摘要:随着Internet的迅速发展,网络安全问题日益突出,网络攻击对Internet构成巨大威胁。网络攻击方式不断变化,防御措施也在不断发展。本文提出的攻击分类和防范分类,旨在帮助我们更清晰地认识攻击、分析攻击,并引导我们找出更有效的防御措施。
关键词:网络攻击;防御机制;分类
一、网络攻击分类
(一)基于攻击前的准备的分类
在攻击准备阶段,攻击者部署自动化脚本扫描,找出有漏洞的机器安装攻击代码,然后主控端操纵攻击代理向受害者发起攻击。根据主控端与代理之间的通信机制,可将其分为直接通信攻击和间接通信攻击。
(1)直接通信攻击
最初的网络攻击依靠不加密的会话连接相互通信。攻击者、主控机与代理之间通过TCP连接直接交互攻击信息,虽然这种通信方式是可靠的,但攻击者存在很大的风险。主控端与代理之间的通信有可能被入侵检测系统识别。通过监视网络流量,一旦发现主控机和代理,就有可能发现整个攻击网络,危及攻击者的安全。
(2)间接通信攻击
在攻击过程中,通过间接通信实施网络攻击,可以提高 网络攻击的生存能力,如采用加密通信、隐性控制、IRC通道等,代理通过符合协议的正常网络服务,利用标准的服务端口同主控机建立连接,代理与主控端的通信与正常的网络流量没有区别,因此不易被发现。
(二)基于攻击过程的分类
TCP/IP协议在其制定过程中存在一些漏洞,攻击者利用这些漏洞进行攻击致使系统当机、挂起或崩溃。按照TCP/IP协议的层次划分将攻击作如下分类
(1)基于ARP的攻击
ARP用于将以太网中的IP地址解析为MAC地址,其缓存中存储着MAC地址与IP地址的映射表。当主机收到另一主机的ARP请求时,它会将请求包中的源地址信息(发送请求主机的IP地址和MAC地址映射关系)视为有效,并保存到ARP缓存中。另外,ARP是无连接的协议,即使在没有ARP请求的情况下,收到攻击者发送来的ARP应答,它将会接收ARP应答包中所提供的信息,更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力,产生拒绝服务。例如,ARP重定向攻击就是基于ARP的攻击。
(2)基于ICMP的攻击
ICMP用于错误处理和传递控制信息,其主要功能是用于主机之间的联络。它通过发送一个回复请求(Echo Request)信息包请求主机响应,以判断与主机之间的连接是否正常。攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包,并将源地址伪装成想要攻击的目标主机的地址。这样,该子网上的所有主机均对此ICMP Echo请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。例如,Ping洪水攻击和Smurf攻击就是典型的基于ICMP的攻击。
(3)基于IP的攻击
TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段,到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃,如 Tea由op是基于IP的攻击。
(4)基于UDP的攻击
UDP是用来定义在网络环境中提供数据包交换的无连接的传输层协议,处在TCP/IP中网络层的上层。它为用户程序之间的信息传输提供了简便的协议机制,但不提供错误更正和重发,也不防止包的丢失或重复。
期刊文章分类查询,尽在期刊图书馆由于UDP不会验证其发送的数据报是否被正确接收就会发送新的数据报,因此,可以伪造大量的数据报用于攻击目标主机,如UDP Flood, UDP Echo, Fraggle等都是基于该协议的攻击。
(5)基于TCP的攻击
TCP是一个面向连接的传输协议,它在不可靠的IP层上提供了一个可靠的传输层。为了提供这种可靠的服务,TCP采用了超时重传、发送和接收端到端的确认分组等机制。TCP要求在传送数据前必须在服务器与客户机之间经过三次握手建立连接,即服务器在接收到客户机的SYN包后必须回应一个 SYN/ACK包,然后等待客户机再回应一个ACK包来确认,至此,TCP连接建立。而在建立TCP连接的过程中,如果在第二次握手以后故意不回应,服务器一般会重新发送SYN/ACK报丈给客户端,并在等待一段时间后丢弃这个没有建立连接的请求。值得注意的是,服务器用于等待来自客户机的ACK信息包的TCP/IP堆战是有限的,如果缓冲区被等待队列充满,它将拒绝下一个连接请求,造成资源的大量消耗,无法向正常请求提供服务,如SYN Flood,Land攻击等。
(6)基于应用层的攻击
应用层包括SMTP,HTTP,DNS,RIP等各种应用协议。其中SMTP定义了如何在两个主机间传输邮件的过程,基于标准SMTP的邮件服务器,在客户端请求发送邮件时,是不对其身份进行验证的。另外,许多邮件服务器都允许邮件中继。攻击者利用邮件服务器(允许匿名发信,允许邮件中继)持续不断地向攻击目标发送垃圾邮件,大量侵占服务器资源,导致正常邮件的丢失,如电子邮件炸弹、Finger炸弹等。
(三)基于攻击结果的分类
分布式拒绝服务攻击主要影响目标系统的可用性,按照攻击对受害者的影响,我们将其分为以下两种:①性能下降。攻击性能下降攻击逐渐消耗受害者资源。此类攻击不能导致完全的服务中断,因而,在相当长一段时间内不会被检测到。②破坏性攻击。破坏性攻击的目的是完全拒绝受害者为客户提供服务,致使系统当机或崩溃。
二、防御机制分类
(一)防范机制
防范机制的目标是消除拒绝服务攻击发生的可能性以及使得潜在的受害者能容忍攻击,而不至于对合法用户造成拒绝服务。因此,将防范机制分为防范攻击和防范拒绝服务。①防范攻击。攻击防范机制通过修改系统配置来消除拒绝服务攻击,进一步将其分为系统安全机制和协议安全机制。②防范拒绝服务。拒绝服务防范机制使得受害者能容忍攻击,而不会对合法用户拒绝服务。通过增强资源消耗策略或者确保足够的资源存在来保护合法用户不受攻击影响。因此,可将其分为资源动态调度和资源倍增。
(二)反应机制
(1)攻击检测
在防范策略的基础上,还需要建立一套有效的攻击检测系统。根据检测策略可将其分为特征检测和异常检测。
(2)攻击响应
检测到攻击之后,采用攻击响应消除或减轻网络攻击及其影响,可将其分为诱骗机制和追踪机制。
(三)防范和反应机制之比较
防范机制在系统受到攻击时可以在一段时间内、一定攻击强度下较好地保持系统服务的连续性,但是经济代价高。另外,如果攻击的强度持续增大,最终仍将使正常服务被阻塞,所以,需要通过主动反应来阻止攻击的发生或者减小攻击的传播范围。
结语:随着互联网的迅速发展,网络安全问题日益突出,各种黑客工具和网络攻击手段也随之出现。网络攻击导致网络和用户受到侵害,其以攻击范围广、隐蔽性强、简单有效等特点,极大地影响网络的有效服务。
参考文献:
[1] Eric Cole著.苏霄等译.黑客――攻击透析与防范[M].北京:电子工业出版社,2012.140-142.
[2] Ye Baoqing. Network Denia-of-Service Classifcation, Detection,Protection[D]. Syracuse University,2011.41-46.
论文作者:赵倩,辛翠红
论文发表刊物:《电力设备》2019年第2期
论文发表时间:2019/6/5
标签:机制论文; 网络论文; 攻击者论文; 主机论文; 通信论文; 将其论文; 拒绝服务论文; 《电力设备》2019年第2期论文;