IP網絡攻擊及安全防護淺析

　眾所周知，目前國內通信業的焦點仍有很多，比如TD-SCDMA和WCDMA之爭，手機電視以及各種3G增值業務之爭，牌照之爭，共享資源減少重復投資之爭，諸如此類。但至少有一點，在各大運營商廠商以及研究院學者之間已經達成了共識。那就是今後的所有業務都將使用IP網絡來承載。實現真正的AllOverIP。

　　並且隨著3G，IPTV等業務離我們的生活越來越近，全IP網絡的融合也離我們越來越近。全IP承載網絡給我們帶來了標准化，高帶寬，資源共 享，網絡共享等優點的同時，也給我們帶來了新的思考和挑戰。最大的挑戰無非來自於兩個方面。IP的服務質量以及IP的網絡安全。毫無疑問，傳統的專網專用 的通信網絡可以提供給用戶穩定性更好更安全的業務，帶給了用戶更好的網絡體驗。使用IP網絡來承載上層應用確實帶給了我們很多不確定性。延遲，丟包，抖 動，不穩定性都會給運營商的服務質量帶來很大沖擊。同時，針對IP網絡的安全攻擊事件也層出不窮。但從總的趨勢來看，全IP承載是大勢所趨，利遠大於弊。 因此我們需要花更多的時間來關注服務質量以及IP的網絡安全。本文則主要側重於IP網絡安全，從多個方面進行探討。

　　說起網絡安全，首先自然要說起網絡攻擊。如果沒有網絡攻擊，自然天下太平。而分析起網絡攻擊，自然離不開對黑客的討論。那麼為什麼要發起網絡 攻擊呢？只有切實了解了黑客發起網絡攻擊的動機才能反黑客。只有消滅了犯罪的根源，也才能杜絕犯罪，維護社會穩定。下面我們可以先從技術的角度對網絡攻擊 行為進行一個分類。按照OSI七層模型來進行分類，可以分為針對應用層的攻擊，針對傳輸層的攻擊，針對網絡層的攻擊還有針對數據鏈路層的攻擊。

　　常見的網絡攻擊

　　針對數據鏈路層的攻擊

　　ARP欺騙攻擊
　　ARP協議用來完成IP地址到MAC地址的轉換。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙，能夠在 網絡中產生大量的ARP通信量使網絡阻塞或者實現“maninthemiddle”進行ARP重定向和嗅探攻擊。目前網絡上有很多種工具可以完成此類攻 擊，如網絡執法官等。針對此類攻擊也有很多種防范措施，比如MAC地址靜態綁定，ARP智能檢測等。

　　Mac地址泛洪

　　交換機主 動學習客戶端的MAC地址，並建立和維護端口和MAC地址的對應表以此建立交換路徑，這個表就是通常我們所說的MAC地址表。MAC地址表的大小是固定 的，不同的交換機的MAC地址表大小不同。Mac地址泛洪攻擊是指利用工具產生欺騙MAC，快速填滿MAC地址表，交換機MAC地址表被填滿後，交換機以 廣播方式處理通過交換機的報文，這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。MAC地址表滿了後，流量以泛洪方式發送到所有接口，也就代表TRUNK接 口上的流量也會發給所有接口和鄰接交換機，會造成交換機負載過大，網絡緩慢和丟包甚至癱瘓。目前主流廠家的中低端交換MAC地址表容量在8K左右，而使用 Dsniff工具可以輕松地在1分鐘內產生15萬左右MAC地址沖擊我們的局域網。而針對這種類型的攻擊防護可以在交換機啟動最大MAC地址限制，端口安 全等策略。

　　針對網絡層的攻擊

　　針對路由協議的攻擊

　　BGP協議：由於BGP協議是依賴於TCP的179端口進行傳輸，因此可以很容易的通過掃描工具

　　探測179端口來判別BGP的存在而實現攻擊。同時，很多基於TCP的攻擊以及TCP本身暴露出來的協議漏洞同樣都成為BGP協議潛在的風 險。如基於TCP的SYNflood攻擊，序列號攻擊，針對此類攻擊，可以采用針對179端口的訪問過濾以及BGP對等體的MD5認證來加以保護。

　　OSPF協議：常見的針對OSPF協議的攻擊主要有以下幾種。

　　Maxage攻擊。指的是攻擊者持續發送帶有最大maxage(缺省為3600秒)的LSA，將導致路由器產生刷新信息來發送這個LSA，最終將導致整個網絡混亂路由震蕩後以及產生拒絕服務攻擊。

　　序列號攻擊。RFC規定OSPF通過序列號來判斷舊的LSA是否需要更新。當攻擊者持續插入比較大的LSA序列號報文時，網絡中的路由器將發送更新的LSA序列號報文來與攻擊者的LSA報文進行競爭，最終導致網絡的不穩定。