IP網絡攻擊及安全防護淺析
IP網絡承載業務分析
目前國內通信業的焦點仍有很多,比如TD-SCDMA和WCDMA之爭,手機電視以及各種3G增值業務之爭,牌照之爭,共享資源減少重復投資之爭,諸如此類。但至少有一點,在各大運營商廠商以及研究院學者之間已經達成了共識:
那就是今后的所有業務都將使用IP網絡來承載。實現真正的AllOverIP。并且隨著3G,IPTV等業務離我們的生活越來越近,全IP網絡的融合也離我們越來越近。全IP承載網絡給我們帶來了標準化,高帶寬,資源共享,網絡共享等優點的同時,也給我們帶來了新的思考和挑戰。
最大的挑戰無非來自于兩個方面。IP的服務質量以及IP的網絡安全。毫無疑問,傳統的專網專用的通信網絡可以提供給用戶穩定性更好更安全的業務,帶給了用戶更好的網絡體驗。使用IP網絡來承載上層應用確實帶給了我們很多不確定性。
延遲,丟包,抖動,不穩定性都會給運營商的服務質量帶來很大沖擊。同時,針對IP網絡的安全攻擊事件也層出不窮。但從總的趨勢來看,全IP承載是大勢所趨,利遠大于弊。因此我們需要花更多的時間來關注服務質量以及IP的網絡安全。本文則主要側重于IP網絡安全,從多個方面進行探討。
說起網絡安全,首先自然要說起網絡攻擊。如果沒有網絡攻擊,自然天下太平。而分析起網絡攻擊,自然離不開對黑客的討論。那么為什么要發起網絡攻擊呢?只有切實了解了黑客發起網絡攻擊的動機才能反黑客。只有消滅了犯罪的根源,也才能杜絕犯罪,維護社會穩定。
下面我們可以先從技術的角度對網絡攻擊行為進行一個分類。按照OSI七層模型來進行分類,可以分為針對應用層的攻擊,針對傳輸層的攻擊,針對網絡層的攻擊還有針對數據鏈路層的攻擊。
arp欺騙攻擊:ARP協議用來完成IP地址到MAC地址的轉換。ARP協議對網絡安全具有重要的意義。通過偽造IP地址和MAC地址實現ARP欺騙,能夠在網絡中產生大量的ARP通信量使網絡阻塞或者實現“maninthemiddle”進行ARP重定向和嗅探攻擊。
目前網絡上有很多種工具可以完成此類攻擊,如網絡執法官等。針對此類攻擊也有很多種防范措施,比如MAC地址靜態綁定,arp智能檢測等。
Mac地址泛洪
交換機主動學習客戶端的MAC地址,并建立和維護端口和MAC地址的對應表以此建立交換路徑,這個表就是通常我們所說的MAC地址表。MAC地址表的大小是固定的,不同的交換機的MAC地址表大小不同。
Mac地址泛洪攻擊是指利用工具產生欺騙MAC,快速填滿MAC地址表,交換機MAC地址表被填滿后,交換機以廣播方式處理通過交換機的報文,這時攻擊者可以利用各種嗅探攻擊獲取網絡信息。MAC地址表滿了后,流量以泛洪方式發送到所有接口,也就代表TRUNK接口上的流量也會發給所有接口和鄰接交換機,會造成交換機負載過大,網絡緩慢和丟包甚至癱瘓。
目前主流廠家的中低端交換MAC地址表容量在8K左右,而使用Dsniff工具可以輕松地在1分鐘內產生15萬左右MAC地址沖擊我們的局域網。而針對這種類型的攻擊防護可以在交換機啟動最大MAC地址限制,端口安全等策略。
IP網絡在應用過程中給我們帶來很大的方便,但是,在應用的同時我們還應該充分考慮其安全問題,這樣才能保證我們的網絡平穩安心的運行。
【編輯推薦】
