亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

系統(tǒng)安全談之IP自身存在的不安全性
2007-01-30   網(wǎng)絡(luò)

被竊盜的信用卡號(hào)、遭受攻擊的計(jì)算機(jī)系統(tǒng)以及其他一些著名的在線攻擊已經(jīng)引起了許多用戶的警惕,使安全管理人員將注意力放在了高級(jí)入侵檢測(cè)系統(tǒng)、防火墻和其他高水平防御上。然而,許多人忘了,無(wú)論他們?nèi)绾闻Φ丶訌?qiáng)站點(diǎn)的安全,Internet結(jié)構(gòu)中存在的脆弱性仍使他們處于危險(xiǎn)之中。

像請(qǐng)求在兩臺(tái)計(jì)算機(jī)之間建立連接這種簡(jiǎn)單功能就會(huì)造成漏洞,而每年報(bào)告的攻擊中有15%是由這種漏洞造成的,這是由于自TCP/IP被接受為Arpanet傳輸協(xié)議之日起,它就一直沒(méi)有什么變化,而IP最初是在一個(gè)內(nèi)部非常信任的具有內(nèi)聚力的社區(qū)中編寫(xiě)的,因此缺省值是IP應(yīng)用認(rèn)為它們應(yīng)當(dāng)信任人。

利用TCP/IP功能的拒絕服務(wù)攻擊和數(shù)據(jù)欺詐攻擊可以使用多數(shù)服務(wù)器操作系統(tǒng)中能夠被打開(kāi)的安全功能、路由器或新版IP(IPv6)內(nèi)置的過(guò)濾器來(lái)防范。但是,這些安全措施經(jīng)常被忽視。

近期有公司受到了“重新發(fā)現(xiàn)”的TCP攻擊,這是一種利用TCP存在的老問(wèn)題的新途徑:如果黑客可以猜出兩臺(tái)計(jì)算機(jī)用來(lái)啟動(dòng)發(fā)送數(shù)據(jù)包序列的隨機(jī)初始序列號(hào)(ISN)的話,這位黑客就可以劫持一次會(huì)話。一旦攻擊者猜出ISN,他就可以改變數(shù)據(jù)包的傳送方向或向數(shù)據(jù)流中注入任何東西。人們認(rèn)為軟件廠商已經(jīng)利用隨機(jī)包序列發(fā)生器解決了這一問(wèn)題。但結(jié)果是這種隨機(jī)序列并不隨機(jī),它實(shí)際包含使ISN很容易猜到的模式。

另一種古老手段IP地址欺騙今天也很常見(jiàn)。像IP欺騙和利用緩沖區(qū)溢出的拒絕攻擊這類(lèi)古典的TCP/IP攻擊仍在使用。以分布式拒絕攻擊為例,將特洛伊木馬植入到未受懷疑的服務(wù)器中。然后,這些服務(wù)器利用大量的包含虛假源IP地址的服務(wù)請(qǐng)求淹沒(méi)了許多電子商務(wù)站點(diǎn)。攻擊造成這些商務(wù)站點(diǎn)上的很多服務(wù)器崩潰。

非IP攻擊一般尋找服務(wù)器軟件或像地址簿和自動(dòng)郵件程序這類(lèi)功能中脆弱的端口和服務(wù)。

常見(jiàn)的針對(duì)TCP/IP的攻擊

在八十年代中,有幾十種針對(duì)TCP/IP的攻擊襲擊過(guò)Arpanet。其中的一些攻擊今天依然存在。最常見(jiàn)的包括:

1. Smurf攻擊:一種由有趣的卡通人物而得名的拒絕服務(wù)攻擊。Smurf攻擊利用多數(shù)服務(wù)器中具有的同時(shí)向許多計(jì)算機(jī)廣播請(qǐng)求的功能。攻擊者偽造一個(gè)合法的IP地址,然后由網(wǎng)絡(luò)上所有的服務(wù)器廣播要求向受害者地址做出回答的請(qǐng)求。由于這些數(shù)據(jù)包表面上看是來(lái)自已知地址的合法請(qǐng)求,因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個(gè)地址做出回答,回答淹沒(méi)了這臺(tái)合法的機(jī)器,造成拒絕服務(wù)。

2. SYN洪水:一種拒絕服務(wù)攻擊,在這種攻擊中,攻擊者利用偽造的IP地址向目標(biāo)發(fā)出多個(gè)連接(SYN)請(qǐng)求。目標(biāo)系統(tǒng)然后發(fā)送確認(rèn)信息,并等待回答。由于偽造的IP地址不屬于任何實(shí)際的機(jī)器,因此,不會(huì)有回答,從而使連接保持開(kāi)放并阻塞了合法的數(shù)據(jù)流。

3. 源路由篡改:一種拒絕服務(wù)和數(shù)據(jù)劫持攻擊,在這種攻擊中,攻擊者篡改路由表表項(xiàng)(通常在邊緣路由器上),使發(fā)送到某一站點(diǎn)的數(shù)據(jù)流改向傳送到另一個(gè)站點(diǎn)上(在這個(gè)站點(diǎn)上信息可以被截獲)或者什么地方都不發(fā)送。

阻擋與過(guò)濾

關(guān)閉邊緣路由器上的“廣播”功能可以阻擋Smurf攻擊。以三秒或更短的間隔中止不完整的SYN請(qǐng)求通常可以防止SYN洪水。IP路由包過(guò)濾功能可以捕獲劫持企圖。事實(shí)上,過(guò)濾功能正是TCP/IP保護(hù)所做的事。

例如,最近分布式拒絕服務(wù)攻擊的許多受害者現(xiàn)在都在自己ISP的位置對(duì)數(shù)據(jù)流進(jìn)行過(guò)濾,而不是等待“洪水”襲擊自己的計(jì)算機(jī)。一些受害者還對(duì)自己的操作系統(tǒng)進(jìn)行了配置,使其可以更快地中斷SYN請(qǐng)求,并改變受到拒絕服務(wù)攻擊的服務(wù)器的IP地址避免再受到攻擊。

除了防火墻和入侵檢測(cè)外,用戶還可使用下列過(guò)濾技術(shù)以防止TCP/IP攻擊:

·在邊緣路由器上設(shè)置過(guò)濾阻擋假地址或SYN攻擊。

·阻擋連接請(qǐng)求、防止高容量攻擊的速率限制過(guò)濾器。

·檢測(cè)符合攻擊特征的進(jìn)入連接或跟蹤攻擊發(fā)源地供起訴之用的數(shù)據(jù)流分析。

·通過(guò)過(guò)濾已知攻擊類(lèi)型,防止拒絕服務(wù)攻擊的基于主機(jī)的防火墻。

由于這類(lèi)安全特性不屬于缺省配置,所以IT人員可能不知道這些特性,因此并沒(méi)有開(kāi)啟這些特性,或者他們害怕過(guò)濾功能會(huì)降低他們的速度。但是實(shí)際上這些特性不會(huì)給性能造成太大的影響。

例如,Cisco公司的路由器包含一種叫做單播逆向路徑轉(zhuǎn)發(fā)檢查的特性,這種逆向IP查找功能自三年前Cisco發(fā)布IOS第10版起就是該操作系統(tǒng)的一部分。這種功能可以通過(guò)檢查上游路由表查看數(shù)據(jù)包是否來(lái)自它們自稱(chēng)的IP地址來(lái)檢測(cè)偽造的數(shù)據(jù)流。盡管這類(lèi)技術(shù)幾乎無(wú)處不在,但是用戶還是很少使用它們。

對(duì)性能問(wèn)題的擔(dān)心也是造成新的ISN猜測(cè)威脅的原因。1996年中,廠商有機(jī)會(huì)采用一種更強(qiáng)鍵的隨機(jī)序列發(fā)生器,但多數(shù)廠商不愿意采用它,因?yàn)閺腃PU使用的角度看,它費(fèi)用更高。

而且,IPSec也被大多數(shù)人所忽視,IPSec是IPv6的一個(gè)子集,它的設(shè)計(jì)目的是利用公共密鑰在計(jì)算機(jī)進(jìn)行連接前對(duì)計(jì)算機(jī)進(jìn)行認(rèn)證。這兩種同是在1998年公布的安全特性可以幫助解決許多TCP/IP安全問(wèn)題。

目前廠商產(chǎn)品真正支持IPSec的還不多。這是因?yàn)槠髽I(yè)沒(méi)有看到采用IPSec或IPv6的令人信服的理由,特別是VPN隧道技術(shù)具有與IPSec幾乎相同的功能。

此外,升級(jí)到IPv6需要一定的時(shí)間,大家未來(lái)需要同時(shí)升級(jí)到IPv6。否則,由于兼容性問(wèn)題,那些先升級(jí)的人將不能接入到Internet的很多部分中。隨著無(wú)線Internet設(shè)備的出現(xiàn),對(duì)地址空間的需求不久將會(huì)呈爆炸式增長(zhǎng)。同時(shí),對(duì)更強(qiáng)過(guò)濾功能和IP安全的需求也會(huì)出現(xiàn)爆炸。否則,總有一天,任何Internet連接的設(shè)備,甚至包括電冰箱,都會(huì)黑世界一把。

熱詞搜索:

上一篇:Windows文件命名中的禁忌還管用嗎?
下一篇:讓W(xué)indows XP也能快速鎖定計(jì)算機(jī)

分享到: 收藏