舒軍曉

摘 要：蠕蟲的傳播對(duì)網(wǎng)絡(luò)的穩(wěn)定性的影響已經(jīng)持續(xù)了很多年，現(xiàn)在的網(wǎng)絡(luò)在面對(duì)蠕蟲洪水般的攻擊的時(shí)候是非常脆弱的。本文在分析了一種企業(yè)網(wǎng)絡(luò)安全架構(gòu)的基礎(chǔ)上，對(duì)基于網(wǎng)絡(luò)的蠕蟲防御和檢測(cè)的檢測(cè)技術(shù)進(jìn)行了研究。

關(guān)鍵詞：企業(yè)級(jí)網(wǎng)絡(luò) 架構(gòu) 網(wǎng)絡(luò)蠕蟲

一個(gè)典型的具有安全域的企業(yè)級(jí)網(wǎng)絡(luò)架構(gòu)，其中包括了路由器、防火墻、入侵檢測(cè)系統(tǒng)、蜜罐等。網(wǎng)絡(luò)流從路由器首先到達(dá)企業(yè)級(jí)防火墻，同時(shí)激活入侵檢測(cè)系統(tǒng)（NIDS)，通過(guò)NIDS檢測(cè)后進(jìn)入企業(yè)網(wǎng)絡(luò)。企業(yè)的內(nèi)部訪問(wèn)網(wǎng)絡(luò)與外部公共訪問(wèn)的網(wǎng)絡(luò)是分離的，同時(shí)在各自的網(wǎng)絡(luò)中都部署了蜜罐系統(tǒng)。個(gè)人防火墻、黑洞和基于主機(jī)的入侵檢測(cè)和防御系統(tǒng)，但它們?cè)诜烙槍?duì)個(gè)人主機(jī)的網(wǎng)絡(luò)攻擊方面都是非常必要的。

一、網(wǎng)絡(luò)路由器

網(wǎng)絡(luò)路由器能夠把數(shù)據(jù)包從一個(gè)網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)網(wǎng)絡(luò)、查看網(wǎng)絡(luò)數(shù)據(jù)包、控制數(shù)據(jù)包的流動(dòng)。路由器通過(guò)新建或更新路由表，能夠支持50多個(gè)網(wǎng)絡(luò)協(xié)議，比如RIp (Router Information Protocol)和OSPF(Open Shortest path First)等協(xié)議。雖然這里沒(méi)有直接提到路由器的安全功能，但路由器卻是企業(yè)網(wǎng)絡(luò)的第一道防線。路由器的訪問(wèn)控制列表用于控制在網(wǎng)絡(luò)接口處的數(shù)據(jù)包流動(dòng)。Cisco公司擁有標(biāo)準(zhǔn)的和拓展的訪問(wèn)控制列表。比如使用以下控制列表的斷言:access-list 1 permit host 150.50.1.2，就可以允許IP為150.50.1.2的主機(jī)的數(shù)據(jù)包通過(guò)路由器進(jìn)入網(wǎng)絡(luò)。拓展的訪問(wèn)控制列表能夠設(shè)定一些端口的開(kāi)放與關(guān)閉和允許通過(guò)路由器的數(shù)據(jù)流的類型，比如TCP、UDP和ICMP協(xié)議的數(shù)據(jù)流等。如果想讓W(xué)EB服務(wù)器通過(guò)80端口向外界開(kāi)放，可以使用以下斷言:aeeess-list 101 permit tcp any host 155.30.40.1eq50。為了防止一些類似SYN洪水的Dos攻擊，可以使用IS0的TCP中斷功能。

蠕蟲在過(guò)去的幾年中對(duì)因特網(wǎng)的穩(wěn)定性產(chǎn)生了巨大的影響。在路由器級(jí)做好防御蠕蟲的措施是很有必要的，但是路由器的防御是有限的，蠕蟲通常采用專門針對(duì)路由器的數(shù)據(jù)包分段技術(shù)來(lái)繞過(guò)路由器的一些限制。當(dāng)路由器檢查到來(lái)的數(shù)據(jù)包時(shí)，整個(gè)數(shù)據(jù)包的頭信息被分段到各個(gè)小的數(shù)據(jù)包當(dāng)中，這會(huì)導(dǎo)致設(shè)定的訪問(wèn)控制列表對(duì)于它們無(wú)效。禁止數(shù)據(jù)包的分段傳輸對(duì)于網(wǎng)絡(luò)安全可以起到很重要的作用，但分段傳輸在正常的網(wǎng)絡(luò)活動(dòng)中也是很常見(jiàn)的，所以禁止數(shù)據(jù)包的分段傳輸會(huì)過(guò)濾掉一些重要的數(shù)據(jù)包。

另外一個(gè)針對(duì)路由器的技術(shù)時(shí)源地址欺騙技術(shù)。這種技術(shù)把數(shù)據(jù)包的源地址設(shè)為可信任的區(qū)域，比如來(lái)自公司的內(nèi)部網(wǎng)絡(luò)等。針對(duì)這種技術(shù)必須仔細(xì)考慮網(wǎng)絡(luò)邊界的保護(hù)。

二、防火墻的保護(hù)

防火墻與路由器在防御功能方面有類似的地方。路由器的主要作用是根據(jù)規(guī)則路由網(wǎng)絡(luò)數(shù)據(jù)包。防火墻的主要作用則是根據(jù)預(yù)先定義的規(guī)則保證訪問(wèn)網(wǎng)絡(luò)的安全。

對(duì)于蠕蟲，防火墻能以各種方式抵御蠕蟲的感染和網(wǎng)絡(luò)攻擊。最有效的抵御蠕蟲的措施是用防火墻關(guān)閉系統(tǒng)不需要開(kāi)放的端口，以及監(jiān)控從本地主機(jī)流向外網(wǎng)的數(shù)據(jù)流。很多的蠕蟲攻擊都能通過(guò)關(guān)閉目標(biāo)網(wǎng)絡(luò)端口來(lái)防御，但是防火墻和其它軟件一樣也存在漏洞，有漏洞的防火墻越來(lái)越多的成為蠕蟲攻擊的對(duì)象。Witty蠕蟲就是利用了Blackke防火墻的漏洞進(jìn)行了傳播，事實(shí)上己經(jīng)在現(xiàn)有的一些防火墻上面發(fā)現(xiàn)了漏洞，所以對(duì)防火墻的升級(jí)和打補(bǔ)丁也是非常重要的。

三、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)(IDS)是一個(gè)比較新的研究領(lǐng)域。雖然UNix系統(tǒng)上的一些系統(tǒng)日志、審計(jì)記錄工具早在20世紀(jì)70年代己經(jīng)有了，但是真正的入侵檢測(cè)系統(tǒng)只是在20世紀(jì)80年代末才開(kāi)始被研究。到了20世紀(jì)90年代中期才開(kāi)始在市場(chǎng)上出現(xiàn)，作為網(wǎng)絡(luò)安全產(chǎn)品中的一個(gè)重要類型。根據(jù)數(shù)據(jù)來(lái)源的不同，入侵檢測(cè)系統(tǒng)常被分為基于主機(jī)的入侵檢測(cè)系統(tǒng)(Host-based IDs)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(Network-based IDs)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源來(lái)自主機(jī)，如日志文件、審計(jì)記錄等。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)流量，這是攔截蠕蟲發(fā)送的精心構(gòu)造的數(shù)據(jù)包的重要屏障。基于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)安全方面起著越來(lái)越重要的作用，大致有兩種基本的入侵檢測(cè)系統(tǒng):基于網(wǎng)絡(luò)特征碼和基于網(wǎng)絡(luò)流、協(xié)議分析的入侵檢測(cè)系統(tǒng)。一些NIDS會(huì)集成這兩種技術(shù)。

基于網(wǎng)絡(luò)特征碼分析的技術(shù)著重在于對(duì)網(wǎng)絡(luò)數(shù)據(jù)的特征碼匹配，即對(duì)蠕蟲發(fā)送的攻擊ShenCode進(jìn)行匹配。基于網(wǎng)絡(luò)流和協(xié)議分析技術(shù)的NIDS實(shí)際上就是一個(gè)啟發(fā)式引擎。比如，一個(gè)大的協(xié)議分析模塊包含了大多數(shù)相關(guān)的協(xié)議(HTTP、FTP、SMTP等)的內(nèi)容。

此外，IDS還能夠布防在企業(yè)的內(nèi)部主機(jī)。一個(gè)真正有效的入侵檢測(cè)系統(tǒng)應(yīng)該是基于主機(jī)和基于網(wǎng)絡(luò)的混合。所以現(xiàn)在的殺毒軟件都或多或少的加入了IDS的功能。入侵檢測(cè)系統(tǒng)有很大的市場(chǎng)前景。未來(lái)的入侵檢測(cè)系統(tǒng)將會(huì)向提高檢測(cè)速度和準(zhǔn)確率、硬件化、專業(yè)化、人工智能的應(yīng)用、互聯(lián)化、標(biāo)準(zhǔn)化等方向發(fā)展。

四、蜜罐技術(shù)

本世紀(jì)初，蜜罐技術(shù)漸漸地發(fā)展與成熟起來(lái)。它已經(jīng)在網(wǎng)絡(luò)安全領(lǐng)域的各個(gè)方面都引起了巨大的影響，被認(rèn)為是帶領(lǐng)網(wǎng)絡(luò)安全防御從被動(dòng)轉(zhuǎn)為主動(dòng)的主要技術(shù)之一。蜜罐技術(shù)的核心思想是通過(guò)人為地設(shè)置網(wǎng)絡(luò)陷阱，來(lái)誘騙攻擊者，使他們將時(shí)間和資源都浪費(fèi)在陷阱上面，并且暴露自己的攻擊方法和工具。除此之外，它還能對(duì)攻擊中的請(qǐng)求做出相應(yīng)的應(yīng)答，以進(jìn)一步欺騙攻擊者繼續(xù)執(zhí)行，從而獲取盡可能多的有關(guān)攻擊的資料。事后通過(guò)對(duì)這些資料的分析，可以發(fā)現(xiàn)是否有攻擊發(fā)生，可以得知攻擊的整個(gè)過(guò)程以及攻擊中所用到的數(shù)據(jù)或者文件，可以獲取攻擊過(guò)程中所有用到的技術(shù)細(xì)節(jié)。所以蜜罐技術(shù)是一種很好的追蹤黑客攻擊的手段。◆

參考文獻(xiàn)：

[1] 諸葛建偉,葉志遠(yuǎn),鄒維. 攻擊技術(shù)分類研究[J]計(jì)算機(jī)工程, 2005,(21) .

[2] 王方偉,張運(yùn)凱,王長(zhǎng)廣,馬建峰. 網(wǎng)絡(luò)蠕蟲的掃描策略分析[J]計(jì)算機(jī)科學(xué), 2007,(08) .