安全防御方法

安全防御方法（精选4篇）

安全防御方法 篇1

1APT攻击介绍

APT全称为Advanced Persistent Threat(高级持续性威胁/渗透攻击),是指组织(特别是政府)或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,它融合了情报、黑客技术、社会工程等各种手段,通过直接或者间接控制IT系统, 针对有价值的信息资产发起复杂而专业的攻击。

1.1APT攻击特点

APT攻击常常具有以下几个特点:

(1)攻击者通常采用恶意网站,钓鱼的方式诱使目标上钩。

(2)攻击者通常采用恶意邮件的方式攻击受害者,这些邮件会被包装成合法的发件人,附件带有隐含的恶意代码(通常为0day漏洞),导致邮件网关等安全设备难以检测。

(3)攻击者通过SQL注入等攻击手段入侵企业的Web Server,以此做跳板对内网的其他服务器或终端不断渗透入侵, 直至到达攻击目标。

(4)入侵成功后,使用压缩加密的方式向外传输数据,致使安全设备无法分析加密传输内容。

(5)攻击者通常不是直接攻击最终目标,而是通过外围入侵层层渗透。

1.2APT攻击环节

APT攻击可以分为事前准备,渗透入侵,攻击收获三个环节。 三个环节互相交织,没有严格的分界线。在每个环节,攻击者可能发起循环攻击,这取决于攻击范围、目标环境变化、攻击是否成功等因素。

1.2.1准备工作

收集信息,了解目标的系统架构、人事管理、安全体系、重要资产。途径可以是:网络公开信息、社工库、钓鱼邮件、网站、 漏洞扫描。这些信息会随着时间不断变化,所以收集信息也贯穿整个攻击过程。

攻击技术储备,通过了解系统版本、应用程序、安全软件, 自行开发0day恶意代码、木马、溢出漏洞代码,设计攻击路径。

初步入侵外围目标,这些不是攻击的最终目标,但是可以被利用来做跳板,进入系统内部。外围目标可以包括:用户终端、 系统帐户、外围服务器、外部基础设施、证书密码。

1.2.2渗透入侵

在这环节,攻击者不断渗透,使用各种方法展开持续攻击:

常规手段:例如病毒传播、安全管理薄弱环节、社会工程欺骗员工获取目标信息、尝试弱密码和默认密码暴力攻击等。

利用漏洞:包括文件(DOC/PPT/PDF)漏洞、浏览器 (Active X/CSS)漏洞、业务逻辑漏洞、提权漏洞、溢出漏洞、 Web漏洞(SQL/XSS/CSRF)等。

木马植入和提权:攻击者在目标服务器植入木马,提权,获取敏感数据。

1.2.3攻击收获

攻击者在窃取有用信息后,构建隐蔽的数据传输通道,把数据传送出来。此时,攻击者可以选择:继续收集价值信息,等待合适时机破坏目标,或者删除病毒、木马、服务器日志等攻击痕迹。

2APT检测及防御方法

2.1APT攻击检测方法

2.1.1恶意代码检测

识别攻击者发送的恶意代码,是识别APT攻击关键的一步。

(1)基于签名特征

了解攻击特征,提取攻击特征签名。对网络传输的数据包进行匹配后,可以准确、快速的检测到此类恶意文件的传输。

(2)基于漏洞特征

了解漏洞触发原理,提取漏洞触发的关键代码。一个漏洞特征可以识别所有利用该漏洞进行攻击的恶意代码。

(3)基于行为特征

上面两种检测方法是基于已知(Nday)攻击/漏洞的前提条件下进行针对性的防御。但攻击者利用未知(0day)漏洞开发恶意代码,则可以轻易绕过这些方法。

沙箱技术就是应对0day恶意代码提出的检测方法。它的原理就是构造一个模拟的执行环境,让可疑文件在这个模拟环境运行,通过观察文件行为来判定是否为恶意代码。

2.1.2异常流量检测

传统IDS是基于攻击特征签名的技术进行监控分析,它把流量与特征库签名进行比对,“匹配成功为非法,否则为正常”。面对APT攻击,IDS可以做一些优化。我们选择基于Netflow的流量监测技术来采集网络流量,建立流量行为和流量分布的数学模型,学习企业网络的“正常流量”,从而鉴别出“异常流量”,发现APT的攻击痕迹。

2.1.3信誉技术检测

在面对APT攻击的时候,可以借助信誉技术进行检测。建立恶意WEB URL库,C&C地址库,僵尸网络地址库,文件MD5代码库,都是识别APT攻击的有效辅助手段。

2.1.4关联分析

无论是恶意代码检测、异常流量检测、或是木马病毒告警, 都只是单一安全设备的告警。APT攻击者会尝试多种路径和方法进行不断渗透入侵,单一设备的告警都是管中窥豹,无法判定是一次普通攻击还是APT攻击。

我们必须建立一套覆盖传统检测技术,可以横向贯穿分析的系统。通过收集所有安全告警信息并进行关联分析,还原APT攻击的所有或者大部分入侵环节,有效区分普通攻击和APT攻击。

关联分析首先需要全面地收集安全信息(例如网络入侵检测、网络防火墙、WEB应用防火墙、内网审计系统、服务器日志、防病毒等);其次需要安全人员具有从零散的安全告警中拼凑出APT攻击链路的方法和经验,包括识别组合攻击、长时间跨度攻击、态势分析等技能,要求比较高。

2.2APT攻击的防御

2.2.1防御手段

在攻击准备阶段,通过IDS、IPS、Web应用防火墙等安全设备识别攻击者对企业外围设备、系统、应用的扫描行为;定期对企业系统、应用程序加固,对员工进行安全意识培训。

在攻击阶段,合理配置内网安全设备安全策略,在不同区域间设置防火墙,在服务器、终端安装防病毒软件并及时更新特征库,加强系统的安全审计、系统账号管理等,提高攻击者渗透入侵难度。对重要信息、敏感信息,使用高强度加密算法,让攻击者无法识别和判断攻击目标。

在攻击收获阶段,对异常流量、加密流量加强监控,特别对于传出流量的识别和分析是检测APT攻击行为的有效途径。

总体来说,合理利用安全设备,建立关联分析模型,实时分析安全告警,对APT攻击的每个关键环节都给予高度重视,主动发现和及时处理,是APT防御的关键所在。

2.2.2团队建设

要实现APT攻击的防御,必须培养专业的安全团队。通过借助厂商的最佳实践,不断完善安全知识库,进行实时代码分析、 渗透测试、漏洞验证、系统修补、安全应急等等工作,建立一套完整的安全防御体系和专业团队。经验丰富的安全团队是任何技术无法取代的。

3结束语

在互联网+时代,政府、大型机构、企业已经离不开IT系统。APT攻击防御则是IT安全的核心内容之一。建立一套完善的APT检测与防御的安全系统,保护好自己的IT资产,是所有企业必须面临和解决的问题。

安全防御方法 篇2

WMI是“Microsoft Windows 管理规范”的简称，需要“Windows Management Instrumentation”服务支持，而这个服务是默认启动的，这就为入侵提供了很大的方便。只要 知道了管理员的用户名和密码，而且本机的135端口已开启， 就可以在被入侵的机器上执行任意命令，取得控制权。而大多数用户在安装系统时都把系统自带的管理员账户Administrator密码留空，这无疑给了 可乘之机，即使是很初级的“无聊 ”也可以轻而易举地使用利用WMI漏洞的工具来实现入侵。

WMI入侵

1.Remoxec

Remoxec是最早出现的利用WMI原理编写的程序，功能简单，但已具有执行任意命令的功能。

在软件界面中输入目标主机的域名或IP地址及具有管理员权限的用户名密码，再输入要执行的命令，就可以入侵了。比如要新建一个用户名名为“simuz”，密码为“123456”的用户，只要输入“net user simuz 123456 /add”即可，命令执行成功后会弹出一个成功的提示对话框。利用命令可以做很多事，比如提升用户为管理员，上传文件等，可以这么说，只要在Shell中可以做到的事，在Remoxec中同样可以做到。

小知识：Shell是一个命令解释器，类似于DOS下的command.com，

它用来接收用户命令，然后调用相应的应用程序。

2.Recton

与Remoxec相比，Recton的功能就强多了，它内置了开启3389端口、开启Telnet等功能，只要输入主机的管理员用户名和密码，选择相应的命令并执行即可。在开启了对方的远程终端服务后，就可以像操作自己的电脑一样操作主机了。

WMI入侵的防范

从上文我们可以得知，利用WMI服务进行入侵需要两个必要条件，即系统的135端口和Windows Management Instrumentation服务要同时开启，所以我们可以对症下药，不用任何工具就能切断 利用WMI入侵这条途径。

方法一:利用WMI入侵首先需要得到目标主机的管理员用户名和密码，而粗心的用户往往会将系统默认的Administrator账户密码留空，因此就给了 可乘之机。我们可以为该账户设置一个“强悍”的密码，这样 就很难破译管理员密码，利用WMI入侵的几率就很小了。

网络安全防御技术浅析 篇3

社会信息化建设和计算机网络技术的发展给人们带来了便利的办公自动化和丰富的资源交流,但是黑客入侵、病毒破坏、木马程序等安全危害也日益增多,网络安全问题日趋严重。随着网络应用的逐渐深入和普及,网络安全越来越重要,网络安全已经称为国家与国防安全的重要组成部分,国家和企业都对建立一个安全的网络有了更高的要求,对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已称为刻不容缓的重要课题。通过开展网络安全防御技术研究,可以发现网络系统中存在的主要安全问题,并找到解决这些问题的方法,有针对性地进行安全管理。

1 网络安全防御技术研究的必要性

随着计算机网络信息系统在我国各行业、各单位的建立和发展,网络信息资源得到了共享和充分的利用,但网络安全方面的问题也日趋严重。并且随着网络技术的不断发展,网络攻击也呈现出一些新趋势。

1.1 攻击自动化

随着大量黑客工具的不断涌现,网络攻击的发起者不再是起初的具有丰富知识的计算机高手,任何具有基本计算机知识的人均可以利用黑客工具进行网络攻击,网络攻击的技术门槛大大降低,给网络信息系统的安全建设带来了严重的威胁。

1.2 攻击速度越来越高

随着分布式攻击工具的出现,攻击者可以管理和协调分布在许多Internet系统上的大量已部署的攻击工具。目前,分布式攻击工具能够更有效、更快速地发动拒绝服务攻击,扫描潜在的受害者,危害存在安全隐患的系统。

1.3 攻击手段多样化

网络技术的发展和网络新应用的不断开发,同时也带来了网络攻击手段的不断变化和翻新,利用漏洞进行的网络攻击更是层出不穷,随着发现安全漏洞的速度越来越快,网络攻击的手段变化也是日新月异。

2 网络安全防御技术

面对严峻的网络安全形势,针对不断出现的网络攻击手段,研究相应的网络安全防御技术显得越来越重要。根据近几年网络安全领域的发展情况,网络安全防御技术大致可以分为两类:传统防御和主动防御。

2.1 传统防御技术

传统防御技术主要包括防火墙、认证技术、访问控制、病毒防范、入侵检测、漏洞扫描、信息加密技术和灾备恢复等。

2.1.1 防火墙技术

防火墙是一种形象的说法,其实它是一种由计算机硬件和软件组成的一个或一组系统,用于增强内部可信网络和外部不可信网络之间的访问控制,从狭义上讲,防火墙是安装了防火墙软件的主机或路由器系统;从广义上来看,防火墙还应该包括整个网络的安全策略和安全行为。

防火墙是设置在被保护网络和外部网络之间的一道屏障,是内部网络和外部网络之间建立起一个安全网关,用来防止发生不可预测的、具有潜在的恶意入侵。它的主要功能包括过滤不安全的服务和非法用户、管理网络访问行为、限制暴露用户、阻止非法的网络访问、对网络攻击进行探测和报警。防火墙技术是目前最为流行也是使用最为广泛的一种网络安全技术,是实现计算机网络安全的重要手段之一。

防火墙系统的实现技术主要分为分组过滤和代理服务两种。分组过滤技术一种基于路由器的技术,由分组过滤路由器对IP分组进行选择,允许或拒绝特定的分组通过,过滤一般是基于一个IP分组的源地址、目的地址、源端口、目的端口和相关协议进行的。代理服务技术是由一个高层的应用网关作为代理服务器,接受外来的应用连接请求,进行安全判定后,再与被保护的网络应用服务器连接,使得外部服务用户可以在受控制的前提下使用内部网络的服务。

2.1.2 认证技术

认证是防止恶意攻击的重要技术,它对开放环境中的各种消息系统的安全有重要作用,认证的主要目的有两个:(1)验证信息的发送者是合法的;(2)验证信息的完整性,保证信息在传送过程中未被篡改、重放或延迟等。目前有关认证的主要技术有:消息认证,身份认证和数字签名。消息认证和身份认证解决了通信双方利害一致条件下防止第三者伪装和破坏的问题。数字签名能够防止他人冒名进行信息发送和接收,以及防止本人事后否认已进行过的发送和接收活动。

2.1.3 访问控制

访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非常访问,也是维护网络系统安全、保护网络资源的重要手段,是保证网络安全最重要的核心策略之一。访问控制技术主要包括入网访问控制、网络的权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点的安全控制等。根据网络安全的等级,网络空间的环境不同,可灵活地设置访问控制的种类和数量。

2.1.4 信息加密技术

信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。加密常用的方法有链路加密、端点加密和节点加密三种,链路加密的目的是保护网络节点之间的链路信息安全;端到端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。

信息加密过程是由形形色色的加密算法来具体实施的,以较小的代价提供较高的安全保护。在多数情况下,信息加密是保证信息机密性的惟一方法。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。在常规密码中,接收方和发送方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。在公钥密码中,接收方和发送方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。

密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。

2.1.5 入侵检测技术

入侵检测,顾名思义,是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

从技术上划分,入侵监测有两种检测模型:(1)异常检测模型,检测与可接受行为之间的偏差,如果可以定义每项可接受的行为,那么每项不可接受的行为就是入侵。这种检测模型漏报率低,但误报率较高。(2)特征检测模型;检测与已知的不可接受行为之间的匹配程度,如果可以定义所有的不可接受的行为,那么每种能够与之匹配的行为都会引起告警。它将所有已知的攻击特征和系统漏洞等以形式化的方法组成一个攻击特征库,然后将捕获到的数据包用模式匹配的方法与特征库中的特征逐条比较,以此判断是否为攻击或恶意入侵,这种模型误报率低,但漏报率较高。随着网络技术的发展,这种检测方法的缺点和不足逐渐显现出来:需要匹配的数据量太大、只能检测到已知的攻击、容易受到欺骗等。

2.1.6 漏洞扫描

漏洞扫描就是对重要计算机信息系统进行检查,发现其中可被黑客利用的漏洞。漏洞扫描的结果实际上就是系统安全性能的一个评估,它指出了哪些攻击是可能的,是网络安全方案的一个重要组成部分。

从底层技术来划分,可以分为基于网络的扫描和基于主机的扫描这两种类型。基于网络的漏洞扫描工具可以看作为一种漏洞信息收集工具,根据不同漏洞的特性,构造网络数据包,发给网络中的一个或多个目标服务器,以判断某个特定的漏洞是否存在。基于网络的漏洞扫描器包含网络映射(Network Mapping)和端口扫描功能。基于主机的漏洞扫描器,扫描目标系统的漏洞的原理,与基于网络的漏洞扫描器的原理类似,但是,两者的体系结构不一样。基于主机的漏洞扫描器通常在目标系统上安装一个代理(A g e n t)或者是服务(Services),以便能够访问所有的文件与进程,这也使基于主机的漏洞扫描器能够扫描更多的漏洞。现在流行的基于主机的漏洞扫描器在每个目标系统上都有个代理,以便向中央服务器反馈信息,中央服务器通过远程控制台进行管理。

2.2 主动防御技术

传统防御技术为网络信息系统的安全运行起到了有力的保护作用,但自身固有的缺陷也制约了其在网络安全建设中不能发挥更大的作用。其缺陷主要为:防御能力是被动且是静态的,其防御能力依赖于在接入系统之前的系统配置,只能防御系统配置中涉及的网络安全攻击,网络安全防护应该是一个动态变化的过程,新的安全漏洞不断出现,黑客的攻击手法不断翻新,传统防御技术难以检测、识别和处理新产生的网络攻击手段,且只能被动的接受来自网络的每一次入侵攻击,不能从根本上解决网络安全问题。

主动防御技术是近几年网络安全领域新兴的一个热点,受到了业内的广泛关注,主动防御技术是指能够及时发现正在进行的网络攻击,预测和识别潜在的攻击,并能采取相应措施使攻击者不能达到其目的的各种方法和技术手段。主动防御技术采用了完全不同于传统防御技术的思想和技术,克服了传统防御技术的不足。主动防御使网络安全防护进入一个更高的阶段,是未来网络安全防护技术的发展方向。主动防御技术是在保证和增强基本网络安全的基础之上实施的,是以传统网络安全防御为前提的,主要包括入侵防护技术、蜜罐和蜜网技术、取证技术等。

2.2.1 入侵防护技术(IPS)

防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数入侵检测系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。

2.2.2 蜜罐和蜜网技术

蜜罐作为一种新兴的网络安全技术,以其独特的思想受到了网络专家的广泛关注。蜜罐技术的奠基者Lance spitzner给出了蜜罐的权威定义:蜜罐是一种安全资源,其价值在于被扫描、攻击和攻陷,然后对这些攻击活动进行监视、检测和分析。蜜罐的主要目标是容忍攻击者入侵,记录并学习攻击者的攻击工具、手段、目的等行为信息,尤其是未知攻击行为信息,从而调整网络安全策略,提高系统安全性能。同时,蜜罐还有转移攻击者注意力,消耗其攻击资源、意志,间接保护真实目标系统的作用。蜜罐技术提供了一种动态识别未知攻击的方法,将捕获的未知攻击信息反馈给防护系统,实现防护能力的动态提升。

蜜网是在蜜罐技术上逐步发展起来的一个新的概念,又称为诱捕网络,在诱捕网络架构中,包含一个或多个蜜罐,同时又保证了网络的高度可控性,以及提供多种数据捕获和数据分析工具,以方便对攻击信息的采集和分析。

为了在大规模的分布式网络中方便地部署和维护蜜罐,对各个子网的安全威胁进行统一收集,Lance spitzner又提出了蜜场的概念,对蜜罐进行集中管理,使得蜜罐的维护、更新、规范化管理和数据分析都变得更加简单。

蜜罐系统主要涉及到以下几种相关技术:网络欺骗、数据捕获、数据控制(端口重定向)、攻击分析、特征提取和自动报警等。它的优点是:(1)误报率低;(2)能够进行对未知攻击的检测;(3)成本低,蜜罐技术不需要大量资金的投入,可以使用一些低成本的设备进行搭建。蜜罐系统的不足是它可以被识别,一旦被攻击者辨别出其蜜罐的身份,它也就失去了价值。

蜜罐技术是一种新兴的技术,还处于发展阶段,由于它有着其他技术无可比拟的优点,目前已称为一个完整防护体系中不可或缺的一部分,相信随着蜜罐技术的不断完善,它必将会得到更广泛的应用,发挥更大的作用。

2.2.3 计算机取证技术

计算机取证(Computer Forensics)也称计算机法医学,它把计算机看作是犯罪现场,运用先进的辨析技术,对电脑犯罪行为进行法医式的解剖,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。网络犯罪手段与网络安全防御技术的关系正如现实社会中的罪犯和警察的关系一样,是魔和道的较量。如果单靠网络安全技术应付网络犯罪效果是非常有限的,还需要借助社会和法律的强大威力对付网络犯罪。法律手段中重要的一条就是证据,计算机取证正是在这种形势下产生和发展的,计算机取证技术的出现标志着网络安全防御理论走向成熟。

取证技术,它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法,在入侵后对数据进行确认、提取、分析,抽取出有效证据,主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、加解密技术和数据挖掘技术。动态取证技术是计算机取证的发展趋势,它是在受保护的计算机上事先安装上代理,当攻击者入侵时,对系统的操作及文件的修改、删除、复制、传送等行为,系统和代理会产生相应的日志文件加以记录。利用文件系统的特征,结合相关工具,尽可能真实的恢复这些文件信息,这些日志文件传到取证机上加以备份保存用以作为入侵证据。在动态取证中最具特色的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、IP地址获取技术、人工智能和数据挖掘技术。

3 网络安全防御技术面临的主要问题及发展趋势

随着计算机网络技术的不断发展,网络防御技术在近几年也成为了研究的热点,得到了快速的发展。但同时也存在一些问题需要解决。一是防火墙技术还有待提高,近年来关于防火墙被攻击成功的事件越来越多,给网络安全保障工作带来了极大威胁;二是入侵检测技术的检测效率不搞,具有较高的误报率和漏报率;三是日益增长的网络流量导致检测分析难度加大;四是网络防御系统自身的安全性也面临考验;五是缺乏统一的网络防御术语和概念框架,缺乏客观的测试与评估信息。

虽然防御技术目前还存在一些尚未解决的难点问题,但这并不能阻止网络安全防御技术的发展。近年来,随着神经网络技术、遗传算法和生物免疫技术等新的概念不断引入到入侵检测技术中来,检测技术将会得到很大的发展,目前已经出现了基于协议分析、基于生物免疫、基于神经网络、基于支持向量机和基于数据挖掘等多种入侵检测技术研究热点,随着对网络防御技术的深入研究,防御技术必将在网络安全防护中得到更加广泛的应用,成为应对网络威胁、保障网络安全的有力武器。

摘要：随着互联网应用的不断深入,计算机系统安全和网络安全受到的威胁日益增加,本文介绍了网络防御技术研究的必要性,并对网络安全相关防御技术进行了分析,最后对网络防御技术的发展趋势作出了展望。

关键词：网络安全,防御技术,入侵,检测

参考文献

[1]应向荣.网络攻击新趋势下主动防御系统的重要性.[J].计算机安全.2003.

[2]黄家林,张征帆.主动防御系统及应用研究.[J].网络安全技术与应用.2007.

[3]高晓飞,申普兵.网络安全主动防御技术.[J].计算机安全.2008.

[4]Anderson J P.Computer Security Threat Monitoring and Surveillance[P].PA19034,USA.1980.

[5]Dorothy E.Denning.An intrusion-detection model.IEEE Trans-actions On Software Engineering.1987.

[6]B.Endicott.Active Defense to Cyber Attacks.Information As-surance and Security[J].2006.

[7]熊华.网络安全——取证与蜜罐[M].北京人民邮电出版社.2003.

ARP攻击原理分析及防御方法 篇4

1 ARP协议简介

计算机通信中,网络层使用的是IP地址,而数据链路层则使用的是硬件地址也成为MAC(Medium Access Control)地址,ARP就是用于将IP地址转化为硬件地址的协议。图1为ARP协议首部格式。

其中,硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。剩余的四个字段分别为6字节的发送方硬件地址、4字节的发送方IP地址、6字节的目标硬件地址和4字节的目标IP地址。ARP协议的工作过程如下:

首先,每台主机都有一个ARP列表,用于存储IP地址和MAC地址的对应关系。当发送方需要将一个数据包发送到目的主机时,首先检查自己的ARP列表是否存在该目的主机IP地址所对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向网内发送一个ARP请求的广播包,查询此目的主机的MAC地址。

ARP请求数据包包含发送方的MAC地址、IP地址和目的主机的IP地址。网络中的所有主机收到这个ARP请求以后,检查该数据包的目的IP地址是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送方的IP地址和MAC地址填入自己的ARP列表,如果已经存在,则将其覆盖,然后给发送方法送一个ARP响应数据包,告知自己的MAC地址。

发送方收到ARP响应数据包以后,将得到的目的主机IP地址和MAC地址添加到自己的ARP列表中,并利用得到的目的主机的MAC地址开始数据的传送。

2 ARP攻击原理分析

ARP协议虽然是一个高效的数据链路层协议,但作为一个局域网协议,它是建立在各主机之间相互信任的基础上的,因此存在一些安全问题。

1)主机ARP列表是基于高速缓存,动态更新的。由于正常的主机间的MAC地址刷新都是有时限的,这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。

2)可以随意发送ARP应答分组。由于ARP协议是无状态的,任何主机即使在没有请求的时候也可以做出应答,因此任何时候都可以发送ARP应答。只要应答分组是有效的,接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。

3)ARP应答无须认证。由于局域网内的主机间通信基本上是相互信任的,因此,只要是收到来自局域网内的ARP应答分组,就会将其中的MAC/IP地址对刷新到本机的高速缓存中,而不进行任何认证。

`通过上面对协议的分析可以发现,利用ARP协议的漏洞就能够很容易的构造出ARP攻击,常见的ARP攻击主要有两种形式:中间人攻击和拒绝服务攻击。

2.1 中间人攻击

所谓中间人(man-in-the-middle)攻击是指攻击者插入到通信双方的连接中,截获并且转发双方数据包的行为。通过截获数据包,可以探测有价值的信息,破坏信息的机密性,或者对信息进行篡改,破坏信息的完整性。中间人攻击可以采用主动形式也可以采用被动形式。假设局域网中有三台主机,如图2所示,其中A、B为正常通信的双方,C为攻击者,三台主机的IP地址和MAC地址对应关系如表1所示。

1)在主动攻击中,攻击者C主动向A发送ARP应答数据包,告诉A,B的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得A修改自己的ARP列表,把B的IP地址对应的MAC地址修改为攻击者C的MAC地址。

2)同时,攻击者C也主动向B发送ARP应答数据包,告诉B,A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得B修改自己的ARP列表,把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。

3)从而使得A←→B之间的通信形式变成A←→B←→C实现了中间人攻击。

在被动攻击中,攻击者C只在A或者B发送ARP请求数据包时,延时一段时间发送应答数据包,使得自己的应答包在正确的应答包之后到达,防止自己修改的相应主机的ARP列表被正确的应答包再次修改。

分析中间人攻击的过程,可以看出中间人攻击主要是利用了ARP协议的无状态和无认证的缺陷,即不管主机是否发送了请求数据包,来了应答包全部进行接收并利用它更新ARP列表(无状态);不管应答包是否是来自它所声称的那台主机,不进行鉴别全部相信并利用它更新ARP列表(无认证)。

2.2 拒绝服务攻击

所谓拒绝服务(deny-of-service)攻击是指攻击者通过耗费目标主机的资源或者提供错误的信息使得目标主机不能够为合法用户或者自己本身的上层应用程序提供服务。在ARP攻击中,攻击者通过主动的或者被动地向目标主机发送带有错误MAC地址的ARP应答包,将目标主机ARP缓存中的MAC地址全部更改为不存在的MAC地址。这样目标主机向外发送的所有以太网数据会丢失,使得上层应用忙于处理这些数据丢失所产生的异常而无法响应外来请求,导致目标主机产生拒绝服务。

拒绝服务攻击的一种延伸方式就是克隆攻击。攻击者首先利用拒绝服务攻击使得目标主机无法提供服务,然后利用自己的另外一台计算机,将它的IP地址和MAC地址修改为目标主机的IP地址和MAC地址,成为目标主机的“克隆”,从而将所有与目标主机的通信都截获下来,达到窃取信息的目的。当然,克隆攻击的能够实现的一个前提条件是使对目标主机实施持续的拒绝服务攻击。

3 ARP攻击的防御方法

网络遭受ARP攻击后经常会导致严重的后果,轻者网络不畅,重者会导致整个局域网的瘫痪。因此针对ARP攻击的特性,对ARP攻击的防范应该从以下几个方面加以考虑:

1)单个主机的防范策略。单个主机要安装杀毒软件并定期升级病毒库、及时下载安装操作系统补丁程序、关闭一些不使用的服务、使用个人防火墙等,除了这些防范一般性病毒和攻击的措施之外,针对ARP攻击,还需要考虑以下措施:

(1)设置静态ARP缓存,即利用arp-s命令在各主机上绑定网关的IP和MAC地址。采用静态缓存,主机在与其他计算机通信时,只要在自己的静态缓存中根据对方IP地址找到相应的MAC地址,然后直接发送给对方。攻击者若向主机发送ARP应答,目标主机也不会刷新ARP缓存,从而避免了ARP欺骗的发生。

(2)关闭ARP动态更新功能。除非很有必要,否则停止使用ARP,将ARP作为永久条目保存在对应表中。

(3)安装Anti Arp Sniffer、Arp Kill等软件,用来防止ARP攻击。

2)网络管理的防范策略。

(1)在网络中的交换机或者路由器中,绑定网络中各主机的IP地址和MAC地址。

(2)使用ARP服务器。即在局域网内部的设置一台机器作为ARP服务器,专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录。当有ARP请求时,该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求,从而防止了ARP欺骗攻击的发生。当然,采用这种方式的非常重要的环节是必须采取可靠的措施首先确保该ARP服务器的安全。

(3)采用VLAN技术隔离端口。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN,这样既能够在发生ARP攻击时减少所影响的网络范围,又能够在发生ARP攻击时便于定位出现的网段和具体的主机。

(4)在网络中使用监测软件,对于网内频繁向网关或者其他机器发送ARP数据包疑似染毒的主机,为了保证网络的整体安全,应立即封掉该主机端口并通知机主,直到其确已杀毒再行开通。

(5)若发现局域网中发生了ARP攻击,应首先定位ARP攻击的源头,比如利用ARPKiller扫描网内有哪些机器的网卡是处于混杂模式,这些机器就有可能就是源头。定位好主机后,将这些机器断开网络,进行反病毒处理,清除病毒后再连入网络。

4 结束语

通过上面的分析,可以看到ARP攻击产生的根源在于ARP协议自身的缺陷。通过采用上述的各种防御措施,能够在一定程度上对ARP攻击起到抑制作用,保障局域网络的正常通信。但是要想从根本上解决这一问题,使用考虑更为全面的下一代IPv6协议无疑是最佳方式之一。随着网络技术的发展,IPv6必将取代IPv4,消除由于IPv4标准的协议的体系结构考虑不够全面的问题,从根本上消除ARP欺骗的根源。目前,防范ARP攻击的措施重点在于预防,这样才能确保局域网的稳定运行。

摘要：该文首先对ARP协议进行了简单的介绍,然后分析了ARP协议所存在的安全问题及由此产生的两种攻击形式,最后提出了防范ARP攻击的一些具体方法。

关键词：ARP,中间人攻击,拒绝服务攻击,VLAN

参考文献

[1]谢希仁.计算机网络[M].4版.北京:电子工业出版社,2003.

[2]陈英,马洪涛.局域网内ARP协议攻击及解决办法[J].中国安全科学学报,2007,17(7):126-131.

[3]陆余良,张永,刘克胜,等.ARP协议在局域网类型探测中的应用[J].计算机工程,2004,30(1):199-201.

[4]王坚,梁海军.ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008(2):99-101.