防御解决方法

防御解决方法（精选7篇）

防御解决方法 篇1

1 引言

随着计算机网络的飞速发展和计算机应用范围的不断扩大, 各大高校为了方便教学资源管理, 相继加入校园网络。校园网络的普及为教师和学生的学习、工作和生活带来了方便, 但也为校园安全带来了不少隐患。例如各种各样的病毒, 如网络蠕虫、黑客木马、网络钓鱼等, 为了应对这些网络中存在的安全隐患, 必须采取一些必要的安全性措施对校园网络进行有效管理, 如运用各类与网络安全相关的网络协议和防火墙技术, 如ARP防御技术, 成为首要维护校园网络安全的技术手段。

2 ARP协议和基本工作原理

ARP (Address Resolution Protocol, 地址解析协议) 是把计算机的网络地址 (IP地址) 转变成物理地址 (即MAC地址) 的一个TCP/IP协议。它工作于OSI模型中的数据链路层, 是TCP/IP协议中最底层的协议之一。

ARP协议工作原理分为两种状态:

第一种状态:同一网络中, 选取两台计算机, 分别命名为计算机A和计算机B, 假定计算机A的IP地址为10.10.51.34, 网卡地址MAC为00-55-44-33-22-01;计算机B的IP地址为10.10.51.35, 网卡地址MAC为00-55-44-33-22-02。当计算机A要与计算机B进行通信, 计算机A就先查找自身的ARP缓存, 检索是否有计算机B的MAC地址, 如果存在就可以直接进行通信, 如果不存在, A机就广播一个ARP请求, 请求含有A机的IP地址和网卡地址MAC以及B机的IP地址, 在该本地网络中的所有计算机都会接收到这个请求, 在正常的情况下只有计算机B会回应这个ARP请求, 并在这个请求中加入B机的网卡地址MAC, 并回复给A机, 当A机收到回复后, 就会与B机建立通信。计算机A和计算机B分别会更新自己的ARP缓存, 为通信提供方便。

第二种状态:在远程网络中, 选取计算机C和计算机D, 计算机C的IP地址为202.116.1.1, 网卡地址MAC为00-55-44-33-22-03;计算机D的IP地址为200.116.1.1, 网卡地址MAC为00-55-44-33-22-04。当计算机C与计算机D进行通信, 先查找路由表中D机对应的路由地址, 如果没有, 就采用默认网关, 然后在ARP缓存中查找该网关对应的网卡地址MAC, 如果有, 就进行通信, 如果没有, ARP将广播一个包含网关地址而不是计算机D的IP地址的请求。路由器用自身的网卡地址MAC响应计算机C, 并获取C机的MAC地址, 如果此网关的网卡地址MAC不在ARP缓存中, 则通过ARP广播获得。一旦它获得MAC, ICMP响应就送到路由器上, 然后传回计算机C。

3 遭受ARP攻击的后果

在校园网中, 通过ARP协议层攻击网络是校园网络遭受攻击的常见现象。在没有完善网络安全防范措施的情况下, 校园网中出现攻击ARP协议层, 会导致整个校园网络瘫痪, 用户无法正常使用网络, 信息被攻击者截取, 大量个人安全信息泄漏, 使原来设置的的“客户—网关”模式变成“客户—攻击者—网关”模式。

因为ARP缓存有生存时间, 超时后会重新刷新, 因此校园网会间断性出现掉网现象, 这是因为校园网受到一次ARP攻击后, ARP表信息被修改, 与网关失去联系, 网络终端计算机就会断网;当ARP缓存超时后, ARP表被刷新, 使网络终端计算机能正常和网关联系, 所以终端计算机又能连接到网络。

4 ARP攻击原理

ARP所有活动都与ARP转化表结合, 该表会被主机在一定的时间间隔后刷新, 这个时间也是ARP高速缓存的生存时间, 一般为10分钟。恶意攻击者完全可能利用这个时间段发送一个带有欺骗性的ARP请求和回答, 来改变另一个主机ARP高速缓存中的地址映射 (即IP与MAC的对应关系) , 使得被攻击的主机地址解析时发生错误结果, 导致所封装的数据被发往入侵者希望投送的目的主机。

一般来说主机在发送一个IP包前, 要在自身ARP转化表中查找IP包中对应的MAC地址, 如果没有找到, 主机会广播一个ARP包, 然后刷新自身的ARP缓存, 接着发出IP包。攻击原理图如图1所示。

ARP协议并不是只在发送了ARP请求才接收ARP应答, 恶意攻击者可以制作一个ARP响应包, 发送给想要攻击的主机, 通过假的ARP请求来修改主机中动态的ARP缓存实现ARP攻击;接着攻击者会在该网络中不断发送广播, 诱使其他计算机认为攻击者主机是网关, 把信息发到攻击者的计算机上, 正常的信息就不能到达正确的网关, 也导致被诱骗的计算机断网。与此同时, 如果攻击者计算机诱骗网关, 使网关确认攻击者计算机是该网络中的任意一台计算机, 使网关把其他计算机发送的信息发给了这台虚假的计算机, 那么相关的信息就会被窃取, 使整个网络出现安全隐患。受到ARP攻击的计算机一般会出现两种情况:

1.在主机窗口中不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的对话框。;

2.计算机无法正常上网, 网络中断。

5 ARP攻击的防御解决方法

5.1 设置静态的ARP转化表

在网络内通过主机IP地址和网关进行IP地址和MAC绑定。ARP遭受攻击是由攻击者计算机通过改变ARP动态实时的规则诱骗局域网内机器实现的, 把ARP全部设置为静态可以解决攻击者对局域网内计算机的诱骗, 同时在网关进行计算机IP地址和网卡地址MAC的静态绑定, 实现双向绑定。设置方法如下:

通过命令“arp-s”实现对每台主机进行IP地址和MAC地址静态绑定。

例:“arp-s 10.10.51.82 AA-AA-AA-AA-AA-AA”。

如果设置成功会在主机通过执行arp╞a看到相关的提示:

这个操作方法对于只有少数主机的校园局域网来说是非常可靠的, 但是对于主机数量大的校园局域网, 如果每一台都进行双向静态绑定, 工作量是非常大的;而且如果网络中部分存在主机是移动设备时, 就不能采用这种方法。

5.2 运用ARP防火墙软件防御

目前比较主流的ARP防火墙软件有:360ARP防火墙、金山防火墙、瑞星防火墙、采用防火墙、超级巡警软件等。因为大部分防火墙软件都是免费的, 较安全、快捷, 所以适合一般局域网使用。

以360ARP防火墙软件为例, 目前大部分电脑都选择安装360安全卫士作为后台保护软件, 其ARP防火墙功能使用相对简单。具体操作:在360木马防火墙中开启“局域网防火墙 (ARP) ”后, 此前能连通网络但不能打开网页的问题即可解决。在校园局域网中基本可以通过这个方法解决主机不能上网的问题。

5.3 采用防ARP攻击的路由器

这类路由器的主要原理是定期发送自己正确的ARP信息。

ARP遭受攻击最常见的特征就是掉网, 一般情况下不需要处理, 在一定时间内可以恢复正常上网。现在大多数主流路由器都会在很短时间内不停广播正确ARP信息, 使受攻击的主机恢复正常。带有防ARP攻击的路由器原理图如图2所示。

这种操作能彻底防御ARP攻击, 用三层交换机把端口、IP、MAC给绑定起来, 控制ARP流量, 并可以及时断开被ARP攻击的端口。

6 结束语

校园网的使用者是学生和教师, 涉及的信息安全是非常重要, 因此校园网是非常容易受到ARP攻击的一个大型局域网。ARP攻击利用ARP协议的安全漏洞, 给局域网内各主机的安全通信带来了极大的危害。本文提出了三种ARP攻击的防御解决方法, 这些方法具有如下特点: (1) 可进一步完善校园网的网络管理、节约带宽, 增强校园局域网的安全性和稳定性。 (2) 这些方法对用户透明, 可操作性强, 与网络结构无关, 后台服务器相对独立。 (3) 在网络用户、网关、交换机、路由器、服务器之间采用不同的ARP防御技术构建一个多层次的ARP防御体系, 最大限度地减少ARP攻击, 保障网络安全畅通。

摘要：ARP攻击是一种非常恶劣的网络攻击行为, 会造成网络不稳定, 用户无法上网甚至整个局域网通信中断。ARP攻击直接威胁着局域网用户的信息安全, 有效地防范ARP攻击已成为确保网络畅通的必要条件。本文主要介绍ARP协议的概念和工作原理, 分析了ARP的攻击表现和攻击原理, 最后提出了ARP攻击的防御解决方法。

关键词：ARP协议,ARP攻击原理,防御解决方法

防御解决方法 篇2

日前,山石网科正式发布其依托于Hillstone IPS产品的网络入侵防御系统解决方案。方案针对日趋复杂的应用层安全威胁和多种网络攻击,包括提供2-7层的入侵防御,准确监测网络异常流量,针对蠕虫木马、间谍软件、僵尸网络以及缓冲区溢出和SQL注入/XSS攻击等各类攻击进行实时检测和防御,并且采用先进的应用识别检测技术,实现应用层深度防护;同时通过灵活的流量管控功能,有效限制带宽滥用,确保关键业务的正常稳定运作。

Hillstone IPS支持在线部署和旁路部署模式,可根据具体应用环境,选择合适的部署模式。例如在线部署,可实时检测出威胁信息并及时阻断;旁路部署时,IPS处于监控模式,一旦发现威胁信息,可以及时生成日志并发出告警信息,帮助网络管理员有效监控并分析网络安全态势。山石网科网络入侵防御系统解决方案具有以下几个突出特点:全面入侵防御,过滤网络恶意流量;精确应用识别,实现网络应用可控;专业Botnet检测,杜绝僵尸网络危害;灵活流量管控,保障业务运行效率;虚拟IPS,不同应用安全有别;虚拟安全补丁, 漏洞修补“零时差”。

ARP攻击原理分析及防御方法 篇3

1 ARP协议简介

计算机通信中,网络层使用的是IP地址,而数据链路层则使用的是硬件地址也成为MAC(Medium Access Control)地址,ARP就是用于将IP地址转化为硬件地址的协议。图1为ARP协议首部格式。

其中,硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。剩余的四个字段分别为6字节的发送方硬件地址、4字节的发送方IP地址、6字节的目标硬件地址和4字节的目标IP地址。ARP协议的工作过程如下:

首先,每台主机都有一个ARP列表,用于存储IP地址和MAC地址的对应关系。当发送方需要将一个数据包发送到目的主机时,首先检查自己的ARP列表是否存在该目的主机IP地址所对应的MAC地址,如果有,就直接将数据包发送到这个MAC地址;如果没有,就向网内发送一个ARP请求的广播包,查询此目的主机的MAC地址。

ARP请求数据包包含发送方的MAC地址、IP地址和目的主机的IP地址。网络中的所有主机收到这个ARP请求以后,检查该数据包的目的IP地址是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同,该主机首先将发送方的IP地址和MAC地址填入自己的ARP列表,如果已经存在,则将其覆盖,然后给发送方法送一个ARP响应数据包,告知自己的MAC地址。

发送方收到ARP响应数据包以后,将得到的目的主机IP地址和MAC地址添加到自己的ARP列表中,并利用得到的目的主机的MAC地址开始数据的传送。

2 ARP攻击原理分析

ARP协议虽然是一个高效的数据链路层协议,但作为一个局域网协议,它是建立在各主机之间相互信任的基础上的,因此存在一些安全问题。

1)主机ARP列表是基于高速缓存,动态更新的。由于正常的主机间的MAC地址刷新都是有时限的,这样恶意用户如果在下次交换之前成功地修改了被欺骗机器上的地址缓存,就可以进行假冒或拒绝服务攻击。

2)可以随意发送ARP应答分组。由于ARP协议是无状态的,任何主机即使在没有请求的时候也可以做出应答,因此任何时候都可以发送ARP应答。只要应答分组是有效的,接收到ARP应答分组的主机就无条件地根据应答分组的内容刷新本机高速缓存。

3)ARP应答无须认证。由于局域网内的主机间通信基本上是相互信任的,因此,只要是收到来自局域网内的ARP应答分组,就会将其中的MAC/IP地址对刷新到本机的高速缓存中,而不进行任何认证。

`通过上面对协议的分析可以发现,利用ARP协议的漏洞就能够很容易的构造出ARP攻击,常见的ARP攻击主要有两种形式:中间人攻击和拒绝服务攻击。

2.1 中间人攻击

所谓中间人(man-in-the-middle)攻击是指攻击者插入到通信双方的连接中,截获并且转发双方数据包的行为。通过截获数据包,可以探测有价值的信息,破坏信息的机密性,或者对信息进行篡改,破坏信息的完整性。中间人攻击可以采用主动形式也可以采用被动形式。假设局域网中有三台主机,如图2所示,其中A、B为正常通信的双方,C为攻击者,三台主机的IP地址和MAC地址对应关系如表1所示。

1)在主动攻击中,攻击者C主动向A发送ARP应答数据包,告诉A,B的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得A修改自己的ARP列表,把B的IP地址对应的MAC地址修改为攻击者C的MAC地址。

2)同时,攻击者C也主动向B发送ARP应答数据包,告诉B,A的IP地址所对应的MAC地址是CC-CC-CC-CC-CC-CC,从而使得B修改自己的ARP列表,把A的IP地址对应的MAC地址修改为攻击者C的MAC地址。

3)从而使得A←→B之间的通信形式变成A←→B←→C实现了中间人攻击。

在被动攻击中,攻击者C只在A或者B发送ARP请求数据包时,延时一段时间发送应答数据包,使得自己的应答包在正确的应答包之后到达,防止自己修改的相应主机的ARP列表被正确的应答包再次修改。

分析中间人攻击的过程,可以看出中间人攻击主要是利用了ARP协议的无状态和无认证的缺陷,即不管主机是否发送了请求数据包,来了应答包全部进行接收并利用它更新ARP列表(无状态);不管应答包是否是来自它所声称的那台主机,不进行鉴别全部相信并利用它更新ARP列表(无认证)。

2.2 拒绝服务攻击

所谓拒绝服务(deny-of-service)攻击是指攻击者通过耗费目标主机的资源或者提供错误的信息使得目标主机不能够为合法用户或者自己本身的上层应用程序提供服务。在ARP攻击中,攻击者通过主动的或者被动地向目标主机发送带有错误MAC地址的ARP应答包,将目标主机ARP缓存中的MAC地址全部更改为不存在的MAC地址。这样目标主机向外发送的所有以太网数据会丢失,使得上层应用忙于处理这些数据丢失所产生的异常而无法响应外来请求,导致目标主机产生拒绝服务。

拒绝服务攻击的一种延伸方式就是克隆攻击。攻击者首先利用拒绝服务攻击使得目标主机无法提供服务,然后利用自己的另外一台计算机,将它的IP地址和MAC地址修改为目标主机的IP地址和MAC地址,成为目标主机的“克隆”,从而将所有与目标主机的通信都截获下来,达到窃取信息的目的。当然,克隆攻击的能够实现的一个前提条件是使对目标主机实施持续的拒绝服务攻击。

3 ARP攻击的防御方法

网络遭受ARP攻击后经常会导致严重的后果,轻者网络不畅,重者会导致整个局域网的瘫痪。因此针对ARP攻击的特性,对ARP攻击的防范应该从以下几个方面加以考虑:

1)单个主机的防范策略。单个主机要安装杀毒软件并定期升级病毒库、及时下载安装操作系统补丁程序、关闭一些不使用的服务、使用个人防火墙等,除了这些防范一般性病毒和攻击的措施之外,针对ARP攻击,还需要考虑以下措施:

(1)设置静态ARP缓存,即利用arp-s命令在各主机上绑定网关的IP和MAC地址。采用静态缓存,主机在与其他计算机通信时,只要在自己的静态缓存中根据对方IP地址找到相应的MAC地址,然后直接发送给对方。攻击者若向主机发送ARP应答,目标主机也不会刷新ARP缓存,从而避免了ARP欺骗的发生。

(2)关闭ARP动态更新功能。除非很有必要,否则停止使用ARP,将ARP作为永久条目保存在对应表中。

(3)安装Anti Arp Sniffer、Arp Kill等软件,用来防止ARP攻击。

2)网络管理的防范策略。

(1)在网络中的交换机或者路由器中,绑定网络中各主机的IP地址和MAC地址。

(2)使用ARP服务器。即在局域网内部的设置一台机器作为ARP服务器,专门保存并且维护网络内的所有主机的IP地址与MAC地址映射记录。当有ARP请求时,该服务器通过查阅自己缓存的静态记录并以被查询主机的名义响应ARP局域网内部的请求,从而防止了ARP欺骗攻击的发生。当然,采用这种方式的非常重要的环节是必须采取可靠的措施首先确保该ARP服务器的安全。

(3)采用VLAN技术隔离端口。局域网管理员可以根据本单位的网络拓扑结构划分若干个VLAN,这样既能够在发生ARP攻击时减少所影响的网络范围,又能够在发生ARP攻击时便于定位出现的网段和具体的主机。

(4)在网络中使用监测软件,对于网内频繁向网关或者其他机器发送ARP数据包疑似染毒的主机,为了保证网络的整体安全,应立即封掉该主机端口并通知机主,直到其确已杀毒再行开通。

(5)若发现局域网中发生了ARP攻击,应首先定位ARP攻击的源头,比如利用ARPKiller扫描网内有哪些机器的网卡是处于混杂模式,这些机器就有可能就是源头。定位好主机后,将这些机器断开网络,进行反病毒处理,清除病毒后再连入网络。

4 结束语

通过上面的分析,可以看到ARP攻击产生的根源在于ARP协议自身的缺陷。通过采用上述的各种防御措施,能够在一定程度上对ARP攻击起到抑制作用,保障局域网络的正常通信。但是要想从根本上解决这一问题,使用考虑更为全面的下一代IPv6协议无疑是最佳方式之一。随着网络技术的发展,IPv6必将取代IPv4,消除由于IPv4标准的协议的体系结构考虑不够全面的问题,从根本上消除ARP欺骗的根源。目前,防范ARP攻击的措施重点在于预防,这样才能确保局域网的稳定运行。

摘要：该文首先对ARP协议进行了简单的介绍,然后分析了ARP协议所存在的安全问题及由此产生的两种攻击形式,最后提出了防范ARP攻击的一些具体方法。

关键词：ARP,中间人攻击,拒绝服务攻击,VLAN

参考文献

[1]谢希仁.计算机网络[M].4版.北京:电子工业出版社,2003.

[2]陈英,马洪涛.局域网内ARP协议攻击及解决办法[J].中国安全科学学报,2007,17(7):126-131.

[3]陆余良,张永,刘克胜,等.ARP协议在局域网类型探测中的应用[J].计算机工程,2004,30(1):199-201.

[4]王坚,梁海军.ARP欺骗原理及其防范策略的探讨[J].计算机与现代化,2008(2):99-101.

防御解决方法 篇4

互联网和多媒体技术的快速发展、网络的广泛应用为高速、无失真的信息传播及编辑修改提供了技术支持,给人们的工作、生活等带来了很大便利,同时也给信息安全、版权保护等带来了巨大的挑战。造假、盗窃、诈骗、篡改信息等变得十分容易。保护电子文件内容的真实性和完整性尤为重要,在这种需求下,数字水印技术应运而生。

上世纪90年代,数字水印技术[1]被正式提出,这一技术的总体思想是运用不同的水印嵌入算法将特定的信息嵌入到多媒体产品中,在特定情况下,通过与之对应的水印提取算法将水印提取出来以起到版权保护、防伪的作用。

1 数字水印技术相关理论

1.1 数字水印概念框图

数字水印信息可以是图像、音频、视频等,大多为图像水印。虽然数字水印的算法有很多种,但数字水印嵌入和提取的总体思想基本一致,其思想框图如图1、图2所示。

图1是水印嵌入过程,有时为了使图像水印保密性更好,会对原始水印进行置乱。对水印信息的嵌入可以是空域,也可以先将原始图像进行DFT、DCT、DWT等变换,然后再选择适当的位置进行嵌入,增强水印的鲁棒性。图2为水印提取过程,部分提取不需要原始图像。

1.2 数字水印的特性

数字水印有几个固定的特性[2],这些特性也决定了水印算法的效果,本文仅介绍3种最主要的特性。

(1)不可见性(Invisibility)。水印的不可见性是指当水印被嵌入到载体信息后,基本看不出原始载体信息和嵌入水印后的信息有什么差别。

(2)鲁棒性(Robustness)。鲁棒性即抵抗外界攻击的能力。算法抵抗外界攻击的能力越好,鲁棒性就越好;反之,则鲁棒性越差。

(3)水印容量(Capacity)。水印的最大容量是指载体所能承受的最大水印信息。一般而言,人们不会嵌入过多的水印信息,因为水印容量越大,对载体的相对破坏就越大。针对不同情况,只要嵌入适当水印信息就可以。

1.3 数字水印分类

根据不同的依据,数字水印可以分为很多类:(1)根据嵌入位置将水印分成空域水印和变换域水印。空域水印是指在信号空间直接嵌入,而变换域水印则是先将载体信息进行某种变换(如DCT、DFT、DWT等),然后再选择适当的位置嵌入。变换域水印与空域水印相比,不可见性良好且鲁棒性强,因此应用广泛;(2)根据嵌入的载体不同,嵌入在图像中的水印为图像水印,嵌入在视频中的水印为视频水印,而嵌入在音频里的为音频水印等,载体不同对水印的要求也不同。此外,根据提取水印时是否需要原始图像将水印分为盲水印和非盲水印。提取时需要原始图像的称为非盲水印,而不需要原始图像的则称为盲水印。

1.4 数字水印的应用

数字水印应用领域广泛,大体可以分为以下几个方面:

(1)版权保护。数字水印技术产生的最原始的动力就是为了版权保护。为了保障作者的合法权益,常常将能证明作者所有权的特定信息嵌入到作品中,当发生版权纠纷时,可以提取出嵌入的特定信息来证明作者的所有权,保护作者的版权,防止盗版。

(2)票据防伪。一些不法商家为了获取利益,常伪造票据。在票据中嵌入相应的水印则可以防止伪造的票据在市场上恣意流通。

(3)拷贝保护。拷贝保护就是在数字产品实际应用前提前嵌入允许拷贝或者播放次数的水印信息,是一种预设性的方法。当拷贝或者播放数字产品时会首先检测水印信息,判断是否可以拷贝或者播放数字产品,起到对产品拷贝或者播放的控制作用。

(4)内容认证和完整性检验。脆弱水印用于完成这一应用,通过提取和检测脆弱水印,可以检测出要保护的内容是否完整,是否被篡改,甚至还可以检测出被篡改的位置。

2 数字水印攻击及抵抗方法

2.1 简单攻击(simple attacks)及抵抗方法

简单攻击是最常见的攻击[3],这种攻击经常会伴随各种噪声的干扰,因此也把简单攻击称为噪声攻击,但不仅仅只有噪声的攻击。这种攻击的目的是通过削弱载体图像中嵌入水印的幅度,使提取水印时发生错误。这类操作一般包括添加噪声、滤波等。对于这种攻击主要有两种方法可以抵抗,一是增加嵌入水印的幅度;二是进行冗余嵌入。

因为这种攻击主要是削弱嵌入的水印的幅度,因此可以增加嵌入的水印的幅度来抵抗这种攻击,但是嵌入的水印的幅度并不是越大越好,要考虑到人类视觉特性,如果一味增加嵌入幅度而不考虑人类视觉特性反而会起到相反作用,降低图像的不可感知性。

而冗余嵌入则比第一种方法更好一些。对水印多次嵌入,可以保证提取水印的正确率,但是冗余嵌入可能影响水印嵌入的比率,因此使用这一方法要综合考虑各种因素。

2.2 同步攻击(synchronization attacks)及抵抗方法

水印同步是指水印嵌入和提取的位置是相同的,而同步攻击就是破坏水印的同步性,改变水印的位置,使正常方法提取不出水印。同步攻击通常是对含有水印的载体数据进行全部或局部几何变换,比如旋转、剪切、缩放等,因此同步攻击也称几何攻击[4]。

与简单攻击相比,其抵抗方法更复杂,但并不代表不可抵抗。可以采用穷举法,穷举出载体可能受到的攻击,进行逆处理来抵抗,也可以使用模板匹配的方法来抵抗,即首先在载体数据中嵌入一个模板,根据模板来判断数据受到的攻击,然后通过逆变换消除带来的影响。

2.3 削去攻击(elimination attacks)及抵抗方法

削去攻击是试图将嵌入的水印信息去掉[5]。通过特定的技术将水印和载体分离开,然后将水印信息去掉,去掉水印后的载体可以被广泛使用,而作者也不能证明自己的版权,从而达到攻击的目的。联合攻击就是削去攻击的一种。

拷贝保护是抵抗这种攻击最有效的方法,控制拷贝信息的次数来抵抗攻击。有关实验表明,拷贝的次数少于4次时,不会产生太大的攻击力。

2.4 混淆攻击(confusing attacks)及抵抗方法

混淆攻击就是混淆真正的原始数据和含水印信息的数据。通过产生假的原始数据和含水印信息的数据来以假乱真。

时间戳技术就是抵抗这种攻击最常用的方法。时间戳的提供者是与作者和使用者都有联系的第三方,采用这种技术就可以判断出第一个嵌入的水印信息是什么,这样就保证了水印的正确性。

3 结语

数字水印技术已经相对成熟,但在攻击防御方面还有很多问题有待解决。当前许多攻击都是采用多种方式并用,如何研究出能够抵抗多种攻击并用的算法是一大难点,也是本文后续研究重点。

摘要：阐述数字水印技术的相关理论,探讨数字水印的特性、分类及应用;在分析几种常见攻击方法特点的基础上,提出相应的抵抗方法,最后对该技术进行总结和展望。

关键词：数字水印,攻击,冗余嵌入,拷贝保护,时间戳

参考文献

[1]金聪.数字水印理论与技术[M].北京:清华大学出版社,2008.

[2]Gonzalez,R.C.等著.数字图像处理[M].阮秋琦,阮宇智译.北京:电子工业出版社,2007.

[3]王志雄,王慧琴,李人厚.数字水印应用中的攻击和对策综述[J].通信学报,2002,23(11):74-79.

[4]李雷达.数字水印抗几何攻击理论及应用研究[D].西安:西安电子科技大学,2009.

防御解决方法 篇5

关键词：分布式拒绝服务,互联网安全,防御系统

1 引言

目前,针对DDo S攻击出现了多种防御手段,包括黑洞路由、CAR流量限速、端口访问控制、客户端防御设备等,对DDo S攻击起到了较好防御效果,在一定程度上确保了互联网业务的正常运转。

2DDo S 攻击的基本原理及分类

2.1 DDo S 攻击的基本原理

DDo S作为一种常见的大规模计算机网络攻击方式,该攻击方式主要基于Dos分布与协作模式,经互联网系统对其他受控制的联网计算机对目标系统或者网络资源实施直接或者间接攻击。DDo S在攻击中可灵活选取多种不同Do S攻击方式,可同时攻击多个目标系统或者网络资源。在攻击中通过消耗被攻击者的内存、CPU及网络资源,促使被攻击目标计算机系统或者网络痴出现死机、瘫痪,使得其它合法访问行为无法正常执行。DDo S与其他网络攻击方式相比而言,其攻击范围更大、破坏性更大,且不易发现攻击者踪迹。DDo S攻击原理如图1所示。

2.2 DDo S 攻击的分类

对于DDo S攻击的分类方法较多,根据DDo S攻击的攻击速率可分为动态变化攻击和持续稳定攻击;根据DDo S攻击工具的自动化程度 ,可分为全自动化攻击、半自动化攻击及手动攻击。而根据攻击所采用的方式可分为服务器资源消耗型、带宽消耗型及TCP/IP协议漏洞利用型等。

3 DDo S 攻击常见的防御方法

在互联网安全领域中由于受到DDo S攻击的影响,目前越来越多的人关注到了DDo S防御方法,虽然当前针对DDo S防御方法较多,以下对一些主流的防御手段进行分析。

3.1 客户端防御设备

客户端防御设备其主要指将入侵防护系统(IPS)、防火墙等防御设备部署在客户端以防护DDo S攻击,这种防御手段在发生攻击时,可封堵和过滤攻击流量。

这类CPE客户端防御设备不能为运营商到企业边缘路由器的访问链路提供有效的保护,主要因其位置处于网络路径下游远端,导致DDo S攻击企业网的出口链路部分,一旦DDo S流量堵塞出口链路,则下游的防御设备(如IPS、防火墙等)将失去抵御作用。同时,因IPS、防火墙这类设备实现保护主要是通过过滤具有攻击性的数据,而合法数据报文形式是DDo S攻击包中较为多用的,因此可避免IPS、防火墙的检测机制。但在串联攻击目标之前这类设备会消耗大量的性能资源对DDo S攻击数据包进行处理,因此,DDo S很可能将这类客户端设备作为攻击对象。

3.2 端口访问控制

端口访问控制实现对DDo S攻击的防御主要是运用路由器的访问控制列表(ACL)功能。在路由器中ACL是一项重要的安全功能, 该功能所有的路由设备均支持。通过ACL,除了可应用于路由的再分配以外,还能实现网络访问控制策略。为防御DDo S攻击,对IP网用户上网流量通过在互联网的汇聚层或接入层实施端口过滤策略,在用户访问Internet不受任何影响的前提下,对DDo S工具端口 和网络蠕 虫端口实 现过滤 , 从而对DDo S攻击实现防御作用。

但若对DDo S攻击来自于互联网, 则难以对DDo S攻击进行精确定位,从而难以制作面向源地址的访问列表,往往为了达到攻击者的目的,将面向这个服务器的访问控制量列出, 并将所有请求所连接的数据包清除掉。此外,通过该方式,对于应用层的DDo S攻击类型和虚假攻击源无法识别。

3.3 CAR 流量限速

约定该问速率(CAR)是指允许流出某一接口流量数量或某一网络设备严格限制流入的一种技术,通过该技术可对某类IP流量或所有IP流量使用CAR流量限速[3]。此外,将CAR流量限制功能应用在互联网中,有利于减少DDo S攻击对网络或系统造成冲击,尤其是对UDP flood、ICMP flood等flood形式的大流量型攻击。

3.4 黑洞路由

黑洞路由是一种防御DDo S攻击的技术,通常运营商较为多用。当攻周流量到时达网络边缘设备PE路由器时,BGP更新信息会经一台触发路由器向所有PE路由器发送,从而使PE路由器对流量的丢弃得到控制,也即将其转发到一个“路由黑洞”,从而使整个网络和主机受到保护不被影响。但该方式的缺点在于还能区别处理所牵引的数据包,使合法用户也被拒绝,从而导致间接的DDo S攻击。

4 结束语

防御解决方法 篇6

霜冻是在作物温暖季节两头的过渡时期里,温度下降到足以引起植株遭到伤害或死亡的短时间的低温冻害。根据霜冻发生的时期,可将其分为早霜冻和晚霜冻两种。

早霜冻是由温暖季节向寒冷季节过渡的时期里发生的霜冻。一般发生在秋季,所以也叫秋霜冻,主要危害生育期长或贪青晚熟的植物。

晚霜冻是由寒冷季节向温暖季节过渡的时期里发生的霜冻。在中纬度地带发生在春季,所以又叫做春霜冻,危害植株的幼苗等。

霜冻的发生与天气、地形、地势、土壤,肥力等有密切关系。无云或少云、空气湿度小、无风或微风的天气条件下,有利于作物体的辐射降温,容易出现霜冻。坡地的北坡迎冷风、少阳光,霜冻重;南坡背风向阳,霜冻轻;东坡和东南坡早晨阳光照射早,植株体温变化剧烈,霜冻往往较重。坡地冷空气能沿坡下流,霜冻轻,谷地和洼地冷空气聚积,霜冻重。靠近水的地方,因为水的热容量大,霜冻轻。疏松土壤的热容量小,导热率低,使贴地气层温度迅速下降,作物受霜冻严重,而紧实潮湿土壤则相反。基肥多的植株田霜冻较轻,因其土壤肥沃,植株生长健壮,抗寒能力强。如土壤中磷钾肥多,可以提高植株抗霜冻的能力,而氮肥多则易使植株苗徒长,减弱其抗寒能力。此外,植株受霜冻的程度,还与植株所处的生长阶段及经受抗寒锻炼的程度等有关。

1 霜冻的种类

1.1 平流霜冻

是因北方强冷空气的入侵而形成韵霜冻,在幼苗出土的节气里平流霜冻的温度一般很低,作物不会受到严重危害。

1.2 辐射霜冻

是在晴朗、无风或微风的夜晚,由于地面或植物表面辐射冷却降温而形成的霜冻,它是局部性的,常出现在谷地、洼地,单一的辐射霜冻很少见。

1.3 平流辐射霜冻

是由于平流降温和辐射冷却共同作用下形成的霜冻,首先是由于北方强冷空气入侵,气温急降,但温度在0℃以上,不足以形成霜冻;风停后夜晚又强烈辐射冷却,促使地面和贴近地面的气层温度降到10℃以下,形成霜冻。它危害大,一般发生在春季幼苗出土和秋季果实将要成熟时。山区每年的霜冻多属平流辐射混合霜冻。

2 植物受冻症状

以玉米作物为例,植株幼苗受冻后,叶片呈水浸状,叶面上凝有霜,因细胞结冰叶片发硬,日出以后、霜融化,叶面呈暗绿色,萎蔫下垂。受冻害轻者。尚能恢复,重者则干枯发脆。如部分受害,受害部分呈黄白色。茎上受害后呈水浸状而软化,日出后受害部分轻者节间呈皱缩斑纹或为黑色,重者易变白折倒。

3 影响霜冻形成的因素

3.1 天气条件

冷空气入侵时,无云或少云、无风或微风的夜晚,最有利于地面的辐射冷却,地面损失的热量最多,易出现较严重的霜冻。多云或层云的天气白天会阻挡地面吸收太阳热量,具有降温作用;夜晚会阻挡地面热量散失,具有保温作用。所以白天多云夜晚无云的天气最易出现霜冻。

3.2 地形

凡洼地、盆地、山谷等地形,夜晚冷空气沉积不易宣泄,霜冻较重,持续时间也较长;山脚最重,山坡中段最轻,山顶只有轻的平流霜冻,农谚“风打山梁霜打洼”就是生动写照。

4 霜冻预报的方法

平流辐射霜冻受地方性条件和天气影响较大,特别是晴朗时的山区洼地(洼地土壤肥沃,耕地面积大),最易发生霜冻,持续时间较短,有时仅出现几分钟或几小时,因而单站洼地霜冻的预报意义重大。下面介绍预报霜冻的草温曲线法。

4.1 原理

根据浅草表面在相同天气条件下夜间草面温度下降的趋势具有相似性,最低气温出现在日出前后的原理进行预报。

4.2 方法

在当地幼苗将要出土时可能出现霜冻的一段时间内,日落时将温度表安置在略高于地面,使球部与浅草表面一样高。每天晚间(21时左右)进行观测,如观测时温度降到2℃以下时,则在无云微风的夜间(霜冻的最低温度出现在日出前后)可能出现霜冻,如晚间观测气温时没有落水,说明空气干燥,霜冻会更严重。在观测和预报时,可把国家气象台站的地区气温预报与自己的观测和预报相比较。发生霜冻时可根据自己的条件采取相应的措施(熏烟法、灌水法和覆盖法)进行霜冻防御。

5 总结

防御解决方法 篇7

随着Internet网络技术的发展和计算机技术的不断提高,网络中传输和处理数据的能力直线增长。人们希望获得一种直接、便捷的计算处理方式,不需要安装应用软件,只要连接互联网,就可以利用连接在网络中的空闲计算机资源进行任务处理。

在此背景之下,云计算应运而生,所谓云计算[1,2,3]就是通过计算机网络去连接由大量服务器、存储设备集群构成的云计算平台,来获取远程客户端所需要的服务。而云计算服务商则是将一项复杂的运算任务分成若干个部分,通过分布在计算机网络中的分布式计算机协同合作,最终将运算结果传输到客户端,从而实现个人数据在远程计算资源集群的运算。

拒绝服务攻击[4,5]DoS和DDoS不是云服务所特有的。但是,在云服务的技术环境中,企业的关键核心数据、服务离开了企业网,迁移到了云服务中心。更多的应用和集成业务开始依靠互联网。拒绝服务带来的后果和破坏将会明显地超过传统的企业网环境。在云计算环境下,具体的应用成为攻击目标:攻击者会使用针对具体应用的攻击来攻击受害者的在线服务。

HTTP-Flood攻击是一种典型的应用层DdoS攻击,攻击的主要目标是Web服务器上的网页。攻击发生时,攻击者向服务器大量的高频请求一个或多个网页,使服务器忙于向攻击者提供资源而无法响应其他合法用户的服务请求。当海量的单个请求同时发生时,HTTP-Flood攻击也就随之产生了,造成的后果就是Web服务器拒绝服务。

1技术方案

该方案是改进的防御拒绝服务攻击的方法,来防御针对具体应用为目标的拒绝服务攻击。其原理是监测客户端到服务器的所有TCP连接,在连接到达服务器之间进行截获,鉴别是否为合法用户或是攻击。对于通过鉴别的合法用户假使是伪装的合法用户则利用云计算环境本身具有的弹性特点,使用虚拟化技术动态增加服务器数量和改变网络带宽,来防御拒绝服务攻击。防御系统图如图1所示。

该方案的主要步骤如图2所示。具体步骤如下:

(1) 监测服务器,获取当前系统的性能(CPU、内存利用率、网络吞吐率)信息和性能的增长率。

(2) 当系统性能阈值或增长阈值高于最高阈值时启动防御系统。

(3) 防御系统在客户端与服务器建立TCP连接后,截获其对服务器发送的URL的GET请求。

(4) 防御系统向这个客户端返回一个包含Cookie的重定向到URL的数据包。并定义重定向次数num=0。

(5) 在重定向次数num<3的情况下,如果客户端是一个合法主机,则会根据HTTP协议的规则对这个重定向数据包进行响应;如果客户端是一个僵尸主机,则不能对这个重定向数据包进行响应或者响应错误;重定向次数num++;当重定向次数num≥3的时候,将此非法用户加入黑名单,禁止访问服务器。

(6) 防御系统根据上述响应对返回正确响应客户端的定义为合法,允许进行访问,进入(7);对错误访问进入(5),再次进行Cookie的重定向。

(7) 对当前系统的性能再次进行分析,当CPU、内存利用率、网络吞吐率皆大于系统绝对阈值时,对网络带宽进行动态调增加,同时增加虚拟机数量帮助服务器接受HTTP请求,对增加的虚拟机进行记录;进入步骤(8);当CPU、内存利用率、网络吞吐率恢复到系统正常状态时,防御结束,继续监测服务器动态。

(8) 当CPU、内存利用率、网络吞吐率恢复到系统正常状态时,恢复原始网络带宽,同时移除增加的虚拟机,恢复原始系统,防御结束,继续监测服务器动态。

本方案提出了一种基于云计算平台的处理拒绝服务攻击的策略,主要解决了在云计算平台上对具体应用进行HTTP拒绝服务攻击的问题。

(1) 首先对应用系统进行监控,通过对CPU、网络吞吐率等的分析确定是否存在拒绝服务攻击,在确定攻击行为后,首先对访问数据进行拦截,对访问用户进行重定向访问并定义重定向访问次数,以此来区分合法者与攻击者;从而将攻击者的IP设为黑名单,禁止访问,过滤掉攻击者。

(2) 对于那些伪装为合法者的继续攻击服务器的攻击,则利用云计算平台本身所具有的弹性性能,动态的增加网络带宽以及增加虚拟服务器的数量,当系统稳定后,重新恢复原始系统状态,恢复带宽以及移除虚拟服务器,以此来有效地防御拒绝服务攻击。

2 方案实施

2.1 对系统信息进行监测

本方法是相对于目的端的检测技术,当Web服务器遭遇拒绝服务攻击后,CPU、内存利用率、网络吞吐率的均会发生异常。通过以下两方面来监测是否遭遇拒绝服务攻击:

(1) 将当前的CPU、内存利用率、网络吞吐率数据信息与系统设定的DDoS检测的绝对阀值进行比较;

(2) 将当前CPU、内存利用率、网络吞吐率在单位时间内的增长率与系统设定的增长阀值进行比较。

2.2 防御系统中Cookie的选择

在防御系统向客户端发送包含Cookie的URL重定向数据包中,Cookie采用一种4位随机数/字母加具有固定答案数学题的验证码技术。

2.3 计算平台的网络带宽与虚拟服务器动态设置

在通过防御系统过滤掉攻击者之后,监测系统是否处于正常运行状态下,若仍被监测为存在拒绝服务攻击,则表明系统中被任定为安全者的访问者中存在伪装的攻击者,这时候根据云计算平台的特性对网络带宽进行增加同时增加虚拟服务器的数量。增幅以原数量的10%增长。

随后再对系统的各项信息进行重新监测,以确定是否存在攻击行为,若还存在则继续对带宽与虚拟服务器的数量进行增长(10%)。若恢复正常,则逐步恢复带宽以及虚拟服务器数量(每次10%减少直至原始数值)。

3 结束语

本文提出了基于云计算平台的防御拒绝服务攻击的方法,主要解决了在云计算平台上对具体应用进行HTTP拒绝服务攻击的问题。通过对CPU、网络吞吐率等的分析确定是否存在拒绝服务攻击,在确定存在攻击行为后,首先对访问数据进行拦截,对访问用户进行重定向访问,Cookie采用的一种4位随机数/字母加具有固定答案数学题的验证码技术,同时定义重定向访问次数,以此来区分合法者与攻击者;从而将攻击者的IP设为黑名单,禁止访问,过滤掉攻击者。对于那些伪装为合法者的继续攻击服务器的攻击,则利用云计算平台本身所具有的弹性性能,动态的增加网络带宽以及增加虚拟服务器的数量,当系统稳定后,重新恢复原始系统状态,恢复带宽以及移除虚拟服务器,以此来有效的防御拒绝服务攻击。

摘要：随着企业的关键核心数据及服务从企业网迁移到了云服务中心,更多的应用和集成业务开始依靠互联网,拒绝服务带来的后果和破坏将会明显地超过传统的企业网环境。在云计算环境下,具体的应用成为攻击目标,攻击者会使用针对具体应用的攻击方法来攻击受害者的在线服务。文章提出了一种基于云计算平台的处理拒绝服务攻击的策略,主要解决了在云计算平台上对具体应用进行HTTP拒绝服务攻击的问题。通过该策略,能够在即使黑客伪装为合法用户后仍然能够防御拒绝服务攻击。

关键词：云计算,拒绝服务,防御策略

参考文献

[1]维基百科.Cloud computing[EB/OL].(2009-01-10)[2009-03-10].http://en.wikipedia.org/wiki/Cloud_comput ing.

[2]Vaquero Luis M;Rodero-Merino Luis,et al.A break in theclouds:Towards a cloud definition[J].Computer Communica-tion Review,2009,39(1):50-55.

[3]Aymerich F M,Fenu G,Surcis S.An Approach to a cloud com-puting network[C]//2008 First International Conference onApplications of Digital Information and Web Technologies.IEEE.Czech Republic:Technical University of Ostrava,2008:113-118.

[4]Liu Wentao.Research on DoS attack and detection program-ming[C]//Proceedings of the 3rd International Conference.Nanchang,China,2009:207-210.