|
网络攻击新潮流
目前中国的网络,网络攻击的横行是一个很令网络管理人员头痛的问题。病毒的流行、网络的攻击,对很多用户造成了不小影响。以2006年为例,年初时针对窗口操作系统的漏洞就开始流行冲击波病毒,之后即开始蠕虫病毒的流行。等到用户针对这些漏洞装了补丁后,又出现以盗宝为目的的ARP攻击,为了达到盗宝的目的,而影响其它用户的上网。到了最近年终时分,又出现新版ARP及SYN攻击的流行!
这些网络攻击,一般开始时都出现在网吧,但因为网络的特性,渐渐流传到学校、企业、甚至小区网络、个人用户电脑中中,严重影响到用户上网。下面我们就来分析一下网络攻击及其防卫机制。
攻击动机
目前在全国各大城市,均有频繁针对网吧攻击的事件发生,一般来说遭受攻击的网吧,经常受到广域网的攻击多,而从局域网来的攻击少,显见是恶意的攻击,其中原因主要有同行恶意竞争导致攻击、黑客利用网吧机器做肉鸡、盗取网吧用户资料、其他品牌路由器为达到销售目的进行攻击以及无意攻击等。
而来自局域网的攻击,则经常是借助外挂程序内部植入的功能所发生的,这种情况比较发生在网吧客户无意中成为攻击者。一般常见的现象,是网吧客户为了玩特定的网游,而从互联网上下载外挂软件。但该外挂软件内植入攻击程序,因此造成掉断的情况。在这种情况下,网吧客户经常是在不知情的情况下,成了攻击的元凶。欣联路由器可通过内网流量查看及连接数排行功能,迅速判断出攻击的机器,但由于这些发动攻击的用户都是无意造成的,因此也很难根绝。
网络攻击特点
欣联科技的技术人员在实际解决问题过程中发现网吧攻击从外网受到的攻击较多,约占80%,而从内部产生的攻击较少,约20%。如果是从外网受到的攻击,通常是从异地多点发动;而内网攻击则多是从外挂程序发出的。网络攻击主要的特点有以下几种:
1、从前以服务器为攻击目标,现在以路由器为主要攻击目标。从前的攻击,针对大型企业或单位,通常有对外开放的服务器,例如网页服务器、电子邮件服务器,但是针对网吧的攻击往往变成以路由器为目标。
2、以往的攻击,经常以集中在TCP/UDP/ICMP常见协议层,而近期主要网络攻击则进阶到其它的协议,例如ARP/SYN等等,甚至会结合IP及MAC层的变化,更难防制。常见的TCP/UDP/ICMP协议属于应用协议,通讯的形式较为简单,容易进行预防,最多就是不用或限定用户使用;而像ARP/SYN都是基本的通讯协议,每个网络应用及通讯动作,都需要用到,因此对网络影响较大。有些攻击配合修改网络包中IP及MAC层数据,使得来源的辨别更加困难。
3、攻击的发动,利用不知情的外挂程序进行,造成损害。将攻击功能,隐藏于网游的外挂软件,已成为攻击漫延的主要方式了。很多客户都习惯配合外挂程序玩游戏。由于攻击发动时,用户并不知晓,所以根本就不知道自己是掉线的原因。欣联高科技的工程师发现,即使发现了攻击来源,也经常因为是用户无意造成的,而无法从根本上解决问题。未来随着用户到其它的网络环境,例如学校、企业,外挂程序的攻击势必会渐渐流传。
欣联路由器解决方案
面对近期的主流网络攻击,对于网吧使用的路由器形成很大的压力。欣联路由器在以下几个方面,对网络攻击进行防范:
1、 流量控制,欣联路由器的流量控制可以针对内网每个IP地址限制其最大使用带宽,这样即使内网有一台机器有攻击,也只能占用有限的带宽,对整个网络影响不大。
2、 并发联机数限制,欣联路由器可以限制内网每台机器最大并发联机数,正常使用情况下,客户机不受影响,而在有攻击时,就可以防止攻击机占用路由器处理能力,对于不正常的联机要求网络包,也有相当的抑制功能。
3、 对于新型的一些攻击软件,欣联路由器推出全新和路由器产品,尤其是针对SKY攻击、DDOS攻击以及新型变种ARP攻击,均提供了有效的解决方法。
4、 DDOS攻击防御的加强:DDOS攻击属于DOS攻击的一种,它利用网络协议缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。受攻击路由器将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求,或最后产生TCP/IP堆栈溢出崩溃死机。使用欣联的4000系列路由器,当遭遇到DDOS攻击时,可通过电信部门更换静态IP为PPPOE拨号方式,这样网络正常时,客户上网不会受到影响,当遇到攻击,并且攻击数超过限定范围时,欣联4000路由器会自动进行重新拨号,可在3-5秒内更换一个新的IP地址,从而彻底解决DDOS攻击问题。
5、 MAC/IP欺骗型ARP攻击防御的加强,新型ARP变型攻击软件采取自动变换IP及MAC的方式,不断发出网络包给路由器,让路由器忙于处理无用的数据包,而影响正常的运作。在欣联新的路由器产品中,加入了自动判别的功能,可以不理会非正常MAC或IP所发出的数据包,也不加以转发,可减少攻击所产生的影响。如果攻击机频繁发送攻击包,受到影响的只会是发动攻击的计算机,因为忙于攻击导致运作缓慢,但是其它用户不会受到影响。
其他解决方法
除了路由器本身的功能以外,欣联的工程师提供两个值得参考的改善点:
1、 减少用户使用外挂软件机会很多环境发生攻击的事件,通常是因为用户用了外挂软件,因此如能减少用户使用外挂软件,就能减少攻击。在国内一些较先进的网吧,已经提供完整的外挂软件,不让用户自己从网络下载软件,这样可以减少攻击情况的发生。这点对于一些网吧而言,可能不太习惯,但是不失为一个有效管制方法。
2、 配合三层交换管制网络,国内许多中大型网吧采用三层交换机作为骨干交换机,由于三层交换机也具备许多管制功能,因此如能善用三层交换机之功能,也可较好的针对攻击加以抵抗。 |
|
收藏
