首页 -> 2008年第12期
简析高校网络攻击及网站防篡改解决方案
作者:张卫华 徐谙律
关键词:高校;网络攻击;网站防篡改;Barracuda-NC应用防火墙
高校典型网络攻击及防范措施
随着网络病毒攻击原理以及方法的不断变化,病毒攻击仍然是最严峻的网络安全问题。下面分析一些典型的病毒攻击和防范措施。
(一)ARP木马病毒
当局域网内某台主机运行ARP木马病毒程序时,会欺骗局域网内所有主机和路由器,迫使局域网所有主机的ARP地址表的网关MAC地址更新为该主机的MAC地址,导致所有局域网内上网的计算机的数据首先通过该计算机再转发出去,用户原来直接通过路由器上网现在转由通过该主机上网,切换的时候用户会断线一次。由于ARP木马病毒发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP木马病毒停止运行时,用户会恢复从路由器上网,切换过程中用户会再断线一次。ARP木马病毒会导致整个局域网运行不稳定,时断时通。
ARP木马病毒防范措施:可以借助NBTSCAN工具来检测局域网内所有主机真实的IP与MAC地址对应表,在网络不稳定状况下,以arp-a命令查看主机的ARP缓存表,此时网关IP对应的MAC地址为感染病毒主机的MAC地址,通过“Nbtscan-r 192.168.1.1/24”扫描192.168.1.1/24网段查看所有主机真实IP和MAC地址表,从而根据IP确定感染病毒主机。也可以通过SNIFFER或者IRIS侦听工具进行抓取异常数据包,发现感染病毒主机。另外,用户还可以采用双向绑定的方法来防止ARP欺骗,在计算机上绑定正确的网关IP地址和网关接口MAC地址,在正常情况下,通过arp-a命令获取网关IP地址和网关接口的MAC地址,编写一个批处理文件farp.bat内容如下:
@echo off
arp-d(清零ARP缓存地址表)
arp-s 192.168.1.254 00-22-aa-00-22-aa(绑定正确网关IP和MAC地址)
把批处理放置到“开始—程序—启动”项中,使之随计算机重起自动运行,以避免ARP病毒的欺骗。
(二)蠕虫病毒
w32.Blaster蠕虫病毒w32.Blaster是一种利用DCOM RPC漏洞进行传播的蠕虫病毒,传播能力很强,其通过TCP/135进行探索发现存在漏洞的系统,一旦攻击成功,通过TCP/4444端口进行远程命令控制,最后通过在受感染的计算机的UDP/69端口建立tftp服务器进行上传“蠕虫”自己的二进制代码程序Msblast.exe对加以控制与破坏。该蠕虫病毒传播时破坏了系统的核心进程svchost.exe,会导致系统RPC服务停止。因此,可能引起其他服务(如IIS)不能正常工作,出现比如拷贝、粘贴功能不工作,无法进入网站页面链接等现象,严重时可能造成反复重新启动和系统崩溃。
w32.Nachi.Worm蠕虫病毒w32.Nachi.Worm蠕虫病毒利用Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。如果该蠕虫病毒发现被感染的机器上有“冲击波蠕虫”,则杀掉“冲击波蠕虫”,并为系统打上补丁程序,但由于程序运行上下文的限制,很多系统不能被打上补丁,并被导致反复重新启动。该蠕虫病毒感染机器后,会产生大量长度为92字节的ICMP报文,从而严重影响网络性能。
w32.sasser蠕虫病毒w32.sasser蠕虫病毒利用了本地安全验证子系统(Local Security Authority Subsystem,LSASS)里的一个缓冲区溢出错误,从而使得攻击者能够取得被感染系统的控制权。该病毒会利用TCP端口5554架设一个FTP服务器。同时,它使用TCP端口5554随机搜索Internet的网段,寻找其他没有修补LSASS错误的Windows 2000和Windows XP系统。震荡波病毒会发起128个线程来扫描随机的IP地址,并连续侦听从TCP端口1068开始的各个端口。该蠕虫病毒会使计算机运行缓慢、网络堵塞并让系统不停的进行倒计时重启。
蠕虫病毒防范措施:用户首先要保证计算机系统的不断更新,高校可建立微软的WSUS系统保证用户计算机系统的及时快速升级,另外用户必须安装可持续升级的杀毒软件,没有及时升级杀毒软件也是同样危险的,高校网络管理部门出台相应安全政策以及保证对用户定时的安全培训也是相当重要的。用户本地计算机可采取些辅助措施保护计算机系统的安全,如本地硬盘克隆、局域网硬盘克隆技术等。
高校网站防篡改解决方案
很多网络管理者认为,在网络中部署多层的防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等设备,就可以保障网络的安全性,就能全面立体地防护Web应用了,但是为何基于WEB应用的攻击事件仍然不断发生?其根本的原因在于传统的网络安全设备对于应用层的攻击防范,作用十分有限。目前的防火墙大多是工作在网络层,通过对网络层的数据过滤(基于TCP/IP报文头部的ACL)实现访问控制的功能,通过防火墙保证内部网络不会被外部网络非法接入,而应用层攻击的特征在网络层上是无法检测出来的。IDS、IPS通过使用深度包检测技术检查网络数据中的应用层流量,和攻击特征库进行匹配,从而识别出已知的网络攻击,达到对应用层攻击的防护。但是对于未知攻击,以及通过灵活编码和报文分割来实现的应用层攻击,IDS和IPS同样不能实现有效的防护。
Web应用防火墙的出现解决了这方面的难题,应用防火墙通过执行应用会话内部的请求来处理应用层,它专门保护Web应用通信流和所有相关的应用资源免受利用Web协议或应用程序漏洞发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的浏览器和HTTP攻击,一些强大的应用防火墙甚至能够模拟代理成为网站服务器接受应用交付,形象地来说相当于给原网站加上了一个安全的绝缘外壳。
下面以当前使用比较普遍的Barracuda-NC应用防火墙来为例,说明应用防火墙是如何保护网站防止被恶意注入和篡改。
网络架构和部署:双臂代理模式双臂代理模式是Web应用防火墙部署中的最佳模式。这个模式也是拓扑过程中推荐的模式,能够提供最佳的安全性能。在此模式中,所有的数据端口都将被开启;端口eth1是对外的,直接面向因特网端口;端口eth2面向内部,将会和内部的设备(交换机等)进行连接。管理端口可以被分配到另一个网段,建议将管理数据和实际流量分离,避免二者的冲突。
网络实现(1)前端端口和后端端口位于不同的网段,所有外部客户将会和应用虚拟IP地址进行连接,此虚拟IP将会和前端端口(eth1)进行绑定。(2)客户的连接将会在设备上终止,进行安全检查和过滤。(3)合法的流量将会由后端端口(eth2)建立新的连接到负载均衡设备。(4)负载均衡进行流量的负载。(5)双臂代理模式可以开启所有的安全功能。
工作特点:基于应用层的检测,同时又拥有基于状态的网络防火墙的优势(1)对应用数据录入完整检查、HTTP包头重写、强制HTTP协议合规化,杜绝各种利用协议漏洞的攻击和权限提升。(2)预期数据的完整知识,防止各种形式的SQL命令注入,跨站式脚本攻击。(3)实时策略生成及执行,根据您的应用程序定义相应的保护策略,无缝地砌合用户的应用程序,不会造成任何应用失真。
网站全面隐身Barracuda-NC应用防火墙对外部访问网站隐身,可以隐藏真实的Web服务器类型、应用服务器类型、操作系统、版本号、版本更新程度、已知安全漏洞、真实IP地址、内部工作站信息,让黑客看不见、摸不着、探测不到,自然也无从猜测分析和攻击。同时,它还能识别各种爬行探测程序,只允许正常的搜索引擎爬虫进入,抵御黑客爬行程序于门外,让想通过探测确定攻击目标的黑客彻底无门。
参考文献:
[1]李大友,邱建霞.计算机网络(第二版)[M].北京:清华大学出版社,2003.9
[2]徐敬东,张建忠.计算机网络[M].北京:清华大学出版社,2002.
[3]william stallings.高速网络与互联网——性能与服务质量(第二版)[M].北京:电子工业出版社,2003.
[4]钟小平,张金石.网络服务器配置与应用(第二版)[M].北京:人民邮电出版社,2004.
作者简介:
张卫华(1978—),男,江西南昌人,江西科技师范学院专科部计算机系助教,研究方向为计算机科学及教育。
(本栏责任编辑:谢良才)