随着网络技术的普及,网络攻击行为出现得越来越频繁。另外,由于网络应用的多样性和复杂性,使得各种网络病毒泛滥,更加剧了网络被攻击的危险。
目前,Internet上常见的网络安全威胁分为以下三类:
1.扫描窥探攻击
扫描窥探攻击利用ping扫描(包括ICMP和TCP)标识网络上存在的活动主机,从而可以准确地定位潜在目标的位置;利用TCP和UDP端口扫描检测出目标操作系统和启用的服务类型。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞,为进一步侵入目标系统做好准备。
2.IP报文攻击
IP报文攻击是通过向目标系统发送有缺陷的IP报文,如分片重叠的IP报文、TCP标志位非法的报文,使得目标系统在处理这样的IP报文时崩溃,给目标系统带来损失。主要的报文攻击有Ping of Death、Teardrop等。
3.DoS攻击
DoS攻击是使用大量的数据包攻击目标系统,使目标系统无法接受正常用户的请求,或者使目标主机挂起不能正常工作。主要的DoS攻击有SYN Flood、Fraggle等。DoS攻击和其它类型的攻击不同之处在于,攻击者并不是去寻找进入目标网络的入口,而是通过扰乱目标网络的正常工作来阻止合法用户访问网络资源。
在多种网络攻击类型中,DOS攻击是最常见的一种,因为这种攻击方式对攻击技能要求不高,攻击者可以利用各种开放的攻击软件实施攻击行为,所以DoS攻击的威胁逐步增大。成功的DoS攻击会导致服务器性能急剧下降,造成正常客户访问失败;同时,提供服务的企业的信誉也会蒙受损失,而且这种危害是长期性的.
1.扫描攻击:
1) 地址扫描攻击
运用ping类型的程序探测目标地址,对此做出响应的系统表示其存在,该探测可以用来确定哪些目标系统确实存在并且是连接在目标网络上的。也可以使用TCP/UDP报文对一定地址发起连接(如TCP ping),通过判断是否有应答报文来探测目标网络上有哪些系统是开放的。
检测进入防火墙的ICMP、TCP和UDP报文,统计从同一个源IP地址发出报文的不同目的IP地址个数。如果在一定的时间内,目的IP地址的个数达到设置的阈值,则直接丢弃报文,并记录日志,然后根据配置决定是否将源IP地址加入黑名单。
2) 端口扫描攻击
端口扫描攻击通常使用一些软件,向目标主机的一系列TCP/UDP端口发起连接,根据应答报文判断主机是否使用这些端口提供服务。利用TCP报文进行端口扫描时,攻击者向目标主机发送连接请求(TCP SYN)报文,若请求的TCP端口是开放的,目标主机回应一个TCP ACK报文,若请求的服务未开放,目标主机回应一个TCP RST报文,通过分析回应报文是ACK报文还是RST报文,攻击者可以判断目标主机是否启用了请求的服务。利用UDP报文进行端口扫描时,攻击者向目标主机发送UDP报文,若目标主机上请求的目的端口未开放,目标主机回应ICMP不可达报文,若该端口是开放的,则不会回应ICMP报文,通过分析是否回应了ICMP不可达报文,攻击者可以判断目标主机是否启用了请求的服务。这种攻击通常在判断出目标主机开放了哪些端口之后,将会针对具体的端口进行更进一步的攻击。
检测进入防火墙的TCP和UDP报文,统计从同一个源IP地址发出报文的不同目的端口个数。如果在一定的时间内,端口个数达到设置的阈值,则直接丢弃报文,并记录日志,然后根据配置决定是否将源IP地址加入黑名单。
2.IP源站选路选项攻击
IP报文中的源站选路选项(Source Route)通常用于网络路径的故障诊断和某些特殊业务的临时传送。携带IP源站选路选项的报文在转发过程中会忽略传输路径中各个设备的转发表项,比如,若要指定一个IP报文必须经过三台路由器R1、R2、R3,则可以在该报文的源路由选项中明确指明这三个路由器的接口地址,这样不论三台路由器上的路由表如何,这个IP报文就会依次经过R1、R2、R3。而且这些带源站选路选项的IP报文在传输的过程中,其源地址和目标地址均在不断改变,因此,通过设置特定的源路由选项,攻击者便可以伪造一些合法的IP地址,从而蒙混进入目标网络。
检测进入防火墙的报文是否设置IP源站选路选项,如果是,则根据用户配置选择对报文进行丢弃或转发,并记录日志。
3. 路由记录选项攻击
与IP源站路由功能类似,在IP路由技术中,还提供了路由记录选项(Route Record)。携带路由记录选项的IP报文在转发过程中,会在路由记录选项字段中记录它从源到目的过程中所经过的路径,也就是记录一个处理过此报文的路由器的列表。IP路由记录选项通常用于网络路径的故障诊断,但若被攻击者利用,攻击者可以通过提取选项中携带的路径信息探测出网络结构。
检测进入防火墙的报文是否设置IP路由记录选项,如果是,则根据用户配置选择对报文进行丢弃或转发,并记录日志。
4. Land攻击
Land攻击利用TCP连接建立的三次握手功能,通过将TCP SYN包的源地址和目标地址都设置成某一个受攻击者的IP地址,导致受攻击者向自己的地址发送SYN ACK消息。这样,受攻击者在收到SYN ACK消息后,就会又向自己发送ACK消息,并创建一个空TCP连接,而每一个这样的连接都将保留直到超时。因此,如果攻击者发送了足够多的SYN报文,就会导致被攻击者系统资源大量消耗。各种系统对Land攻击的反应不同,UNIX主机将崩溃,Windows NT主机会变得极其缓慢。
检测每一个IP报文的源地址和目标地址,若两者相同,或者源地址为环回地址127.0.0.1,则根据用户配置选择对报文进行转发或拒绝接收,并将该攻击记录到日志。
5. SYN Flood攻击
SYN Flood攻击通过伪造一个SYN报文向服务器发起连接,其源地址是伪造的或者一个不存在的地址。服务器在收到该报文后发送SYN ACK报文应答,由于攻击报文的源地址不可达,因此应答报文发出去后,不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,会在被攻击主机上出现大量的半连接,从而消耗其系统资源,使正常的用户无法访问。
将防火墙作为客户端与服务器通信的中继,当客户端发起连接时,防火墙并不把SYN报文传递给服务器,而是自己向客户端发送SYN ACK报文,之后如果防火墙收到客户端的确认报文,才会与服务器进行连接。
6. ICMP Flood攻击
ICMP Flood攻击通过短时间内向特定目标系统发送大量的ICMP消息(如执行ping程序)来请求其回应,致使目标系统忙于处理这些请求报文而不能处理正常的网络数据报文。
通过智能流量检测技术检测通向特定目的地址的ICMP报文速率,如果报文速率超过阈值上限,则认为攻击开始,就根据用户的配置选择丢弃或者转发后续连接请求报文,同时将该攻击记录到日志。当速率低于设定的阈值下限后,检测到攻击结束,正常转发后续连接请求报文。
7. UDP Flood攻击
攻击原理与ICMP Flood攻击类似,攻击者在短时间内通过向特定目标发送大量的UDP消息,导致目标系统负担过重而不能处理正常的数据传输任务。
通过智能流量检测技术检测通向特定目的地址的UDP报文速率,如果报文速率超过阈值上限,则检测到攻击开始,就根据用户的配置选择丢弃或者转发后续连接请求报文,同时将该攻击记录到日志。当速率低于设定的阈值下限后,检测到攻击结束,正常转发后续连接请求报文。
8. Ping of Death攻击
Ping of Death攻击通过发送大于65536字节的ICMP包使操作系统崩溃;通常不可能发送大于65536个字节的ICMP包,但可以把报文分割成片段,然后在目标主机上重组;最终会导致被攻击目标缓冲区溢 出,引起拒绝服务攻击。有些时候导致telne和http服务停止,有些时候路由器重启。
9. Smurf攻击
简单的Smurf攻击是向目标网络主机发ICMP应答请求报文,该请求报文的目的地址设置为目标网络的广播地址,这样目标网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。高级的Smurf攻击是将ICMP应答请求报文的源地址改为目标主机的地址,通过向目标主机持续发送ICMP应答请求报文最终导致其崩溃。
检查ICMP应答请求报文的目的地址是否为子网广播地址或子网的网络地址,如是,则根据用户配置选择对报文进行转发或拒绝接收,并将该攻击记录到日志。
10. WinNuke攻击
WinNuke攻击是向Windows系统的特定目标的NetBIOS端口(139)发送OOB (Out-of-Band,带外)数据包,这些攻击报文的指针字段与实际的位置不符,即存在重合,从而引起一个NetBIOS片断重叠,致使已经与其它主机建立TCP连接的目标主机在处理这些数据的时候崩溃。
检查进入防火墙的UDP报文,如果报文的目的端口号为139,且TCP的紧急标志被置位,而且携带了紧急数据区,则根据用户配置选择对报文进行转发或拒绝接收,并将该攻击记录到日志。
11.IP spoofing
IP数据包为伪造的源IP地址,以便冒充其他系统或发件人的身份。借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道,显示的信息源不是实际的来源,就像这个数据包是从另一台计算机上发送的。
IP欺骗的防范,一方面需要目标设备采取更强有力的认证措施,不仅仅根据源IP就信任来访者,更多的需要强口令等认证手段;另一方面采用健壮的交互协议以提高伪装源IP的门槛。