吳昊 李上

關(guān)鍵詞：民航空管；網(wǎng)絡(luò)攻擊；防范策略；弱口令；后門攻擊；系統(tǒng)漏洞

0 引言

隨著民航空管的高速發(fā)展，其發(fā)展逐漸向信息化進(jìn)行，同時(shí)也必然伴隨著網(wǎng)絡(luò)信息安全的問(wèn)題。根據(jù)互聯(lián)網(wǎng)信息技術(shù)的特點(diǎn)，民航空管場(chǎng)景下的網(wǎng)絡(luò)系統(tǒng)也在不斷更新同時(shí)面臨著更多的網(wǎng)絡(luò)安全威脅。爆發(fā)式的網(wǎng)絡(luò)數(shù)據(jù)，指數(shù)級(jí)增長(zhǎng)的用戶終端訪問(wèn)量等問(wèn)題的大量堆積讓民航空管傳輸網(wǎng)絡(luò)系統(tǒng)環(huán)境變得更為復(fù)雜，帶來(lái)了極大隱患[1]。行業(yè)的高度信息化使得信息泄露與境外惡意攻擊等多種安全威脅出現(xiàn)，民航空管的網(wǎng)絡(luò)系統(tǒng)沒(méi)有相對(duì)的安全制度保障和規(guī)范，不安全事件的發(fā)生不能被及時(shí)有效遏制。另外，系統(tǒng)防護(hù)效果差、系統(tǒng)漏洞層出不窮和較低的網(wǎng)絡(luò)威脅防御能力也使得民航空管網(wǎng)絡(luò)系統(tǒng)常處于較高風(fēng)險(xiǎn)之中，尤其是在空管中的地空通信領(lǐng)域，如果重要節(jié)點(diǎn)受到攻擊，將會(huì)破壞航班的穩(wěn)定運(yùn)行，嚴(yán)重威脅安全飛行，更可怕的將會(huì)導(dǎo)致飛行安全和國(guó)家安全受到重創(chuàng)[2]。所以重視并提高民航空管的網(wǎng)絡(luò)系統(tǒng)抵御威脅的能力和防護(hù)等級(jí)是今后民航運(yùn)輸業(yè)穩(wěn)定發(fā)展的重要環(huán)節(jié)之一。本文對(duì)民航空管場(chǎng)景下的網(wǎng)絡(luò)攻擊手段和防范方法策略進(jìn)行了探討，提出了相應(yīng)的防范策略。

1 民航空管場(chǎng)景下網(wǎng)絡(luò)結(jié)構(gòu)體系

以現(xiàn)有華北地區(qū)民航空管網(wǎng)絡(luò)結(jié)構(gòu)為例，系統(tǒng)內(nèi)部主要按華北地區(qū)提出的整體防御的“布局一盤棋”和全網(wǎng)呼應(yīng)的“響應(yīng)一張網(wǎng)”的方針，以提升內(nèi)外網(wǎng)絡(luò)邊界處的網(wǎng)絡(luò)安全防護(hù)。其中策略均按照“按需開(kāi)放、最小開(kāi)放”的原則進(jìn)行開(kāi)放。然而，近年來(lái)終端用戶接入數(shù)量的劇增，內(nèi)部網(wǎng)絡(luò)傳輸設(shè)備、終端業(yè)務(wù)設(shè)備、監(jiān)控設(shè)備等關(guān)鍵設(shè)備上面臨著來(lái)自不同方面的威脅，針對(duì)其網(wǎng)絡(luò)攻擊手段和防范策略進(jìn)行研究和探討成為當(dāng)務(wù)之急。其網(wǎng)絡(luò)體系大體結(jié)構(gòu)如圖1所示，整網(wǎng)三層使用ISIS路由協(xié)議，上層協(xié)議使用MP-BGP協(xié)議，業(yè)務(wù)使用IPV4 VPN虛擬專線。

網(wǎng)絡(luò)操作系統(tǒng)漏洞、注入木馬程序、數(shù)據(jù)庫(kù)系統(tǒng)漏洞、監(jiān)聽(tīng)＼破解報(bào)文以及值班運(yùn)維人員違規(guī)操作的方式都是攻擊者可以利用的手段，其次在針對(duì)不同環(huán)節(jié)對(duì)不同的節(jié)點(diǎn)使用不同的網(wǎng)絡(luò)攻擊類型，如漏洞攻擊、DDoS（Distributed Denial of Service）分布式拒絕服務(wù)攻擊、中間人攻擊、欺騙等，導(dǎo)致設(shè)備的通信中斷或宕機(jī)，最后造成了設(shè)備大面積癱瘓等不安全事件的發(fā)生[3]。

2 民航空管場(chǎng)景下的常見(jiàn)網(wǎng)絡(luò)安全漏洞

2.1 弱口令攻擊

弱口令攻擊是網(wǎng)絡(luò)安全漏洞中最為常見(jiàn)和最為直接的攻擊形式，服務(wù)器系統(tǒng)一般開(kāi)放Mstsc、Telnet、SSH、VNC等遠(yuǎn)端登錄端口，攻擊者可以利用已知的用戶名和破解出的密碼滲透進(jìn)服務(wù)器系統(tǒng)。在攻擊過(guò)程中爆破口令有多種方式，如利用滲透機(jī)kali中的相關(guān)工具h(yuǎn)ydra、medusa、sparta、msf等；利用Python腳本進(jìn)行口令爆破，破解SSH 登錄口令代碼如圖2所示[1]。

另外，為了方便值班維護(hù)人員記憶與迅速維護(hù)處理，密碼口令的形式也設(shè)置較為簡(jiǎn)短，如123456、atc、admin、root等。當(dāng)網(wǎng)絡(luò)攻擊者使用現(xiàn)有用戶以及猜測(cè)破解的密碼口令進(jìn)入服務(wù)器系統(tǒng)后臺(tái)，通常需要提升權(quán)限才可查找root根目錄下的flag值，通常提取方法有多種，admin即可用sudo方式提權(quán)給定，如使用ad?min ALL = （ALL：ALL）ALL命令在etc/sudoers之中，使得root指令被用戶admin執(zhí)行后，即可在sudo后鍵入指令；使用find文件取得suid權(quán)限即find提權(quán)，只需使用find/usr/bin/find-exec cat/etc/shadow 指令在普通用戶下即可得到shadow文件內(nèi)容，該內(nèi)容只有root用戶才有權(quán)限提取；系統(tǒng)kenral漏洞通常產(chǎn)生在Linux服務(wù)器之中，如2.6.22至3.9版本，攻擊者即可采用臟牛提取的方法，利用該方法的臟牛exp 產(chǎn)生后門用戶fireflat在該系統(tǒng)中，fireflat有著與root相同的權(quán)限，口令密碼自設(shè)；用戶提取隱藏，etc/shadow和etc/passwd兩個(gè)文件中存在Linux的用戶名及口令密碼，假設(shè)兩個(gè)文件的訪問(wèn)權(quán)限被給定用戶賦予，就可以破解root口令密碼和隱藏用戶的口令密碼，同樣，隱藏用戶擁有root相同的權(quán)限，破解方法可使用如john、ophcrack工具。

2.2 后門攻擊

網(wǎng)絡(luò)安全漏洞中利用服務(wù)器后門同樣也是攻擊者采用的方法，服務(wù)器后門會(huì)有一個(gè)端口被開(kāi)啟，該端口通常偽裝成正常端口或者為高于1024的高端口，如圖3所示木馬程序代碼。

后門端口8080會(huì)在程序運(yùn)行時(shí)打開(kāi)，攻擊者攻擊時(shí)輕而易舉進(jìn)入服務(wù)器系統(tǒng)只需要利用工具NC接入8080端口[1]。甚至一些很有名的服務(wù)器也會(huì)有后門端口，如Metasplotable2-linux下的1525后門端口、Win?dows下的永恒之藍(lán)漏洞的445后門端口等。

此外，攻擊者經(jīng)常使用IP欺騙的方式攻擊系統(tǒng)，其用來(lái)獲取網(wǎng)絡(luò)信息的一種方法是冒充成一個(gè)網(wǎng)絡(luò)中可信的成員。攻擊者欺騙數(shù)據(jù)包中的源IP地址，然后發(fā)往內(nèi)部網(wǎng)絡(luò)。攻擊者只需要將數(shù)據(jù)包中的源IP地址改成一個(gè)屬于內(nèi)部子網(wǎng)的地址即可。

2.3 系統(tǒng)漏洞攻擊

在終端位置中，攻擊者經(jīng)常會(huì)利用系統(tǒng)漏洞進(jìn)行攻擊，Web攻擊即是常見(jiàn)的攻擊手段，現(xiàn)代軟件系統(tǒng)經(jīng)常使用B/S架構(gòu)，其零安裝、零維護(hù)方便的特性被很多企事業(yè)單位使用，攻擊者利用Web攻擊方法即可輕松攻破。系統(tǒng)通常帶有內(nèi)容管理系統(tǒng)cms，使用cms的Web漏洞攻擊，如seacms、dedecms、escms漏洞網(wǎng)站等，另外網(wǎng)絡(luò)服務(wù)器中存在一些使用廣泛的滲透軟件工具Bikachu、Dvwa、bwapp等，同時(shí)多種漏洞存在跨站腳本、SQL注入、文件包含、目錄遍歷、命令執(zhí)行等在這些網(wǎng)站中，可使用網(wǎng)站命令進(jìn)行漏洞攻擊，如圖4所示編寫Python腳本程序代碼進(jìn)行網(wǎng)絡(luò)攻擊。

另外，系統(tǒng)漏洞通常還有支持弱SSL密碼套件、SSL中Cookie缺少Secure屬性、跨站腳本攻擊、解密后的登錄請(qǐng)求、框架釣魚(yú)、會(huì)話定制、連接注入等，現(xiàn)有操作系統(tǒng)和設(shè)備軟件頻繁更新?lián)Q代，雖然會(huì)暫時(shí)修復(fù)問(wèn)題，但是也會(huì)引入一些新的漏洞，如零日漏洞、遠(yuǎn)程代碼執(zhí)行漏洞、未授權(quán)遠(yuǎn)程命令執(zhí)行漏洞等。

3 民航空管場(chǎng)景下網(wǎng)絡(luò)安全漏洞防范策略

3.1 弱口令防范策略

1） 更新原用戶口令密碼即從口令密碼本身入手，提高密碼口令復(fù)雜度，加入必須含有大寫字母加數(shù)字加特殊符號(hào)的規(guī)則，利用命令awk -F： ' （$3 == 0） {print $1}' /etc/passwd使得uid值被0用戶被刪除（除了root用戶之外）。

2） 服務(wù)配置入手，在登錄時(shí)進(jìn)行限制，如通常的登錄命令mstsc、telnet、ssh、VNC 等，如ssh 中的文件etc/ssh/sshd_config的PermitRootLogin值設(shè)置為no，ssh登錄服務(wù)就不能被root用戶使用；telnet用戶限制IP地址，即在etc/xinetd.d/telnet文件中設(shè)置等。

3.2 后門防范策略

防范后門端口的攻擊方式通常有兩步：首先為掃描，使用掃描工具掃描服務(wù)器系統(tǒng)，如OpenVas、Nmap、Zenmap工具查找可疑端口，后門描述與可疑信息即暴露在端口對(duì)應(yīng)版本中，之后使用防火墻過(guò)濾端口，如只訪問(wèn)基本服務(wù)，指令如圖5所示。

此外，在防范后門攻擊中查詢服務(wù)器可疑進(jìn)程很重要，如圖6所示，使用pkill命令批量結(jié)束相似名稱進(jìn)程或者使用kill -9 pid結(jié)束進(jìn)程[4-5]。

針對(duì)在后門防范過(guò)程中IP地址欺騙的攻擊方式，可以使用ACL方式阻止IP地址欺騙在路由器中，采用入站規(guī)則為決不允許任何源地址是內(nèi)部主機(jī)地址或網(wǎng)絡(luò)地址的數(shù)據(jù)包進(jìn)入一個(gè)私有的網(wǎng)絡(luò)，如圖7所示。

其中應(yīng)用log，在控制臺(tái)中顯示當(dāng)數(shù)據(jù)包應(yīng)用該策略被拒絕時(shí)的日志。該訪問(wèn)控制表中包含任何來(lái)自如下源地址的數(shù)據(jù)包：n 任何本地主機(jī)地址（127.0.0.0/8） ；n任何保留的私有地址；n任何組播IP地址（224.0.0.0/4） 。

出站規(guī)則采用了決不應(yīng)該允許任何含有非內(nèi)部網(wǎng)絡(luò)有效地址的IP數(shù)據(jù)包出站，如圖8所示。

3.3 系統(tǒng)漏洞防范策略

本章有兩部分對(duì)Web攻擊進(jìn)行防范。

1） 代碼審計(jì)方式：即對(duì)網(wǎng)站源代碼采用人工或者自動(dòng)的方式進(jìn)行審計(jì)，查找web 頁(yè)面中危險(xiǎn)威脅代碼，如后臺(tái)php 代碼存在典型木馬程序< ？ php eval（$_POST [aa]） ？>；典型文件漏洞程序代碼< ？ php $page = $_GET[’page’]; include（$page）; ？ >；典型命令執(zhí)行漏洞程序< ？ php system‘（ ’）; ？ >，并使用自動(dòng)代碼審計(jì)工具，如VCG、SEAY、RIPS等，審計(jì)時(shí)加固漏洞可采用刪除或者注釋的方法[6]。

2） 修改配置文件方式：實(shí)際環(huán)境中甚多文件為cms系統(tǒng)文件，所以防御Web攻擊的典型手段為修改網(wǎng)站的配置文件，如圖9修改php配置文件。

也可以修改網(wǎng)站對(duì)應(yīng)的數(shù)據(jù)庫(kù)配置文件如圖10所示。

最后針對(duì)系統(tǒng)軟件更新等漏洞，要定期對(duì)系統(tǒng)進(jìn)行維護(hù)，此外，系統(tǒng)負(fù)責(zé)人和使用者需要加強(qiáng)自身安全意識(shí)，使用計(jì)算機(jī)注重安全防范意識(shí)[7]。還要加強(qiáng)技術(shù)進(jìn)行防范系統(tǒng)病毒，比如使用防火墻和殺毒軟件等一些防病毒工具[8]。

3.4 傳輸網(wǎng)絡(luò)的防范策略

針對(duì)傳輸網(wǎng)絡(luò)，我們還可以使用探偵設(shè)備配合相應(yīng)路由策略對(duì)特定的IP進(jìn)行封堵。

如圖1所示的傳輸骨干網(wǎng)絡(luò)中，可以在匯聚設(shè)備接入探偵系統(tǒng)及身份認(rèn)證系統(tǒng)等，檢測(cè)進(jìn)入?yún)R聚設(shè)備的數(shù)據(jù)包，若出現(xiàn)未知原因的數(shù)據(jù)量突增、未知身份的用戶登錄或出現(xiàn)對(duì)路由器、終端服務(wù)器端口掃描等異常行為時(shí)，探偵系統(tǒng)可以預(yù)警上述威脅并掃描到對(duì)方IP。

檢測(cè)到對(duì)方IP后，可以在匯聚路由器中布置路由策略封堵對(duì)方IP，使目標(biāo)源IP的數(shù)據(jù)包無(wú)法通過(guò)網(wǎng)絡(luò)[1]。假設(shè)威脅為192.168.10.0/24 及172.168.10.0/24網(wǎng)段的IP地址，具體配置如下：

第一步，在匯聚設(shè)備中配置ACL（訪問(wèn)控制列表）策略。

第二步，在ISIS進(jìn)程下，啟用ACL策略過(guò)濾路由條目。

4 結(jié)束語(yǔ)

本文主要探討了三類典型的民航空管場(chǎng)景下網(wǎng)絡(luò)常用的攻擊手段和防范策略，在實(shí)際運(yùn)行環(huán)境中也會(huì)出現(xiàn)更為高級(jí)的系統(tǒng)漏洞攻擊方式，如Liunx系統(tǒng)中的dirtycow、vsftp2.3.4、smbcry漏洞，Windows系統(tǒng)中的ms08-067、ms10-046、ms12-021、ms17-010 等，隨著互聯(lián)網(wǎng)技術(shù)的快速進(jìn)步，攻擊手段和防范也在進(jìn)步與更新，需要今后不斷努力去搜集、去學(xué)習(xí)、去發(fā)現(xiàn)。