論文摘要:要保護好自己的網路不受攻擊,就必須對攻擊方法、攻擊原理、攻擊過程有深入的、詳細的瞭解,只有這樣才能更有效、更具有針對性的進行主動防護。下面就對攻擊方法的特徵進行分析,來研究如何對攻擊行為進行檢測與防禦。
反攻擊技術的核心問題是如何截獲所有的網路資訊。目前主要是通過兩種途徑來獲取資訊,一種是通過網路偵聽的途徑來獲取所有的網路資訊,這既是進行攻擊的必然途徑,也是進行反攻擊的必要途徑;另一種是通過對作業系統和應用程式的系統日誌進行分析,來發現入侵行為和系統潛在的安全漏洞。
一、攻擊的主要方式
對網路的攻擊方式是多種多樣的,一般來講,攻擊總是利用“系統配置的缺陷”,“作業系統的安全漏洞”或“通訊協議的安全漏洞”來進行的。到目前為止,已經發現的攻擊方式超過2000種,其中對絕大部分攻擊手段已經有相應的解決方法,這些攻擊大概可以劃分為以下幾類:
(一)拒絕服務攻擊:一般情況下,拒絕服務攻擊是通過使被攻擊物件(通常是工作站或重要伺服器)的系統關鍵資源過載,從而使被攻擊物件停止部分或全部服務。目前已知的拒絕服務攻擊就有幾百種,它是最基本的入侵攻擊手段,也是最難對付的入侵攻擊之一,典型示例有SYN Flood攻擊、Ping Flood攻擊、Land攻擊、WinNuke攻擊等。
(二)非授權訪問嘗試:是攻擊者對被保護檔案進行讀、寫或執行的嘗試,也包括為獲得被保護訪問許可權所做的嘗試。
(三)預探測攻擊:在連續的非授權訪問嘗試過程中,攻擊者為了獲得網路內部的資訊及網路周圍的資訊,通常使用這種攻擊嘗試,典型示例包括SATAN掃描、埠掃描和IP半途掃描等。
(四)可疑活動:是通常定義的“標準”網路通訊範疇之外的活動,也可以指網路上不希望有的活動,如IP Unknown Protocol和Duplicate IP Address事件等。
(五)協議解碼:協議解碼可用於以上任何一種非期望的方法中,網路或安全管理員需要進行解碼工作,並獲得相應的結果,解碼後的協議資訊可能表明期望的活動,如FTU User和Portmapper Proxy等解碼方式。
二、攻擊行為的特徵分析與反攻擊技術
入侵檢測的最基本手段是採用模式匹配的方法來發現入侵攻擊行為,要有效的進反攻擊首先必須瞭解入侵的`原理和工作機理,只有這樣才能做到知己知彼,從而有效的防止入侵攻擊行為的發生。下面我們針對幾種典型的入侵攻擊進行分析,並提出相應的對策。
(一)Land攻擊
攻擊型別:Land攻擊是一種拒絕服務攻擊。
攻擊特徵:用於Land攻擊的資料包中的源地址和目標地址是相同的,因為當作業系統接收到這類資料包時,不知道該如何處理堆疊中通訊源地址和目的地址相同的這種情況,或者迴圈傳送和接收該資料包,消耗大量的系統資源,從而有可能造成系統崩潰或宕機等現象。
檢測方法:判斷網路資料包的源地址和目標地址是否相同。
反攻擊方法:適當配置防火牆裝置或過濾路由器的過濾規則就可以防止這種攻擊行為(一般是丟棄該資料包),並對這種攻擊進行審計(記錄事件發生的時間,源主機和目標主機的MAC地址和IP地址)。