關鍵詞:網絡 攻擊 防禦 入侵檢測系統
反攻擊技術的核心問題是如何截獲所有的網絡資訊。目前主要是透過兩種途徑來獲取資訊,一種是透過網絡偵聽的途徑來獲取所有的網絡資訊,這既是進行攻擊的必然途徑,也是進行反攻擊的必要途徑;另一種是透過對操作系統和應用程序的系統日誌進行分析,來發現入侵行爲和系統潛在的安全漏洞。
一、攻擊的主要方式
對網絡的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統配置的缺陷”,“操作系統的安全漏洞”或“通信協議的安全漏洞”來進行的。到目前爲止,已經發現的攻擊方式超過2000種,其中對絕大部分攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分爲以下幾類:
(一)拒絕服務攻擊:一般情況下,拒絕服務攻擊是透過使被攻擊對象(通常是工作站或重要服務器)的系統關鍵資源過載,從而使被攻擊對象停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。
(二)非授權訪問嘗試:是攻擊者對被保護檔案進行讀、寫或執行的嘗試,也包括爲獲得被保護訪問權限所做的嘗試。
(三)預探測攻擊:在連續的'非授權訪問嘗試過程中,攻擊者爲了獲得網絡內部的資訊及網絡周圍的資訊,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、端口掃描和IP半途掃描等。
(四)可疑活動:是通常定義的“標準”網絡通信範疇之外的活動,也可以指網絡上不希望有的活動,如IP Unknown Protocol和Duplicate IP Address事件等。
(五)協議解碼:協議解碼可用於以上任何一種非期望的方法中,網絡或安全管理員需要進行解碼工作,並獲得相應的結果,解碼後的協議資訊可能表明期望的活動,如FTU User和Portmapper Proxy等解碼方式。
二、攻擊行爲的特徵分析與反攻擊技術
入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行爲,要有效的進反攻擊首先必須瞭解入侵的原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行爲的發生。下面我們針對幾種典型的入侵攻擊進行分析,並提出相應的對策。
(一)Land攻擊
攻擊類型:Land攻擊是一種拒絕服務攻擊。
攻擊特徵:用於Land攻擊的數據包中的源地址和目標地址是相同的,因爲當操作系統接收到這類數據包時,不知道該如何處理堆棧中通信源地址和目的地址相同的這種情況,或者循環發送和接收該數據包,消耗大量的系統資源,從而有可能造成系統崩潰或死機等現象。
檢測方法:判斷網絡數據包的源地址和目標地址是否相同。
反攻擊方法:適當配置防火牆設備或過濾路由器的過濾規則就可以防止這種攻擊行爲(一般是丟棄該數據包),並對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP位址)。
(二)TCP SYN攻擊
攻擊類型:TCP SYN攻擊是一種拒絕服務攻擊。
攻擊特徵:它是利用TCP客戶機與服務器之間三次握手過程的缺陷來進行的。攻擊者透過僞造源IP位址向被攻擊者發送大量的SYN數據包,當被攻擊主機接收到大量的SYN數據包時,需要使用大量的快取來處理這些連接,並將SYN ACK數據包發送回錯誤的IP位址,並一直等待ACK數據包的迴應,最終導致快取用完,不能再處理其它合法的SYN連接,即不能對外提供正常服務。
檢測方法:檢查單位時間內收到的SYN連接否收超過系統設定的值。
反攻擊方法:當接收到大量的SYN數據包時,通知防火牆阻斷連接請求或丟棄這些數據包,並進行系統審計。