针对传输层的攻击
常见的包括以下几方面。
●Land攻击:攻击设备将TCPSYN的源和目的地址都设置为需要攻击的设备地址,这将导致受害者将向自己发送SYN-ACK报文,然后这台设备还要向自己发送一个TCP-ACK消息,最后这条空连接将保持到超时为止。许多UNIX的主机将崩溃,NT的机器将变得非常缓慢。
●TCPSyn半开连接攻击:攻击设备伪装源地址(设置为一个不可达的IP),向要攻击的目的设备发起大量的虚假TCPSYN连接,被攻击设备将分配大量的内存缓冲区来建立连接最终导致内存溢出。此类攻击可通过防火墙来检查TCP连接状态或TCP代理来解决。
●泪滴攻击:IP包在分片后通过偏移量,MF位,payload等来重组经过分片后的IP包。通过伪造这些字段,有弱点的TCP/IP栈就会为这些重组包分配相当大的内存空间。此类攻击也可以通过设置防火墙来检查IP包状态来进行防范。
●UDP/TCP炸弹:针对特定端口的发送大量UDP或TCP信息。分片报文攻击:发送大量只有第一片分片报文的包。使受害者不断等待后续的分片报文到达来重组,消耗大量的CPU资源。
针对应用层的攻击
●针对操作系统的漏洞攻击:如早期所出现的冲击波,震荡波等操作系统漏洞侵入系统获取系
●统最高权限的攻击。可以通过打系统补丁来解决。
●SQL注入攻击。通过ASP页面语言的一些缺陷执行SQL查询语言获取后台数据库的管理员权限从而获取整个网站的管理权。
●DHCP的攻击:通过不断发起DHCP请求,不断申请IP又释放IP,从而消耗系统资源,造成网络的不稳定。
●其他针对某种特定应用层协议的攻击:如SNMP攻击对网管的干扰,RADIUS攻击对用户认证的干扰。
另外,网络攻击还有很多种其他的划分方法。从网络攻击者的角度来看,在早期,网络攻击只是一些网络爱好者的技术交流,他们互相之间渴望获得对方对自己技术实力的认可。因此,越有技术含量的攻击越容易得到大家的认可,同时这类攻击也更加难以防范。那什么类型的攻击算更有技术含量呢?个人认为,单纯的打大流量的这种类型攻击是最没有技术含量的。因为一般来说被攻击的目标通常来说是一台高性能的服务器,比攻击者的设备性能要更好。如果单纯只是通过发送垃圾流量的方式进行攻击的话,可能目标还没宕机,攻击者就先宕掉了。这是遭人鄙视的“肉搏”战。而如果只是发送一个很小的数据包就能引起目标的服务中断则应该被视为有技术含量的。例如SYN攻击,连续发送上百个SYN攻击的数据包可能只有几十K,但确能使一台大型服务器宕机。这就要求攻击者对TCP协议有比较深的理解才能完成。类似的攻击还有很多。
网络攻击的类别
如果说早期的时候网络攻击的行为纯粹是网络爱好者的技术交流,那么到现在网络攻击的行为传播已经逐渐发展为以经济利益驱动的一条完整产业链了。我们可以把上述的攻击行为按照攻击的目的性分为两类。
第一类是:以获取目标对象的机密信息为目的。如盗取网游,银行帐号,或受委托攻击获取商业竞争对手核心资料的。下面我们通过一个具体的案例来了解一下此类的行为。
如图所示,为曾经传播一时的“灰鸽子”病毒产业链示意图。
这些非法传播者通过一些交易网站销售从”肉鸡(肉鸡就是通过漏洞完全被黑客控制的计算机)”上盗窃来的账号,隐私资料等非法获利。并且直接操纵肉鸡,成为他们牟利的工具。例如,他们还在著名的商务网站上公开叫卖肉鸡,比如一台内陆肉鸡0.1~0.4元一台,广东肉鸡1元1台,国外肉鸡5元。通过这些肉鸡的销售,可以派生出一个新的产业链,比如购买者可以通过购买肉鸡对竞争对手进行DDOS攻击,打击竞争对手的商业信誉度。另外,一些黑客还同时控制几万台甚至几十万台计算机同时点击某厂家的广告,每次点击向厂家收取0.1~0.3元。据某著名防病毒厂家工程师估计,每年黑客产业的净利润在十亿元人民币左右。
第二类是:以攻击对方的服务为目的。此类攻击并不需要侵入对方的系统获取权限,仅仅是需要攻瘫对方的主机网络,使对方提供的客户服务中断,从而达到打击竞争对手的目的。例如我们常见的DDOS攻击。DDOS攻击需要有大量的肉鸡瞬间产生巨大的流量来对目标对象实现攻击。而肉鸡的获取可以直接通过向黑客购买获得。攻击者只需要在控制终端上执行简单的操作指令即可命令肉鸡同时发起流量进行攻击。由于肉鸡来自四面八方甚至国外,非常分散。因此给防范带来很大的困难。甚至有的黑客还在公开叫卖DDOS服务,并提供相应的SLA服务,不攻垮不收费,少宕机一分钟也不收费。关于此类事件最近的有“19岁黑客为推销防火墙产品黑掉联众网游”。因为联众不购买其自行研发的防火墙产品而对联众进行DDOS攻击,致使联众损失上百万元。为此联众还特意找了很多厂家包括一些国外著名厂家的防火墙产品进行测试,唯独只有这家公司生产的未知名防火墙才能防住DDOS攻击。这才使联众产生了疑点最终报警打掉了这个犯罪团伙。
网络安全防御策略
也正是有了这些灰色的产业链,才促使国内的安全产业一片繁荣。例如国内的瑞星,金山等公司净盈利也是最近几年都在逐年猛增。国外的一些安全厂家如趋势,赛门铁克,Arbor等也都不断推出一系列的安全防范产品并都取得了非常好的销售业绩。
同样,由于运营商位置的特殊性,其作为用户通信的载体。对网络的攻击行为有被动的防御权,同时也有主动的监测和掌控权。因此,网络攻击的行为对运营商来说,既是一种威胁,同时也是一种机遇。比如中国电信提供的在线杀毒业务就是很好的例子。另外,在其他方面也可以做一些尝试。
●通过向客户提供有偿的网络边界监控服务,并且可以给客户提供相应的账号,使客户可以实时查看自己当前网络边界的流量及服务情况。并可为用户提供安全咨询类的服务。这里的客户可以是一些比较小的ICP等等。
●为客户提供DDOS清洗服务。因为DDOS攻击如果到达了客户的网络,客户自身即使有再好的安全技术人员,对这种DDOS攻击也只能做到被动防御,基本上是无能为力的。真正消除只能在运营商侧通过相关手段消除。
●提供不同SLA等级的安全保障服务。
综上所述,运营商在面对IP网络安全问题的同时,也可以考虑采取何种策略来变废为宝,将安全服务变成一种增值服务来为客户提供,达到双赢的结果。同时,这也符合国内部分运营商制定的由传统电信运营商向“综合信息服务提供商”的转型的长远战略。
