計(jì)算機(jī)網(wǎng)絡(luò)的防御技術(shù)研究

吳鳳剛

（哈爾濱商業(yè)大學(xué)德強(qiáng)商務(wù)學(xué)院 計(jì)算機(jī)與信息工程系 計(jì)算機(jī)科學(xué)與技術(shù)06級(jí)2班）

隨著科學(xué)技術(shù)的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在社會(huì)的生產(chǎn)和經(jīng)營(yíng)活動(dòng)中，發(fā)揮著越來越重要的作用，構(gòu)建一個(gè)安全、穩(wěn)定、可靠的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是當(dāng)前亟待解決的重大問題。

1 攻擊的主要方式

黑客的攻擊手段雖然種類繁多，但主要利用以下兩類漏洞：①TCP/IP協(xié)議自設(shè)設(shè)計(jì)的問題，這是因?yàn)門CP/IP協(xié)議一開始設(shè)計(jì)的時(shí)候，是基于互相信任的網(wǎng)絡(luò)的，故而缺乏對(duì)付網(wǎng)絡(luò)惡意攻擊的手段；②一些操作系統(tǒng)的設(shè)計(jì)漏洞。到目前為止,已經(jīng)發(fā)現(xiàn)的攻擊方式超過2000種,這些攻擊大概可以劃分為以下幾類:

拒絕服務(wù)攻擊:一般情況下,拒絕服務(wù)攻擊是通過使被攻擊對(duì)象(通常是工作站或重要服務(wù)器)的系統(tǒng)關(guān)鍵資源過載,從而使被攻擊對(duì)象停止部分或全部服務(wù)。目前已知的拒絕服務(wù)攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對(duì)付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood 攻擊、Land 攻擊、Win Nuke攻擊等。

非授權(quán)訪問嘗試:是攻擊者對(duì)被保護(hù)文件進(jìn)行讀、寫或執(zhí)行的嘗試,也包括為獲得被保護(hù)訪問權(quán)限所做的嘗試。

預(yù)探測(cè)攻擊:在連續(xù)的非授權(quán)訪問嘗試過程中,攻擊者為了獲得網(wǎng)絡(luò)內(nèi)部的信息及網(wǎng)絡(luò)周圍的信息,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。

可疑活動(dòng):是通常定義的“標(biāo)準(zhǔn)”網(wǎng)絡(luò)通信范疇之外的活動(dòng),也可以指網(wǎng)絡(luò)上不希望有的活動(dòng),如 IP Unknown Protocol和 Duplicate IP Address事件等。

協(xié)議解碼:協(xié)議解碼可用于以上任何一種非期望的方法中,網(wǎng)絡(luò)或安全管理員需要進(jìn)行解碼工作,并獲得相應(yīng)的結(jié)果,解碼后的協(xié)議信息可能表明期望的活動(dòng),如FTU User和Portmapper Proxy等解碼方式。

2 攻擊行為的特征分析與反攻擊技術(shù)

入侵檢測(cè)的最基本手段是采用模式匹配的方法來發(fā)現(xiàn)入侵攻擊行為,要有效的進(jìn)反攻擊首先必須了解入侵的原理和工作機(jī)理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對(duì)幾種典型的入侵攻擊進(jìn)行分析,并提出相應(yīng)的對(duì)策。

2.1 Land攻擊

攻擊類型:Land攻擊是一種拒絕服務(wù)攻擊。

攻擊特征:用于Land攻擊的數(shù)據(jù)包中的源地址和目標(biāo)地址是相同的,因?yàn)楫?dāng)操作系統(tǒng)接收到這類數(shù)據(jù)包時(shí),不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環(huán)發(fā)送和接收該數(shù)據(jù)包,消耗大量的系統(tǒng)資源,從而有可能造成系統(tǒng)崩潰或死機(jī)等現(xiàn)象。

檢測(cè)方法:判斷網(wǎng)絡(luò)數(shù)據(jù)包的源地址和目標(biāo)地址是否相同。

反攻擊方法:適當(dāng)配置防火墻設(shè)備或過濾路由器的過濾規(guī)則就可以防止這種攻擊行為(一般是丟棄該數(shù)據(jù)包),并對(duì)這種攻擊進(jìn)行審計(jì)(記錄事件發(fā)生的時(shí)間,源主機(jī)和目標(biāo)主機(jī)的MAC地址和IP地址)。

2.2 TCP SYN攻擊

攻擊類型:TCP SYN攻擊是一種拒絕服務(wù)攻擊。

攻擊特征:它是利用TCP客戶機(jī)與服務(wù)器之間三次握手過程的缺陷來進(jìn)行的。攻擊者通過偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據(jù)包,當(dāng)被攻擊主機(jī)接收到大量的SYN數(shù)據(jù)包時(shí),需要使用大量的緩存來處理這些連接,并將SYN ACK數(shù)據(jù)包發(fā)送回錯(cuò)誤的IP地址,并一直等待ACK數(shù)據(jù)包的回應(yīng),最終導(dǎo)致緩存用完,不能再處理其它合法的SYN連接,即不能對(duì)外提供正常服務(wù)。

檢測(cè)方法:檢查單位時(shí)間內(nèi)收到的SYN連接否收超過系統(tǒng)設(shè)定的值。

反攻擊方法:當(dāng)接收到大量的SYN數(shù)據(jù)包時(shí),通知防火墻阻斷連接請(qǐng)求或丟棄這些數(shù)據(jù)包,并進(jìn)行系統(tǒng)審計(jì)。

2.3 TCP/UDP端口掃描

攻擊類型:TCP/UDP端口掃描是一種預(yù)探測(cè)攻擊。

攻擊特征:對(duì)被攻擊主機(jī)的不同端口發(fā)送TCP或UDP連接請(qǐng)求,探測(cè)被攻擊對(duì)象運(yùn)行的服務(wù)類型。

檢測(cè)方法:統(tǒng)計(jì)外界對(duì)系統(tǒng)端口的連接請(qǐng)求, 特別是對(duì) 21、23、25、53、80、8000、8080 等以外的非常用端口的連接請(qǐng)求。

反攻擊技術(shù):對(duì)于網(wǎng)絡(luò)的安全防護(hù)措施來說，防火墻是必不可少的手段，也是最有效的方法之一，其作用就是對(duì)內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)進(jìn)行防護(hù)和隱藏，防止來自網(wǎng)絡(luò)外部的攻擊和侵害。當(dāng)收到多個(gè)TCP/UDP數(shù)據(jù)包對(duì)異常端口的連接請(qǐng)求時(shí),通知防火墻阻斷連接請(qǐng)求,并對(duì)攻擊者的IP地址和MAC地址進(jìn)行審計(jì)。反攻擊技術(shù)的核心問題是如何截獲所有的網(wǎng)絡(luò)信息。目前主要是通過兩種途徑來獲取信息,一種是通過網(wǎng)絡(luò)偵聽的途徑來獲取所有的網(wǎng)絡(luò)信息,這既是進(jìn)行攻擊的必然途徑,也是進(jìn)行反攻擊的必要途徑;另一種是通過對(duì)操作系統(tǒng)和應(yīng)用程序的系統(tǒng)日志進(jìn)行分析,來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的安全漏洞。

安裝入侵監(jiān)測(cè)系統(tǒng)：在計(jì)算機(jī)網(wǎng)絡(luò)的關(guān)鍵部位安裝網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS），可以對(duì)網(wǎng)絡(luò)和信息系統(tǒng)訪問的異常行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)和報(bào)警。IDS可以監(jiān)測(cè)網(wǎng)絡(luò)上所有的包（packets），捕捉危險(xiǎn)或有惡意的動(dòng)作，并及時(shí)發(fā)出報(bào)警信息。入侵監(jiān)測(cè)系統(tǒng)可以按照用戶指定的規(guī)則對(duì)端口進(jìn)行監(jiān)測(cè)、掃描。立體安全防御體系中普遍采用入侵監(jiān)測(cè)系統(tǒng)，以識(shí)別防火墻不能識(shí)別的攻擊。

對(duì)于某些較復(fù)雜的入侵攻擊行為 (如分布式攻擊、組合攻擊)不但需要采用模式匹配的方法,還需要利用狀態(tài)轉(zhuǎn)移、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等方法來進(jìn)行入侵檢測(cè)。

3 入侵檢測(cè)系統(tǒng)的幾點(diǎn)思考

入侵檢測(cè)系統(tǒng)存在一些亟待解決的問題,主要表現(xiàn)在以下幾個(gè)方面:

如何識(shí)別“大規(guī)模的組合式、分布式的入侵攻擊”目前還沒有較好的方法和成熟的解決方案。從Yahoo等著名ICP的攻擊事件中,我們了解到安全問題日漸突出,攻擊者的水平在不斷地提高,加上日趨成熟多樣的攻擊工具,以及越來越復(fù)雜的攻擊手法,使入侵檢測(cè)系統(tǒng)必須不斷跟蹤最新的安全技術(shù)。

網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過匹配網(wǎng)絡(luò)數(shù)據(jù)包發(fā)現(xiàn)攻擊行為,入侵檢測(cè)系統(tǒng)往往假設(shè)攻擊信息是明文傳輸?shù)?因此對(duì)信息的改變或重新編碼就可能騙過入侵檢測(cè)系統(tǒng)的檢測(cè),因此字符串匹配的方法對(duì)于加密過的數(shù)據(jù)包就顯得無能為力。

網(wǎng)絡(luò)設(shè)備越來越復(fù)雜、越來越多樣化就要求入侵檢測(cè)系統(tǒng)能有所定制,以適應(yīng)更多的環(huán)境的要求。

對(duì)入侵檢測(cè)系統(tǒng)的評(píng)價(jià)還沒有客觀的標(biāo)準(zhǔn),標(biāo)準(zhǔn)的不統(tǒng)一使得入侵檢測(cè)系統(tǒng)之間不易互聯(lián)。入侵檢測(cè)系統(tǒng)是一項(xiàng)新興技術(shù),隨著技術(shù)的發(fā)展和對(duì)新攻擊識(shí)別的增加,入侵檢測(cè)系統(tǒng)需要不斷的升級(jí)才能保證網(wǎng)絡(luò)的安全性。

采用不恰當(dāng)?shù)淖詣?dòng)反應(yīng)同樣會(huì)給入侵檢測(cè)系統(tǒng)造成風(fēng)險(xiǎn)。入侵檢測(cè)系統(tǒng)通常可以與防火墻結(jié)合在一起工作,當(dāng)入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)攻擊行為時(shí),過濾掉所有來自攻擊者的IP數(shù)據(jù)包,當(dāng)一個(gè)攻擊者假冒大量不同的IP進(jìn)行模擬攻擊時(shí),入侵檢測(cè)系統(tǒng)自動(dòng)配置防火墻將這些實(shí)際上并沒有進(jìn)行任何攻擊的地址都過濾掉,于是造成新的拒絕服務(wù)訪問。

對(duì)IDS自身的攻擊。與其他系統(tǒng)一樣,IDS本身也存在安全漏洞,若對(duì)IDS攻擊成功,則導(dǎo)致報(bào)警失靈,入侵者在其后的行為將無法被記錄,因此要求系統(tǒng)應(yīng)該采取多種安全防護(hù)手段。

總之,入侵檢測(cè)系統(tǒng)作為網(wǎng)絡(luò)安全關(guān)鍵性測(cè)防系統(tǒng),具有很多值得進(jìn)一步深入研究的方面,有待于我們進(jìn)一步完善,為今后的網(wǎng)絡(luò)發(fā)展提供有效的安全手段。

[1]韓希義.計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ).第一版.北京：高等教育出版社，2004.

[2]徐敬東等.計(jì)算機(jī)網(wǎng)絡(luò).第一版.北京：清華大學(xué)出版社，2002.

[3]沈輝等.計(jì)算機(jī)網(wǎng)絡(luò)工程與實(shí)訓(xùn).第一版.北京：清華大學(xué)出版社，2002.

[4]褚建立等.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)用教程.第二版.北京：電子工業(yè)出版社，2003.

[5]劉化君.計(jì)算機(jī)網(wǎng)絡(luò)原理與技術(shù).第一版.北京：電子工業(yè)出版社，2005.