广域网和局域网攻击技术对比.doc-道客多多

资源描述

1、广域网和局域网攻击技术对比关键词：网络安全体系广域网局域网以太网网络层协议前言随着科技的发展，特别是进入 3G 时代这个将传统的的计算机网络、通信网络和电视网络将最终融合成为一体。现在网络已的功能经不是刚刚开始出现时，仅仅为了共享计算资源和打印机；通过网络互通消息，发布各种信息，网络娱乐，已经融入了生活的方方面面；网络变成了一个平台，可以的各种功能应用来满足人们的各种需求。但带来的安全问题也日益严峻，对网络的安全危险已经从最开始蠕虫病毒，发展到出现损害计算机硬件的 CHI 病毒。本文就是从计算机网络所采用的网络底层技术进行分析，比较目前流行的几种网络攻击手段的特征，以提高我们对网络安全

2、的防护能力。一网络安全概念和安全体系网络安全实际上是网络信息安全的一部分，是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。因此，我们不妨借用这些

3、模型和标准来构建一套较为有效和具有普遍意义的企业安全防范体系。ITU-T X.800 Security architecture 标准将我们常说的“网络安全(Network Security)”进行逻辑上的分别定义，即安全攻击(Security Attack)是指损害机构所拥有信息的安全的任何行为;安全机制(Security Mechanism)是指设计用于检测、预防安全攻击或者恢复系统的机制; 安全服务 (Security Service)是指采用一种或多种安全机制以抵御安全攻击、提高机构的数据处理系统安全和信息传输安全的服务。三者之间的关系如表 1所示。为了能够有效了解用户的安全需求，选择

4、各种安全产品和策略，有必要建立一些系统的方法来进行网络安全防范。网络安全防范体系的科学性、可行性是其可顺利实施的保障。图 3 给出了 DISSP 安全框架三维模型。第一维是安全服务，给出了八种安全属性。第二维是系统单元，给出了信息网络系统的组成。第三维是结构层次，给出并扩展了国际标准化组织 ISO 的七层开放系统互联(OSI)模型。框架结构中的每一个系统单元都对应于某一个协议层次，需要采取若干种安全服务才能保证该系统单元的安全。网络平台需要有网络节点之间的认证、访问控制，应用平台需要有针对用户的认证、访问控制，需要保证数据传输的完整性、保密性，需要有抗抵赖和审计的功能，需要保证应用系统的可用性

5、和可靠性。针对一个信息网络系统，如果在各个系统单元都有相应的安全措施来满足其安全需求，则我们认为该信息网络是安全的。安全架构的层次结构作为全方位的、整体的网络安全防范架构是分层次的，不同层次反映了不同的安全问题。我们可以将企业安全防范架构的层次划分为物理层安全、系统层安全、网络层安全、应用层安全和安全管理（如图 3）。由于层次的不同，我们也需要采用不同的安全技术来针对每层的安全问题进行应对和防护，因而也就产生了如图 4 中所列的种类繁多的安全技术。物理层保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。该层次的安全包括通信线路的安全、物理设备的安全、机房的安全等。因此，该层的

6、安全防护技术具体体现在设备和系统的管理层面和电气工程相关技术的层面上。网络层该层的安全及安全技术问题是当前企业面临的最大问题，安全问题主要体现在网络方面的安全性，包括网络层身份认证，网络资源的访问控制，数据传输的保密与完整性，远程接入的安全，域名系统的安全，路由系统的安全，入侵检测的手段，网络设施防病毒等；提供服务所采用的应用软件和数据的安全性产生，包括 Web 服务、电子邮件系统、DNS 等。管理层管理层安全是最重要而且最容易被忽视的一个问题。它直接关系到上述安全问题和安全技术是否能够收到较好的成效，也是贯穿整个企业安全防范架构的一条重要主线。安全管理包括安全技术和设备的管理、安全管理制

7、度、部门与人员的组织规则等。二局域网与广域网安全计算机网络一是种将计算机技术与现代通信技术结合产物，其中最著名的就是现在全球都在使用的 internet。计算机网络常用的分类方法是按照网络的规模和距离来继续分类的，局域网和广域网，还有一种是介于两者之间的网络城域网（本文不做讨论）。2.1 局域网网络安全和典型的网络攻击例子局域网(LAN，Local Area Network)：局域网一般用微型计算机或工作站通过高速通信线路相连，但地理范围局限于 1km5km 的地区，例如学校，企业。局域网的特点：网络覆盖范围小（25 公里以内）选用较高特性的传输媒体：高的传输速率和低的传输误码率（双绞线

8、和光纤，或同轴电缆）硬软件设施及协议方面有所简化媒体访问控制方法相对简单（最常用的就是访问竞争方式，令牌传递方式和令牌环）采用广播方式传输数据信号，一个结点发出的信号可被网上所有的结点接收，不考虑路由选择的问题，甚至可以忽略 OSI 网络层的存在。网络结构：为中线型，星型和环型局域网技术在发展的初期有多种网络技术（以太网，令牌环，FDDI 等）并存，其中以太网技术以其简单易用成本低廉，经过 20 多年的技术发展，其标准一直随着网络的需求不断改进。作为 IP 网络的一种极具吸引力的解决方案，以太网具有下列关键特性：可扩充性；灵活的部署距离，支持从短程局域网（大约 100m）到长距离城

9、域网（40km 以上）的各种网络应用；成本低；灵活性和互操作性；易于使用和管理。这些因素使以太网成为当今局域网关键网络的实现技术。因此本文重点讨论的局域网技术无特殊指明的话全部用以太网技术来做研究例子。局域网面临的安全问题局域网的底层技术以太网特点是一种广播型的网络，并且在一个中小规模的网络其网络终端都拥有比较充足的带宽（10、100 甚至 1000），而且一般的网络规划中局域网都是属于企业或事业单位的内部网络，安全防护在网络的设计之初就没有像外部网络那么强，这样的环境使得一些网络攻击行为利用了这个特点，对网络进行侦听，获取网络的访问权，甚至是通过网络窃取操作其他的访问密码获得控制权。我们通

10、过几个典型的局域网网络攻击行为，来分析如何利用局域网的技术特性的。报文窃听：报文窃听是在利用网络适配器捕获某个冲突域的所有报文，例如我们常用的 sinffer和 netray 等工具可以帮助我们做流量分析和故障查询，但有些网络应用（pop3，telnet，ftp，smtp 等）是以明码传输数据的，因此报文窃听是可以提供像密码登陆用户这样的敏感数据的。很多用户都会在日常应用中使用相同的用户名和密码，这样的话就很容易为黑客利用从而获取网络和系统的访问甚至是控制权。针对局域网设备的攻击：1）MAC 地址表的攻击MAC 地址表一般存在于以太网交换机上，以太网通过分析接收到的数据幀的目的 MAC 地址，

11、来查本地的 MAC 地址表，然后作出合适的转发决定。这些 MAC 地址表一般是通过学习获取的，交换机在接收到一个数据幀后，有一个学习的过程，该过程是这样的：a) 提取数据幀的源 MAC 地址和接收到该数据幀的端口号；b) 查 MAC 地址表，看该 MAC 地址是否存在，以及对应的端口是否符合；c) 如果该 MAC 地址在本地 MAC 地址表中不存在，则创建一个 MAC 地址表项；d) 如果存在，但对应的出端口跟接收到该数据幀的端口不符，则更新该表；e) 如果存在，且端口符合，则进行下一步处理。分析这个过程可以看出，如果一个攻击者向一台交换机发送大量源 MAC 地址不同的数据幀，则该交换机就可能

12、把自己本地的 MAC 地址表学满。一旦 MAC 地址表溢出，则交换机就不能继续学习正确的 MAC 表项，结果是可能产生大量的网络冗余数据，甚至可能使交换机崩溃。而构造一些源 MAC 地址不同的数据幀，是非常容易的事情。2）针对 ARP 表的攻击ARP 表是 IP 地址和 MAC 地址的映射关系表，任何实现了 IP 协议栈的设备，一般情况下都通过该表维护 IP 地址和 MAC 地址的对应关系，这是为了避免 ARP 解析而造成的广播数据报文对网络造成冲击。ARP 表的建立一般情况下是通过二个途径：1) 主动解析，如果一台计算机想与另外一台不知道 MAC 地址的计算机通信，则该计算机主动发 ARP

13、请求，通过 ARP 协议建立（前提是这两台计算机位于同一个 IP 子网上）；2) 被动请求，如果一台计算机接收到了一台计算机的 ARP 请求，则首先在本地建立请求计算机的 IP 地址和 MAC 地址的对应表。因此，如果一个攻击者通过变换不同的 IP 地址和 MAC 地址，向同一台设备，比如三层交换机发送大量的 ARP 请求，则被攻击设备可能会因为 ARP 缓存溢出而崩溃。针对 ARP 表项，还有一个可能的攻击就是误导计算机建立正确的 ARP 表。根据 ARP 协议，如果一台计算机接收到了一个 ARP 请求报文，在满足下列两个条件的情况下，该计算机会用 ARP 请求报文中的源 IP 地址和源

14、MAC 地址更新自己的 ARP 缓存：1)如果发起该 ARP 请求的 IP 地址在自己本地的 ARP 缓存中；2)请求的目标 IP 地址不是自己的。可以举一个例子说明这个过程，假设有三台计算机 A，B，C，其中 B 已经正确建立了A 和 C 计算机的 ARP 表项。假设 A 是攻击者，此时，A 发出一个 ARP 请求报文，该请求报文这样构造：1)源 IP 地址是 C 的 IP 地址，源 MAC 地址是 A 的 MAC 地址；2)请求的目标 IP 地址是 A 的 IP 地址。这样计算机 B 在收到这个 ARP 请求报文后（ARP 请求是广播报文，网络上所有设备都能收到），发现 B 的 ARP

15、表项已经在自己的缓存中，但 MAC 地址与收到的请求的源 MAC 地址不符，于是根据 ARP 协议，使用 ARP 请求的源 MAC 地址（即 A 的 MAC 地址）更新自己的 ARP 表。这样 B 的 ARP 混存中就存在这样的错误 ARP 表项：C 的 IP 地址跟 A 的 MAC 地址对应。这样的结果是，B 发给 C 的数据都被计算机 A 接收到。2.2 广域网安全和典型的攻击例子广域网 (WAN，Wide Area Network): 广域网的作用范围通常为几十 km几千 km,同一国家或州、甚至全球范围，因此又称为远程网。广域网的特点（1）主要提供面向通信的服务，支持用户使用计算机进行

16、远距离的信息交换；（2）覆盖范围广，通信的距离远，需要考虑的因素增多，如媒体的成本、线路的冗余、媒体带宽的利用和差错处理等；（3）由电信部门或公司负责组建、管理和维护，并向全社会提供面向通信的有偿服务、流量统计和计费问题。广域网由相距较远的局域网或城域网互连而成，通常是除了计算机设备以外，更多的涉及一些电信通讯技术；主要体现在 OSI 参考模型的下 3 层：物理层、数据链路层和网络层。由于对网络安全的攻击是通过高层是网络协议和操作系统漏洞来实现的，例如是通过TCP/IP 协议，本文不对具体的广域网技术进行详细的介绍。广域网安全问题广域网目前的主流互联技术是 TCPIP 协议，通过 TCP

17、/IP 将不同的种类和地域的网络互联到一起，很好的屏蔽了网络底层技术的不同，统一了整个网络通讯语言。但也可以说是现在广域网的网络安全问题都是由这个协议本身的一些缺陷带来的。我们还是通过一些典型的广域网攻击手段，来分析是如何通过 TCP/IP 这个协议特性和网络操纵系统漏洞来实现的。一、TCP SYN 拒绝服务攻击一般情况下，一个 TCP 连接的建立需要经过三次握手的过程，即：1、建立发起者向目标计算机发送一个 TCP SYN 报文；2、目标计算机收到这个 SYN 报文后，在内存中创建 TCP 连接控制块（TCB），然后向发起者回送一个 TCP ACK 报文，等待发起者的回应；3、发起者收到

18、TCP ACK 报文后，再回应一个 ACK 报文，这样 TCP 连接就建立起来了。利用这个过程，一些恶意的攻击者可以进行所谓的 TCP SYN 拒绝服务攻击：1、攻击者向目标计算机发送一个 TCP SYN 报文；2、目标计算机收到这个报文后，建立 TCP 连接控制结构（TCB），并回应一个 ACK，等待发起者的回应；3、而发起者则不向目标计算机回应 ACK 报文，这样导致目标计算机一致处于等待状态。可以看出，目标计算机如果接收到大量的 TCP SYN 报文，而没有收到发起者的第三次ACK 回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB 控制结构，TCB，一

19、般情况下是有限的）耗尽，而不能响应正常的 TCP 连接请求。二、ICMP 洪水正常情况下，为了对网络进行诊断，一些诊断程序，比如 PING 等，会发出 ICMP 响应请求报文（ICMP ECHO），接收计算机接收到 ICMP ECHO 后，会回应一个 ICMP ECHO Reply报文。而这个过程是需要 CPU 处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。这样如果攻击者向目标计算机发送大量的 ICMP ECHO 报文（产生 ICMP 洪水），则目标计算机会忙于处理这些 ECHO 报文，而无法继续处理其它的网络数据报文，这也是一种拒绝服务攻击（DOS）。三、UDP 洪水原

20、理与 ICMP 洪水类似，攻击者通过发送大量的 UDP 报文给目标计算机，导致目标计算机忙于处理这些 UDP 报文而无法继续处理正常的报文。四、端口扫描根据 TCP 协议规范，当一台计算机收到一个 TCP 连接建立请求报文（TCP SYN）的时候，做这样的处理：1、如果请求的 TCP 端口是开放的，则回应一个 TCP ACK 报文，并建立 TCP 连接控制结构（TCB）；2、如果请求的 TCP 端口没有开放，则回应一个 TCP RST（TCP 头部中的 RST 标志设为1）报文，告诉发起计算机，该端口没有开放。相应地，如果 IP 协议栈收到一个 UDP 报文，做如下处理：1、如果该报文的目标

21、端口开放，则把该 UDP 报文送上层协议（UDP）处理，不回应任何报文（上层协议根据处理结果而回应的报文例外）；2、如果该报文的目标端口没有开放，则向发起者回应一个 ICMP 不可达报文，告诉发起者计算机该 UDP 报文的端口不可达。利用这个原理，攻击者计算机便可以通过发送合适的报文，判断目标计算机哪些 TCP 或UDP 端口是开放的，过程如下：1、发出端口号从 0 开始依次递增的 TCP SYN 或 UDP 报文（端口号是一个 16 比特的数字，这样最大为 65535，数量很有限）；2、如果收到了针对这个 TCP 报文的 RST 报文，或针对这个 UDP 报文的 ICMP 不可达报文，则

22、说明这个端口没有开放；3、相反，如果收到了针对这个 TCP SYN 报文的 ACK 报文，或者没有接收到任何针对该UDP 报文的 ICMP 报文，则说明该 TCP 端口是开放的，UDP 端口可能开放（因为有的实现中可能不回应 ICMP 不可达报文，即使该 UDP 端口没有开放）。这样继续下去，便可以很容易的判断出目标计算机开放了哪些 TCP 或 UDP 端口，然后针对端口的具体数字，进行下一步攻击，这就是所谓的端口扫描攻击。五、利用操纵系统的漏洞 WinNuke 攻击NetBIOS 作为一种基本的网络资源访问接口，广泛的应用于文件共享，打印共享，进程间通信（IPC），以及不同操作系统之间的

23、数据交换。一般情况下，NetBIOS 是运行在LLC2 链路协议之上的，是一种基于组播的网络访问接口。为了在 TCP/IP 协议栈上实现NetBIOS，RFC 规定了一系列交互标准，以及几个常用的 TCP/UDP 端口：139：NetBIOS 会话服务的 TCP 端口；137：NetBIOS 名字服务的 UDP 端口；136：NetBIOS 数据报服务的 UDP 端口。WINDOWS 操作系统的早期版本（WIN95/98/NT）的网络服务（文件共享等）都是建立在NetBIOS 之上的，因此，这些操作系统都开放了 139 端口（最新版本的 WINDOWS 2000/XP/2003 等，为了兼容，

24、也实现了 NetBIOS over TCP/IP 功能，开放了 139 端口）。WinNuke 攻击就是利用了 WINDOWS 操作系统的一个漏洞，向这个 139 端口发送一些携带 TCP带外（OOB）数据报文，但这些攻击报文与正常携带 OOB 数据报文不同的是，其指针字段与数据的实际位置不符，即存在重合，这样 WINDOWS 操作系统在处理这些数据的时候，就会崩溃2.3 局域网和广域网对比从上面几个典型的网络攻击行为，我们可以看出局域网和广域网之间明显的区别。局域网的攻击方式多是在网络底层进行的，主要是针对网络报文的侦听，对网络报文传输的干扰，对关键网络设备的攻击促使网络瘫痪。广域网底层协

25、议比较复杂，节点之间互联多是采用点对点方式，所以在网络底层进行攻击实行比较困难，主要是利用网络层协议 TCP/IP的一些特性进行攻击，攻击行为比较明显的服务类型攻击特征， TCP/IP 上的应用多是server/client 类型的，使受攻击目标提供的服务瘫痪或者取得使用资格。局域网与广域网对照局域网广域网网络覆盖范围 25 公里以下全球范围传输介质双绞线，光纤，同轴电缆多种传输介质传输技术广播型网络点到点为主网络底层技术主要以太网技术为主 SDH 传输系统，电路交换技术为主网络层协议支持各种网络层协议通过 TCP/IP 协议，解决异种网络互联问题，屏蔽复杂的底层网络技术。关

26、键网络设备网络交换机路由器网络协议是否可以路由由于底层协议处于比较的网络层次可以不支持路由必须支持路，解决复杂网络的寻址网络攻击方式对比局域网广域网利用广播型网络特点，进行报文窃听网络底层复杂，多是点对点互联。利用以太网工作原来针对关键网络设备进行攻击，例如 MAC 攻击利用 TCP/IP 协议特点，进行网络层攻击，另一个就是广域网之间的互联带宽都比较小，制造虚假流量挤占带宽。操作系统漏洞攻击2.4 网络安全措施计算机网络安全包括很多方面，从网络的管理到数据的安全以及传输的安全等。1、局域网安全措施局域网采用广播方式，在同一个广播域中可以侦听到在该局域网上传输的所有信息包，是不安全的

27、因素。基本措施：进行局域网网络分段，将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。物理分段：按计算机所在的物理地点来划分。逻辑分段：按计算机的用途划分，不管所在的地理位置，形成虚拟网段（VLAN）。如企业的服务器系统单独作为一个 VLAN，重要部门（财务、人事、销售、生产等）的计算机系统分别作为独立的 VLAN。将整个网络分成若干个虚拟网段（IP 子网），各子网之间无法直接通信，必须通过路由器、路由交换机、网关等设备进行连接，可利用这些中间设备的安全机制来控制各子网间的访问。2、广域网互连安全措施防火墙技术防火墙是网络之间一种特殊的访问控制设施，在 Internet 网络

28、与内部网之间设置一道屏障，防止黑客进入内部网。由用户制定安全访问策略，抵御黑客的侵袭，主要方法有：IP 地址过滤，服务代理等。3、数据安全措施加密解密技术密钥管理数字签名认证技术数据加密技术是为提高信息系统及数据的安全性和保密性, 使得数据以密文的方式进行传输和存储，防止数据在传输过程中被别人窃听、篡改。数据加密是所有数据安全技术的核心。4、常见的网络安全技术VLAN(虚拟局域网)技术选择 VLAN 技术可较好地从链路层实施网络安全保障。VLAN 指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络，它依*用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网，划分的依据可以是设

29、备所连端口、用户节点的 MAC 地址等。该技术能有效地控制网络流量、防止广播风暴，还可利用 MAC 层的数据包过滤技术，对安全性要求高的 VLAN 端口实施 MAC 帧过滤。而且，即使黑客攻破某一虚拟子网，也无法得到整个网络的信息。网络分段企业网大多采用以广播为基础的以太网，任何两个节点之间的通信数据包，可以被处在同一以太网上的任何一个节点的网卡所截取。因此，黑客只要接人以太网上的任一节点进行侦听，就可以捕获发生在这个以太网上的所有数据包，对其进行解包分析，从而窃取关键信息。网络分段就是将非法用户与网络资源相互隔离，从而达到限制用户非法访问的目的。硬件防火墙技术任何企业安全策略的一个主

30、要部分都是实现和维护防火墙，因此防火墙在网络安全的实现当中扮演着重要的角色。防火墙通常位于企业网络的边缘，这使得内部网络与 Internet 之间或者与其他外部网络互相隔离，并限制网络互访从而保护企业内部网络。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道，简化网络的安全管理。入侵检测技术入侵检测方法较多，如基于专家系统入侵检测方法、基于神经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实现。3、结束语由于网络协议本身的一些缺陷带来的网络安全问题，以及在网络环境的复杂多变，网上传输的数据信息很容易泄露和被破坏，网络受到的安全攻击非常严重，因此对网络协议本身的一些缺陷和典型的网络攻击行为我们要了解，做到知己知彼，才能分析网络系统的各个不安全环节，找到安全漏洞，做到有的放矢。

展开阅读全文