IP網(wǎng)絡攻擊及安全防護淺析

眾所周知， 目前國內通信業(yè)的焦點仍有很多， 比如TD-SCDMA和WCDMA之爭， 手機電視以及各種3G增值業(yè)務之爭， 牌照之爭， 共享資源減少重復投資之爭， 諸如此類。 但至少有一點， 在各大運營商廠商以及研究院學者之間已經達成了共識。 那就是今后的所有業(yè)務都將使用IP網(wǎng)絡來承載。 實現(xiàn)真正的AllOverIP。

　　并且隨著3G， IPTV等業(yè)務離我們的生活越來越近， 全IP網(wǎng)絡的融合也離我們越來越近。 全IP承載網(wǎng)絡給我們帶來了標準化， 高帶寬， 資源共享， 網(wǎng)絡共享等優(yōu)點的同時， 也給我們帶來了新的思考和挑戰(zhàn)。 最大的挑戰(zhàn)無非來自于兩個方面。 IP的服務質量以及IP的網(wǎng)絡安全。 毫無疑問， 傳統(tǒng)的專網(wǎng)專用的通信網(wǎng)絡可以提供給用戶穩(wěn)定性更好更安全的業(yè)務， 帶給了用戶更好的網(wǎng)絡體驗。 使用IP網(wǎng)絡來承載上層應用確實帶給了我們很多不確定性。 延遲， 丟包， 抖動， 不穩(wěn)定性都會給運營商的服務質量帶來很大沖擊。 同時， 針對IP網(wǎng)絡的安全攻擊事件也層出不窮。 但從總的趨勢來看， 全IP承載是大勢所趨， 利遠大于弊。 因此我們需要花更多的時間來關注服務質量以及IP的網(wǎng)絡安全。 本文則主要側重于IP網(wǎng)絡安全， 從多個方面進行探討。

　　說起網(wǎng)絡安全， 首先自然要說起網(wǎng)絡攻擊。 如果沒有網(wǎng)絡攻擊， 自然天下太平。 而分析起網(wǎng)絡攻擊， 自然離不開對黑客的討論。 那么為什么要發(fā)起網(wǎng)絡攻擊呢？只有切實了解了黑客發(fā)起網(wǎng)絡攻擊的動機才能反黑客。 只有消滅了犯罪的根源， 也才能杜絕犯罪， 維護社會穩(wěn)定。 下面我們可以先從技術的角度對網(wǎng)絡攻擊行為進行一個分類。 按照OSI七層模型來進行分類， 可以分為針對應用層的攻擊， 針對傳輸層的攻擊， 針對網(wǎng)絡層的攻擊還有針對數(shù)據(jù)鏈路層的攻擊。

　　常見的網(wǎng)絡攻擊

　　針對數(shù)據(jù)鏈路層的攻擊

　　arp欺騙攻擊

　　ARP協(xié)議用來完成IP地址到MAC地址的轉換。 ARP協(xié)議對網(wǎng)絡安全具有重要的意義。 通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙， 能夠在網(wǎng)絡中產生大量的ARP通信量使網(wǎng)絡阻塞或者實現(xiàn)“maninthemiddle”進行ARP重定向和嗅探攻擊。 目前網(wǎng)絡上有很多種工具可以完成此類攻擊， 如網(wǎng)絡執(zhí)法官等。 針對此類攻擊也有很多種防范措施， 比如MAC地址靜態(tài)綁定， arp智能檢測等。

　　Mac地址泛洪

　　交換機主動學習客戶端的MAC地址， 并建立和維護端口和MAC地址的對應表以此建立交換路徑， 這個表就是通常我們所說的MAC地址表。 MAC地址表的大小是固定的， 不同的交換機的MAC地址表大小不同。 Mac地址泛洪攻擊是指利用工具產生欺騙MAC， 快速填滿MAC地址表， 交換機MAC地址表被填滿后， 交換機以廣播方式處理通過交換機的報文， 這時攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡信息。 MAC地址表滿了后， 流量以泛洪方式發(fā)送到所有接口， 也就代表TRUNK接口上的流量也會發(fā)給所有接口和鄰接交換機， 會造成交換機負載過大， 網(wǎng)絡緩慢和丟包甚至癱瘓。 目前主流廠家的中低端交換MAC地址表容量在8K左右， 而使用Dsniff工具可以輕松地在1分鐘內產生15萬左右MAC地址沖擊我們的局域網(wǎng)。 而針對這種類型的攻擊防護可以在交換機啟動最大MAC地址限制， 端口安全等策略。

　　針對網(wǎng)絡層的攻擊

　　針對路由協(xié)議的攻擊

　　BGP協(xié)議：由于BGP協(xié)議是依賴于TCP的179端口進行傳輸， 因此可以很容易的通過掃描工具

　　探測179端口來判別BGP的存在而實現(xiàn)攻擊。 同時， 很多基于TCP的攻擊以及TCP本身暴露出來的協(xié)議漏洞同樣都成為BGP協(xié)議潛在的風險。 如基于TCP的SYNflood攻擊， 序列號攻擊， 針對此類攻擊， 可以采用針對179端口的訪問過濾以及BGP對等體的MD5認證來加以保護。

　　OSPF協(xié)議：常見的針對OSPF協(xié)議的攻擊主要有以下幾種。

　　Maxage攻擊。 指的是攻擊者持續(xù)發(fā)送帶有最大maxage(缺省為3600秒)的LSA， 將導致路由器產生刷新信息來發(fā)送這個LSA， 最終將導致整個網(wǎng)絡混亂路由震蕩后以及產生拒絕服務攻擊。

　　序列號攻擊。 RFC規(guī)定OSPF通過序列號來判斷舊的LSA是否需要更新。 當攻擊者持續(xù)插入比較大的LSA序列號報文時， 網(wǎng)絡中的路由器將發(fā)送更新的LSA序列號報文來與攻擊者的LSA報文進行競爭， 最終導致網(wǎng)絡的不穩(wěn)定。

　　最大序列號攻擊。 根據(jù)RFC規(guī)定， 當LSA的報文超過最大序列號0×7FFFFFFF， 需要將此LSA重新初始化在域中進行刷新。 當攻擊者持續(xù)發(fā)送帶有最大序列號的LSA報文到網(wǎng)絡中時， 將造成OSPF整個域的持續(xù)震蕩。

　　ISIS協(xié)議：針對ISIS協(xié)議的攻擊比較難以實現(xiàn)， 因為本身ISIS的LSP的交互是直接承載于二層的， 而不是由IP包頭來承載的， 因此ISIS協(xié)議本身安全性較高并被大型骨干數(shù)據(jù)網(wǎng)絡選為IGP協(xié)議的主要原因之一。

　　給予ICMP協(xié)議的攻擊

　　死亡之ping攻擊：即向目的主機發(fā)送大于64K字節(jié)載荷的報文， 許多操作系統(tǒng)對TCP/IP棧的實現(xiàn)在ICMP包上都是規(guī)定64KB， 并且在對包的標題頭進行讀取之后， 要根據(jù)該標題頭里包含的信息來為有效載荷生成緩沖區(qū)， 當產生畸形的， 聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時， 就會出現(xiàn)內存分配錯誤， 導致TCP/IP堆棧崩潰， 致使接受方當機。 可以通過打系統(tǒng)補丁或防火墻過濾等方法來進行保護。

　　Smurf攻擊：用一臺PC發(fā)包， 將目的地址改為廣播地址(不一定為255.255.255.255， 也可以是一個網(wǎng)段的廣播地址如192.168.1.255)， 源地址改為你想要攻擊的那臺設備的地址， 這樣所有的設備都將向這臺設備回ACK包。 導致那臺設備性能下降。 利用Sniffer就可實現(xiàn)此類攻擊。 可以通過打系統(tǒng)補丁或防火墻過濾等方法來進行保護。

　　ICMP重定向攻擊：通過偽造ICMP重定向報文， 使受害設備的路由表混亂。 可以通過在網(wǎng)關設備上關閉ICMP重定向來進行防護。