食物抗衰老机制中酶防御系统 网络攻击和防御机制分类研究

　　 [摘要] 随着Internet的迅速发展,网络安全问题日益突出,网络攻击对Internet构成巨大威胁。在分析攻击机理的基础上,对攻击和防御机制进行分类,以便有效地分析、认识攻击行为。
　　[关键词] 网络攻击 防御机制 分类
　　
　　随着互联网的迅速发展,网络安全问题日益突出,各种黑客工具和网络攻击手段也随之出现。网络攻击导致网络和用户受到侵害,其以攻击范围广、隐蔽性强、简单有效等特点,极大地影响网络的有效服务。
　　一、网络攻击分类
　　根据网络攻击操作流程,将攻击前的准备、攻击过程、攻击结果三个方面作为分。
　　(一)基于攻击前的准备的分类
　　在攻击准备阶段,攻击者部署自动化脚本扫描,找出有漏洞的机器安装攻击代码,然后主控端操纵攻击代理向受害者发起攻击。根据主控端与代理之间的通信机制,可将其分为直接通信攻击和间接通信攻击。
　　1.直接通信攻击
　　最初的网络攻击依靠不加密的会话连接相互通信。攻击者、主控机与代理之间通过TCP连接直接交互攻击信息,虽然这种通信方式是可靠的,但攻击者存在很大的风险。主控端与代理之间的通信有可能被入侵检测系统识别。通过监视网络流量,一旦发现主控机和代理,就有可能发现整个攻击网络,危及攻击者的安全。
　　2.间接通信攻击
　　在攻击过程中,通过间接通信实施网络攻击,可以提高 网络攻击的生存能力,如采用加密通信、隐性控制、IRC通道等,代理通过符合协议的正常网络服务,利用标准的服务端口同主控机建立连接,代理与主控端的通信与正常的网络流量没有区别,因此不易被发现。
　　(二)基于攻击过程的分类
　　TCP/IP协议在其制定过程中存在一些漏洞,攻击者利用这些漏洞进行攻击致使系统当机、挂起或崩溃。按照TCP/IP协议的层次划分将攻击作如下分类
　　1.基于ARP的攻击
　　ARP用于将以太网中的IP地址解析为MAC地址,其缓存中存储着MAC地址与IP地址的映射表。当主机收到另一主机的ARP请求时,它会将请求包中的源地址信息(发送请求主机的IP地址和MAC地址映射关系)视为有效,并保存到ARP缓存中。另外,ARP是无连接的协议,即使在没有ARP请求的情况下,收到攻击者发送来的ARP应答,它将会接收ARP应答包中所提供的信息,更新ARP缓存。因此,含有错误源地址信息的ARP请求和含有错误目标地址信息的ARP应答均会使上层应用忙于处理这种异常而无法响应外来请求,使得目标主机丧失网络通信能力,产生拒绝服务。例如,ARP重定向攻击就是基于ARP的攻击。
　　2.基于ICMP的攻击
　　ICMP用于错误处理和传递控制信息,其主要功能是用于主机之间的联络。它通过发送一个回复请求(Echo Request)信息包请求主机响应,以判断与主机之间的连接是否正常。攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包,并将源地址伪装成想要攻击的目标主机的地址。这样,该子网上的所有主机均对此ICMP Echo请求包作出答复,向被攻击的目标主机发送数据包,使该主机受到攻击,导致网络阻塞。例如,Ping洪水攻击和Smurf攻击就是典型的基于ICMP的攻击。
　　3.基于IP的攻击
　　TCP/IP中的IP数据包在网络传递时,数据包可以分成更小的片段,到达目的地后再进行合并重装。在实现分段重新组装的进程中存在漏洞,缺乏必要的检查。利用IP报文分片后重组的重叠现象攻击服务器,进而引起服务器内核崩溃,如 Tea由op是基于IP的攻击。
　　4.基于UDP的攻击
　　UDP是用来定义在网络环境中提供数据包交换的无连接的传输层协议,处在TCP/IP中网络层的上层。它为用户程序之间的信息传输提供了简便的协议机制,但不提供错误更正和重发,也不防止包的丢失或重复。由于UDP不会验证其发送的数据报是否被正确接收就会发送新的数据报,因此,可以伪造大量的数据报用于攻击目标主机,如UDP Flood, UDP Echo, Fraggle等都是基于该协议的攻击。
　　5.基于TCP的攻击
　　TCP是一个面向连接的传输协议,它在不可靠的IP层上提供了一个可靠的传输层。为了提供这种可靠的服务,TCP采用了超时重传、发送和接收端到端的确认分组等机制。TCP要求在传送数据前必须在服务器与客户机之间经过三次握手建立连接,即服务器在接收到客户机的SYN包后必须回应一个 SYN/ACK包,然后等待客户机再回应一个ACK包来确认,至此,TCP连接建立。而在建立TCP连接的过程中,如果在第二次握手以后故意不回应,服务器一般会重新发送SYN/ACK报丈给客户端,并在等待一段时间后丢弃这个没有建立连接的请求。值得注意的是,服务器用于等待来自客户机的ACK信息包的TCP/IP堆战是有限的,如果缓冲区被等待队列充满,它将拒绝下一个连接请求,造成资源的大量消耗,无法向正常请求提供服务,如SYN Flood,Land攻击等。
　　6.基于应用层的攻击
　　应用层包括SMTP,HTTP,DNS,RIP等各种应用协议。其中SMTP定义了如何在两个主机间传输邮件的过程,基于标准SMTP的邮件服务器,在客户端请求发送邮件时,是不对其身份进行验证的。另外,许多邮件服务器都允许邮件中继。攻击者利用邮件服务器(允许匿名发信,允许邮件中继)持续不断地向攻击目标发送垃圾邮件,大量侵占服务器资源,导致正常邮件的丢失,如电子邮件炸弹、Finger炸弹等。
　　(三)基于攻击结果的分类
　　分布式拒绝服务攻击主要影响目标系统的可用性,按照攻击对受害者的影响,我们将其分为以下两种:
　　1.性能下降攻击
　　性能下降攻击逐渐消耗受害者资源。此类攻击不能导致完全的服务中断,因而,在相当长一段时间内不会被检测到。
　　2.破坏性攻击
　　破坏性攻击的目的是完全拒绝受害者为客户提供服务,致使系统当机或崩溃。
　　二、防御机制分类
　　网络攻击对Internet造成了巨大影响,需要采取措施进行防御。总体来说,其防御机制包括防范机制和反应机制。
　　(一)防范机制
　　防范机制的目标是消除拒绝服务攻击发生的可能性以及使得潜在的受害者能容忍攻击,而不至于对合法用户造成拒绝服务。因此,将防范机制分为防范攻击和防范拒绝服务。
　　1.防范攻击
　　攻击防范机制通过修改系统配置来消除拒绝服务攻击,进一步将其分为系统安全机制和协议安全机制。
　　(1)系统安全
　　网络攻击通过控制大量存在漏洞的主机,相互协作产生大流量数据包实现攻击。因此,要建立安全有效的防护,必须及时了解主机的安全漏洞,防患于未然,切断攻击路径。系统安全机制包括监视关键资源的访问列表、安装补丁、防火墙、病毒扫描等。这些方法不可能l00%有效,但是能够降低网络攻击的频度和力度。
　　(2)协议安全
　　许多协议包含的操作是一个不公平的过程,服务器处于被动的地位。服务器一旦接收到一个客户机的请求就得为它分配资源,并且等待客户机的响应,而根本不管这个请求是否合法。这些协议如果被滥用,启动大量的同步事务将消耗服务器的资源,如rep SYN攻击。协议安全防范机制包括设计安全协议、配置代理服务器等。
　　2.防范拒绝服务
　　拒绝服务防范机制使得受害者能容忍攻击,而不会对合法用户拒绝服务。通过增强资源消耗策略或者确保足够的资源存在来保护合法用户不受攻击影响。因此,可将其分为资源动态调度和资源倍增。
　　(1)资源动态调度
　　通过资源动态调度来减少总资源的需求,如在网络中设立专用服务器,站点受到攻击时,将自己的服务复制过去从而继续提供服务。但是复制服务特别是动态服务非常困难,且耗费时间和资源。
　　(2)资源倍增
　　通过增加系统资源,防止有限资源被过度消耗来承受网络攻击带来的系统性能降低,但是系统资源的增加是有限的。
　　(二)反应机制
　　1.攻击检测
　　在防范策略的基础上,还需要建立一套有效的攻击检测系统。根据检测策略可将其分为特征检测和异常检测。
　　(1)特征检测
　　特征检测将攻击特征存储在数据库中,监视通信流量并与特征库中的特征相比较来发现攻击。特征检测误报率低,可以发现已知的攻击行为。但是,这种方法检测的效果取决于检测特征库的完备性。为此,特征库必须及时更新。此外,这种方法无法发现未知的入侵行为。
　　(2)异常检测
　　异常检测建立系统或用户的正常行为模式轮廓,通过被监测系统或用户的实际行为模式与正常模式之间的比较和匹配来检测入侵。其特点是不依赖于攻击特征,具有较强的适应性,能够检测出未知入侵,但存在难以定义正常模式轮廓、虚警率高的缺点。
　　2.攻击响应
　　检测到攻击之后,采用攻击响应消除或减轻网络攻击及其影响,可将其分为诱骗机制和追踪机制。
　　(1)诱骗
　　在防范网络攻击中引人诱骗技术,引诱攻击者进入系统,减少攻击者对网络中其他系统的危害,同时记录攻击者的行为,为反击攻击者提供法律上的资料。这种技术也被称为蜜罐。它模拟某些常见的漏洞,引诱攻击者在其上安装攻击程序,通过不响应攻击者发送给陷阱系统的控制信息,就可以切断攻击者与攻击目标之间的攻击链,控制攻击者的攻击行为,从而使攻击失败。
　　(2)反向追踪
　　反向追踪其基本思想是通过获得数据经过的路径信息来构建整个攻击路径图、定位攻击者、阻断攻击数据的转发,并且可以对攻击者进行惩罚等。
　　(三)防范和反应机制之比较
　　防范机制在系统受到攻击时可以在一段时间内、一定攻击强度下较好地保持系统服务的连续性,但是经济代价高。另外,如果攻击的强度持续增大,最终仍将使正常服务被阻塞,所以,需要通过主动反应来阻止攻击的发生或者减小攻击的传播范围。
　　三、结论
　　网络攻击方式不断变化,防御措施也在不断发展。本文提出的攻击分类和防范分类,旨在帮助我们更清晰地认识攻击、分析攻击,并引导我们找出更有效的防御措施。
　　参考文献:
　　[1]Eric Cole著.苏霄等译.黑客――攻击透析与防范[M].北京:电子工业出版社,2002.140-142.
　　[2]Douglas E C著.林峰,蒋慧,杜蔚轩等译.用TCP/IP进行网际互连(第l卷)[M].北京:电子工业出版社.
　　[3]曹爱娟,刘宝旭,许榕生.抵御网络攻击的陷阶系统[J].计算机工程.
　　[4] David L,Whyte. A Strateg for Defending Against Distrbuted Denia of Serice Attacks[D]. Careton Univerity,2002.4-45.
　　[5]Ye Baoqing. Network Denia-of-Service Classifcation, Detection,Protection[D]. Syracuse University,2001.41-46.
　　[6]Jianxin Van, Stephen Early. The XenoSerice: A Distribled Defeat for Distrbuted Denial of Serice[C]. Proeedings of ISW,2000.