被竊盜的信用卡號、遭受攻擊的計算機系統以及其他一些著名的在線攻擊已經引起了許多用戶的警惕,使安全管理人員將注意力放在了高級入侵檢測系統、防火墻和其他高水平防御上。然而,許多人忘了,無論他們如何努力地加強站點的安全,Internet結構中存在的脆弱性仍使他們處于危險之中。
像請求在兩臺計算機之間建立連接這種簡單功能就會造成漏洞,而每年報告的攻擊中有15%是由這種漏洞造成的,這是由于自TCP/IP被接受為Arpanet傳輸協議之日起,它就一直沒有什么變化,而IP最初是在一個內部非常信任的具有內聚力的社區中編寫的,因此缺省值是IP應用認為它們應當信任人。
利用TCP/IP功能的拒絕服務攻擊和數據欺詐攻擊可以使用多數服務器操作系統中能夠被打開的安全功能、路由器或新版IP(IPv6)內置的過濾器來防范。但是,這些安全措施經常被忽視。
近期有公司受到了“重新發現”的TCP攻擊,這是一種利用TCP存在的老問題的新途徑:如果黑客可以猜出兩臺計算機用來啟動發送數據包序列的隨機初始序列號(ISN)的話,這位黑客就可以劫持一次會話。一旦攻擊者猜出ISN,他就可以改變數據包的傳送方向或向數據流中注入任何東西。人們認為軟件廠商已經利用隨機包序列發生器解決了這一問題。但結果是這種隨機序列并不隨機,它實際包含使ISN很容易猜到的模式。
另一種古老手段IP地址欺騙今天也很常見。像IP欺騙和利用緩沖區溢出的拒絕攻擊這類古典的TCP/IP攻擊仍在使用。以分布式拒絕攻擊為例,將特洛伊木馬植入到未受懷疑的服務器中。然后,這些服務器利用大量的包含虛假源IP地址的服務請求淹沒了許多電子商務站點。攻擊造成這些商務站點上的很多服務器崩潰。
非IP攻擊一般尋找服務器軟件或像地址簿和自動郵件程序這類功能中脆弱的端口和服務。
常見的針對TCP/IP的攻擊
在八十年代中,有幾十種針對TCP/IP的攻擊襲擊過Arpanet。其中的一些攻擊今天依然存在。最常見的包括:
1. Smurf攻擊:一種由有趣的卡通人物而得名的拒絕服務攻擊。Smurf攻擊利用多數服務器中具有的同時向許多計算機廣播請求的功能。攻擊者偽造一個合法的IP地址,然后由網絡上所有的服務器廣播要求向受害者地址做出回答的請求。由于這些數據包表面上看是來自已知地址的合法請求,因此網絡中的所有系統向這個地址做出回答,回答淹沒了這臺合法的機器,造成拒絕服務。
2. SYN洪水:一種拒絕服務攻擊,在這種攻擊中,攻擊者利用偽造的IP地址向目標發出多個連接(SYN)請求。目標系統然后發送確認信息,并等待回答。由于偽造的IP地址不屬于任何實際的機器,因此,不會有回答,從而使連接保持開放并阻塞了合法的數據流。
3. 源路由篡改:一種拒絕服務和數據劫持攻擊,在這種攻擊中,攻擊者篡改路由表表項(通常在邊緣路由器上),使發送到某一站點的數據流改向傳送到另一個站點上(在這個站點上信息可以被截獲)或者什么地方都不發送。
阻擋與過濾
關閉邊緣路由器上的“廣播”功能可以阻擋Smurf攻擊。以三秒或更短的間隔中止不完整的SYN請求通常可以防止SYN洪水。IP路由包過濾功能可以捕獲劫持企圖。事實上,過濾功能正是TCP/IP保護所做的事。
例如,最近分布式拒絕服務攻擊的許多受害者現在都在自己ISP的位置對數據流進行過濾,而不是等待“洪水”襲擊自己的計算機。一些受害者還對自己的操作系統進行了配置,使其可以更快地中斷SYN請求,并改變受到拒絕服務攻擊的服務器的IP地址避免再受到攻擊。
除了防火墻和入侵檢測外,用戶還可使用下列過濾技術以防止TCP/IP攻擊:
·在邊緣路由器上設置過濾阻擋假地址或SYN攻擊。
·阻擋連接請求、防止高容量攻擊的速率限制過濾器。
·檢測符合攻擊特征的進入連接或跟蹤攻擊發源地供起訴之用的數據流分析。
·通過過濾已知攻擊類型,防止拒絕服務攻擊的基于主機的防火墻。
由于這類安全特性不屬于缺省配置,所以IT人員可能不知道這些特性,因此并沒有開啟這些特性,或者他們害怕過濾功能會降低他們的速度。但是實際上這些特性不會給性能造成太大的影響。
例如,Cisco公司的路由器包含一種叫做單播逆向路徑轉發檢查的特性,這種逆向IP查找功能自三年前Cisco發布IOS第10版起就是該操作系統的一部分。這種功能可以通過檢查上游路由表查看數據包是否來自它們自稱的IP地址來檢測偽造的數據流。盡管這類技術幾乎無處不在,但是用戶還是很少使用它們。
對性能問題的擔心也是造成新的ISN猜測威脅的原因。1996年中,廠商有機會采用一種更強鍵的隨機序列發生器,但多數廠商不愿意采用它,因為從CPU使用的角度看,它費用更高。
而且,IPSec也被大多數人所忽視,IPSec是IPv6的一個子集,它的設計目的是利用公共密鑰在計算機進行連接前對計算機進行認證。這兩種同是在1998年公布的安全特性可以幫助解決許多TCP/IP安全問題。
目前廠商產品真正支持IPSec的還不多。這是因為企業沒有看到采用IPSec或IPv6的令人信服的理由,特別是VPN隧道技術具有與IPSec幾乎相同的功能。
此外,升級到IPv6需要一定的時間,大家未來需要同時升級到IPv6。否則,由于兼容性問題,那些先升級的人將不能接入到Internet的很多部分中。隨著無線Internet設備的出現,對地址空間的需求不久將會呈爆炸式增長。同時,對更強過濾功能和IP安全的需求也會出現爆炸。否則,總有一天,任何Internet連接的設備,甚至包括電冰箱,都會黑世界一把。