錢夢聃

【摘要】互聯(lián)網(wǎng)技術(shù)的發(fā)展給廣播播控中心帶來新的機(jī)遇的同時，也帶來的網(wǎng)絡(luò)安全問題。本文對集中常見的幾種網(wǎng)絡(luò)攻擊手段進(jìn)行了簡單介紹，并針對性地給出了相應(yīng)的防范措施。全文對常見的網(wǎng)絡(luò)攻擊手段進(jìn)行了歸納總結(jié)，為播控中心今后的網(wǎng)絡(luò)安全管理工作提供了一些借鑒參考。

【關(guān)鍵詞】播控中心;網(wǎng)絡(luò)安全;安全播出

中圖分類號：TN929? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ? ? ? ? DOI：10.12246/j.issn.1673-0348.2021.16.019

進(jìn)入21世紀(jì)，移動互聯(lián)網(wǎng)技術(shù)高速發(fā)展，傳統(tǒng)以模擬和數(shù)字傳播信號為主導(dǎo)的廣播播控中心已經(jīng)逐漸不能適應(yīng)新時代的發(fā)展需求，各地的播控中心紛紛走上全媒體改造之路，網(wǎng)上廣播平臺，虛擬化平臺，全媒體直播平臺，云平臺等網(wǎng)絡(luò)化功能的加入使得全新的播控中心大放異彩，緊跟時代腳步。

然而，互聯(lián)網(wǎng)的快速發(fā)展，在提供更廣闊的應(yīng)用空間和更靈活的應(yīng)用場景的同時，也滋生了一系列的安全隱患，特別是網(wǎng)絡(luò)安全隱患。近年來，網(wǎng)絡(luò)安全事件層出不窮，一起起的網(wǎng)絡(luò)攻擊導(dǎo)致的安全事故給安全播出為重任的播控中心的運營和管理敲響了警鐘。本文通過對幾種常見的網(wǎng)絡(luò)攻擊手段以及防范思路進(jìn)行介紹和總結(jié)，為播控中心網(wǎng)絡(luò)安全的防范管理提供一些思路。

1. DDoS攻擊

1.1 DDoS攻擊介紹

DDoS攻擊，全名分布式拒絕服務(wù)攻擊（Distributed Denial of Service），是指處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)動攻擊，或者一個攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時實施攻擊。由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊就被稱為分布式拒絕服務(wù)攻擊，其中的攻擊者可以有多個。分布式拒絕服務(wù)攻擊的目的是通過瞬間大量的攻擊服務(wù)消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷以至于癱瘓而停止提供正常的網(wǎng)絡(luò)服務(wù)。

1.2 CC攻擊

CC攻擊，全名挑戰(zhàn)崩潰攻擊（Challenge Collapsar）是 DDoS攻擊的一種，其前身名為Fatboy（肥仔）攻擊，也是一種常見的網(wǎng)站攻擊方法。CC攻擊的原理就是借助代理服務(wù)器針對目標(biāo)系統(tǒng)的消耗資源比較大的頁面不斷發(fā)起正常的請求，造成對方服務(wù)器資源耗盡，一直到宕機(jī)崩潰。攻擊者在發(fā)送CC攻擊前，需要尋找加載比較慢，消耗資源比較多的網(wǎng)頁，如需要查詢數(shù)據(jù)庫的頁面、讀寫硬盤的文件等。針對攻擊對象的短板進(jìn)行攻擊而使得系統(tǒng)崩潰。相比其它的DDoS攻擊來說，CC更有技術(shù)含量一些，并且反查不到真實源IP，也監(jiān)測不到特別大的異常流量，但造成服務(wù)器無法進(jìn)行正常連接。

1.3 JavaScript DDoS 攻擊

基于JavaScript的DDoS攻擊利用的工具是普通網(wǎng)民的上網(wǎng)終端，這也意味著只要裝有瀏覽器的電腦，都能被用作為DDoS攻擊者的工具。當(dāng)被操縱的瀏覽器數(shù)量達(dá)到一定程度時，這種DDoS攻擊方式將會帶來巨大的破壞性。

攻擊者會在海量訪問的網(wǎng)頁中嵌入指向攻擊目標(biāo)網(wǎng)站的惡意JavaScript代碼，當(dāng)互聯(lián)網(wǎng)用戶訪問該網(wǎng)頁時，則流量被指向攻擊目標(biāo)網(wǎng)站。攻擊者相當(dāng)于利用了海量的無辜用戶，對目標(biāo)進(jìn)行了攻擊。

1.4 DNS攻擊

DNS作為互聯(lián)網(wǎng)的核心服務(wù)之一，自然也是DDoS攻擊的一大主要目標(biāo)。DNS Query Flood（DNS泛濫查詢）采用的方法是操縱大量傀儡機(jī)器，向目標(biāo)服務(wù)器發(fā)送大量的域名解析請求。服務(wù)器在接收到域名解析請求時，首先會在服務(wù)器上查找是否有對應(yīng)的緩存，若查找不到且該域名無法直接解析時，便向其上層DNS服務(wù)器遞歸查詢域名信息。

通常，攻擊者請求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)上根本不存在的域名。由于在本地域名服務(wù)器無法查到對應(yīng)的結(jié)果，本地域名服務(wù)器必須使用遞歸查詢向上層域名服務(wù)器提交解析請求，引起連鎖反應(yīng)。解析過程給本地域名服務(wù)器帶來一定的負(fù)載，每秒鐘域名解析請求超過一定的數(shù)量就會造成域名服務(wù)器解析域名超時。

1.5 DDoS攻擊的防范策略

應(yīng)對DDoS攻擊，需要從網(wǎng)絡(luò)層和應(yīng)用層兩個方面進(jìn)行防范。

在網(wǎng)絡(luò)層上，首先需要對單個IP請求頻率進(jìn)行限制。同時，在網(wǎng)絡(luò)架構(gòu)上做好優(yōu)化，采用負(fù)載均衡分流。在防火墻等安全設(shè)備上，設(shè)置禁止ICMP包等。通過DDoS硬件防火墻的數(shù)據(jù)包規(guī)則過濾、數(shù)據(jù)流指紋檢測過濾、及數(shù)據(jù)包內(nèi)容定制過濾等技術(shù)對異常流量進(jìn)行清洗過濾。最后，采用ISP近源清洗，使用電信運營商提供的近源清洗和流量壓制，避免全站服務(wù)對所有用戶徹底無法訪問，這是應(yīng)對超過自身帶寬儲備和自身DDoS防御能力之外超大流量的補(bǔ)充性緩解措施。

在應(yīng)用層上，首先要優(yōu)化操作系統(tǒng)的TCP/IP棧，并對應(yīng)用服務(wù)器嚴(yán)格限制單個IP允許的連接數(shù)和CPU使用時間。在編寫代碼時，盡量實現(xiàn)優(yōu)化并合理使用緩存技術(shù)。盡量讓網(wǎng)站靜態(tài)化，減少不必要的動態(tài)查詢。并且也要使用CDN/云清洗策略，在攻擊發(fā)生時，及時進(jìn)行云清洗。

2. ARP欺騙與嗅探掃描

2.1 ARP欺騙

ARP欺騙是通過MAC翻譯錯誤造成計算機(jī)內(nèi)的身份識別沖突，使得計算機(jī)IP沖突，無法打開網(wǎng)頁，頻繁彈出錯誤對話框。一臺主機(jī)和另一臺主機(jī)通信，要知道目標(biāo)的IP地址，但是在局域網(wǎng)中傳輸數(shù)據(jù)的網(wǎng)卡卻不能直接識別IP地址，所以用ARP解析協(xié)議將IP地址解析成MAC地址。ARP協(xié)議的基本功能就是通過目標(biāo)設(shè)備的IP地址，來查詢目標(biāo)設(shè)備的MAC地址。在局域網(wǎng)的任意一臺主機(jī)中，都有一個ARP緩存表，里面保存本機(jī)已知的此局域網(wǎng)中各主機(jī)和路由器的IP地址和MAC地址的對照關(guān)系。ARP緩存表的生命周期是有時限的。ARP欺騙就是通過ARP協(xié)議不會檢查自己請求包的缺陷，偽裝成正?；ハ嗤ㄐ诺姆?wù)器中的一臺來對目標(biāo)服務(wù)器進(jìn)行欺騙，達(dá)到竊取資料的目的。

總的來說，ARP攻擊屬于局域網(wǎng)的攻擊方式，攻擊者可以通過ARP欺騙的方式釋放木馬病毒，達(dá)到竊取局域網(wǎng)用戶資料的目的。

2.2 嗅探掃描

嗅探器是一種監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)運行的軟件設(shè)備，既能用于合法網(wǎng)絡(luò)管理，也能用于竊取網(wǎng)絡(luò)信息，如監(jiān)視網(wǎng)絡(luò)流量、分析數(shù)據(jù)包、監(jiān)視網(wǎng)絡(luò)資源利用、執(zhí)行網(wǎng)絡(luò)安全操作規(guī)則等。非法嗅探器嚴(yán)重威脅網(wǎng)絡(luò)安全性，因為它不但可以進(jìn)行探測行為，而且容易隨處插入，所以黑客常將它作為攻擊武器。

當(dāng)一個黑客成功地攻陷了一臺主機(jī)，并拿到了ROOT權(quán)限，如果他還想利用這臺主機(jī)去攻擊同一網(wǎng)段上的其他主機(jī)時，他就會在這臺主機(jī)上安裝一款嗅探器軟件，對以太網(wǎng)設(shè)備上傳送的數(shù)據(jù)包進(jìn)行嗅探，從而監(jiān)聽感興趣的包。如果發(fā)現(xiàn)符合條件的包，就會想方設(shè)法破譯數(shù)據(jù)包的內(nèi)容，如果在某數(shù)據(jù)包里面包含有某主機(jī)的賬戶以及密碼，那么該主機(jī)就極有可能被黑客入侵。

2.3? ARP欺騙以及嗅探掃描的防范

應(yīng)對ARP攻擊和嗅探掃描，我們需要采取以下策略。首先，采用雙邊的ip+Mac地址+端口綁定的方式進(jìn)行雙向綁定，提高點對點的對接安全性。同時部署支持ARP過濾功能的防火墻，并建立起DHCP服務(wù)器。然后對安全區(qū)域進(jìn)行嚴(yán)格劃分，隔離廣播。最后，設(shè)置系統(tǒng)定期殺毒。

3. 跨站腳本攻擊

3.1 跨站腳本攻擊介紹

跨站腳本攻擊（Cross Site Scripting）（也稱為XSS）指利用網(wǎng)站漏洞從用戶那里惡意盜取信息。通過對系統(tǒng)漏洞的利用注入惡意代碼，根據(jù)程序返回的結(jié)果，獲得一些他想得到的數(shù)據(jù)，配合暴力口令破解，撞庫等方式，逐漸達(dá)到拿到服務(wù)器權(quán)限的過程?？缯灸_本攻擊應(yīng)該是最常見的黑客攻擊方式，是一種悄無聲息，不容易被發(fā)現(xiàn)的入侵形式，目的基本上是通過竊取目標(biāo)服務(wù)器上的有價值信息資料，完成自己的經(jīng)濟(jì)或者政治上的攫取目的，使受害者遭受巨大的損失。

3.2 跨站腳本攻擊的實施步驟

攻擊者實施跨站腳本攻擊通常的通常有一個完整的過程，首先通過掃描工具獲取目標(biāo)服務(wù)器的ip地址，同時對C網(wǎng)段下的所有主機(jī)進(jìn)行掃描，或許目標(biāo)服務(wù)器及C網(wǎng)段下所有主機(jī)的系統(tǒng)信息，進(jìn)行漏洞分析的同時使用工具掃描后臺登錄地址，在發(fā)現(xiàn)系統(tǒng)漏洞或者登錄地址后，分別嘗試代碼植入、SQL漏洞注入、暴力破解、撞庫等方式進(jìn)行滲透，直至登錄進(jìn)入后臺取得ROOT權(quán)限，同時植入木馬后門。這樣，目標(biāo)服務(wù)器在已經(jīng)被攻破的同時也在未來時刻暴露在攻擊者的監(jiān)視之下。

3.3 跨站腳本攻擊的防范

應(yīng)對跨站腳本的攻擊，我們首先需要應(yīng)用功能強(qiáng)大的防火墻，同時對重要的服務(wù)器進(jìn)行代碼審計，并進(jìn)行滲透測試。更換掉常用的端口號和后臺地址的路徑，讓路徑分析軟件無法取得真實的登錄地址。同時，注意服務(wù)器系統(tǒng)的及時升級，避免漏洞隱患，并采用驗證碼登錄或者限制登錄次數(shù)的方式，隔斷暴力破解的路。在有外網(wǎng)接觸的路徑上，對外部發(fā)送的可以文件以及郵件要謹(jǐn)慎接收，同時對子用戶的權(quán)限進(jìn)行嚴(yán)格定義，謹(jǐn)慎賦予編輯寫入權(quán)限。最后需要對C段同主機(jī)也要進(jìn)行以上操作，并定期更換系統(tǒng)密碼，定期殺毒。

4. 總結(jié)

保障節(jié)目運行安全穩(wěn)定播出，是播控中心的最核心任務(wù)。所以，網(wǎng)絡(luò)安全對于新一代的融媒體中心的運營保障工作來說是重中之重的工作。在日常的管理和運維工作中，網(wǎng)絡(luò)安全工作需要作為單獨的一個模塊來進(jìn)行管理和實施。通常情況下，配備高級別防火墻以及監(jiān)控系統(tǒng)，并且通常隔絕外部網(wǎng)絡(luò)連接的融媒體系統(tǒng)服務(wù)器，在應(yīng)對DDoS等互聯(lián)網(wǎng)外部攻擊的時候通常游刃有余，但是應(yīng)對從內(nèi)網(wǎng)滲透的攻擊時通常會措手不及。所以，核心系統(tǒng)在日常運行時在不影響正常運營的情況下，除了上文所列舉的網(wǎng)絡(luò)攻擊的防范措施以外，還要嚴(yán)格定義內(nèi)網(wǎng)終端的訪問權(quán)限，甚至在重要時段隔絕內(nèi)網(wǎng)訪問。同時對于系統(tǒng)內(nèi)部接入外網(wǎng)的終端，針對郵件接收，文件傳輸，定期殺毒，系統(tǒng)升級等操作要建立完善的規(guī)章制度并嚴(yán)格執(zhí)行，始終把網(wǎng)絡(luò)安全放在重要位置，方能保證播控系統(tǒng)的安全穩(wěn)定運行。

進(jìn)入21世紀(jì)，網(wǎng)絡(luò)技術(shù)高速發(fā)展，傳統(tǒng)廣播技術(shù)也面臨新的挑戰(zhàn)，怎樣在技術(shù)上不斷創(chuàng)新的同時保證系統(tǒng)一如既往的安全和穩(wěn)定，是傳媒行業(yè)技術(shù)人員時刻面對的并需要絞盡腦汁解決的問題。相信在技術(shù)人員的積極思考與創(chuàng)新改造之下，傳統(tǒng)媒體一定能煥發(fā)出新的活力，緊緊跟上新時代的發(fā)展腳步。

參考文獻(xiàn)：

[1]周文泉.播出網(wǎng)絡(luò)安全等保建設(shè)的設(shè)計與實現(xiàn)[J].現(xiàn)代電視技術(shù)，2015（02）：111-115

[2]袁杰，孫國兵，周為民，徐創(chuàng)義.無錫有線網(wǎng)絡(luò)前端安全播出技術(shù)防范新體系的構(gòu)建[J].有線電視技術(shù)，2008（06）：88-91.

[3]屠逸，宋海波，黃小康.基于網(wǎng)絡(luò)智能化的安全播出系統(tǒng)設(shè)計與建設(shè)[J].廣播與電視技術(shù)，2016（10）：110-113