC对应关系(见图7)。
在获得相关信息之后开启抓包工具,抓取局域网络内ARP报文(见图8)。
从该信息中得知packet1与packet2为本机与网关的ARP请求与回应报文,packet5与packet6为本机与其他主机的ARP请求与回应报文,packet3与packet4为其他主机发给网关的ARP请求报文。
现在通过修改packet2使其成为恶意ARP回应报文并发送给网关地址,使其ARP表项出现错误来达到攻击的目的。
packet2中各字段内容(见图9),篡改后的各自段内容(见图10),其中Ethernet Header中source字段修改后为攻击者mac,Destination字段为网关接口物理地址。ARP-Address Resolution Protocol中Sender Hardware Addr为任意mac,Sender Internet Addr为被攻击者IP,Target Hardware Addr为网关接口物理地址,Targe Internet Addr为网关IP。
为验证攻击效果在被攻击PC上执行ping 1.1.1.1-命令,在该命令执行过程中在攻击者PC上将伪造好的ARP Response报文发送至网关以观察攻击效果。
攻击开始前ping回应状态(见图11)。
伪造ARP报文的发送状态(见图12),可以发现发送速度很快,因为如果被攻击主机上装有ARP防火墙该防火墙会向网关接口持续发送Response报文以维护网关设备上本机ARP表项,但如果攻击速度远远大于维护速度,ARP防火墙将失去意义。
被攻击主机user的ping回应状况(见图13)。
被攻击时RT1的ARP表(见图14),可以发现该ARP表内IP地址为192.168.1.3所对应的MAC地址为黑客伪造的MAC地址。
6 ARP攻击的防护
如果局域网内存在ARP攻击,防御的方法有多种,但不建议在PC上使用ARP防火墙,因为ARP防火墙在即使在没有ARP攻击的环境下也会持续不断的向网关发送ARP报文以维护ARP表项,致使带宽浪费,网关设备处理转发性能下降。如果在网关设备上加以防护即可达到良好的效果也不会造成其他网络问题。在不同厂商有不同的ARP防御技术来防御ARP攻击,例如在思科设备上可以采用DHCP SNOOPING、Dynamic ARP Inspection、PVLAN技术防御ARP攻击,神州数码的设备上可以采用DHCP SNOOPING、ANTI-ARP技术防御ARP攻击,H3C的设备上可以采用DHCP SNOOPING、ARP DETECTION技术防御ARP攻击。在此仅阐述一种在思科设备上实现的ARP防御方式即通过静态ARP表实现ARP攻击的防御。
在RT1上加入如下命令,如图15所示。
在user上加入如下命令,如图16所示。
再次对网关发送大量恶意ARP报文观察被攻击PC ping回应状态和RT1的ARP表项(见图17)。
被攻击PC并未受到影响,防御效果显著(见图18)。
7 结束语
ARP攻击行为会在网络中产生大量的ARP通信,致使网络阻塞,造成客户机的网速缓慢或断网,对网络安全造成严重的威胁。本文对ARP协议的缺陷进行了研究,分析了ARP攻击行为的根源所在,提出了一种行之有效的ARP攻击与防御方法,希望能为找到解决ARP问题的终极方案提供一些有益的思路。
参考文献
[1]H3C.ARP攻击防御解决方案技术白皮书.2012.3.
[2]梁广民.思科网络实验室路由,交换实验指南.北京.电子工业出版社,2007年.
[3](美)科默(Comer,D.E.).用TCP/IP进行网际互连(第一卷).北京.电子工业出版社,2005年.
[4]魏为民,袁仲雄.网络攻击与防御技术的研究与实践[J].信息网络安全,2012,(12):53-56.
点击劫持式Web攻击与防御 篇2
近几年,随着互联网及其应用不断发展,互联网安全态势也不断发展变化。各种针对Web应用的攻击形式不断出现,相对于传统的网络层攻击,这些攻击从应用层入手,可以轻易避开防火墙等传统安全防护设备,利用Web应用的漏洞,直接对Web应用展开攻击。这一类攻击行为往往怀有经济性企图,例如窃取用户账户密码信息、获取用户权限、欺骗用户进行某种操作等,其目的性更明确,影响范围广,危害较大。其中以点击劫持式的攻击形式尤其让人防不胜防。
相识Click Jacking
2008年,SecTheory公司的罗伯特·汉森(Robert Hansen)和白帽安全公司的杰罗麦亚·格罗斯曼(Jeremiah Grossman)首次提出了点击劫持漏洞(Click Jacking)。它是一种基于视觉欺骗的WEB会话劫持攻击,通过在网页的输入控件上覆盖一个不可见的框(Frame),当用户操作该控件时,实际上是在其之上的不可见的框 (Frame)中进行操作。
点击劫持的基本方法是允许攻击者强制Web用户在想要点击良性链接的时候,点击到恶意链接,攻击者可以构建一个恶意的Web页面,用以在用户的电脑上安装rootkit或者其他恶意软件,然后用看起来无害的网页呈现所有页面,比如,其中一个就含有基于Flash的游戏。当用户点击页面上的各种链接和按钮的时候,实际上点击的是被攻击者控制的隐藏的链接。
相知Click Jacking
伴随着WEB2.0的出现,以及HTML5的发展,很多应用操作都已经向WEB上移植,使基于WEB的攻击层出不穷,信息安全也开始过渡到以Web环境为基础、Web应用为载体新时代.相对于WEB安全十多年的发展史,点击劫持算是一种较新型的攻击手法,其发展十分迅速,在百度搜索点击劫持攻击结果中可以看到151000条记录。
点击劫持攻击刚被提出来的时候,主要攻击模式包括“鼠标拖放”劫持和“触摸劫(tap jacking)”两种。其中,一是结合Iframe、CSS等技术隐藏目标网页;二是结合社会工程学、JavaScript技术、Flash 以及AJAX 技术实现欺骗点击、鼠标跟随、鼠标点击劫持等,目的是欺骗和劫持用户鼠标点击目标按钮,并进行各种“后台”操作,获取用户敏感信息,控制摄像头等终端PC资源。例如,将一个弹出框外观设计成与QQ消息框一模一样的形式,用户潜意识中会不假思索点击查看最新的消息,从而触发恶意攻击。
拖放劫持
在Black Hat Europe 2010大会上,Paul Stone提出了基于点击劫持延伸的另外一种攻击模式——鼠标“拖放劫持”攻击。它具有以下四项特点:
操作简单:点击某个对象,并按住鼠标按钮不放,将鼠标移动到另一个区域,然后释放鼠标按钮将对象“放”在这里。
可见即可拖:浏览器中可以拖放对象一直在不断的增加,而且允许页面上任何控件成为放置目标,随着HTML5的发展,支持拖放操作的API函数也会相应增多而且功能强大。HTML5中拖动时依次触发以下事件:Dragstart、Drag、Dragend;放置时依次触发以下事件:Dragenter、Dragover、Dragleave或 Drop。
dataTransfer 对象:dataTransfer 对象使得自定义处理拖曳操作成为可能。dataTransfer对象可于源对象和目标对象中使用,通过event对象完成这种功能。典型用法是,setdata方法用于源事件,以指定格式给对象赋予数据;相应的,getData方法用于目标事件以便确保获取的数据和数据格式。
跨域操作:拖放不受同源策略限制,用户可以把一个域的内容拖放到另外一个不同的域,而这样的操作是“点击劫持”无法做到的。跨域操作可以拖放链接,这些链接中可能会有session key,token,password,也可以拖放内容,把页面拖拽到文本编辑模式中,这样就可以看到源代码。这些HTML源代码中可能会有type="hidden"等敏感信息。
触屏劫持
近几年,移动互联网发展十分迅速,通过智能移动终端上网的用户数已远超PC用户。针对现有智能移动设备,斯坦福大学的研究人员从攻击电脑浏览器的类似方式点击劫持引申出一个新的概念:触屏劫持。
当前的智能移动设备触屏即包含了PC上的鼠标和键盘全部功能,智能设备屏幕小,视觉攻击更容易。在智能移动设备触屏上,手指的点击与松开、拖与放都有特定的API函数接口,完全可以编写浏览器识别的WEB脚本。此外,针对移动终端的WEB应用安全还未得到足够重视(因为攻击事件还相对少),因此,点击劫持变种为触屏劫持(Tap jacking)并在触屏上实现是完全可能的。
防御Click Jacking
点击劫持是用巧妙的视觉欺骗的方式对WEB会话进行劫持。通过对点击劫持攻击模式分析,可以发现其实现必须满足以下几个前提:一是恶意网页必须能够以一定方式存在于正常网页中,这需要依赖Iframe等一些特定技术实现方式;二是客户端浏览器Cookie,攻击者能够利用用户身份进行恶意攻击;三是网页之上必须有欺骗鼠标操作交互,诱骗用户点击、拖放。针对以上特点,笔者设计实现对于点击劫持的防御解决方案。
点击劫持防御主要包含客户端防御和服务器端防御两个方面。对于客户端来说,目前几乎所有的浏览器都提供了防御点击劫持的安全机制,例如支持X-Frame-Options。对于客户端来说,及时更新浏览器、修复安全漏洞,提高个人安全意识,不随意访问、点击不安全的页面,都能够有效地防止这一类恶意攻击。
针对服务器端的防御方法,目前有三种:
支持X-Frame-Options。X-Frame-Options是由微软提出来的防御点击劫持的一种方法,WEB开发人员可以在HTML responses中加入一个X-Frame-Options字段,浏览器会根据X-Frame-Options字段中参数来判断页面是否可以被IFRAME标签包含,通过拒绝或限制iframe 载入,黑客就无法通过Iframe 隐藏特定的网页。
使用Frame Busting代码。这种方法是使用javascript脚本来对页面进行控制,达到页面无法被IFRAME标签包含。但是如果用户浏览器禁用JavaScript 脚本执行,则Frame Busting 代码也无法正常运行,所以这一方法只能提供有限的防御。
使用验证码认证用户。在网站页面上增加认证码来识别用户,确定是用户的发出的点击命令才执行。例如,在许多网站上设置的交互认证码,要求用户输入图形中的字符、选择相似图形等。
僵尸网络攻击与防御研究 篇3
1 僵尸网络
1.1 僵尸网络的定义
僵尸网络是指攻击者通过使大量主机感染程序, 并对此机群进行一对多操控的计算机网络。僵尸网络被恶意代码操控者远程控制和操作, 在一个巨大的范围内可以发动多次拒绝服务攻击, 多个渗透攻击, 或执行其他恶意网络活动。攻击者通常利用这样大规模的僵尸网络实施各种其他攻击活动, 对网络造成巨大危害, 这也是僵尸网络攻击模式近年来受到黑客青睐的根本原因。僵尸程序本身并不能传播, 但是网络蠕虫是可以通过漏洞扫描来实现自身的传播的, 黑客通常将僵尸程序和蠕虫捆绑, 利用蠕虫来传播僵尸程序, 因此这类僵尸网络继承网络蠕虫的传播特性。同时, 僵尸网络传播扩散是受控的, 在受控的前提下僵尸网络的传播和网络蠕虫的传播相似。
1.2 僵尸网络的危害
僵尸网络其实是一个攻击平台, 通过这个平台可以有效地发起各种各样的攻击行为。通过释放蠕虫代码让计算机群产生大量数据流, 从而导致整个基础信息网络或者重要应用系统瘫痪;黑客通过控制这些计算机的所保存的信息, 也可以导致大量机密或个人隐私泄漏, 譬如银行账号的密码与社会安全号码等都可被黑客随意取用;还可以利用僵尸程序开放的sock代理服务器或重定向服务器作为网络跳板用来从事网络欺诈等其他违法犯罪活动。随着将来出现各种新的攻击类型, 僵尸网络还可能被用来发起新的未知攻击, 常见的中等规模的“业余”攻击和使用成千万僵尸主机进行的“专业”攻击之间的差别正在逐步扩大。因此, 不论是对网络安全运行还是用户数据安全的保护来说, 僵尸网络都是极具威胁的隐患。
2 僵尸网络的攻击方式
僵尸网络是恶意软件技术, 其有效性依赖多种恶意软件技术, 使他们可以穿透一台电脑并执行他们的攻击。僵尸网络的工作过程分为三个阶段, 传播、加入和控制。一个僵尸网络的传播载体如病毒、蠕虫、电子邮件、即时通信软件或网站的恶意软件工具等。当一台主机被感染后, 它会根据控制方式和通信协议的不同, 会自动加入到指定的服务器和频道中去, 然后等待控制者发来的恶意指令。在控制阶段, 攻击者就能够通过中心服务器控制被感染主机执行恶意行为, 如发起拒绝服务攻击、窃取敏感信息等。
2.1 蠕虫代码释放
蠕虫, 其特点就是能够快速繁殖蔓延, 当一个僵尸网络释放出蠕虫代码时, 计算机群就会在短时间内产生大量数据流导致整个网络堵塞或者瘫痪。研究表明, 蠕虫病毒破坏力的大小主要取决于蠕虫的释放初节点规模及分布。
2.2 拒绝服务攻击
使用僵尸网络发动, 攻击者可以向自己控制的所有僵尸机群发送指令, 在特定的时间同时开始连续访问特定的网络目标, 从而达到拒绝服务攻击的目的。由于僵尸网络可以形成庞大规模, 攻击者就可以在进行拒绝服务攻击时做到更好地同步, 使得拒绝服务攻击的危害更大, 防范更难。
2.3 发送垃圾邮件
僵尸网络通过设立sockv4、v5代理, 在完全隐藏自己的IP信息的同时, 可以向特定主机发送大量垃圾邮件, 这也对原来的反垃圾邮件工作提出了新的技术挑战。
2.4 窃取私密数据
攻击者可以从僵尸计算机中窃取用户的各种敏感信息和其他秘密。窃取的内容不但包括用户存储在计算机中的私密数据, 还包括用户操作主机的每一个举动。
2.5 耗费网络资源
僵尸计算机能够大量的耗费网络资源, 影响用户网络性能。利用这一点, 攻击者可以在僵尸机中植入广告、不断访问特定的网址、进行各类违法活动;或者控制僵尸机进行违规的投票、选举活动等。
3 僵尸网络的应对策略
通过分析僵尸网络的工作过程, 可以采取有效的对策防止其对网络进行危害。可以通过两个方面进行, 一是通过传统的防御方法加强网络终端的防御;二是采用对抗技术, 通过侵入僵尸网络内部, 破坏它的命令控制机制, 从而斩断它的控制信道, 彻底摧毁僵尸网络。
3.1 提高系统安全级别
由于构建僵尸网络的僵尸程序仍是恶意代码的一种, 因此, 通过及时升级系统, 更新系统补丁, 升级应用程序, 减少系统漏洞, 安装防毒软件和防火墙, 设置密码保护, 都可以有效地提高用户系统的安全性, 提高网络主机的防御能力。
从用户层面来说, 养成良好的上网习惯需要用户本身具有一定的安全意识, 不访问具有诱惑内容的网站;从网站上下载的软件要先进行病毒查杀;对不明来历的电子邮件不要打开而立即删除;对于即时通信中出现的网页链接、接受的文件等要谨慎, 不可随意点击。
3.2 使用技术手段对抗僵尸网络
通过技术手段尽可能多的获得僵尸程序样本, 采用逆向工程等恶意代码分析, 获得登录僵尸网络的属性, 开展针对僵尸网络命令控制信道的对抗。
3.2.1 僵尸网络劫持
通过对僵尸程序所要连接的僵尸网络控制信道的信息进行提取, 获得僵尸程序的频道密码、认证口令、管理权限等认证控制者身份, 伪装成控制者可以对僵尸网络予以劫持。以控制者身份登录到僵尸网络后, 可以向僵尸网络发布良性控制命令, 不仅可以清除整个僵尸网络, 还可以接管其控制权。
3.2.2 僵尸程序漏洞攻击
僵尸程序既然作为一种程序代码, 也一样会存在各种漏洞。比如, 通过漏洞挖掘, 发现僵尸网络存在内存越界读取漏洞, 我们就可以直接向僵尸程序发送Shellcode, 或者构造特殊的控制命令, 等待其主动读取, 从而造成僵尸程序缓冲区溢出而执行任意代码, 通过这种手段可以达到接管僵尸主机控制权的目的。
4 结语
僵尸网络作为网络犯罪的主要平台之一, 对网络安全造成了巨大危害, 已成为国际安全领域最为关注的网络安全威胁之一。全面了解僵尸网络的关键技术及攻击过程, 才能更好的检测和防范僵尸网络。本文对僵尸网络的概念和危害进行了详尽阐述, 并且深入分析了僵尸网络的几种攻击方式, 并对如何防范僵尸网络、建设一个安全的网络环境提出了应对策略。
摘要:僵尸网络是网络和计算机系统现今所面临的最严重的安全威胁之一。为了更好的防御, 本文深入分析了僵尸网络的危害, 然后介绍了僵尸网络的蠕虫释放、分布式拒绝服务、机密窃取等几种攻击方式, 最后提出了僵尸网络的防御策略, 以期对维护网络安全具有一定的防御作用。
CSRF攻击与防御 篇4
摘要:ARP协议对网络安全具有重要的意义,通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量,使网络阻塞。所以通过本文将使我们更加深入地理解AKP攻击的发现与定位以及防御办法。
关键词:ARP;发现;定位;防御方法
1什么是ARP协议
ARP是TCP/IP协议集中的网络层协议之一,ARP协议完成IP地址转换为第二物理地址(即MAC地址),从而实现通过IP地址来访问网络设备的目的。然而,一些非法的入侵者和网络监听者利用各种技术和手段,篡改和伪造IP地址和MAC地址,在网络中产生大量的ARP通信量使网络阻塞或者实现“中间人”进行ARP重定和嗅探攻击,以达到非法监听和获取他人在网络上传输的信息的目的,这种网络入侵方式为ARP欺骗。它是近年来网络入侵攻击的主要形式之一,严重威胁着网络信息的安全。
2ARP攻击的发现与定位
要定位感染ARP木马电脑的MAC地址有三种方法可供选择:
方法一:可以查看三层交换机网段里面的ARP信息(如cisco 6509中可以输入show ARPlinclude网段相同部分),如果发现里面存在有不同IP对应相同MAC列表的情况,就可以肯定该网段内有ARP欺骗,这个MAC地址就是感染ARP木马的电脑MAC。
方法二:用户端可以通过输入命令的方式,输入arp-a命令即可显示与该电脑直连设备的MAC,就会发现电脑网关所对应的MAC地址是否被修改,如果被修改就可判定该电脑感染了ARP木马程序。
方法三:安装网络检测软件的用户,如果网段中有ARP攻击,检测软件会有报警,如antiARP软件会自动弹出攻击者的MAC地址,网络执法官则会显示一个与MAC地址对应的两个IP地址,其中一个IP必然为网关,那该MAC对应电脑就是攻击者了。
如果确定了MAC的攻击者,还需要进行物理位置定位来确定该电脑的使用者,以便及时通知对方进行处理,现在高校用户大部分使用真实IP地址进行上网,只要找到该IP地址就等于找到了该用户。
为大家介绍两种方法来通过MAC地址查找IP地址。
方法一:命令法。下载nbtscan DOS软件,在虚网中任意主机运行nbtsacn218.197.57.0/24就可以得到该段内所在的用户的IP对应的MAC,通过MAC查询,就可以得到该机的IP。
方法二:软件法。利用网络执法官软件保存该网段内所有IP所对应的MAC,当发现攻击电脑MAC时就可找到该IP,从而定位到该电脑。
另外,对于采用DHCP服务器进行IP地址分配的网络,由于每台没有固定IP,很难通过IP直接定位,那需要我们利用IP冲突查找,只要将网内某台电脑IP修改为该感染ARP木马的电脑IP,该电脑上面就会出IP冲突的提示,只要有用户打电话反映IP有冲突,那台电脑就是攻击者。
3ARP欺骗攻击的防范策略
3.1用户端防御
由于绝大部分ARP欺骗攻击都是针对网关进行攻击的。使本机上ARP缓存中存储的网关设备的信息出现紊乱,这样当机器要上网发送数据包给网关时就会因为地址错误而失败,造成计算机无法上网。
针对此在用户端计算机上绑定交换机网关的IP和MAC地址,就是强制指定ARP对应关系。
(1)静态绑定
首先获取网关的真实MAC地址。网络正常的情况下ping网关IP地址,之后用arp-a查看网关的IP对应的MAC地址。
编写一个批处理文件arp.bat,实现将交换机网关的MAC地址和IP地址的绑定,内容如下:
arp-d(清空ARP缓存)
arp-s 10.10.100.254 00-40-66-77-88-d7
将这个批处理文件加入计算机启动项中,以便每次开机后自动加载并执行该批处理文件,对用户起到一个很好的保护作用。
(2)使用防ARP攻击的软件
下载和使用防ARP攻击的软件,如AARP、Aarpguard等支持arp过滤的防火墙。
3.2网管交换机端绑定
采用在核心交换机上绑定用户主机的IP地址的网卡的MAC地址,同时在边缘交换机上将用户计算机网卡的MAC地址和交换机端口绑定的双重安全绑定方式。
(1)IP和MAC地址的绑定
在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定。这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。
(2)MAC地址与交换机端口的绑定
根据局域网用户所在的区域、楼体和用户房间所对应的交换机端口号,将用户计算机网卡的MAC地址和交换机端口绑定。此方案可以防止非法用户随意接入网络端口上网。网络用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网,自然也就不会对局域网造成干扰了。
3.3采用VLAN技术隔离端口
网络管理员可根据本单位网络的拓扑结构,具体规划出若干个VLAN,当发现有非法用户在恶意利用ARP欺骗攻击网络,或因合法用户受ARP病毒感染而影响网络时,首先利用技术手段查找到该用户所在的交换机端口,然后把该端口划一个单独的VLAN将该用户与其他用户进行物理隔离,以避免对其他用户的影响。可以利用将交换机端口Disable来屏蔽该用户对网络造成影响,从而达到安全防范的目的。
4结束语
ARP病毒攻击技术分析与防御 篇5
ARP协议是“Address Resolution Protocol” (地址解析协议) 的缩写, 局域网中, 网络中实际传输的是“帧”, 帧里面是有目标主机的MAC地址的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址, 查询目标设备的MAC地址, 以保证通信的顺利进行。
每个主机都用一个ARP高速缓存存放最近IP地址到MAC硬件地址之间的映射记录。MS Windows高速缓存中的每一条记录 (条目) 的生存时间一般为60秒, 起始时间从被创建时开始算起。在命令提示符下, 输入“arp-a”就可以查看ARP缓存表中的内容;用“arp-d”命令可以删除ARP表中某一行的内容;用“arps”可以手动在ARP表中指定IP地址与MAC地址的对应。默认情况下, ARP从缓存中读取IP-MAC条目, 缓存中的IP-MAC条目是根据ARP响应包动态变化的。因此, 只要网络上有ARP响应包发送到本机, 即会更新ARP高速缓存中的IP-MAC条目。攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。
ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候, 就会对本地的ARP缓存进行更新, 将应答中的IP和MAC地址存储在ARP缓存中。因此, B向A发送一个自己伪造的ARP应答, 而这个应答中的数据为发送方IP地址是192.168.10.3 (C的IP地址) , MAC地址是DD-DD-DD-DD-DD-DD (C的MAC地址本来应该是CC-CC-CC-CC-CC-CC, 这里被伪造了) 。当A接收到B伪造的ARP应答, 就会更新本地的ARP缓存 (A可不知道被伪造了) 。当攻击源大量向局域网中发送虚假的ARP信息后, 就会造成局域网中的机器ARP缓存的崩溃。
二、ARP病毒现象
1. 网上银行、游戏及QQ账号的频繁丢失
一些人为了获取非法利益, 利用ARP欺骗程序在网内进行非法活动, 此类程序的主要目的在于破解账号登陆时的加密解密算法, 通过截取局域网中的数据包, 然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒, 就可以获得整个局域网中上网用户账号的详细信息并盗取。当局域网内某台主机运行ARP欺骗的木马程序时, 会欺骗局域网内所有主机和路由器, 让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网, 切换的时候用户会断一次线。切换到病毒主机上网后, 如果用户已经登陆了游戏服务器, 那么病毒主机就会经常伪造断线的假象, 那么用户就得重新登录游戏服务器, 这样病毒主机就可以盗号了。
2. 局域网内频繁性地区域或整体掉线, 重启计算机或网络设
备后恢复正常
当带有ARP欺骗程序的计算机在网内进行通讯时, 就会导致频繁掉线, 出现此类问题后重启计算机或禁用网卡会暂时解决问题, 但掉线情况还会发生。
3. 网速时快时慢, 极其不稳定, 但单机进行光纤数据测试时一切正常
当局域内的某台计算机被ARP的欺骗程序非法侵入后, 它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包, 阻塞网络通道, 造成网络设备的承载过重, 导致网络的通讯质量不稳定。用户会感觉上网速度越来越慢或时常断线。当ARP欺骗的木马程序停止运行时, 用户会恢复从路由器上网, 切换过程中用户会再断一次线。
三、防御方法
1. 使用可防御ARP攻击的三层交换机, 绑定端口MAC-IP, 限
制ARP流量, 及时发现并自动阻断ARP攻击端口, 合理划分VLAN, 彻底阻止盗用IP、MAC地址, 杜绝ARP的攻击。
2. 查找病毒源, 对病毒源头的机器进行处理, 杀毒或重新安装系统。
解决了ARP攻击的源头PC机的问题, 可以保证内网免受攻击。
3. 对于经常爆发病毒的网络, 进行Internet访问控制, 限制用户对网络的访问。
此类ARP攻击程序一般都是从Internet下载到用户终端, 如果能够加强用户上网的访问控制, 就能极大的减少该问题的发生。
4. 关闭一些不需要的服务, 条件允许的可关闭一些没有必要的共享, 也包括、等管理共享。
完全单机的用户也可直接关闭Server服务。
5. 经常更新杀毒软件 (病毒库) , 设置允许的可设置为每天定时自动更新。
安装并使用网络防火墙软件, 网络防火墙在防病毒过程中也可以起到至关重要的作用, 能有效地阻挡自来网络的攻击和病毒的入侵。
6. 给系统安装补丁程序, 通过Windows Update安装好系统补丁程序 (关键更新、安全更新和Service Pack) 。
摘要:本文详细分析了ARP协议以及实现ARP攻击的原理, 列举了ARP病毒的各种常见现象, 并给出了具体的防御方法。
关键词:ARP协议,ARP病毒,分析,防御
参考文献
[1]周增国:局域网络环境下ARP欺骗攻击及安全防范策略[J].计算机与信息技术, 2006, (11)
[2]陈英马洪涛:局域网内ARP协议攻击及解决办法[J].中国安全科学学报, 2007, (07)
[3]张道军吴银芳袁海峰:校园网络中ARP病毒的综合治理[J].网络安全技术与应用, 2007, (09)
局域网中ARP攻击与防御 篇6
由于近期单位的局域网运行不稳定, 联网计算机出现频繁掉线的现象严重影响了用户网络化办公经过对硬件检测后, 断定是ARP病毒在捣鬼。这种病毒是一种利用计算机病毒使计算机网络无法正常运行的计算机攻击手段, 有效的防范ARP形式的网络攻击已成为确保网络畅通的必要条件。
1 ARP协议
ARP是TCP/IP协议集中的网络层协议之一, ARP协议完成IP地址转换为第二物理地址 (即MAC地址) , 从而实现通过IP地址来访问网络设备的目的。然而, 一些非法的入侵者和网络监听者利用各种技术和手段, 篡改和伪造IP地址和M A C地址, 在网络中产生大量的A R P通信量使网络阻塞或者实现中间人进行ARP重定和嗅探攻击, 以达到非法监听和获取他人在网络上传输的信息的目的, 这种网络入侵方式为ARP欺骗它是近年来网络入侵攻击的主要形式之一, 严重威胁着网络信息的安全。
2 ARP欺骗和攻击的方式
ARP攻击, 是指攻击者利用地址解析协议本身的运行机制而发动的攻击行为包括进行对主机发动IP冲突攻击数据包轰炸, 切断局域网上任何一台主机的网络连接等主要有以盗取数据为主要目的的ARP欺骗攻击, 还有以捣乱破坏为目的的ARP泛洪攻击两种针对这两种主要攻击方式, 本文作者又细分为以下几种ARP攻击类型。
2.1 ARP欺骗攻击
(1) Do S (Denial of Service) 中文为拒绝服务攻击。拒绝服务攻击就是使目标主机不能响应外界请求, 从而不能对外提供服务的攻击方法如果攻击者将目标主机A R P缓存中的MAC地址全部改为根本就不存在的地址, 那么目标主机向外发送的所有以太网数据帧会丢失, 使得上层应用忙于处理这种异常而无法响应的外来请求, 也就导致目标主机产生拒绝服务。
(2) 中间人攻击:中间人攻击就是攻击者将自己的主机插入两个目标主机通信路径之间, 使他的主机如同两个目标主机通信路径上的一个中继, 这样攻击者就可以监听两个目标主机之间的通信例如局域网内的三台机子A, S, D, 现在A要监听S与D之间的通信攻击过程如下:A侵染目标主机S与D的ARP缓存, 使得S向D发送数据时, 使用的是D的IP地址与A的MAC地址, 并且D向S发送数据时, 使用的是S的IP地址与A的MAC地址, 因此所有S与D之间的数据都将经过A, 再由A转发给他们。
如果攻击者对一个目标主机与它所在局域网的路由器实施中间人攻击, 那么攻击者就可以截取Internet与这个目标主机之间的全部通信。
2.2 IP地址冲突攻击
制造出局域网上有另一台主机与受害主机共享一个IP的假象由于违反了惟一性要求, 受害主机会自动向用户弹出警告对话框大量的攻击数据包能令受害主机耗费大量的系统资源对于Windows操作系统, 只要接收到一个ARP数据包, 不管该ARP数据包符不符合要求, 只要该ARP数据包所记录的源ip地址同本地主机相同但mac地址不同, Windows系统就会弹出IP地址冲突的警告对话框。
2.3 ARP泛洪攻击
攻击主机持续把伪造的MAC-IP映射对发给受害主机, 对于局域网内的所有主机和网关进行广播, 抢占网络带宽和干扰正常通信这种攻击方式的主要攻击特征包含:
通过不断发送伪造的ARP广播数据包使得交换机忙于处理广播数据包耗尽网络带宽。
令局域网内部的主机或网关找不到正确的通信对象, 使得正常通信被阻断。
用虚假的地址信息占满主机的ARP高速缓存空间, 造成主机无法创建缓存表项, 无法正常通信, 这种攻击特征作者将其命名为ARP溢出攻击。ARP泛洪攻击不是以盗取用户数据为目的, 它是以破坏网络为目的, 属于损人不利己的行为。
2.4 ARP扫描攻击
向局域网内的所有主机发送ARP请求, 从而获得正在运行主机的IP和MAC地址映射对。ARP扫描往往是为发动ARP攻击做准备。攻击源通过ARP扫描来获得所要攻击主机的IP和M A C地址从而为网络监听盗取用户数据实现隐蔽式攻击做准备。
2.5 ARP虚拟主机攻击
通过在网络内虚拟构建网卡, 将自己虚拟成网络内的一台主机, 拥有虚拟的物理地址和IP地址。主要是通过在链路层捕获所有流经的ARP请求数据包进行分析, 若是对虚拟主机的ARP请求就会发送对应虚拟物理地址的ARP响应, 并且虚拟主机本身也会发送ARP请求。虚拟主机攻击会占用局域网内的IP地址资源, 使得正常运行的主机发生IP地址冲突, 并且局域网内的主机也无法正常获得IP地址。
3 ARP攻击的发现与定位
要定位感染ARP木马电脑的MAC地址有三种方法:
方法一:可以查看三层交换机网段里面的ARP信息, 如果发现里面存在有不同IP对应相同MAC列表的情况, 就可以肯定该网段内有A R P欺骗, 这个M A C地址就是感染A R P木马的电脑M A C。
方法二:用户端可以通过输入命令的方式, 输入ARP-A命令即可显示与该电脑直连设备的MAC, 就会发现电脑网关所对应的MAC地址是否被修改, 如果被修改就可判定该电脑感染了ARP木马程序。
方法三:安装网络检测软件的用户, 如果网段中有ARP攻击, 检测软件会有报警, 如antiARP软件会自动弹出攻击者的MAC地址, 网络执法官则会显示一个与MAC地址对应的两个IP地址, 其中一个IP必然为网关, 那该MAC对应电脑就是攻击者。
如果确定了MAC的攻击者, 还需要进行物理位置定位来确定该电脑的使用者, 以便及时通知对方进行处理, 现在高校用户大部分使用真实IP地址进行上网, 只要找到该IP地址就等于找到了该用户。
4 ARP欺骗攻击的防范策略
4.1 用户端防御
由于绝大部分ARP欺骗攻击都是针对网关进行攻击的, 使本机上ARP缓存中存储的网关设备的信息出现紊乱, 这样当机器要上网发送数据包给网关时就会因为地址错误而失败, 造成计算机无法上网。针对此在用户端计算机上绑定交换机网关的IP和MAC地址, 就是强制指定ARP对应关系。
(1) 静态绑定
首先获取网关的真实M A C地址。网络正常的情况下PING网关lP地址, 之后用ARP-A查看网关的lP对应的MAC地址。
编写一个批处理文件ARP.BAT, 实现将交换机网关的MAC地址和lP地址的绑定, 内容如下:
ARP-D (清空ARP缓存)
将这个批处理文件加入计算机启动项中, 以便每次开机后自动加载并执行该批处理文件, 对用户起到一个很好的保护作用。
(2) 使用防ARP攻击的软件
下载和使用防ARP攻击的软件, 如AARP;Aarpguard等支持arp过滤的防火墙。
4.2 网管交换机端绑定
采用在核心交换机上绑定用户主机的IP地址的网卡的M A C地址, 同时在边缘交换机上将用户计算机网卡的M A C地址和交换机端口绑定的双重安全绑定方式。
(1) IP和MAC地址的绑定
在核心交换机上将所有局域网络用户的IP地址与其网卡MAC地址一一对应进行全部绑定, 这样可以极大程度上避免非法用户使用ARP欺骗或盗用合法用户的IP地址进行流量的盗取。
(2) M A C E地址与交换机端口的绑定
根据局域网用户所在的区域楼体和用户房间所对应的交换机端口号, 将用户计算机网卡的MAC地址和交换机端口绑定此方案可以防止非法用户随意接入网络端口上网网络用户如果擅自改动本机网卡的MAC地址, 该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现上网, 自然也就不会对局域网造成干扰了。
(3) 采用VLAN技术隔离端口
网络管理员可根据本单位网络的拓扑结构, 具体规划出若干个VLAN, 当发现有非法用户在恶意利用ARP欺骗攻击网络, 或因合法用户受ARP病毒感染而影响网络时, 首先利用技术手段查找到该用户所在的交换机端口, 然后把该端口划一个单独的VLAN将该用户与其他用户进行物理隔离, 以避免对其他用户的影响可以利用将交换机端口Disable来屏蔽该用户对网络造成影响, 从而达到安全防范的目的。
5 结束语
网络欺骗攻击作为一种非常专业化的攻击手段, 给网络安全管理者带来了严峻的考验, ARP欺骗是一种典型的欺骗攻击类型, 它利用了ARP协议存在的安全隐患, 并使用一些专门的攻击工具, 使得这种攻击变得普及并有较高的成功率对于A R P欺骗的网络攻击, 不仅需要用户自身做好防范工作, 更需要网络管理员时刻保持高度警惕, 并不断跟踪防范欺骗攻击的最新技术, 做到防患于未然。
参考文献
[1]邓清华, 陈松乔.0tus欺骗攻击及其防范[J].微机发展.2004.
[2]张海燕.ARP漏洞及其防范技术[J].网络安全.2005.
局域网防御恶意入侵与攻击浅述 篇7
(一) 典型网络入侵和攻击方法
1. 使用网络扫描器:
网络扫描器是利用C/S结构中的请求-应答机制来实现的, 是网络入侵者收集信息的重要工具。扫描器能够发现目标主机和网络, 识别目标主机的端口状态和目标主机正在运行的各种服务并测试这些服务中是否存在漏洞, 能够根据漏洞信息分析系统脆弱点, 生成扫描报告。常用的扫描方法有利用网络命令、端口扫描和漏洞扫描三种。
2. 特洛伊木马:
特洛伊木马 (简称木马) 是一种C/S结构的网络应用程序, 木马程序一般由服务器端程序和控制器端程序组成。“中了木马”就是指目标主机中被安装了木马的服务器端程序。若主机“中了木马”, 则攻击者就可以利用木马的控制器端程序与驻留在目标主机上的服务器端程序进行通信, 进而达到获取目标主机上的各种信息的目的。木马的服务器端程序通常是嵌入到主机的合法程序中, 随合法程序运行后独立工作, 或者作为单独的程序在设定的条件下自动运行, 极具隐蔽性和危害性。
3. 缓冲区溢出:
缓冲区是指计算机程序运行时在内存中开辟的临时存储数据的区域。理想情况是, 程序检查数据长度并且不允许输入超过缓冲区长度的内容, 但是很多程序都不做这种检查, 这就为缓冲区溢出埋下隐患。通过向缓冲区写入超出其长度的内容, 造成缓冲区的溢出, 缓冲区溢出可能会带来两种结果:一是过长的内容覆盖了相邻的存储单元, 引起程序运行失败, 严重的可导致系统崩溃;二是破坏程序的堆栈, 使程序转而执行其它的指令, 由此而引发多种攻击方法。
4. 拒绝服务攻击:
拒绝服务攻击是利用合理的服务请求来占用过多的服务资源, 致使目标主机服务超载, 停止提供服务或资源访问。这些服务资源包括网络带宽、磁盘容量、内存、进程等。拒绝服务攻击是由于网络协议本身的安全缺陷造成的, 这种攻击会导致资源的匮乏, 无论目标主机速度多快、容量多大、网络环境多好都无法避免这种攻击。拒绝服务攻击能实现两种效果:一是迫使目标主机的缓冲区满, 不接收新的请求;二是使用IP欺骗, 迫使目标主机把合法用户的连接复位, 影响合法用户的连接。常见的拒绝服务攻击方法有广播风暴、SYN淹没、IP分段攻击和分布式攻击等。
5. 网络监听:
以太网协议的工作方式是把要发送的数据包发往同一网段内的所有主机, 在包头中含有目的主机的地址, 正常情况下, 只有地址与数据包的目标地址相同的主机才能接收数据包, 但是当主机工作在监听模式下, 不管数据包中的目标地址是什么, 它都可以接收。网络监听就是利用这一原理, 将主机设置在监听模式下从网上截获各种信息。网络监听需要进入到目标主机所在的局域网内部, 选择一台主机实施, 监听效果最好的地方是在网关、路由器、防火墙上, 能捕获更多的信息。
6. IP欺骗:
IP欺骗是利用TCP/IP协议本身的安全缺陷实现攻击的, 它通过盗用合法的IP地址, 获取目标主机的信任, 进而访问目标主机上的资源。目前, 许多安全性解决方案都依赖于精确的IP地址, 所以不论目标主机上运行的是何种操作系统, IP欺骗攻击都是容易实现的, 这些攻击包括序列号欺骗、路由攻击、源地址欺骗和授权欺骗。
(二) 防范网络入侵和攻击局域网的主要措施和技术
1. 访问控制技术
访问控制的主要目的是确保网络资源不被非法访问和非法利用, 是网络安全保护和防范的核心策略之一。访问控制技术主要用于对静态信息的保护, 需要系统级别的支持, 一般在操作系统中实现。目前, 访问控制主要涉及入网访问控制、权限控制、目录级安全控制以及属性安全控制等多种手段。
入网访问控制通过对用户名、用户密码和用户帐号默认权限的综合验证、检查来限制用户对网络的访问, 它能控制哪些用户、在什么时间以及使用哪台主机入网。入网访问控制为网络访问提供了第一层访问控制。
网络用户一般分为三类:系统管理员用户, 负责网络系统的配置和管理;普通用户, 由系统管理员创建并根据他们的实际需要为其分配权限;审计用户, 负责网络系统的安全控制和资源使用情况的审计。用户入网后就可以根据自身的权限访问网络资源。权限控制通过访问控制表来规范和限制用户对网络资源访问, 访问控制表中规定了用户可以访问哪些目录、子目录、文件和其它资源, 指定用户对这些文件、目录等资源能够执行哪些操作。
系统管理员为用户在目录一级指定的权限对该目录下的所有文件和子目录均有效。如果用户滥用权限, 则会对这些目录、文件或设备等网络资源构成威胁。目录级安全控制可以限制用户对目录和文件的访问权限, 进而保护目录和文件的安全, 防止用户权限滥用。
属性安全控制是通过给网络资源设置安全属性标记来实现的。它可以将目录或文件隐藏、共享和设置成系统特性, 可以限制用户对文件进行读、写、删除、运行等操作等。属性安全在权限安全的基础上提供更进一步的安全性。
2. 防火墙技术
防火墙是一种高级访问控制设备, 是置于不同网络安全域之间的一系列部件的组合, 是不同网络安全域间通信流的惟一通道, 它能根据有关的安全策略控制 (允许、拒绝、监视、记录) 进出网络的访问行为。防火墙是网络安全的屏障, 是提供安全信息服务、实现网络安全的基础设施之一。
防火墙能极大地提高一个内部网络的安全性, 防止来自被保护区域外部的攻击, 并通过过滤不安全的服务而降低风险;能防止内部信息外泄和屏蔽有害信息, 利用防火墙对内部网络的划分, 可以实现内部网络重点网段的隔离, 限制安全问题扩散, 从而降低了局部重点或敏感网络安全问题对全局网络造成的影响;能强化网络安全策略, 将局域网的安全管理集中在一起, 便于统一管理和执行安全策略;能严格监控和审计进出网络的信息, 如果所有的访问都经过防火墙, 那么, 防火墙就能记录下这些访问并做出日志记录, 同时也能提供网络使用情况的统计数据。当发生可疑动作时, 防火墙能进行适当的报警, 并提供网络是否受到监测和攻击的详细信息。
3. 数据加密技术
数据加密能防止入侵者查看、篡改机密的数据文件, 使入侵者不能轻易地查找一个系统的文件。数据加密技术是网络中最基本的安全技术, 主要是通过对网络中传输的信息进行加密来保障其安全性, 是一种主动的安全防御策略。
数据加密实质上是对以符号为基础的数据进行移位和置换的变换算法, 这种变换受“密钥”控制。常用的数据加密技术有私用密钥加密技术和公开密钥加密技术。私用密钥加密技术利用同一个密钥对数据进行加密和解密, 这个密钥必须秘密保管, 只能为授权用户所知, 授权用户既可以用该密钥加密信息, 也可以用该密钥解密信息。DES是私用密钥加密技术中最具代表性的算法。公开密钥加密技术采用两个不同的密钥进行加密和解密, 这两个密钥是公钥和私钥。如果用公钥对数据进行加密, 只有用对应的私钥才能进行解密;如果用私钥对数据进行加密, 则只有用对应的公钥才能解密。公钥是公开的, 任何人可以用公钥加密信息, 再将密文发送给私钥拥有者。私钥是保密的, 用于解密其接收的用公钥加密过的信息。目前比较安全的采用公开密钥加密技术的算法主要有RSA算法及其变种Rabin算法等。
4. 入侵检测技术
入侵检测是对入侵行为的检测, 它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息, 检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
用于入侵检测的软件与硬件的组合便是入侵检测系统, 入侵检测系统被认为是防火墙之后的第二道安全闸门, 它能监视分析用户及系统活动, 查找用户的非法操作, 评估重要系统和数据文件的完整性, 检测系统配置的正确性, 提示管理员修补系统漏洞;能实时地对检测到的入侵行为进行反应, 在入侵攻击对系统发生危害前利用报警与防护系统驱逐入侵攻击, 在入侵攻击过程中减少入侵攻击所造成的损失, 在被入侵攻击后收集入侵攻击的相关信息, 作为防范系统的知识, 添加入侵策略集中, 增强系统的防范能力, 避免系统再次受到同类型的入侵攻击。
入侵检测作为一动态安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护, 在网络系统受到危害之前拦截和响应入侵, 它与静态安全防御技术 (防火墙) 相互配合可构成坚固的网络安全防御体系。
5. 安全扫描
安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测, 以找出安全隐患和可能被攻击者利用的漏洞。安全扫描是把双刃剑, 攻击者利用它可以入侵系统, 而管理员利用它可以有效地防范攻击者入侵。
安全扫描常采用基于网络的主动式策略和基于主机的被动式策略。主动式策略就是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应, 从而发现其中的漏洞;而被动式策略就是对系统中不合适的设置, 脆弱的口令以及其它同安全规则抵触的对象进行检查。利用被动式策略扫描称为系统安全扫描, 利用主动式策略扫描称为网络安全扫描。
目前, 安全扫描主要涉及四种检测技术:基于应用的检测技术、基于主机的检测技术、基于目标的漏洞检测技术、基于网络的检测技术。
6. 安全审计
网络安全是动态的, 对已经建立的系统, 如果没有实时的、集中的可视化审计, 就不能及时评估系统的安全性和发现系统中存在的安全隐患。网络安全审计就是在一个特定的网络环境下, 为了保障网络和数据不受来自外网和内网用户的入侵和破坏, 而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件, 以便集中报警、分析、处理的一种技术手段, 它是一种积极、主动的安全防御技术。
计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计, 以及加强安全教育, 增强安全责任意识。目前, 网络安全审计系统主要包含以下几种功能:采集多种类型的日志数据、日志管理、日志查询、入侵检测、自动生成安全分析报告、网络状态实时监视、事件响应机制、集中管理。
7. 安全管理
安全管理就是指为实现信息安全的目标而采取的一系列管理制度和技术手段, 包括安全检测、监控、响应和调整的全部控制过程。需要指出的是, 不论多么先进的安全技术, 都只是实现信息安全管理的手段而已, 信息安全源于有效地管理, 要使先进的安全技术发挥较好的效果, 就必须建立良好的信息安全管理体系, 制定切合实际的网络安全管理制度, 加强网络安全的规范化管理力度, 强化网络管理人员和使用人员的安全防范意识。只有网络管理人员与使用人员共同努力, 才能有效防御网络入侵和攻击, 才能使信息安全得到保障。
摘要:随着信息化时代的到来, 网络成了人们生活中的一部分, 而一些恶意入侵、攻击对信息安全的威胁越来越大。文章从典型的网络入侵和攻击方法入手, 阐述了局域网如何防范网络入侵与攻击的主要技术措施。
关键词:安全和保密,局域网,入侵和攻击,防范技术
参考文献
[1]张尧学, 王晓春, 赵艳标.计算机网络与INTERNET教程[M].北京:清华大学出版社, 1999.
CSRF攻击与防御 篇8
电力企业作为关系国家能源安全和国民经济命脉的重要骨干企业, 承担着为经济社会发展提供安全、可持续电力供应的基本使命, 因此保证供电企业网络信息安全极为重要。随着日新月异发展的信息安全问题, 电力信息系统安全系统面临着各种新型的威胁。2014年4月21日至5月20日, 国家计算机网络入侵防范中心发布漏洞总条目为523条, 漏洞总数为87.2%, 不断上升, 其中高危漏洞占总量的31.17%[1]。大量恶意代码、木马程序、间谍软件等分布在重要信息系统中, 带来难以预测的安全风险。
目前防御电网系统威胁的基本方法是使用基于误用检测的入侵检测系统 (IDS) 、入侵防御系统 (IPS) 、防病毒软件等[2]。这类安全措施是采用被动防御方式 (静态防御) , 只能检测已知的攻击类型, 依赖于特征库中特征码的数量和质量。当这些被动防御遇到0day等新型未知威胁时, 受特征库中特征码局限性的影响, 不能产生报警。因此针对未知威胁特征库和未知威胁监测的主动防御技术 (动态防御) 是对传统静态防御方式的有效补充。本文就是把动态防御应用到抵御智能电网的新型攻击当中, 并提出相应的动态防御方法。
1 传统攻击与新型攻击的比较
1.1 传统攻击的主要方式与特点
电网当中传统的攻击方式有特洛伊木马攻击、DoS攻击、缓冲区溢出攻击、端口扫描攻击、电子邮件攻击、网络监听攻击、跳板攻击、WEB服务器攻击、分片攻击和IP欺骗攻击[3]。
传统犯罪集团攻击没有明确的攻击目标, 利用这些方式对全网计算机进行恶意攻击, 获取目标用户个人账号, 通过账号获取访问权限从而扩展访问权限。对于这些传统的攻击现都有其对应的防御策略, 如应对特洛伊木马攻击, 攻击对象可以通过木马程序名称匹配、注册表关键词匹配、初始化文件检测以及危险服务禁用、敏感端口禁用、防病毒软件查杀等方式堵住控制非法权限获取和停用可疑进程[4]。应对缓冲区溢出攻击一般通过越界检测访问数据和禁止代码空间外执行的指令的方法来提高系统的安全等级。这些传统的攻击行为往往是一次性, 容易被捕获, 可以通过防火墙, 杀毒软件等防御手段, 使传统被动防御检测率超过95%。
1.2 新型攻击的主要方式与特点
新型攻击的主要方式是在传统攻击的基础之上增加一些新的特点。比如传统的DoS攻击主要分为淹没式和资源占用式两种攻击方式, 而一种新型的DDoS攻击则是通过协议漏洞达到消耗服务器链接资源, 从而导致服务器无法正常反馈信息[5];基于0day漏洞的新型攻击一般具有明确攻击目标, 利用0day漏洞、后门程序、精心构造的RAT等方式对针对电力企业发起攻击, 其攻击行为频率高, 持续时间长。因被动防御系统中没有特定样本及特征, 往往不容易被检测。此外, 新型攻击的攻击目的并不是损害系统的稳定性、可靠性, 攻击者会将自己的攻击损害降到最低, 躲避目标系统管理员监控, 其目的在于窃取系统内存储的高价值的资料、数据和机密;新型攻击者通常不计成本地通过各种手段挖掘、购买0day漏洞, 甚至专门开发针对特定目标恶意的软件以躲避目标的IDS/IPS、安全软件系统。在此基础上, 攻击者进一步通过伪造、欺骗等方法在目标企业员工的个人系统主机中构造攻击跳板;从防护技术来看, 相较于传统网络攻击易于被现有安全防御设备检测、防范, 新型攻击的潜伏时间长, 难以被已有的安全防御系统所检测, 甚至在攻击后, 也难以被溯源[6]。更严重的是, 如果攻击者所利用系统安全漏洞、设备漏洞没有及时修补升级, 新型攻击会再一次发起, 这将对电力企业网络的安全防护系统造成严重威胁[7]。所以, 针对新型攻击, 电力企业需要采取新的思路和手段防御新型攻击威胁。
对于传统犯罪集团的攻击行为, 安全工程师仅需提取恶意程序的样本并做分析, 便可以获得犯罪集团的攻击动机及攻击方式, 并及时更新入侵检测、入侵防御特征库。但对于新型攻击方式以点概面的安全检测方式已无法胜任。面对新型攻击的攻击方式, 应当有一套更主动、智能、完善的安全防御体系。
2 新型攻击对电力企业的攻击方式及过程分析
新型攻击对电力企业的攻击流程可以分为7个步骤 (见图1) 。
(1) 通过各种攻击手段突破面向外网的web服务器;
(2) 通过已被入侵的web服务器做跳板, 对国网内网的其他网络服务或终端进行0day漏洞扫描, 为进一步入侵做准备;
(3) 攻击者给电力企业内部员工发送带有0day漏洞的欺诈邮件, 获取不同权限的帐号。
(4) 通过发送恶意软件 (木马、后门、Downloader等) , 目标员工主机被植入poison IVY远程控制程序。
(5) 借助已攻陷员工主机, 继续采用多种手段在电力企业内网渗透, 窃取管理员权限账户、重要员工账户等口令, 并最终突破核心开发环境以及核心服务器;
(6) 搜集电力企业内部高价值文件、资料数据, 并暂存内网某台主机。
(7) 攻击者将窃取的文件加密、切割, 并通过FTP传输到远程攻击者主机上。
通常E- Mail电子邮件是新型攻击最重要的途径之一, 用上面的攻击流程重要的信息可能被黑客窃取。攻击者攻击Web服务器的主要目的是为下步入侵充当跳板, 因此针对E- Mail的攻击行为通常会执行如下工作:发送钓鱼邮件, 窃取用户ID与密码;执行恶意脚本:扫描终端用户使用环境, 发掘可利用的攻击资源;植入恶意软件:针对用户环境中应用程序漏洞, 注入恶意代码, 构建僵尸网络在针对邮件系统的新型攻击的过程中。攻击者通常会利用各种办公系统所支持的各类文档0day, 例如WORD, PDF, PPT等, 越是频繁使用的文档, 越有可能降低用户安全意识。
3 传统静态防御体系失效原因分析
反病毒软件通过特征匹配检测恶意程序, 而新型攻击者开发的独家恶意程序无法被检测。理论情况下, 反病毒软件能够实时检测出任何恶意代码, 并隔离其运行。但是现有的绝大部分反病毒软件仍然以特征码技术作为主要的病毒检测手段, 其检测率取决于反病毒软件的特征库, 一旦反病毒软件扫描到未知威胁, 而其特征库中没有相应的匹配代码, 反病毒软件将无法识别出来。而新型攻击者往往利用常用软件和终端服务器的0day漏洞, 针对目标攻击对象开发专用的恶意病毒程序, 致使市场上的反病毒软件和静态规则防御系统无法对该代码进行有效检测。
理想状态下, 任何未授权的网络连接都能被防火墙阻止或者限制, 其判断的依据包括IP分组的五元组、应用层内容等信息。而新型攻击者往往使用常见的应用层协议端口建立从企业内部到远程主机的SSL加密隧道, 防火墙无法检测应用层加密的网络流量[8]。IDS/IPS设备根据已知的恶意流量特征码来检测并阻断恶意流量, 其过程为通过应用层协议识别、流量传输等特征定义恶意流量特征码。
在实际场景中, 攻击者往往采用周期性的端口跳变等方法, 将其数据传输流量模拟成常见的应用层流量, 例如采用TCP 23端口的间歇性慢速传输, 采用TCP 80端口的突发式传输, 隐藏其流量恶意特征码, 最终逃避IDS/IPS设备。传统的静态安全审计难以应对0day漏洞。目前现有的安全审计方法, 采用事前检测、事后修复的常规方法, 这种常规审计策略不具备事中控制、识别能力。新型攻击者采用的0day漏洞使得传统安全审计中事前预防体系失效, 事后无法采用有效的响应修复策略。
4 动态防御体系
在信息安全保障体系中, 一个系统的信息安全保障被划分为4个部分:保护、检测、响应和恢复 (即PDRR框架) [9]。其中防御思想包括两个方面即传统被动防御 (静态) 和面对新型攻击的主动防御 (动态) :静态防御包括反病毒软件、防火墙规则部署等基本安全手段;而动态防御是在静态防御的基础上, 进一步实现攻击检测、攻击诱导和追溯。在未知特征库和未知威胁的攻击面前, 正是由于传统的网络安全防御体系在保护和检测环节的不足, 导致后续“响应”和“恢复”的失败。因此, 可以将新型攻击的防御过程纳入PDRR模型框架。本文从新型攻击的行为特征出发, 采用主动控制思想力求实现对电力企业中新型攻击的可检测性, 并进一步构建符合PDRR模型框架的动态防御方案 (见图2) 。
保护:新型攻击的检测基于对异常流量进行分析冲突检测, 首先应对网络流量作合理的规则划分, 监控人员面对海量数据做到高度警惕。从而通过对应用程序控制、可信端口控制、邮件内容审计与附件操作控制, 增强对新型攻击的防御能力, 可以帮助监控人员降低日常监控海量数据的工作压力, 为后续的审查、异常行为分析降低难度。同时, 为方便统一漏洞管理, 必须对终端、网络设备和服务器设备实施基于黑白名单思想的策略控制。
检测:检测目标主要包括账号登录名单审查、网络异常流量监控和文件操作备案。
响应:在全天候的连续监控中, 一旦发现异常流量以及异常行为, 监控系统须立即核实被疑似盗用的账号并对已感染的主机或服务器进行隔离, 启用备用设备, 继而评估已泄露的资料情况作现场恢复和损失评估。
恢复:在阻断攻击后, 应立即联系相应驻场工程师, 要求厂商修补相关漏洞, 将攻击者所植入的恶意代码提交给电力公司反病毒支持厂商, 要求更新病毒库。最后应在全网做身份核实、文件加密、设备管理等方面的密钥替换、安全规则数据更新, 更新特征库, 将未知特征库的攻击归为传统已知攻击范围内。
5 动态防御措施
5.1 内外网的防御措施
对于电网的内外网安全防御可以禁止黑名单里的应用程序安装、运行, 禁止Skype, P2P等应用的网络端口, 禁止跳变目的IP地址的应用程序运行;只允存在于白名单当中的特定端口的数据流量;利用网关内容过滤等技术可以阻止一些带有恶意链接、木马附件的邮件。在权限方面也要有严格的管理权限, 同时个性化电网网络使用政策, 比如只有经过管理员的许可才可以查看某些垃圾邮件的内容, 管理员要对这一过程的具体环节备案, 对反动站点的屏蔽, 上网的访问控制等。
新型攻击一般不采用暴力破解技术突破安全防御系统, 而通常利用攻击流程中获得的电力企业内部职员的口令认证信息, 在员工非工作时间进行非法操作, 所以账号登录的时间, 域名注册的时间以及该域名注册的DNS服务器和IP是重要审计对象。由于新型攻击常使用端口跳变、应用层加密等手段将非法操作的流量进行隐藏。只有当安全工程师通过一系列的数据聚类和对比分析才能发现异常行为, 故应在多种查询条件下对流量数据进行可视化对比聚类分析, 例如目的IP地址流量统计排序、目的端口流量统计排序等;对重要文件的读取和写入及对应操作的时间进行安全审核。
把基于行为异常的检测方法 (即把传统特征匹配和虚拟执行引擎结合起来) 应用于电网当中。通过沙箱 (高级蜜罐) 模拟运行环境, 把未知程序真实运行一遍, 从程序工作的行为判断其合法性[10]。这样既可以分析其行为特征、恶意流量特征, 又可以拖延未知威胁进入真实操作系统, 对恶意行为作出即时反应, 最终实现溯源。
在电网内外网当中大量的数据需要传输, 在传输过程当中电网当中数据的安全性也十分重要。新型攻击可以对数据的传输和存储造成威胁。解决这一现象, 可以在电网中加入加密协议就可以解决。运用加密算法和解密身份认证对电网中的数据的传输接收起到双重保护。
5.2 电力无线虚拟专网防御措施
电力无线虚拟专网是SG-ERP信息网络在新形势下的扩展, 是公司信息内网和外网的延伸。电力无线虚拟专网是支撑电力物联网发展的重要基础网络, 实现电力生产、输送、消费、管理各环节信息安全可靠传输, 提供电网生产运行及企业管理全过程的全景全息感知、信息融合及智能管理与决策依据[11]。
电力无线虚拟专网主要存在终端自身风险、传输风险和系统威胁三个安全风险点。终端自身风险主要包括终端物理完整性及数据存储风险、系统漏洞及非法软件风险、设备非法使用风险等, 例如因系统漏洞、非法软件、IMIS号伪造等造成的关键数据丢失。传输风险指通过公共互联网或无线网络通道发生的信息非法截获和篡改, 以及非法终端的接入风险。系统威胁指应用系统资源非授权访问、敏感数据泄露、网络攻击等风险。
为防御新型攻击对电力无线虚拟专网的危害, 使用一种动态防御方法即在通过防火墙之前运用网关加私有云安全中心模式, 通过网关与私有云安全中心的联动来检测和防御电网的新型攻击。通过系统智能集成黑名单, 规模化虚拟机动态鉴定等, 对文件是否包括恶意行为进行判定, 形成自动化分析报告。具体来说, 该解决方案首先会基于本地的特征库对经过网关的流量进行恶意攻击检测, 这些流量同时还会通过私有云安全中心的黑白名单检测, 并对可疑行为进行虚拟执行, 来检测电网的新型攻击。此外, 私有云安全中心还具备动态学习、单点诱发和全网实时同步的能力[12]。“流量会依次经过本地特征库、黑白名单、可疑流量再进入沙箱并全网同步。通过层层过滤, 先进行对性能影响较小的检测, 将范围缩小后再将可疑程序放到沙箱中运行。这样既保证了较高的威胁检测成功率, 又保证了网络的性能, 同时还具有易于维护、实时防御能力较强的优势。”
针对智能电网的新型攻击网关加私有云安全中心模式的动态解决解决方案有如下优点:
(1) 具有0day漏洞监测能力。它不但可以对系统服务器和终端漏洞进行静态检测同时也能进行动态检测, 可以同时识别已知和未知的漏洞。利用文档格式解析将已知漏洞的特征信息构造成特征匹配库进行对比检测;通过静态启发识别技术、行为判别技术、异常流量匹配技术实现对未知漏洞的检测, 并对于特定漏洞可以给出相关的漏洞编号方便后续跟踪。
(2) 具有针对性的环境模拟能力。私有云安全中心采用虚拟技术进行环境构造, 能够对系统进行安全隔离和快速恢复。同时, 通过对虚拟机资源的合理配置, 可充分利用系统资源对多个任务进行并发式分析, 为可疑流量和行为的快速分析提供了有力保障[13]。
(3) 具有海量已知病毒识别能力。将特征库样本信息存储在云端, 理论上不但可以无限扩充病毒特征信息库并且能够实时更新特征库以抵御新型攻击。
6 结论
将传统静态防御体系和新型动态防御体系相结合, 可以进一步减少电网信息安全风险, 提高信息系统运维可靠性、稳定性和可追溯性, 有效提升电力企业信息安全水平, 将信息系统风险对电力生产、客户服务的影响降至最低点, 强力支撑智能电网建设, 增强公司综合竞争能力。
摘要:本文通过对传统网络攻击与新型网络攻击的对比, 分析了在电网系统中新型攻击的流程, 探讨了电力企业传统静态安全防御体系在面对未知威胁时失效的主要原因, 提出了一套更加主动、智能、完善的动态安全防御体系, 并针对电力企业内外网以及电力无线虚拟专网分别制定了相应的动态防御措施。
CSRF攻击与防御 篇9
随着互联网应用的不断丰富与发展, 不同类型不同目的的网络攻击也越演越烈, 其中以DDoS攻击尤甚。从近年来的事件及分析来看, 广泛存在的DDoS攻击不只造成运营商网络资源的浪费, 更严重的是导致业务及服务的中断, 对于网络银行、网络证券、电子商务、游戏、门户网站等服务型和赢利型的行业及应用来说, 其后果可能是致命的。因此运营商无论从自身利益出发, 还是考虑社会及公众利益, 均需要在DDoS攻击安全防御方面加大力度, 探索有效的解决方案。目前运营商部署的DDoS防御系统技术原理单一、过分依靠检测设备及清洗设备的能力, 其效果不尽如人意。
2 DDoS攻击及防御现状
分布式拒绝服务 (DDoS:Distributed Denial o Service) 攻击指借助于客户/服务器技术, 将多台傀儡机联合起来作为攻击平台, 对一个或多个目标发动拒绝服务攻击 (DoS) 。一般表现为:被攻击主机上有大量等待的TCP连接;网络中充斥着大量无用的数据包, 源地址为假地址或私网地址;制造高流量无用数据, 造成网络拥塞, 使被攻击主机无法正常与外界通讯;利用被攻击主机提供的服务或传输协议上的缺陷, 反复高速地发出特定的服务请求, 使被攻击主机无法及时处理所有正常请求;严重时会造成系统运行缓慢或死机。
意识到DDoS攻击的威力和危害后, 运营商一般会在IDC出口、IP骨干网络出口等位置部署整套的DDoS攻击防护系统, 从而保障自身网络安全并为用户提供增值服务。
DDoS攻击防护系统主要包括了异常流量的发现、触发异常流量清洗、流量牵引、清洗非法流量、流量注入等几个工作阶段, 实现机制比较复杂, 实际的应用效果却往往强差人意。
一方面流量监控设备自动发现异常和触发清洗, 对检测设备的性能功能要求很高、对DDoS攻击类型库的更新要求及时, 否则容易出现漏判误判, 在重要事件中, 运营商可能会被迫采用对全部流量进行牵引清洗的做法。对此可通过用户的主动参与得到比较有效的解决:当攻击发生时, 用户往往是首先感知的, 不依赖于DDoS攻击种类的更新, 因此用户可通过自服务方式, 主动触发攻击防御, 不但可以快速启动, 而且也可增强用户的感知与体验, 若运营商希望提供此类增值业务, 感知与体验比报表将更有说服力;
另一方面, 鉴于流量清洗系统的价格不菲, 运营商往往采用集中式部署, 而在普遍的骨干网络拓扑下, 流量的牵引和回注往往是迂回的, 要额外占用很大的中继带宽, 即使是在一般情况下, 牵引和回注的流量仍然会对运营商网络带宽造成比较大的压力。对此, 运营商可通过带宽扩容、增强对网络的操作维护管理、逐渐下移清洗系统进行缓解, 同时可以尝试其他防护手段, 在不进行流量牵引及清洗的条件下把用户所受影响降低。
针对传统DDoS防御方案存在的问题 (如图1) , 本文提出并分析了3种基于用户自服务的DDoS攻击防御方案, 由用户主动发起、主动参与, 从而使安全防护更为便利、直接、有效, 在提高用户体验的同时可根据运营商网络性能、用户需求提供不同的防御方案及效果供选择。
3 DDoS攻击自服务防御方案
将用户自服务方式引入DDoS攻击防御方案中的目的, 是为了更有效、更及时地发现异常流量, 降低漏判误判的概率, 同时增加用户参与的主动性及效果体验:用户通过自助方式发起DDoS攻击防御请求, 运营商设备或者系统对请求进行响应, 堵截或者清洗针对特定目标主机的DDoS攻击流量, 使业务受影响的时间降低到秒级。这种方式跟传统的自动防御攻击方法相比, 用户主动发现攻击并发起防御请求 (发送被攻击主机的地址标识) , 更有针对性, 效果也更为明显, 同样地, 用户的网络设备无需进行硬件或者软件升级。
方案一:采用黑洞拦截方式在运营商边缘就近封堵 (如图2) 。
主要实现机制: (1) 运营商设置专用的黑洞/触发路由器, 为保证该路由器的性能, 通过白名单的形式限制用户请求防御服务的路由前缀及数量;
(2) 用户CPE分别与运营商的PE设备、黑洞/触发路由器建立EBGP邻居关系, 其中PE用于承载正常流量, 黑洞/触发路由器用于防御DDoS攻击;
(3) 当攻击发生时, 用户CPE设备将被攻击主机的地址标记发送给黑洞路由器, 黑洞路由器将指向该主机地址的下一跳更改为一个虚拟地址并向全网发布 (一般通过RR) ;
(4) 前往被攻击主机的流量在进入运营商网络后, PE配置到虚拟地址的黑洞路由, 通过迭代路由方式将攻击流量丢入黑洞, 从而实现将攻击流量封堵在网络边缘。
完成后, 用户网络可恢复正常, 但目标主机将不可用, 访问目标主机的攻击流量和正常流量均被丢弃, 待用户停止向黑洞路由器发送BGP路由后恢复可用。
方案二:采用“软管道”方式进行攻击抑制 (如图3) 。
主要实现机制: (1) 运营商网络PE与用户CPE之间建立EBGP邻居, 双方约定用于标识被攻击地址的特定BGP community;
(2) 攻击发生时, 用户CPE设备通过EBGP连接, 发送携带特定BGP community的目标主机的明细路由给PE;PE再通过RR向全网发布该明细路由;
(3) 在运营商网络所有PE上均配置QPPB策略, 对该明细路由进行私有QoS标识, 此标识仅在本设备内有效;并在出端口进行流量限速;同时为确保攻击发生时BGP协议仍可正常通过, 应为BGP协议分配一定比例的带宽比例 (例如图中为5%) ;
(4) 前往被攻击主机的流量在达到与用户CPE相连的PE后, 其流量将被限制到某个阈值 (图例中为10%) 。
完成后, 用户网络可恢复正常, 到用户网络其他主机的访问流量可正常通过;目标主机仍然可用, 但访问目标主机的攻击流量和正常流量被限速和抑制, 待用户停止发送上述明细路由后将恢复正常QoS标识和速率。
方案三:采用专用安全设备进行流量清洗 (如图4) 。
主要实现机制:
(1) 运营商配置专用流量清洗设备, 流量清洗设备与用户CPE之间通过VPLS建立EBGP邻居, 双方约定用于标识被攻击地址的特定BGP community;
(2) 攻击发生时, 用户CPE通过EBGP连接, 发送携带特定BGP community的目标主机的明细路由给流量清洗设备;
(3) 流量清洗设备将该明细路由通告给PE, 引导去往目标主机的攻击流量进入流量清洗设备进行清洗, 再通过VPLS隧道将合法流量送回用户CPE转发至目标地址。
完成后, 攻击流量被丢弃, 用户网络的目标主机及其他主机均可正常访问, 待用户停止发送上述明细路由后将取消流量清洗。
3种方案的比较见表1。
方案一实施最简单, 但效果是目标主机被封堵, 若要准确判断攻击是否持续则需运营商提供。
方案二需结合运营商全网QoS策略进行实施, 效果是目标主机被抑制甚至封堵, 用户可观察目标主机的流量变化大致判断攻击是否持续。
方案三实施相对比较复杂, 而且效果依赖于安全设备的性能能力, 需由运营商准确判断攻击是否持续。
因此, 若运营商的骨干网络操作维护性能较强且用户对目标主机的可用性要求不太高, 或者对资费比较敏感, 可考虑方案二;若用户对整个自身网络的可用性具有较高要求, 可采用方案三;最后, 若用户愿意暂时放弃目标主机的可用性以保护自身网络其他主机, 则可采用方案一。
4 结束语
DDoS攻击事件日益增加、DDoS攻击类型不断丰富, 而系统化、自动化的流量检测清洗系统往往难以达到及时响应的、差异化效果, 基于此, 文本提出的3种用户自服务DDoS攻击防御方案, 通过用户的主动参与, 从而更快捷、准确地发现问题, 同时提高了用户的安全防御体验。三种方案各有优劣, 各有不同的侧重点和应用场景, 实际应用中需根据不同的用户要求及网络情况进行选择性实施。
参考文献
[1] (美) 威特曼, (美) 马特德.信息安全原理.清华大学出版社, 2006
[2]王秀利等.网络拥塞控制及拒绝服务攻击防范.北京邮电大学出版社, 2009
[3]叶建成.DDoS攻击及其防御技术研究.现代计算机 (专业版) , 2008
[4]谢峰.基于抗DDoS的网络攻击检测与防御.电子科技大学硕士论文, 2008
[5]孙友仓.DDoS攻击检测与防范策略研究.信息网络安全, 2009
【CSRF攻击与防御】相关文章:
DDoS攻击防御07-01
《站长必读:防御DDOS攻击终极指南》04-07
从接入节点谈 和DDOS攻击防御04-20
校园网中ARP攻击及防御方法02-16
威胁与攻击05-20
网络攻击与防范09-11
网络攻击与防范技术05-17
DDoS攻击与检测05-23
网络攻击分析与防范07-06
ARP病毒攻击与防范06-04