寬帶網(wǎng)絡(luò)安全攻防

王曉峰

*鐵通阜陽分公司 助理工程師，236000 安徽阜陽

隨著網(wǎng)絡(luò)應(yīng)用的多樣化，病毒、木馬肆意橫行，嚴(yán)重威脅著運(yùn)營商的組網(wǎng)安全，也對(duì)互聯(lián)網(wǎng)安全性和自愈性提出新的要求。

1 網(wǎng)絡(luò)攻擊

通常的網(wǎng)絡(luò)攻擊，是侵入或破壞網(wǎng)上服務(wù)器(主機(jī))，盜取服務(wù)器的敏感數(shù)據(jù)或干擾破壞服務(wù)器對(duì)外提供的服務(wù)。也有直接破壞網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)攻擊，這種破壞影響較大，會(huì)導(dǎo)致網(wǎng)絡(luò)服務(wù)異常，甚至中斷?？偨Y(jié)下來網(wǎng)絡(luò)攻擊可分為拒絕服務(wù)型攻擊、掃描窺探攻擊和畸形報(bào)文攻擊3大類型。

3種攻擊類型具體的攻擊方式為:IP欺騙攻擊、Land攻擊、Smurf攻擊、WinNuke攻擊、SYN Flood攻擊、ICMP Flood攻擊、UDP Flood攻擊、地址掃描與端口掃描攻擊、Ping of Death攻擊、ICMP-Unreachable攻擊、ICMP-Redirect攻擊、Route-Record、Source-Route和 Timestamp攻擊、Ip-fragment攻擊、Teardrop攻擊、Fraggle攻擊、Tracert攻擊等。

日常工作中，對(duì)地市互聯(lián)網(wǎng)絡(luò)設(shè)備和用戶產(chǎn)生影響的主要有SYN Flood攻擊、地址掃描與端口掃描攻擊和Ping of Death攻擊。

1.1 SYN Flood攻擊

SYN Flood攻擊的原理是利用資源的限制，TCP/IP棧的實(shí)現(xiàn)只能允許有限個(gè)TCP連接。攻擊過程如圖1所示。

圖1 半連接示意圖

SYN Flood攻擊利用了TCP三次握手的一個(gè)漏洞。攻擊者向目標(biāo)計(jì)算機(jī)發(fā)送 TCP連接請(qǐng)求(SYN報(bào)文)，并對(duì)目標(biāo)計(jì)算機(jī)返回的SYN-ACK報(bào)文不作回應(yīng);目標(biāo)計(jì)算機(jī)如果沒有收到攻擊者的ACK回應(yīng)，就會(huì)一直等待，形成半連接。攻擊者利用這種方式，在目標(biāo)計(jì)算機(jī)上生成大量的半連接，迫使大量資源浪費(fèi)。目標(biāo)設(shè)備一旦資源耗盡，就會(huì)出現(xiàn)速度極慢、正常的用戶不能接入等情況。同時(shí)攻擊者還可以偽造SYN報(bào)文，比如偽造一個(gè)源地址或不存在的地址，向目標(biāo)計(jì)算機(jī)發(fā)起攻擊，目標(biāo)設(shè)備就不會(huì)得到FIN的終止信號(hào)，無法中斷連接，從而造成危害。了解攻擊過程原理后，只要在邊緣路由器上對(duì)半連接的數(shù)目進(jìn)行限制，就可以完成相應(yīng)的攻擊防范任務(wù)。

1.2 地址掃描與端口掃描攻擊

地址掃描與端口掃描攻擊是利用ping掃描(包括ICMP和TCP)來標(biāo)識(shí)網(wǎng)絡(luò)上存活的系統(tǒng)，即利用TCP和UDP等協(xié)議進(jìn)行端口掃描，檢測出操作系統(tǒng)種類和潛在服務(wù)的種類，為進(jìn)一步侵入系統(tǒng)做好準(zhǔn)備。對(duì)此可以采取限制掃描攻擊時(shí)間和限制攻擊速率進(jìn)行防范。

1.3 Ping of Death攻擊

IP報(bào)文的長度字段為16位，說明一個(gè)IP報(bào)文的最大長度為65535。如果ICMP回應(yīng)請(qǐng)求數(shù)據(jù)長度大于65507，就會(huì)使ICMP數(shù)據(jù)+IP頭長度(20)+ICMP頭長度(8)＞65535。有些路由器或系統(tǒng)，在收到這樣一個(gè)報(bào)文后，會(huì)造成系統(tǒng)崩潰、死機(jī)或重啟。Ping of Death就是利用一些尺寸超大的ICMP報(bào)文對(duì)系統(tǒng)進(jìn)行攻擊，讓設(shè)備在處理這些報(bào)文時(shí)產(chǎn)生異常。防范這類攻擊主要采用丟棄策略，將超長報(bào)文直接丟棄。

2 實(shí)際應(yīng)用

防火墻可以設(shè)于內(nèi)外網(wǎng)絡(luò)邊緣處，拒絕來自特定網(wǎng)絡(luò)的訪問，防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻也可設(shè)于內(nèi)部網(wǎng)絡(luò)，防止發(fā)自內(nèi)部的攻擊，保障重要數(shù)據(jù)的安全性。

硬件防火墻可以滿足小型的組網(wǎng)應(yīng)用，但是對(duì)于運(yùn)營商來說，硬件防火墻只用于保護(hù)重要的運(yùn)營數(shù)據(jù)，不建議用于網(wǎng)絡(luò)邊緣結(jié)構(gòu)中。而路由器提供的防范功能可以檢測出多種類型的網(wǎng)絡(luò)攻擊，可以保護(hù)內(nèi)部網(wǎng)絡(luò)免受惡意攻擊，保證內(nèi)部網(wǎng)絡(luò)及系統(tǒng)的正常運(yùn)行。因此，在不投資硬件防火墻的情況下，通過本地市和省級(jí)骨干網(wǎng)路由器逐層配置防范策略，利用本地市路由器NE40或者M(jìn)E60多業(yè)務(wù)接入網(wǎng)關(guān)設(shè)備，只需增加相應(yīng)的單板，將防范負(fù)荷分擔(dān)在不同的設(shè)備上，不使某臺(tái)設(shè)備負(fù)荷過重影響整體攻防和轉(zhuǎn)發(fā)性能，組網(wǎng)結(jié)構(gòu)和投資額度沒有太大變化，就可以完成網(wǎng)絡(luò)攻防任務(wù)。本地市攻防策略主要分2部分來完成，如圖2所示。

2.1 在NE40設(shè)備上完成端口和掃描防范

限制已經(jīng)知道的病毒和木馬端口，將試圖從外網(wǎng)發(fā)送這些病毒端口的連接進(jìn)行隔離，采用包過濾的策略，將Ping of Death攻擊、SYN Flood攻擊、用戶端口掃描和地址掃描在入端口處使能策略，阻止外部網(wǎng)絡(luò)的威脅。設(shè)置防范功能的具體參數(shù)如下。

1．執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

2．執(zhí)行命令 interface interface-type interfacenumber，進(jìn)入入接口視圖。

3．執(zhí)行命令firewall defend enable，打開對(duì)應(yīng)入接口攻擊防范使能開關(guān)。

圖2 不增加硬件防護(hù)墻的攻防應(yīng)用

4．執(zhí)行命令quit，退回系統(tǒng)視圖。

5．執(zhí)行命令firewall defend syn-flood enable slot slot-id，打開SYN Flood攻擊防范功能全局開關(guān)。

6．執(zhí)行命令firewall defend syn-flood ip ip-address［max-rate rate-number］［max-number maxnumber］，設(shè)置對(duì)IP的SYN Flood攻擊防范功能參數(shù)，通常設(shè)置在1000左右。

7．執(zhí)行命令firewall defend ip-sweep enable slot slot-id，使能地址掃描攻擊防范功能。

8．執(zhí)行命令firewall defend ip-sweep{max-rate rate-number|blacklist-timeout minutes}，設(shè)置地址掃描攻擊防范參數(shù)。通常將最大掃描速率 (maxrate)設(shè)置為4000;加入黑名單時(shí)間 (blacklisttimeout)，取值60min。

9．執(zhí)行命令 firewall defend port-scan enable slot slot-id，使能端口掃描攻擊防范功能。

10．執(zhí)行命令 firewall defend port-scan{maxrate rate-number|blacklist-timeout minutes}，設(shè)置端口掃描攻擊防范參數(shù)和地址掃描一致。

11．執(zhí)行命令 firewall defend ping-of-death enable slot slot-id，使能 Ping of Death攻擊防范功能。將不合法的超長報(bào)文進(jìn)行丟棄，不再占用資源來進(jìn)行分片和組裝處理。

以上設(shè)置完成后，相應(yīng)入接口就具有區(qū)域保護(hù)功能。

2.2 在ME60設(shè)備上進(jìn)行輔助防范

將上述SYN Flood在出口上進(jìn)行使能配置，配置方法相同。為防止內(nèi)部網(wǎng)絡(luò)用戶攻擊本地網(wǎng)路由設(shè)備，在實(shí)際的應(yīng)用中經(jīng)常將黑名單方式和ACL包過濾方式結(jié)合使用。比如，發(fā)現(xiàn)某個(gè)地址段或者某個(gè)地址大量持續(xù)發(fā)包造成擁堵時(shí)，通過配置ACL包過濾方式，快速對(duì)該網(wǎng)段進(jìn)行報(bào)文限制。

在設(shè)備端口配置ASPF策略。

1．執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。

2．執(zhí)行命令aspf-policy aspf-policy-number，創(chuàng)建ASPF策略，并進(jìn)入ASPF策略視圖。

3．執(zhí)行命令detect{activex-blocking［acl acl-number］ |all|ftp|h323|http|hwcc|java-blocking ［acl acl-number］ |msn|qq|rtsp|smtp|tcp|udp}，配置ASPF策略。

4．執(zhí)行命令firewall aspf aspf-policy-number{inbound|outbound}，在接口上應(yīng)用ASPF策略。

如果不能在短時(shí)間內(nèi)消除影響，則啟用黑名單，通過會(huì)話表項(xiàng)確定IP用戶，將IP用戶加入到黑名單進(jìn)行隔離。使用二級(jí)策略分擔(dān)模式，能夠有效阻斷網(wǎng)絡(luò)內(nèi)外部的威脅，保證網(wǎng)絡(luò)設(shè)備及用戶上網(wǎng)環(huán)境的相對(duì)安全。