常见网络攻击以及防御方法（二）

路由协议攻击

网络设备之间为了交换路由信息，常常运行一些动态的路由协议，这些路由协议可以完成诸 如路由表的建立，路由信息的分发等功能。常见的路由协议有RIP ，OSPF，IS-IS ，BGP 等。 这些路由协议在方便路由信息管理和传递的同时，也存在一些缺陷，如果攻击者利用了路由 协议的这些权限， 对网络进行攻击， 可能造成网络设备路由表紊乱（这足可以导致网络中断）， 网络设备资源大量消耗，甚至导致网络设备瘫痪。

下面列举一些常见路由协议的攻击方式及原理：

针对 RIP 协议的攻击

RIP，即路由信息协议，是通过周期性（一般情况下为30S）的路由更新报文来维护路由表 的，一台运行RIP 路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它 就会分析其中包含的路由信息，并与自己的路由表作出比较，如果该路由器认为这些路由信 息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。 这样如果一个攻击者向一台运行RIP 协议的路由器发送了人为构造的带破坏性的路由更新报文，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。

如果运行RIP 路由协议的路由器启用了路由更新信息的HMAC验证，则可从很大程度上避免这种攻击。

针对 OSPF 路由协议的攻击

OSPF，即开放最短路径优先，是一种应用广泛的链路状态路由协议。该路由协议基于链路状态算法，具有收敛速度快，平稳，杜绝环路等优点，十分适合大型的计算机网络使用。

OSPF路由协议通过建立邻接关系，来交换路由器的本地链路信息，然后形成一个整网的链 路状态数据库，针对该数据库，路由器就可以很容易的计算出路由表。

可以看出， 如果一个攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系，并向攻击路由器输入大量的链路状态广播（LSA ，组成链路状态数据库的数据单元），就会引导路由器形成错误的网络拓扑结构，从而导致整个网络的路由表紊乱，导致整个网络瘫痪。

当前版本的WINDOWS操作系统（ WIN 2K/XP等）都实现了OSPF 路由协议功能，因此一个攻击者可以很容易的利用这些操作系统自带的路由功能模块进行攻击。

跟 RIP 类似，如果OSPF启用了报文验证功能（HMAC验证），则可以从很大程度上避免这种攻击。

针对IS-IS路由协议的攻击

IS-IS路由协议，即中间系统到中间系统，是ISO提出来对ISO的CLNS网络服务进行路由的一种协议，这种协议也是基于链路状态的，原理与OSPF类似。IS-IS路由协议经过扩展，可以运行在IP网络中，对IP报文进行选路。这种路由协议也是通过建立邻居关系，收集路由器本地链路状态的手段来完成链路状态数据库同步的。该协议的邻居关系建立比OSPF简单，而且也省略了OSPF特有的一些特性，使该协议简单明了，伸缩性更强。

对该协议的攻击与OSPF 类似， 通过一种模拟软件与运行该协议的路由器建立邻居关系，然后传颂给攻击路由器大量的链路状态数据单元（LSP），可以导致整个网络路由器的链路状态数据库不一致（因为整个网络中所有路由器的链路状态数据库都需要同步到相同的状态），从而导致路由表与实际情况不符，致使网络中断。

与 OSPF 类似，如果运行该路由协议的路由器启用了IS-IS 协议单元（ PDU ）HMAC验证功能，则可以从很大程度上避免这种攻击。

1.1应用层攻击

能够使用多种不同的方法来实现，最平常的方法是应用服务器上通常可找到的应用软件（如SQLServer、Sendmail、PostScript和FTP）缺陷。通过使用这些缺陷，攻击者能够获得计算机的访问权，以及该计算机上运行相应应用程序所需账户的许可权。

应用层攻击的一种最新形式是使用许多公开化的新技术，如HTML规范、 Web 浏览器的操作性和HTTP协议等。这些攻击通过网络传送有害的程序，包括JAVA applet和Active X控件等，并通过用户的浏览器调用它们，很容易达到入侵、攻击的目的。虽然微软公司前段时间提供的代码验证技术可以使用户的ActiveX控件因安全检查错误而暂停这类攻击，但攻击者已经发现怎样利用适当标记和有大量漏洞的ActiveX控件使之作为特洛伊木马实施新的攻击方式。这一技术可使用VBScript脚本程序直接控制执行隐蔽任务，如覆盖文件，执行其他文件等，预防、查杀的难度更大。

在应用层攻击中，容易遭受攻击的目标包括路由器、数据库、Web 和 FTP服务器和与协议相关的服务，如DNS、WINS和SMB。

1.2接入层攻击

1 MAC/CAM泛洪攻击

MAC/CAM泛洪攻击是指利用工具产生大量欺骗MAC ，快速填满CAM表，交换机CAM表被填满后，流量在所有端口广播，导致交换机就像共享HUB一样工作，这时攻击者可以利用各种嗅探攻击获取网络信息。同时CAM表满了后，流量以洪泛方式发送到所有接口， 也就代表TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。解决方案：可使用端口安全技术，允许特定的主机访问及定义最多允许通过主机的数量。

2 针对DHCP的攻击

采用DHCP协议可以自动为用户设置网络IP 地址、掩码、网关、DNS、WINS等参数，简化了用户网络设置，提高了管理效率。但在DHCP管理使用上也存在着一些令网管人员比较头疼的问题。

2.1 DHCP 报文泛洪攻击

DHCP报文泛洪攻击是指利用工具伪造大量DHCP请求报文发送到服务器，一方面恶意耗尽了IP资源，使得合法用户无法获得IP 资源；另一方面使得服务器高负荷运行，无法响 应合法用户的请求，造成网络故障。解决方案： DHCPsnooping ，比较二层以太网帧的源 MAC与DHCP请求报文中的client MAC是否一直，如果不一致，则丢弃。

2.2 DHCP Server欺骗攻击

由于DHCP协议在设计的时候没有考虑到客户端和服务器端之间的认证机制，如果网络上存在多台DHCP服务器将会给网络照成混乱。通常黑客攻击是首先将正常的DHCP服务器所能分配的IP 地址耗尽，然后冒充合法的DHCP 服务器。最为隐蔽和危险的方法是 黑客利用冒充的DHCP 服务器，为用户分配一个经过修改的DNS server，在用户毫无察觉的情况下被引导至预先配置好的假金融网站或电子商务网站， 骗取用户帐户和密码，这种攻击后果是非常严重的。解决方案： DHCPsnooping ，设置信任端口和非信任端口，非信任 端口拒绝DHCP offer 报文和DHCP ack 报文。还可以采用DHCP snooping 的报文限速功能， 如果报文速率超过限制值，则端口进入errdisable 状态。

3 针对 ARP攻击

ARP作为 IP 层和链路层之间的联系纽带，其作用和责任非常重大，最主要的使命就是确定IP地址对应的链路层地址（MAC地址）。但是由于特定的历史原因，ARP协议在设计的时候也没有考虑到安全因素，因此黑客可以很轻易的针对ARP协议的漏洞发起攻击， 轻松窃取到网络信息。

3.1 ARP流量攻击

ARP流量攻击的方式多种多样，比如伪造大量ARP请求， 伪造大量ARP应答，伪造目的IP不存在的IP报文等等，其最终目的只有一个：增加网络中ARP报文的流量，浪费交换机CPU带宽和资源，浪费内存资源，造成CPU繁忙，产生丢包现象，严重的甚至造成网络瘫痪。

解决方案： 防范ARP流量攻击通过两种手段：1，对端口ARP报文进行限速，当端口ARP报文速率超过设定值，则down掉端口； 2，对引起ARP解析失败的目的IP进行记录，当在固定时间内该IP引起 ARP解析失败的次数超过设定值的时候，下发ACL，通过硬件将目的IP为此IP的报文丢弃；

3.2 ARP 欺骗攻击

根据ARP协议的设计，为了减少网络上过多的ARP数据通信，一个主机即使收到非本机的ARP应答，也会对其进行学习，这样，就造成了“ARP 欺骗”的可能。如下图所示， 黑客分别向两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。同时黑客连续不断地向这两台主机发送这种虚假的ARP响应包，让这两台主机一直保存错误的ARP表项，使其可以一直探听这两台主机之间的通信。

解决方案： 对于ARP 欺骗攻击，利用接入层交换机上已经记录了Snooping 表项或（和）静态绑定了合法用户的信息进行报文合法性判断。当交换机端口上收到ARP报文，将报文中的IP和MAC地址提取出来，然后与上述表项进行对比，若IP、MAC以及收到报文的端口信息在表项中，则认为是合法报文，正常处理，否则认为是非法报文予以丢弃。

4 IP/MAC欺骗攻击

常见的欺骗种类有MAC欺骗、 IP 欺骗、 IP/MAC欺骗，黑客可以伪造源地址进行攻击，例如：以公网上的DNS 服务器为目标，希望通过使DNS服务器对伪造源地址的响应和等待，造成DOS攻击，并以此扩大攻击效果。此外IP/MAC欺骗的另一个目的为了伪造身 份或者获取针对IP/MAC的特权。

解决方案： 防止IP/MAC欺骗，处理类似上面讲到的防止ARP欺骗，也是利用Snooping 表项和静态绑定表项检测IP报文中IP、MAC和端口号的正确性，所不同的是IP地址检查特性配置在交换机的端口上，对该端口生效，不是通过软件丢弃报文，而是直接在端口下发ACL规则， 由硬件直接丢弃非法报文，极大降低了 伪IP报文对交换机处理效率的影响。

针对网络的攻击解决方案有：

边界安全（防火墙）：访问控制列表和防火墙类似于建筑物外墙上的门锁，只让经过授权的用户（拥有钥匙或者胸牌的用户）进出。边界安全可以控制对关键性应用、服务和数据的访问，使得只有合法的用户和信息才能从一个网络（信任域）进入另外一个网络。基本的实施是访问控制和防火墙（访问攻击，缓解DOS攻击，检测扫描攻击及作出相应措施）。

入侵防范（ IDS，IPS）：入侵检测系统的作用类似于现实生活中的监视摄像机。它们可以不间断地扫描网络流量（通过将流量拷贝一份到传感器），查找可疑的数据分组。利用一个跟踪特征数据库，它们可以记录任何不正常的情况，并采取相应的措施：发出警报， 重置攻击者的TCP连接，或者禁止攻击者的IP地址再次登录网络。网络IDS （NIDS ）检则器通常可以利用一个不可寻址的混和接口卡监听某个子网上的所有流量，并通过另外一个更加可靠 的接口发送任何警报和记录的流量。（检测攻击代码，如木马、病毒，扫描攻击）

安全连接（VPN）：利用互联网协议安全标准（IPS）的虚拟专用网（VPN ）可以提供信息的机密性、完整性和终端身份认证。（防止数据被非法用户窃取，防止中间人的攻击）

身份识别（802.1X,AAA ）： 只有通过认证的用户才能访问网络（非法用户不能接入，防止密 码攻击）。

准入控制（ NAC/EAD(H3C) ）：NAC 为完全符合安全策略的终端设备提供网络接入，且有助 于确保拒绝不符合策略的设备接入，将其放入隔离区以修复，或仅允许其有限地访问资源。（解决网络威胁）

行为管理： 限制网络用户对网络的滥用（解决网络威胁）

集成化产品安全： 在提供传统防火墙、VPN 功能基础上，同时提供病毒防护、URL 过滤、 漏洞攻击防护、垃圾邮件防护、P2P/IM 应用层流量控制和用户行为审计等安全功能。

获取更多网络资料请扫我