廣播播控中心的網(wǎng)絡(luò)安全探討

錢夢(mèng)聃

【摘要】互聯(lián)網(wǎng)技術(shù)的發(fā)展給廣播播控中心帶來新的機(jī)遇的同時(shí)，也帶來的網(wǎng)絡(luò)安全問題。本文對(duì)集中常見的幾種網(wǎng)絡(luò)攻擊手段進(jìn)行了簡(jiǎn)單介紹，并針對(duì)性地給出了相應(yīng)的防范措施。全文對(duì)常見的網(wǎng)絡(luò)攻擊手段進(jìn)行了歸納總結(jié)，為播控中心今后的網(wǎng)絡(luò)安全管理工作提供了一些借鑒參考。

【關(guān)鍵詞】播控中心;網(wǎng)絡(luò)安全;安全播出

中圖分類號(hào)：TN929? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? DOI：10.12246/j.issn.1673-0348.2021.16.019

進(jìn)入21世紀(jì)，移動(dòng)互聯(lián)網(wǎng)技術(shù)高速發(fā)展，傳統(tǒng)以模擬和數(shù)字傳播信號(hào)為主導(dǎo)的廣播播控中心已經(jīng)逐漸不能適應(yīng)新時(shí)代的發(fā)展需求，各地的播控中心紛紛走上全媒體改造之路，網(wǎng)上廣播平臺(tái)，虛擬化平臺(tái)，全媒體直播平臺(tái)，云平臺(tái)等網(wǎng)絡(luò)化功能的加入使得全新的播控中心大放異彩，緊跟時(shí)代腳步。

然而，互聯(lián)網(wǎng)的快速發(fā)展，在提供更廣闊的應(yīng)用空間和更靈活的應(yīng)用場(chǎng)景的同時(shí)，也滋生了一系列的安全隱患，特別是網(wǎng)絡(luò)安全隱患。近年來，網(wǎng)絡(luò)安全事件層出不窮，一起起的網(wǎng)絡(luò)攻擊導(dǎo)致的安全事故給安全播出為重任的播控中心的運(yùn)營(yíng)和管理敲響了警鐘。本文通過對(duì)幾種常見的網(wǎng)絡(luò)攻擊手段以及防范思路進(jìn)行介紹和總結(jié)，為播控中心網(wǎng)絡(luò)安全的防范管理提供一些思路。

1. DDoS攻擊

1.1 DDoS攻擊介紹

DDoS攻擊，全名分布式拒絕服務(wù)攻擊（Distributed Denial of Service），是指處于不同位置的多個(gè)攻擊者同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊，或者一個(gè)攻擊者控制了位于不同位置的多臺(tái)機(jī)器并利用這些機(jī)器對(duì)受害者同時(shí)實(shí)施攻擊。由于攻擊的發(fā)出點(diǎn)是分布在不同地方的，這類攻擊就被稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個(gè)。分布式拒絕服務(wù)攻擊的目的是通過瞬間大量的攻擊服務(wù)消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

1.2 CC攻擊

CC攻擊，全名挑戰(zhàn)崩潰攻擊（Challenge Collapsar）是 DDoS攻擊的一種，其前身名為Fatboy（肥仔）攻擊，也是一種常見的網(wǎng)站攻擊方法。CC攻擊的原理就是借助代理服務(wù)器針對(duì)目標(biāo)系統(tǒng)的消耗資源比較大的頁面不斷發(fā)起正常的請(qǐng)求，造成對(duì)方服務(wù)器資源耗盡，一直到宕機(jī)崩潰。攻擊者在發(fā)送CC攻擊前，需要尋找加載比較慢，消耗資源比較多的網(wǎng)頁，如需要查詢數(shù)據(jù)庫的頁面、讀寫硬盤的文件等。針對(duì)攻擊對(duì)象的短板進(jìn)行攻擊而使得系統(tǒng)崩潰。相比其它的DDoS攻擊來說，CC更有技術(shù)含量一些，并且反查不到真實(shí)源IP，也監(jiān)測(cè)不到特別大的異常流量，但造成服務(wù)器無法進(jìn)行正常連接。

1.3 JavaScript DDoS 攻擊

基于JavaScript的DDoS攻擊利用的工具是普通網(wǎng)民的上網(wǎng)終端，這也意味著只要裝有瀏覽器的電腦，都能被用作為DDoS攻擊者的工具。當(dāng)被操縱的瀏覽器數(shù)量達(dá)到一定程度時(shí)，這種DDoS攻擊方式將會(huì)帶來巨大的破壞性。

攻擊者會(huì)在海量訪問的網(wǎng)頁中嵌入指向攻擊目標(biāo)網(wǎng)站的惡意JavaScript代碼，當(dāng)互聯(lián)網(wǎng)用戶訪問該網(wǎng)頁時(shí)，則流量被指向攻擊目標(biāo)網(wǎng)站。攻擊者相當(dāng)于利用了海量的無辜用戶，對(duì)目標(biāo)進(jìn)行了攻擊。

1.4 DNS攻擊

DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一，自然也是DDoS攻擊的一大主要目標(biāo)。DNS Query Flood（DNS泛濫查詢）采用的方法是操縱大量傀儡機(jī)器，向目標(biāo)服務(wù)器發(fā)送大量的域名解析請(qǐng)求。服務(wù)器在接收到域名解析請(qǐng)求時(shí)，首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存，若查找不到且該域名無法直接解析時(shí)，便向其上層DNS服務(wù)器遞歸查詢域名信息。

通常，攻擊者請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)上根本不存在的域名。由于在本地域名服務(wù)器無法查到對(duì)應(yīng)的結(jié)果，本地域名服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請(qǐng)求，引起連鎖反應(yīng)。解析過程給本地域名服務(wù)器帶來一定的負(fù)載，每秒鐘域名解析請(qǐng)求超過一定的數(shù)量就會(huì)造成域名服務(wù)器解析域名超時(shí)。

1.5 DDoS攻擊的防范策略

應(yīng)對(duì)DDoS攻擊，需要從網(wǎng)絡(luò)層和應(yīng)用層兩個(gè)方面進(jìn)行防范。

在網(wǎng)絡(luò)層上，首先需要對(duì)單個(gè)IP請(qǐng)求頻率進(jìn)行限制。同時(shí)，在網(wǎng)絡(luò)架構(gòu)上做好優(yōu)化，采用負(fù)載均衡分流。在防火墻等安全設(shè)備上，設(shè)置禁止ICMP包等。通過DDoS硬件防火墻的數(shù)據(jù)包規(guī)則過濾、數(shù)據(jù)流指紋檢測(cè)過濾、及數(shù)據(jù)包內(nèi)容定制過濾等技術(shù)對(duì)異常流量進(jìn)行清洗過濾。最后，采用ISP近源清洗，使用電信運(yùn)營(yíng)商提供的近源清洗和流量壓制，避免全站服務(wù)對(duì)所有用戶徹底無法訪問，這是應(yīng)對(duì)超過自身帶寬儲(chǔ)備和自身DDoS防御能力之外超大流量的補(bǔ)充性緩解措施。

在應(yīng)用層上，首先要優(yōu)化操作系統(tǒng)的TCP/IP棧，并對(duì)應(yīng)用服務(wù)器嚴(yán)格限制單個(gè)IP允許的連接數(shù)和CPU使用時(shí)間。在編寫代碼時(shí)，盡量實(shí)現(xiàn)優(yōu)化并合理使用緩存技術(shù)。盡量讓網(wǎng)站靜態(tài)化，減少不必要的動(dòng)態(tài)查詢。并且也要使用CDN/云清洗策略，在攻擊發(fā)生時(shí)，及時(shí)進(jìn)行云清洗。

2. ARP欺騙與嗅探掃描

2.1 ARP欺騙

ARP欺騙是通過MAC翻譯錯(cuò)誤造成計(jì)算機(jī)內(nèi)的身份識(shí)別沖突，使得計(jì)算機(jī)IP沖突，無法打開網(wǎng)頁，頻繁彈出錯(cuò)誤對(duì)話框。一臺(tái)主機(jī)和另一臺(tái)主機(jī)通信，要知道目標(biāo)的IP地址，但是在局域網(wǎng)中傳輸數(shù)據(jù)的網(wǎng)卡卻不能直接識(shí)別IP地址，所以用ARP解析協(xié)議將IP地址解析成MAC地址。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，來查詢目標(biāo)設(shè)備的MAC地址。在局域網(wǎng)的任意一臺(tái)主機(jī)中，都有一個(gè)ARP緩存表，里面保存本機(jī)已知的此局域網(wǎng)中各主機(jī)和路由器的IP地址和MAC地址的對(duì)照關(guān)系。ARP緩存表的生命周期是有時(shí)限的。ARP欺騙就是通過ARP協(xié)議不會(huì)檢查自己請(qǐng)求包的缺陷，偽裝成正?；ハ嗤ㄐ诺姆?wù)器中的一臺(tái)來對(duì)目標(biāo)服務(wù)器進(jìn)行欺騙，達(dá)到竊取資料的目的。

總的來說，ARP攻擊屬于局域網(wǎng)的攻擊方式，攻擊者可以通過ARP欺騙的方式釋放木馬病毒，達(dá)到竊取局域網(wǎng)用戶資料的目的。

2.2 嗅探掃描

嗅探器是一種監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運(yùn)行的軟件設(shè)備，既能用于合法網(wǎng)絡(luò)管理，也能用于竊取網(wǎng)絡(luò)信息，如監(jiān)視網(wǎng)絡(luò)流量、分析數(shù)據(jù)包、監(jiān)視網(wǎng)絡(luò)資源利用、執(zhí)行網(wǎng)絡(luò)安全操作規(guī)則等。非法嗅探器嚴(yán)重威脅網(wǎng)絡(luò)安全性，因?yàn)樗坏梢赃M(jìn)行探測(cè)行為，而且容易隨處插入，所以黑客常將它作為攻擊武器。

當(dāng)一個(gè)黑客成功地攻陷了一臺(tái)主機(jī)，并拿到了ROOT權(quán)限，如果他還想利用這臺(tái)主機(jī)去攻擊同一網(wǎng)段上的其他主機(jī)時(shí)，他就會(huì)在這臺(tái)主機(jī)上安裝一款嗅探器軟件，對(duì)以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行嗅探，從而監(jiān)聽感興趣的包。如果發(fā)現(xiàn)符合條件的包，就會(huì)想方設(shè)法破譯數(shù)據(jù)包的內(nèi)容，如果在某數(shù)據(jù)包里面包含有某主機(jī)的賬戶以及密碼，那么該主機(jī)就極有可能被黑客入侵。

2.3? ARP欺騙以及嗅探掃描的防范

應(yīng)對(duì)ARP攻擊和嗅探掃描，我們需要采取以下策略。首先，采用雙邊的ip+Mac地址+端口綁定的方式進(jìn)行雙向綁定，提高點(diǎn)對(duì)點(diǎn)的對(duì)接安全性。同時(shí)部署支持ARP過濾功能的防火墻，并建立起DHCP服務(wù)器。然后對(duì)安全區(qū)域進(jìn)行嚴(yán)格劃分，隔離廣播。最后，設(shè)置系統(tǒng)定期殺毒。

3. 跨站腳本攻擊

3.1 跨站腳本攻擊介紹

跨站腳本攻擊（Cross Site Scripting）（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。通過對(duì)系統(tǒng)漏洞的利用注入惡意代碼，根據(jù)程序返回的結(jié)果，獲得一些他想得到的數(shù)據(jù)，配合暴力口令破解，撞庫等方式，逐漸達(dá)到拿到服務(wù)器權(quán)限的過程?？缯灸_本攻擊應(yīng)該是最常見的黑客攻擊方式，是一種悄無聲息，不容易被發(fā)現(xiàn)的入侵形式，目的基本上是通過竊取目標(biāo)服務(wù)器上的有價(jià)值信息資料，完成自己的經(jīng)濟(jì)或者政治上的攫取目的，使受害者遭受巨大的損失。

3.2 跨站腳本攻擊的實(shí)施步驟

攻擊者實(shí)施跨站腳本攻擊通常的通常有一個(gè)完整的過程，首先通過掃描工具獲取目標(biāo)服務(wù)器的ip地址，同時(shí)對(duì)C網(wǎng)段下的所有主機(jī)進(jìn)行掃描，或許目標(biāo)服務(wù)器及C網(wǎng)段下所有主機(jī)的系統(tǒng)信息，進(jìn)行漏洞分析的同時(shí)使用工具掃描后臺(tái)登錄地址，在發(fā)現(xiàn)系統(tǒng)漏洞或者登錄地址后，分別嘗試代碼植入、SQL漏洞注入、暴力破解、撞庫等方式進(jìn)行滲透，直至登錄進(jìn)入后臺(tái)取得ROOT權(quán)限，同時(shí)植入木馬后門。這樣，目標(biāo)服務(wù)器在已經(jīng)被攻破的同時(shí)也在未來時(shí)刻暴露在攻擊者的監(jiān)視之下。

3.3 跨站腳本攻擊的防范

應(yīng)對(duì)跨站腳本的攻擊，我們首先需要應(yīng)用功能強(qiáng)大的防火墻，同時(shí)對(duì)重要的服務(wù)器進(jìn)行代碼審計(jì)，并進(jìn)行滲透測(cè)試。更換掉常用的端口號(hào)和后臺(tái)地址的路徑，讓路徑分析軟件無法取得真實(shí)的登錄地址。同時(shí)，注意服務(wù)器系統(tǒng)的及時(shí)升級(jí)，避免漏洞隱患，并采用驗(yàn)證碼登錄或者限制登錄次數(shù)的方式，隔斷暴力破解的路。在有外網(wǎng)接觸的路徑上，對(duì)外部發(fā)送的可以文件以及郵件要謹(jǐn)慎接收，同時(shí)對(duì)子用戶的權(quán)限進(jìn)行嚴(yán)格定義，謹(jǐn)慎賦予編輯寫入權(quán)限。最后需要對(duì)C段同主機(jī)也要進(jìn)行以上操作，并定期更換系統(tǒng)密碼，定期殺毒。

4. 總結(jié)

保障節(jié)目運(yùn)行安全穩(wěn)定播出，是播控中心的最核心任務(wù)。所以，網(wǎng)絡(luò)安全對(duì)于新一代的融媒體中心的運(yùn)營(yíng)保障工作來說是重中之重的工作。在日常的管理和運(yùn)維工作中，網(wǎng)絡(luò)安全工作需要作為單獨(dú)的一個(gè)模塊來進(jìn)行管理和實(shí)施。通常情況下，配備高級(jí)別防火墻以及監(jiān)控系統(tǒng)，并且通常隔絕外部網(wǎng)絡(luò)連接的融媒體系統(tǒng)服務(wù)器，在應(yīng)對(duì)DDoS等互聯(lián)網(wǎng)外部攻擊的時(shí)候通常游刃有余，但是應(yīng)對(duì)從內(nèi)網(wǎng)滲透的攻擊時(shí)通常會(huì)措手不及。所以，核心系統(tǒng)在日常運(yùn)行時(shí)在不影響正常運(yùn)營(yíng)的情況下，除了上文所列舉的網(wǎng)絡(luò)攻擊的防范措施以外，還要嚴(yán)格定義內(nèi)網(wǎng)終端的訪問權(quán)限，甚至在重要時(shí)段隔絕內(nèi)網(wǎng)訪問。同時(shí)對(duì)于系統(tǒng)內(nèi)部接入外網(wǎng)的終端，針對(duì)郵件接收，文件傳輸，定期殺毒，系統(tǒng)升級(jí)等操作要建立完善的規(guī)章制度并嚴(yán)格執(zhí)行，始終把網(wǎng)絡(luò)安全放在重要位置，方能保證播控系統(tǒng)的安全穩(wěn)定運(yùn)行。

進(jìn)入21世紀(jì)，網(wǎng)絡(luò)技術(shù)高速發(fā)展，傳統(tǒng)廣播技術(shù)也面臨新的挑戰(zhàn)，怎樣在技術(shù)上不斷創(chuàng)新的同時(shí)保證系統(tǒng)一如既往的安全和穩(wěn)定，是傳媒行業(yè)技術(shù)人員時(shí)刻面對(duì)的并需要絞盡腦汁解決的問題。相信在技術(shù)人員的積極思考與創(chuàng)新改造之下，傳統(tǒng)媒體一定能煥發(fā)出新的活力，緊緊跟上新時(shí)代的發(fā)展腳步。

參考文獻(xiàn)：

[1]周文泉.播出網(wǎng)絡(luò)安全等保建設(shè)的設(shè)計(jì)與實(shí)現(xiàn)[J].現(xiàn)代電視技術(shù)，2015（02）：111-115

[2]袁杰，孫國兵，周為民，徐創(chuàng)義.無錫有線網(wǎng)絡(luò)前端安全播出技術(shù)防范新體系的構(gòu)建[J].有線電視技術(shù)，2008（06）：88-91.

[3]屠逸，宋海波，黃小康.基于網(wǎng)絡(luò)智能化的安全播出系統(tǒng)設(shè)計(jì)與建設(shè)[J].廣播與電視技術(shù)，2016（10）：110-113