檀香超

（中通服網(wǎng)盈科技有限公司 江蘇 南京 210000）

引言

大數(shù)據(jù)時代常常通過某一個或者幾個特征信息，輸入到電腦軟件中，就能找到該目標的匹配信息。有的時候會使用其他IP地址，從而使被查看人無法進行網(wǎng)絡(luò)追蹤，面對這種情況，人們往往只能使用代理IP，但這也恰恰說明人類已經(jīng)開始走進了一個新的智能化時代：大數(shù)據(jù)時代[1]。

1 IP地址欺騙攻擊

IP 欺騙攻擊，通常是利用兩臺通信 PC之間的信任來實現(xiàn)的。例如，攻擊者為了進行IP欺騙，首先使被信任關(guān)系的主機失去工作能力或阻斷其通信，然后由自己偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應(yīng)用連接。攻擊者一般會使用SYN洪水攻擊、TTN、Land等進行欺騙攻擊[2-3]。

假設(shè)甲與乙兩臺PC正在通信，通過了解TCP/IP協(xié)議我們知道，必須要先進行“三次握手”來建立TCP連接。

第一次握手：甲發(fā)送SYN包(seq=x)到乙，并進入SYN發(fā)送狀態(tài)，等待乙確認。第二次握手：乙收到SYN包，必須確認甲的SYN-(ack=x+1)，同時自己也發(fā)送一個SYN包(seq=y)，即SYN+ACK包，此時乙進入SYN接收狀態(tài)。第三次握手：甲收到乙的SYN+ACK包，向乙發(fā)送確認包ACK(ack=y+1)，完成三次握手。

TCP會為每一個連接建立一個ISN，但ISN的變化是有規(guī)律的，對于攻擊者來說，一旦掌握了規(guī)律，就可以對目標主機進行攻擊，現(xiàn)在很多攻擊軟件就是對ISN進行計算和偽造數(shù)據(jù)包來實現(xiàn)的，這是因為協(xié)議自身的缺陷造成的。

2 防止IP欺騙攻擊的方法

2.1 設(shè)置路由

即便攻擊者掌握了攻擊原理，若要實施欺騙攻擊，操作起來是比較困難的，如對序列號的猜測。但也并不是完全沒有可能，一般的攻擊步驟分為：①尋找并發(fā)現(xiàn)信任關(guān)系；②通過操作，使被信任的主機失去連接目標主機的工作能力；③獲取并偽造TCP數(shù)據(jù)包，同時找出序列號規(guī)律；④攻擊者與目標主機建立連接，并獲取目標主機的權(quán)限；⑤進一步提升權(quán)限，從而達到控制目標主機的目的[4-5]。

經(jīng)分析具體IP欺騙攻擊案例發(fā)現(xiàn)，通過對防火墻及入侵檢測系統(tǒng)進行有針對性的配置與部署，可以檢測發(fā)現(xiàn)并阻止攻擊。但這就涉及到另外一個網(wǎng)絡(luò)設(shè)備：路由器。在整個網(wǎng)絡(luò)體系中，對邊界路由器進行防攻擊配置，過濾掉從外部網(wǎng)絡(luò)進入，卻聲明具體內(nèi)部網(wǎng)絡(luò)IP地址的數(shù)據(jù)包，來保證目標主機的安全。但這樣做有個前提：第一，目標主機IP不可以與外部網(wǎng)絡(luò)主機建立信任關(guān)系；第二，攻擊者所使用的IP必須來自于外部網(wǎng)絡(luò)。因為路由器是用于連接兩個完全不同的網(wǎng)絡(luò)組，如果攻擊者來自于內(nèi)部網(wǎng)絡(luò)，那么路由器的設(shè)置就會不起作用。

由此可見，通過對路由器進行設(shè)置，只能在一定程度上降低目標主機被攻擊的概率，卻不能從根本上解決問題。

2.2 智能化入侵檢測系統(tǒng)

通過對IP欺騙攻擊的步驟進行分析發(fā)現(xiàn)，入侵檢測系統(tǒng)通常只是對單個的數(shù)據(jù)包進行檢測（即一個一個的檢測），在微觀上起到了防止被攻擊的作用，但在宏觀的把握上所有欠缺。如果將入侵檢測系統(tǒng)智能化，可以做到對大量數(shù)據(jù)包之間的潛在聯(lián)系進行分析，同時篩選出可疑的數(shù)據(jù)包與已掌握的攻擊模式進行對比，若有威脅馬上阻止。

2.3 檢查主機日志

這種辦法比較簡單，但卻很麻煩。它是通過對主機之間的日志一致性進行核對來實現(xiàn)。攻擊者對信任主機進行模擬，并偽裝成信任主機，來對目標主機實施欺騙行為。所以，對兩臺已產(chǎn)生信任關(guān)系的主機進行日志檢查，就可以發(fā)現(xiàn)數(shù)據(jù)是否有被偽造。但這只限于局域網(wǎng)環(huán)境下使用。

2.4 API網(wǎng)關(guān)在網(wǎng)絡(luò)安全中的角色

API網(wǎng)關(guān)是一個服務(wù)器，是整體系統(tǒng)中唯一的一個入口。API網(wǎng)關(guān)封裝了系統(tǒng)內(nèi)部架構(gòu)，為每個客戶端提供一個定制的API。同時也具有其他的一些作用，如身份驗證、監(jiān)控、負載均衡、緩存、請求分片與管理、靜態(tài)響應(yīng)處理等，因此它具有一定的防護功能，如果沒有防護，API網(wǎng)關(guān)的集成服務(wù)基本上是不安全的。當(dāng)然，API網(wǎng)關(guān)是建立在API平臺的架構(gòu)上，關(guān)于API的具體應(yīng)用和開發(fā)，這里不做詳述，只從安全性的角度闡述。

API網(wǎng)關(guān)的安全性一般體現(xiàn)在以下幾個方面：①認證授權(quán)：OAuth2、OpenID、API Key、IP限制；②傳輸安全：SSL、TLS；③流量控制：配額、過載保護、頻率限制；④威脅防護：防抓站、防撞庫、DDoS/CC防護；⑤編排轉(zhuǎn)換：服務(wù)分組、7層理由、協(xié)議格式轉(zhuǎn)換；⑥監(jiān)控分析：訪問量實時統(tǒng)計、性能監(jiān)控、訪問分析；⑦統(tǒng)計計費：針對不同用戶、不同API分組；⑧緩存加速：毫秒級緩存、請求隊列、異步化。

3 結(jié)束語

綜上所述，大數(shù)據(jù)時代的到來，為計算機行業(yè)的發(fā)展，提供了新的方向，但也對網(wǎng)絡(luò)安全提出了更高的要求。本文只是針對IP欺騙攻擊這一個點來分析的。以上防止IP欺騙攻擊的方法各有各的優(yōu)勢，但也有各自的缺陷。