被竊盜的信用卡號、遭受攻擊的計算機系統(tǒng)以及其他一些著名的在線攻擊已經(jīng)引起了許多用戶的警惕，使安全管理人員將注意力放在了高級入侵檢測系統(tǒng)、防火墻和其他高水平防御上。然而，許多人忘了，無論他們?nèi)绾闻Φ丶訌娬军c的安全，Internet結(jié)構(gòu)中存在的脆弱性仍使他們處于危險之中。 

像請求在兩臺計算機之間建立連接這種簡單功能就會造成漏洞，而每年報告的攻擊中有15%是由這種漏洞造成的，這是由于自TCP/IP被接受為Arpanet傳輸協(xié)議之日起，它就一直沒有什么變化，而IP最初是在一個內(nèi)部非常信任的具有內(nèi)聚力的社區(qū)中編寫的，因此缺省值是IP應(yīng)用認為它們應(yīng)當(dāng)信任人。 

利用TCP/IP功能的拒絕服務(wù)攻擊和數(shù)據(jù)欺詐攻擊可以使用多數(shù)服務(wù)器操作系統(tǒng)中能夠被打開的安全功能、路由器或新版IP(IPv6)內(nèi)置的過濾器來防范。但是，這些安全措施經(jīng)常被忽視。 

近期有公司受到了“重新發(fā)現(xiàn)”的TCP攻擊，這是一種利用TCP存在的老問題的新途徑：如果黑客可以猜出兩臺計算機用來啟動發(fā)送數(shù)據(jù)包序列的隨機初始序列號(ISN)的話，這位黑客就可以劫持一次會話。一旦攻擊者猜出ISN，他就可以改變數(shù)據(jù)包的傳送方向或向數(shù)據(jù)流中注入任何東西。人們認為軟件廠商已經(jīng)利用隨機包序列發(fā)生器解決了這一問題。但結(jié)果是這種隨機序列并不隨機，它實際包含使ISN很容易猜到的模式。 

另一種古老手段IP地址欺騙今天也很常見。像IP欺騙和利用緩沖區(qū)溢出的拒絕攻擊這類古典的TCP/IP攻擊仍在使用。以分布式拒絕攻擊為例，將特洛伊木馬植入到未受懷疑的服務(wù)器中。然后，這些服務(wù)器利用大量的包含虛假源IP地址的服務(wù)請求淹沒了許多電子商務(wù)站點。攻擊造成這些商務(wù)站點上的很多服務(wù)器崩潰。 

非IP攻擊一般尋找服務(wù)器軟件或像地址簿和自動郵件程序這類功能中脆弱的端口和服務(wù)。 

常見的針對TCP/IP的攻擊 

在八十年代中，有幾十種針對TCP/IP的攻擊襲擊過Arpanet。其中的一些攻擊今天依然存在。最常見的包括： 

1. Smurf攻擊：一種由有趣的卡通人物而得名的拒絕服務(wù)攻擊。Smurf攻擊利用多數(shù)服務(wù)器中具有的同時向許多計算機廣播請求的功能。攻擊者偽造一個合法的IP地址，然后由網(wǎng)絡(luò)上所有的服務(wù)器廣播要求向受害者地址做出回答的請求。由于這些數(shù)據(jù)包表面上看是來自已知地址的合法請求，因此網(wǎng)絡(luò)中的所有系統(tǒng)向這個地址做出回答，回答淹沒了這臺合法的機器，造成拒絕服務(wù)。 

2. SYN洪水：一種拒絕服務(wù)攻擊，在這種攻擊中，攻擊者利用偽造的IP地址向目標(biāo)發(fā)出多個連接(SYN)請求。目標(biāo)系統(tǒng)然后發(fā)送確認信息，并等待回答。由于偽造的IP地址不屬于任何實際的機器，因此，不會有回答，從而使連接保持開放并阻塞了合法的數(shù)據(jù)流。 

3. 源路由篡改：一種拒絕服務(wù)和數(shù)據(jù)劫持攻擊，在這種攻擊中，攻擊者篡改路由表表項(通常在邊緣路由器上)，使發(fā)送到某一站點的數(shù)據(jù)流改向傳送到另一個站點上(在這個站點上信息可以被截獲)或者什么地方都不發(fā)送。 
阻擋與過濾 

關(guān)閉邊緣路由器上的“廣播”功能可以阻擋Smurf攻擊。以三秒或更短的間隔中止不完整的SYN請求通?？梢苑乐筍YN洪水。IP路由包過濾功能可以捕獲劫持企圖。事實上，過濾功能正是TCP/IP保護所做的事。 

例如，最近分布式拒絕服務(wù)攻擊的許多受害者現(xiàn)在都在自己ISP的位置對數(shù)據(jù)流進行過濾，而不是等待“洪水”襲擊自己的計算機。一些受害者還對自己的操作系統(tǒng)進行了配置，使其可以更快地中斷SYN請求，并改變受到拒絕服務(wù)攻擊的服務(wù)器的IP地址避免再受到攻擊。 

除了防火墻和入侵檢測外，用戶還可使用下列過濾技術(shù)以防止TCP/IP攻擊： 

·在邊緣路由器上設(shè)置過濾阻擋假地址或SYN攻擊。 

·阻擋連接請求、防止高容量攻擊的速率限制過濾器。 

·檢測符合攻擊特征的進入連接或跟蹤攻擊發(fā)源地供起訴之用的數(shù)據(jù)流分析。 

·通過過濾已知攻擊類型，防止拒絕服務(wù)攻擊的基于主機的防火墻。 

由于這類安全特性不屬于缺省配置，所以IT人員可能不知道這些特性，因此并沒有開啟這些特性，或者他們害怕過濾功能會降低他們的速度。但是實際上這些特性不會給性能造成太大的影響。 

例如，Cisco公司的路由器包含一種叫做單播逆向路徑轉(zhuǎn)發(fā)檢查的特性，這種逆向IP查找功能自三年前Cisco發(fā)布IOS第10版起就是該操作系統(tǒng)的一部分。這種功能可以通過檢查上游路由表查看數(shù)據(jù)包是否來自它們自稱的IP地址來檢測偽造的數(shù)據(jù)流。盡管這類技術(shù)幾乎無處不在，但是用戶還是很少使用它們。 

對性能問題的擔(dān)心也是造成新的ISN猜測威脅的原因。1996年中，廠商有機會采用一種更強鍵的隨機序列發(fā)生器，但多數(shù)廠商不愿意采用它，因為從CPU使用的角度看，它費用更高。 

而且，IPSec也被大多數(shù)人所忽視，IPSec是IPv6的一個子集，它的設(shè)計目的是利用公共密鑰在計算機進行連接前對計算機進行認證。這兩種同是在1998年公布的安全特性可以幫助解決許多TCP/IP安全問題。 

目前廠商產(chǎn)品真正支持IPSec的還不多。這是因為企業(yè)沒有看到采用IPSec或IPv6的令人信服的理由，特別是VPN隧道技術(shù)具有與IPSec幾乎相同的功能。 

此外，升級到IPv6需要一定的時間，大家未來需要同時升級到IPv6。否則，由于兼容性問題，那些先升級的人將不能接入到Internet的很多部分中。隨著無線Internet設(shè)備的出現(xiàn)，對地址空間的需求不久將會呈爆炸式增長。同時，對更強過濾功能和IP安全的需求也會出現(xiàn)爆炸。否則，總有一天，任何Internet連接的設(shè)備，甚至包括電冰箱，都會黑世界一把。  文章錄入：csh    責(zé)任編輯：csh 

最新評論