网络就像一个潘多拉魔盒,光怪陆离、无所不有。但它在给人们的生活增添无穷乐趣的同时,也充斥着太多的骗局和陷阱,不时地令冲浪者防不胜防,这个无法回避的事实告诫人们在网上要时刻保持足够的警惕,那么,如何做呢?
最“笨”的“黑客”采取的手段看起来很拙劣,他们的策略完全是“姜太公式的”,这类“黑客”往往在自己的主页上制造种种借口,要求访问者留下自己的账号、密码等,碰到这种情况,你千万要记住:不要一时冲动,将自己的资料和盘托出!不管对方吹得如何天花乱坠,只要做到心明眼亮,对方就只能徒呼奈何。
当然,“黑客”不都是如此“弱智”的,他们总是会绞尽脑汁地不断变换“作案”手法,千方百计地要攻破别人的城池。典型的做法是:“黑客”通过电子邮件,或在你下载软件的时候,神不知鬼不觉地将一些“神秘”的小程序悄悄地移植到你的机器上,这些小程序会潜伏下来,自动地修改操作系统的核心、开辟数据通道,留下一个危险的后门,当你的机器再一次联上网络时,它们就像“特洛伊木马”一样,将你的账号口令等信息传送给坐享其成的“黑客”。
对于个人来说,对电子邮件中的附件或邮件列表保持警觉;下载软件时尽量不要光顾那些不知底细的个人网站。另外,经常性地变换自己的账号口令也是必要的和明智的做法。
以上涉及的都是个人如何防备“黑客”的问题,与个人比较起来,企业网络的安全无疑要重要得多,无论是学校的机房,还是银行、商业机构以及运营商,它们组建的网络一旦被侵犯,后果往往是不堪设想的。
对于企业来说,往往会成为“专业”的“黑客”的攻击目标,那么企业应该如何做呢?其实就是“扎紧篱笆”、堵住“后门”,常用的方法就是去识别各种攻击手段,提前在自己的网络中做好防攻击措施,要么是让“黑客”攻击不了我们的网络,要么一旦发现攻击即可识别出来,并阻止或惩罚其攻击的报文。说到这里大家可能会想到网络安全策略中的一个最重要的实施手段,没错……,就是访问控制列表(Access Control List),以下简称ACL。
下面从黑客常用的攻击手段中撷取几种,让大家见识一下。
CPU攻击
概览:在网络中,存在着大量针对CPU(Central Processing Unit)的恶意攻击报文以及需要正常上送CPU的各类报文。针对CPU的恶意攻击报文会导致CPU长时间繁忙的处理攻击报文,从而引发其他业务的断续甚至系统的中断;大量正常的报文也会导致CPU占用率过高,性能下降,从而影响正常的业务。
防御:为了保证CPU对正常业务的处理和响应,可以通过下发特定的ACL,针对上送CPU的报文进行限制和分析统计,使单位时间内上送CPU报文的数量限制在一定的范围之内,然后对统计的报文设置一定的阈值,将超过阈值的报文判定为攻击报文,再根据攻击报文信息找出攻击源用户或者攻击源接口,最后通过日志、告警等方式提醒管理员,以便管理员采用一定的措施来保护设备,或者直接丢弃攻击报文以对攻击源进行惩罚。
ARP协议攻击
概览:ARP协议有简单、易用的优点,但是也因为其没有任何安全机制,容易被攻击者利用。
例如ARP泛洪攻击、ARP欺骗攻击。ARP攻击行为存在以下危害: 会造成网络连接不稳定,引发用户通信中断。利用ARP欺骗截取用户报文,进而非法获取游戏、网银、文件服务等系统的帐号和口令,造成被攻击者重大利益损失。
防御:为了避免上述ARP攻击行为造成的各种危害,ARP安全特性针对不同的攻击类型提供了不同的方法。
例如动态ARP检测:当设备收到ARP报文时,将此ARP报文的源IP、源MAC、收到ARP报文的接口及VLAN(Virtual Local Area Network)信息和DHCP绑定表的信息进行比较,如果信息匹配,则认为是合法用户,通过ACL允许此用户的ARP报文通过,否则认为是攻击,丢弃该ARP报文。
DHCP协议攻击
概览:目前DHCP协议在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。
防御:因此必须在DHCP Client和DHCP Server之间建立一道安全访问控制策略,保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击。
DoS攻击
概览:拒绝服务(Denial of Service)攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
防御:基于DHCP绑定表对IP报文进行匹配检查,建立一道安全访问控制策略。当设备在转发IP报文时,将此IP报文中的源IP、源MAC、接口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则通过ACL允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。
或者基于FIB表对IP报文进行匹配检查,建立一道安全访问控制策略。单播逆向路径转发(Unicast Reverse Path Forwarding)在FIB表中查找数据包的IP源地址是否与数据包的源接口相匹配,如果没有匹配表项将通过ACL丢弃该数据包,从而预防IP欺骗,特别是针对伪造IP源地址的DoS攻击非常有效。
畸形报文攻击
概览:畸形报文攻击是通过向目标设备发送有缺陷的IP报文,使得目标设备在处理这样的IP报文时出错和崩溃,给目标设备带来损失。畸形报文攻击主要分为以下几类:没有IP载荷的泛洪、IGMP空报、LAND攻击、Smurf攻击。
防御:针对此类攻击,就是在网络设备上启用畸形报文攻击防范功能,设备实时检测出畸形报文并予以丢弃,实现对本设备的保护。例如如果同一报文的分片数目超过8189个,则设备认为是恶意报文,丢弃该报文的所有分片;收到分片报文时判断Offset*8是否大于65528,如果大于就当作恶意分片报文直接丢弃。
泛洪攻击
概览:还有一些泛洪攻击,例如TCP SYN泛洪攻击、UDP泛洪攻击和ICMP泛洪攻击
防御:这里攻击的防范手段也是建立安全访问控制策略,设备实时检测出泛洪报文并予以丢弃或者限速处理,实现对本设备的保护。
总之,企业和机构的网络面临着各种安全威胁,如黑客攻击、恶意软件、信息泄露、拒绝服务、内部破坏等。关闭不必要的服务、强化口令强度、管理用户的分级分权管理、以及丰富ACL策略的部署等各种网络安全防御措施不是孤立的,而是作为一个整体为一个网络提供安全保障。任何一个环节的问题都可能带来安全隐患,造成不可挽回的损失。
本文转自d1net(转载)