網絡就像一個潘多拉魔盒,光怪陸離、無所不有。但它在給人們的生活增添無窮樂趣的同時,也充斥著太多的騙局和陷阱,不時地令沖浪者防不勝防,這個無法回避的事實告誡人們在網上要時刻保持足夠的警惕,那么,如何做呢?
最“笨”的“黑客”采取的手段看起來很拙劣,他們的策略完全是“姜太公式的”,這類“黑客”往往在自己的主頁上制造種種借口,要求訪問者留下自己的賬號、密碼等,碰到這種情況,你千萬要記住:不要一時沖動,將自己的資料和盤托出!不管對方吹得如何天花亂墜,只要做到心明眼亮,對方就只能徒呼奈何。
當然,“黑客”不都是如此“弱智”的,他們總是會絞盡腦汁地不斷變換“作案”手法,千方百計地要攻破別人的城池。典型的做法是:“黑客”通過電子郵件,或在你下載軟件的時候,神不知鬼不覺地將一些“神秘”的小程序悄悄地移植到你的機器上,這些小程序會潛伏下來,自動地修改操作系統的核心、開辟數據通道,留下一個危險的后門,當你的機器再一次聯上網絡時,它們就像“特洛伊木馬”一樣,將你的賬號口令等信息傳送給坐享其成的“黑客”。
對于個人來說,對電子郵件中的附件或郵件列表保持警覺;下載軟件時盡量不要光顧那些不知底細的個人網站。另外,經常性地變換自己的賬號口令也是必要的和明智的做法。
以上涉及的都是個人如何防備“黑客”的問題,與個人比較起來,企業網絡的安全無疑要重要得多,無論是學校的機房,還是銀行、商業機構以及運營商,它們組建的網絡一旦被侵犯,后果往往是不堪設想的。
對于企業來說,往往會成為“專業”的“黑客”的攻擊目標,那么企業應該如何做呢?其實就是“扎緊籬笆”、堵住“后門”,常用的方法就是去識別各種攻擊手段,提前在自己的網絡中做好防攻擊措施,要么是讓“黑客”攻擊不了我們的網絡,要么一旦發現攻擊即可識別出來,并阻止或懲罰其攻擊的報文。說到這里大家可能會想到網絡安全策略中的一個最重要的實施手段,沒錯……,就是訪問控制列表(Access Control List),以下簡稱ACL。
下面從黑客常用的攻擊手段中擷取幾種,讓大家見識一下。
CPU攻擊
概覽:在網絡中,存在著大量針對CPU(Central Processing Unit)的惡意攻擊報文以及需要正常上送CPU的各類報文。針對CPU的惡意攻擊報文會導致CPU長時間繁忙的處理攻擊報文,從而引發其他業務的斷續甚至系統的中斷;大量正常的報文也會導致CPU占用率過高,性能下降,從而影響正常的業務。
防御:為了保證CPU對正常業務的處理和響應,可以通過下發特定的ACL,針對上送CPU的報文進行限制和分析統計,使單位時間內上送CPU報文的數量限制在一定的范圍之內,然后對統計的報文設置一定的閾值,將超過閾值的報文判定為攻擊報文,再根據攻擊報文信息找出攻擊源用戶或者攻擊源接口,最后通過日志、告警等方式提醒管理員,以便管理員采用一定的措施來保護設備,或者直接丟棄攻擊報文以對攻擊源進行懲罰。
ARP協議攻擊
概覽:ARP協議有簡單、易用的優點,但是也因為其沒有任何安全機制,容易被攻擊者利用。
例如ARP泛洪攻擊、ARP欺騙攻擊。ARP攻擊行為存在以下危害: 會造成網絡連接不穩定,引發用戶通信中斷。利用ARP欺騙截取用戶報文,進而非法獲取游戲、網銀、文件服務等系統的帳號和口令,造成被攻擊者重大利益損失。
防御:為了避免上述ARP攻擊行為造成的各種危害,ARP安全特性針對不同的攻擊類型提供了不同的方法。
例如動態ARP檢測:當設備收到ARP報文時,將此ARP報文的源IP、源MAC、收到ARP報文的接口及VLAN(Virtual Local Area Network)信息和DHCP綁定表的信息進行比較,如果信息匹配,則認為是合法用戶,通過ACL允許此用戶的ARP報文通過,否則認為是攻擊,丟棄該ARP報文。
DHCP協議攻擊
概覽:目前DHCP協議在應用的過程中遇到很多安全方面的問題,網絡中存在一些針對DHCP的攻擊,如DHCP Server仿冒者攻擊、DHCP Server的拒絕服務攻擊、仿冒DHCP報文攻擊等。
防御:因此必須在DHCP Client和DHCP Server之間建立一道安全訪問控制策略,保證DHCP客戶端從合法的DHCP服務器獲取IP地址,并記錄DHCP客戶端IP地址與MAC地址等參數的對應關系,防止網絡上針對DHCP攻擊。
DoS攻擊
概覽:拒絕服務(Denial of Service)攻擊是一種阻止連接服務的網絡攻擊。DoS的攻擊方式有很多種,最基本的DoS攻擊就是利用合理的服務請求來占用過多的服務資源,從而使合法用戶無法得到服務的響應。
防御:基于DHCP綁定表對IP報文進行匹配檢查,建立一道安全訪問控制策略。當設備在轉發IP報文時,將此IP報文中的源IP、源MAC、接口、VLAN信息和綁定表的信息進行比較,如果信息匹配,表明是合法用戶,則通過ACL允許此報文正常轉發,否則認為是攻擊報文,并丟棄該IP報文。
或者基于FIB表對IP報文進行匹配檢查,建立一道安全訪問控制策略。單播逆向路徑轉發(Unicast Reverse Path Forwarding)在FIB表中查找數據包的IP源地址是否與數據包的源接口相匹配,如果沒有匹配表項將通過ACL丟棄該數據包,從而預防IP欺騙,特別是針對偽造IP源地址的DoS攻擊非常有效。
畸形報文攻擊
概覽:畸形報文攻擊是通過向目標設備發送有缺陷的IP報文,使得目標設備在處理這樣的IP報文時出錯和崩潰,給目標設備帶來損失。畸形報文攻擊主要分為以下幾類:沒有IP載荷的泛洪、IGMP空報、LAND攻擊、Smurf攻擊。
防御:針對此類攻擊,就是在網絡設備上啟用畸形報文攻擊防范功能,設備實時檢測出畸形報文并予以丟棄,實現對本設備的保護。例如如果同一報文的分片數目超過8189個,則設備認為是惡意報文,丟棄該報文的所有分片;收到分片報文時判斷Offset*8是否大于65528,如果大于就當作惡意分片報文直接丟棄。
泛洪攻擊
概覽:還有一些泛洪攻擊,例如TCP SYN泛洪攻擊、UDP泛洪攻擊和ICMP泛洪攻擊
防御:這里攻擊的防范手段也是建立安全訪問控制策略,設備實時檢測出泛洪報文并予以丟棄或者限速處理,實現對本設備的保護。
總之,企業和機構的網絡面臨著各種安全威脅,如黑客攻擊、惡意軟件、信息泄露、拒絕服務、內部破壞等。關閉不必要的服務、強化口令強度、管理用戶的分級分權管理、以及豐富ACL策略的部署等各種網絡安全防御措施不是孤立的,而是作為一個整體為一個網絡提供安全保障。任何一個環節的問題都可能帶來安全隱患,造成不可挽回的損失。
京公網安備 11010502049343號