眾所周知,目前國內通信業的焦點仍有很多,比如TD-SCDMA和WCDMA之爭,手機電視以及各種3G增值業務之爭,牌照之爭,共享資源減少重復投資之爭,諸如此類。但至少有一點,在各大運營商廠商以及研究院學者之間已經達成了共識。那就是今後的所有業務都將使用IP網絡來承載。實現真正的AllOverIP。
並且隨著3G,IPTV等業務離我們的生活越來越近,全IP網絡的融合也離我們越來越近。全IP承載網絡給我們帶來了標准化,高帶寬,資源共 享,網絡共享等優點的同時,也給我們帶來了新的思考和挑戰。最大的挑戰無非來自於兩個方面。IP的服務質量以及IP的網絡安全。毫無疑問,傳統的專網專用 的通信網絡可以提供給用戶穩定性更好更安全的業務,帶給了用戶更好的網絡體驗。使用IP網絡來承載上層應用確實帶給了我們很多不確定性。延遲,丟包,抖 動,不穩定性都會給運營商的服務質量帶來很大沖擊。同時,針對IP網絡的安全攻擊事件也層出不窮。但從總的趨勢來看,全IP承載是大勢所趨,利遠大於弊。 因此我們需要花更多的時間來關注服務質量以及IP的網絡安全。本文則主要側重於IP網絡安全,從多個方面進行探討。
說起網絡安全,首先自然要說起網絡攻擊。如果沒有網絡攻擊,自然天下太平。而分析起網絡攻擊,自然離不開對黑客的討論。那麼為什麼要發起網絡 攻擊呢?只有切實了解了黑客發起網絡攻擊的動機才能反黑客。只有消滅了犯罪的根源,也才能杜絕犯罪,維護社會穩定。下面我們可以先從技術的角度對網絡攻擊 行為進行一個分類。按照OSI七層模型來進行分類,可以分為針對應用層的攻擊,針對傳輸層的攻擊,針對網絡層的攻擊還有針對數據鏈路層的攻擊。
常見的網絡攻擊
針對數據鏈路層的攻擊
ARP欺騙攻擊
ARP協議用來完成IP地址到MAC地址的轉換。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在 網絡中產生大量的ARP通信量使網絡阻塞或者實現“maninthemiddle”進行ARP重定向和嗅探攻擊。目前網絡上有很多種工具可以完成此類攻 擊,如網絡執法官等。針對此類攻擊也有很多種防范措施,比如MAC地址靜態綁定,ARP智能檢測等。
Mac地址泛洪
交換機主 動學習客戶端的MAC地址,並建立和維護端口和MAC地址的對應表以此建立交換路徑,這個表就是通常我們所說的MAC地址表。MAC地址表的大小是固定 的,不同的交換機的MAC地址表大小不同。Mac地址泛洪攻擊是指利用工具產生欺騙MAC,快速填滿MAC地址表,交換機MAC地址表被填滿後,交換機以 廣播方式處理通過交換機的報文,這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。MAC地址表滿了後,流量以泛洪方式發送到所有接口,也就代表TRUNK接 口上的流量也會發給所有接口和鄰接交換機,會造成交換機負載過大,網絡緩慢和丟包甚至癱瘓。目前主流廠家的中低端交換MAC地址表容量在8K左右,而使用 Dsniff工具可以輕松地在1分鐘內產生15萬左右MAC地址沖擊我們的局域網。而針對這種類型的攻擊防護可以在交換機啟動最大MAC地址限制,端口安 全等策略。
針對網絡層的攻擊
針對路由協議的攻擊
BGP協議:由於BGP協議是依賴於TCP的179端口進行傳輸,因此可以很容易的通過掃描工具
探測179端口來判別BGP的存在而實現攻擊。同時,很多基於TCP的攻擊以及TCP本身暴露出來的協議漏洞同樣都成為BGP協議潛在的風 險。如基於TCP的SYNflood攻擊,序列號攻擊,針對此類攻擊,可以采用針對179端口的訪問過濾以及BGP對等體的MD5認證來加以保護。
OSPF協議:常見的針對OSPF協議的攻擊主要有以下幾種。
Maxage攻擊。指的是攻擊者持續發送帶有最大maxage(缺省為3600秒)的LSA,將導致路由器產生刷新信息來發送這個LSA,最終將導致整個網絡混亂路由震蕩後以及產生拒絕服務攻擊。
序列號攻擊。RFC規定OSPF通過序列號來判斷舊的LSA是否需要更新。當攻擊者持續插入比較大的LSA序列號報文時,網絡中的路由器將發送更新的LSA序列號報文來與攻擊者的LSA報文進行競爭,最終導致網絡的不穩定。