现今,网络信息的飞速发展给人类社会带来巨大的推动与冲击,同时也产生了网络系统的安全问题,且这一问题越来越受到人们的关注。
国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的关于技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性。
网络攻击者主要是针对网络中最薄弱的环节进行攻击,其攻击方法多种多样,常见的网络攻击方法有如下几种:
1. TCP SYN拒绝服务攻击
一般情况下,一个TCP连接的建立需要经过三次握手的过程,即:第一步,建立发起者向目标计算机发送一个TCP SYN报文;第二步,目标计算机收到这个SYN报文后,在内存中创建TCP连接控制块(TCB),然后向发起者回送一个TCP ACK报文,等待发起者的回应;第三步,发起者收到TCP ACK报文后,再回应一个ACK报文,这样TCP连接就建立起来了。
一些恶意的攻击者可以利用这个过程,进行TCP SYN拒绝服务攻击:首先,攻击者向目标计算机发送一个TCP SYN报文;其次,目标计算机收到这个报文后,建立TCP连接控制结构(TCB),并回应一个ACK,等待发起者的回应;而发起者则不向目标计算机回应ACK报文,这样导致目标计算机一致处于等待状态。处于这样尴尬状态的半连接如果很多,则会把目标计算机的资源耗尽,而不能响应正常的TCP连接请求。
2. ICMP洪泛
正常情况下,为了对网络进行诊断,一些诊断程序,比如PING等,会发出ICMP响应请求报文(ICMP ECHO),接收计算机接收到ICMP ECHO后,会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的,有的情况下还可能消耗掉大量的资源。这样如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水),则目标计算机会忙于处理这些ECHO报文,而无法继续处理其它的网络数据报文,从而达到攻击目的。
3. 泪滴攻击(Tear Drop)
对于一些大的IP包,需要对其进行分片传送,这是为了符合链路层MTU(最大传输单元)的要求。在IP报头中有一个偏移字段和一个分片标志(MF),如果MF标志设置为1,则表面这个IP包是一个大IP包的片断,其中偏移字段指出了这个片断在整个IP包中的位置。若一个攻击者打破这种正常情况,把偏移字段设置成不正确的值,即可能出现重合或断开的情况,就可能导致目标操作系统崩溃。
4. WinNuke攻击
NetBIOS作为一种基本的网络资源访问接口,广泛的应用于文件共享,打印共享,进程间通信(IPC),以及不同操作系统之间的数据交换。一般情况下,NetBIOS是运行在LLC2(Local Link Control)链路协议之上的,是一种基于组播的网络访问接口。为了在TCP/IP协议栈上实现NetBIOS,RFC规定了一系列交互标准,以及几个常用的TCP/UDP端口:
139:NetBIOS会话服务的TCP端口;
137:NetBIOS名字服务的UDP端口;
136:NetBIOS数据报服务的UDP端口。
WINDOWS操作系统的早期版本(WIN95/98/NT)的网络服务(文件共享等)都是建立在NetBIOS之上的,因此,这些操作系统都开放了139端口。WinNuke攻击就是利用了WINDOWS操作系统的一个漏洞,向这个139端口发送一些携带TCP带外(Out of Band)数据报文,但这些攻击报文与正常携带OOB数据报文不同的是,其指针字段与数据的实际位置不符,这样WINDOWS操作系统在处理这些数据的时候,就会崩溃。
针对各种网络攻击方式,目前广泛运用且比较成熟的网络防范方法有如下几种:
1. 防火墙技术
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。
2.交换机/路由器技术
大部分交换机可以限制传送速率和ACL容量。某些交换机还提供自动流量整形,延迟绑定,深度数据包扫描,伪造IP地址过滤等,可以检测和抵御DoS攻击。路由器端的防御与交换机工作原理类似。
3.IPS(入侵防范系统)技术
IPS能够有效地抵御已知特征码的攻击方式。但是对于使用合法数据进行的恶意攻击,IPS则难以防范。基于ASIC的IPS具有强大的处理能力,可以在较细的数据粒度下很好地防御DoS攻击。
4.主动测试技术
目前市场上出现了一些模拟DoS攻击的安全测试产品,可以先利用它们进行全面的测试,通过后即可发布。这样,可以显著降低DoS攻击造成的威胁。