基于Spark的網(wǎng)絡(luò)安全防御模型

文/陸潔瑩 熊焱燊 陳威 袁浩棟

1 引言

隨著科技的日益發(fā)展，生活中幾乎離不開網(wǎng)絡(luò)，于是網(wǎng)絡(luò)安全越來越重要。網(wǎng)絡(luò)安全防御技術(shù)還不夠完備，處理速度也有些慢。Spark采用了構(gòu)建彈性分布數(shù)據(jù)集（RDD）來提供內(nèi)存集群計(jì)算，將作業(yè)輸出保存在內(nèi)存中。極大地提高了處理速率，當(dāng)今，現(xiàn)有的網(wǎng)絡(luò)安全與大數(shù)據(jù)結(jié)合的模型大多是與Hadoop技術(shù)結(jié)合，而Spark比Hadoop更高效、處理速度更快且便捷。隨著時(shí)間推移，新型惡意攻擊層出不窮，過去的防御模型無法應(yīng)對(duì)新型惡意攻擊，因此設(shè)計(jì)新型三層防御模型是必要的。

1.1 設(shè)計(jì)思想

設(shè)計(jì)模型的基本思想是在模擬局域網(wǎng)中建立應(yīng)對(duì)內(nèi)部惡意攻擊與外部惡意攻擊的三層防御體系，由Spark處理進(jìn)入局域網(wǎng)的數(shù)據(jù)流，處理完畢后快速高效地將數(shù)據(jù)流傳遞給局域網(wǎng)內(nèi)部進(jìn)行應(yīng)對(duì)分析并防御。

1.2 整體模型的構(gòu)建

在模擬局域網(wǎng)中建立應(yīng)對(duì)內(nèi)部惡意攻擊與外部惡意攻擊的三層防御體系，由Spark處理進(jìn)入局域網(wǎng)的數(shù)據(jù)流，處理完畢后快速高效地將數(shù)據(jù)流傳遞給局域網(wǎng)內(nèi)部進(jìn)行應(yīng)對(duì)分析并防御。

局域網(wǎng)遇到攻擊后接收到數(shù)據(jù)流后Spark處理數(shù)據(jù)流返還防御端進(jìn)行防御處理的具體模型構(gòu)建，如圖1所示。

圖1：整體模型構(gòu)建圖

圖2：Spark處理數(shù)據(jù)速度圖

圖3：Hadoop處理數(shù)據(jù)速度圖

圖4：局域網(wǎng)隨機(jī)外部攻擊測(cè)試拓?fù)鋱D

1.2.1 攻擊端模型

本次研究主要研究的兩個(gè)攻擊模型：仿冒DHCP攻擊模型、MAC欺騙攻擊模型。

偽造DHCP攻擊原理是攻擊者欺騙客戶端，為客戶端分配錯(cuò)誤的IP地址并提供錯(cuò)誤的網(wǎng)關(guān)地址等參數(shù)。

MAC欺騙攻擊理論是交換機(jī)的MAC地址列表填滿后，接收到的流量數(shù)據(jù)幀會(huì)被泛洪到所有端口。入侵者使用工具將大量無效源MAC地址泛洪到PC上的交換機(jī)，并填充交換機(jī)MAC地址列表，發(fā)起DOS攻擊。合法的PC（MAC地址)無法在交換機(jī)的CAM列表上注冊(cè)。目前，許多網(wǎng)絡(luò)使用交換機(jī)作為集線器進(jìn)行連接。因此，對(duì)于由集線器組成的網(wǎng)絡(luò)，用戶很容易在沒有安全性的情況下攔截和分析網(wǎng)絡(luò)攻擊。MAC地址欺騙、IP地址欺騙及更高層面的信息騙取等，阻止用戶訪問Internet和泄露信息。

1.2.2 局域網(wǎng)模型的構(gòu)建

網(wǎng)絡(luò)中使用的基礎(chǔ)網(wǎng)絡(luò)設(shè)備，本身就能夠提供一定的安全特性。這些安全特性在工作網(wǎng)絡(luò)中的實(shí)現(xiàn)不需要特別的硬件設(shè)備，只需要在當(dāng)前設(shè)備上進(jìn)行適當(dāng)?shù)呐渲眉纯?，如三層網(wǎng)絡(luò)安全技術(shù)它包含：訪問控制列表，ARP表項(xiàng)安全控制等；二層網(wǎng)絡(luò)安全技術(shù)它包含：端口安全（Port Security），DHCP Snooping等；網(wǎng)絡(luò)設(shè)備自身安全它包含：設(shè)備登陸安全控制，協(xié)議報(bào)文認(rèn)證等。

路由器大量的運(yùn)算是基于軟件的，所以安裝合適的軟件之后，路由器能夠提供很多的安全特性。譬如對(duì)ARP表項(xiàng)進(jìn)行安全控制，可以限制ARP刷新的速度。訪問控制列表是網(wǎng)絡(luò)設(shè)備中的基本安全功能，能夠根據(jù)數(shù)據(jù)包的五元組進(jìn)行過濾，也能夠利用來對(duì)路由協(xié)議進(jìn)行特定的控制。部分防火墻還實(shí)現(xiàn)了更多的安全特性，譬如能夠像防火墻一樣工作，基于連接狀態(tài)進(jìn)行數(shù)據(jù)過濾；也能夠提供IPSec接入等功能。

圖5：偽造DHCP攻擊測(cè)試拓?fù)鋱D

圖6：MAC欺騙攻擊測(cè)試拓?fù)鋱D

交換機(jī)工作在二層，針對(duì)二層的攻擊，交換機(jī)也發(fā)展了很多安全特性，譬如端口安全技術(shù)防止MAC地址泛洪攻擊；DHCP Snooping防止基于DHCP協(xié)議的攻擊。風(fēng)暴控制是網(wǎng)絡(luò)流量異常時(shí)候的控制手段。

網(wǎng)絡(luò)設(shè)備運(yùn)行在網(wǎng)絡(luò)中，自身也有可能遭受到惡意攻擊。譬如網(wǎng)絡(luò)設(shè)備遠(yuǎn)程登陸的時(shí)候，需要進(jìn)行身份認(rèn)證，為了提高登陸的安全性，推薦使用SSH/HTTPS等加密協(xié)議進(jìn)行登陸。另外網(wǎng)絡(luò)設(shè)備運(yùn)行包括路由協(xié)議在內(nèi)的各種協(xié)議，為了防止有人利用正常的協(xié)議攻擊網(wǎng)絡(luò)，需要在協(xié)議中啟用鄰居認(rèn)證，面向非合法網(wǎng)絡(luò)設(shè)備的端口關(guān)閉協(xié)議。

2 仿真結(jié)果及分析

2.1 Spark大數(shù)據(jù)處理端測(cè)試

將Spark處理速度與Hadoop處理速度進(jìn)行測(cè)試對(duì)比，當(dāng)Spark與Hadoop處理相同任務(wù)時(shí)，Spark處理速度顯然更快，如圖2、圖3所示。

2.2 防御端應(yīng)對(duì)隨機(jī)攻擊測(cè)試

2.2.1 局域網(wǎng)中隨機(jī)外部攻擊測(cè)試

實(shí)驗(yàn)原理是攻擊者通過我們共同使用的外部網(wǎng)絡(luò)進(jìn)行攻擊公司內(nèi)部，我們通過NAT技術(shù)使我們內(nèi)部可以訪問外部，而外網(wǎng)卻不能訪問我們內(nèi)部的信息，從而到達(dá)防御外網(wǎng)的目的。

實(shí)驗(yàn)具體過程是我們通過ENSP作為模擬器來實(shí)現(xiàn)對(duì)外網(wǎng)防御的模擬，外網(wǎng)服務(wù)器端的IP地址網(wǎng)段為192.168.2.0/24，內(nèi)部網(wǎng)段為192.168.1.0/24網(wǎng)段，在沒有配置NAT之前，外網(wǎng)的192.168.2.0/24可以輕松訪問內(nèi)部員工1（192.168.1.2）的信息，但是當(dāng)我們?cè)O(shè)置了NAT技術(shù)后，外部的服務(wù)器就不能訪問到我們的員工了，而我們的員工1、2還是可以照常訪問外網(wǎng)。模擬拓?fù)浣Y(jié)構(gòu)如圖4所示。

測(cè)試用例1——局域網(wǎng)隨機(jī)外部攻擊防御測(cè)試：

測(cè)試1：在公司內(nèi)部路由器的出接口（圖4）不使用NAT地址轉(zhuǎn)換技術(shù)，外網(wǎng)是否可以訪問到公司的內(nèi)網(wǎng)。

具體操作：1.直接用外網(wǎng)去ping公司內(nèi)網(wǎng)的任意一個(gè)IP地址；2.用員工1的PC去ping通外網(wǎng)。

結(jié)果：1.外網(wǎng)可以ping通到公司的內(nèi)網(wǎng)；2.員工1的PC可以ping通外網(wǎng)。

結(jié)論：外網(wǎng)可以輕松地訪問公司內(nèi)部網(wǎng)絡(luò)。

測(cè)試2：在公司內(nèi)部路由器（圖4）的出接口使用NAT地址轉(zhuǎn)換技術(shù)，外網(wǎng)是否可以訪問到公司的內(nèi)網(wǎng)。

具體操作：在公司內(nèi)部路由器上寫下acl規(guī)則后，在公司內(nèi)部路由器的出接口配置NAT地址轉(zhuǎn)換技術(shù)后，再執(zhí)行：1.直接用外網(wǎng)去ping公司內(nèi)網(wǎng)的任意一個(gè)IP地址；2.用員工1的PC去ping通外網(wǎng)。

結(jié)果：1.外網(wǎng)不可以ping通到公司的內(nèi)網(wǎng)；2.員工1的PC可以ping通外網(wǎng)。

結(jié)論：我們通過NAT技術(shù)使我們內(nèi)部可以訪問外部，而外網(wǎng)卻不能訪問們內(nèi)部的信息，從而到達(dá)防御外網(wǎng)。

2.2.2 局域網(wǎng)中隨機(jī)內(nèi)部攻擊測(cè)試

局域網(wǎng)的隨機(jī)內(nèi)部攻擊測(cè)試我們選擇了偽造DHCP攻擊測(cè)試和MAC欺騙攻擊測(cè)試兩種。

偽造DHCP攻擊測(cè)試實(shí)驗(yàn)程序是將DHCP Snooping在交換機(jī)端口上劃分為可信端口(Trusted port)和不可信端口(Untrusted ports)，連接到合法DHCP服務(wù)器的端口應(yīng)配置為可信端口，其他端口應(yīng)配置為不可信端口。交換機(jī)從Trusted端口(GE0/0/1)接收到DHCP響應(yīng)報(bào)文(例如DHCP Offer報(bào)文、DHCP Ack報(bào)文等等)后，轉(zhuǎn)發(fā)這些數(shù)據(jù)包以確保合法的DHCP服務(wù)器可以正確分配IP地址并提供其他網(wǎng)絡(luò)參數(shù)。交換機(jī)收到Untrusted端口的DHCP響應(yīng)報(bào)文后丟棄這些報(bào)文，從而防止偽造DHCP服務(wù)器分配IP地址并提供其他網(wǎng)絡(luò)參數(shù)。實(shí)驗(yàn)拓?fù)鋱D，如圖5所示。

MAC欺騙攻擊測(cè)試實(shí)驗(yàn)是端口安全通過將接口獲取的動(dòng)態(tài)MAC地址轉(zhuǎn)換為安全MAC地址，防止未授權(quán)用戶通過接口與交換機(jī)通信。如果接口上的安全MAC地址數(shù)量達(dá)到限制，如果源MAC地址不存在，則端口安全認(rèn)為存在非法用戶攻擊。將根據(jù)配置的操作保護(hù)接口。缺省情況下，保護(hù)動(dòng)作是restrict。實(shí)驗(yàn)拓?fù)鋱D如圖6所示。

3 結(jié)束語

本次研究分析了不同攻擊方式的原理及漏洞，構(gòu)建了防御模型并通過實(shí)驗(yàn)達(dá)到了較好的結(jié)果，通過與Spark大數(shù)據(jù)處理系統(tǒng)的結(jié)合將原有的日志分析的拖延有了良好的改善，由于網(wǎng)絡(luò)攻擊隨科技發(fā)展層出不窮，新型的攻擊越來越多，網(wǎng)絡(luò)安全防御模型還需要進(jìn)一步研究和改進(jìn)。

特別鳴謝姜旭濤同志對(duì)本次研究的大力支持及幫助。