淺談計算機網絡的防御技術

1、淺談計算機網絡的防御技術論文關鍵詞:網絡攻擊防御入侵檢測系統(tǒng)論文摘要:要保護好自己的網絡不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深化的、詳細的理解,只有這樣才能更有效、更具有針對性的進展主動防護。下面就對攻擊方法的特征進展分析,來研究如何對攻擊行為進展檢測與防御。反攻擊技術的核心問題是如何截獲所有的網絡信息。目前主要是通過兩種途徑來獲取信息,一種是通過網絡偵聽的途徑來獲取所有的網絡信息,這既是進展攻擊的必然途徑,也是進展反攻擊的必要途徑;另一種是通過對操作系統(tǒng)和應用程序的系統(tǒng)日志進展分析,來發(fā)現(xiàn)入侵行為和系統(tǒng)潛在的平安破綻。一、攻擊的主要方式對網絡的攻擊方式是多種多樣的,一般來講,攻擊

2、總是利用“系統(tǒng)配置的缺陷,“操作系統(tǒng)的平安破綻或“通信協(xié)議的平安破綻來進展的。到目前為止,已經發(fā)現(xiàn)的攻擊方式超過2000種,其中對絕大局部攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下幾類:(一)回絕效勞攻擊:一般情況下,回絕效勞攻擊是通過使被攻擊對象(通常是工作站或重要效勞器)的系統(tǒng)關鍵資源過載,從而使被攻擊對象停頓局部或全部效勞。目前的回絕效勞攻擊就有幾百種,它是最根本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型例如有SYNFld攻擊、PingFld攻擊、Land攻擊、inNuke攻擊等。(二)非受權訪問嘗試:是攻擊者對被保護文件進展讀、寫或執(zhí)行的嘗試,也包括為獲得被保護訪問

3、權限所做的嘗試。(三)預探測攻擊:在連續(xù)的非受權訪問嘗試過程中,攻擊者為了獲得網絡內部的信息及網絡周圍的信息,通常使用這種攻擊嘗試,典型例如包括SATAN掃描、端口掃描和IP半途掃描等。(四)可疑活動:是通常定義的“標準網絡通信范疇之外的活動,也可以指網絡上不希望有的活動,如IPUnknnPrtl和DupliateIPAddress事件等。(五)協(xié)議解碼:協(xié)議解碼可用于以上任何一種非期望的方法中,網絡或平安管理員需要進展解碼工作,并獲得相應的結果,解碼后的協(xié)議信息可能說明期望的活動,如FTUUser和PrtapperPrxy等解碼方式。二、攻擊行為的特征分析與反攻擊技術入侵檢測的最根本手段是采

4、用形式匹配的方法來發(fā)現(xiàn)入侵攻擊行為,要有效的進反攻擊首先必須理解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發(fā)生。下面我們針對幾種典型的入侵攻擊進展分析,并提出相應的對策。(一)Land攻擊攻擊類型:Land攻擊是一種回絕效勞攻擊。攻擊特征:用于Land攻擊的數(shù)據包中的源地址和目的地址是一樣的,因為當操作系統(tǒng)接收到這類數(shù)據包時,不知道該如何處理堆棧中通信源地址和目的地址一樣的這種情況,或者循環(huán)發(fā)送和接收該數(shù)據包,消耗大量的系統(tǒng)資源,從而有可能造成系統(tǒng)崩潰或死機等現(xiàn)象。檢測方法:判斷網絡數(shù)據包的源地址和目的地址是否一樣。反攻擊方法:適當配置防火墻設備或過濾路由器的

5、過濾規(guī)那么就可以防止這種攻擊行為(一般是丟棄該數(shù)據包),并對這種攻擊進展審計(記錄事件發(fā)生的時間,源主機和目的主機的A地址和IP地址)。(二)TPSYN攻擊攻擊類型:TPSYN攻擊是一種回絕效勞攻擊。攻擊特征:它是利用TP客戶機與效勞器之間三次握手過程的缺陷來進展的。攻擊者通過偽造源IP地址向被攻擊者發(fā)送大量的SYN數(shù)據包,當被攻擊主機接收到大量的SYN數(shù)據包時,需要使用大量的緩存來處理這些連接,并將SYNAK數(shù)據包發(fā)送回錯誤的IP地址,并一直等待AK數(shù)據包的回應,最終導致緩存用完,不能再處理其它合法的SYN連接,即不能對外提供正常效勞。檢測方法:檢查單位時間內收到的SYN連接否收超過系統(tǒng)設定

6、的值。反攻擊方法:當接收到大量的SYN數(shù)據包時,通知防火墻阻斷連接懇求或丟棄這些數(shù)據包,并進展系統(tǒng)審計。(三)TP/UDP端口掃描攻擊類型:TP/UDP端口掃描是一種預探測攻擊。攻擊特征:對被攻擊主機的不同端口發(fā)送TP或UDP連接懇求,探測被攻擊對象運行的效勞類型。檢測方法:統(tǒng)計外界對系統(tǒng)端口的連接懇求,特別是對21、23、25、53、80、8000、8080等以外的非常用端口的連接懇求。反攻擊方法:當收到多個TP/UDP數(shù)據包對異常端口的連接懇求時,通知防火墻阻斷連接懇求,并對攻擊者的IP地址和A地址進展審計。對于某些較復雜的入侵攻擊行為(如分布式攻擊、組合攻擊)不但需要采用形式匹配的方法,

7、還需要利用狀態(tài)轉移、網絡拓撲構造等方法來進展入侵檢測。三、入侵檢測系統(tǒng)的幾點考慮入侵檢測系統(tǒng)存在一些亟待解決的問題,主要表如今以下幾個方面:(一)如何識別“大規(guī)模的組合式、分布式的入侵攻擊目前還沒有較好的方法和成熟的解決方案。從Yah等著名IP的攻擊事件中,我們理解到平安問題日漸突出,攻擊者的程度在不斷地進步,加上日趨成熟多樣的攻擊工具,以及越來越復雜的攻擊手法,使入侵檢測系統(tǒng)必須不斷跟蹤最新的平安技術。(二)網絡入侵檢測系統(tǒng)通過匹配網絡數(shù)據包發(fā)現(xiàn)攻擊行為,入侵檢測系統(tǒng)往往假設攻擊信息是明文傳輸?shù)?因此對信息的改變或重新編碼就可能騙過入侵檢測系統(tǒng)的檢測,因此字符串匹配的方法對于加密過的數(shù)據包就

8、顯得無能為力。(三)網絡設備越來越復雜、越來越多樣化就要求入侵檢測系統(tǒng)能有所定制,以適應更多的環(huán)境的要求。(四)對入侵檢測系統(tǒng)的評價還沒有客觀的標準,標準的不統(tǒng)一使得入侵檢測系統(tǒng)之間不易互聯(lián)。入侵檢測系統(tǒng)是一項新興技術,隨著技術的開展和對新攻擊識別的增加,入侵檢測系統(tǒng)需要不斷的晉級才能保證網絡的平安性。(五)采用不恰當?shù)淖詣臃错懲瑯訒o入侵檢測系統(tǒng)造成風險。入侵檢測系統(tǒng)通常可以與防火墻結合在一起工作,當入侵檢測系統(tǒng)發(fā)現(xiàn)攻擊行為時,過濾掉所有來自攻擊者的IP數(shù)據包,當一個攻擊者假冒大量不同的IP進展模擬攻擊時,入侵檢測系統(tǒng)自動配置防火墻將這些實際上并沒有進展任何攻擊的地址都過濾掉,于是造成新的回絕效勞訪問。(六)對IDS自身的攻擊。與其他系統(tǒng)一樣,IDS本身也存在平安破綻,假設對IDS攻擊成功,那么導致報警失靈,入侵者在其后的行為將無法被