網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

:旁路阻斷的可行性分析 [轉]

2012-04-12 14:36 推薦: 瀏覽: 64 views 字號:

博彩彩票计划 www.nandk.icu 摘要:   旁路阻斷就是采用旁路偵聽的手段來獲取互聯網上的數據包,然后再進行協議還原,根據內容進行阻斷。這類技術的優點是不影響互聯網訪問的速度,并且對用戶沒有特殊的設置要求。通俗講是并聯在互聯網的出口上,不會影響原來網絡的穩定性。   采用旁路的方式管理網絡并阻斷非法...

  旁路阻斷就是采用旁路偵聽的手段來獲取互聯網上的數據包,然后再進行協議還原,根據內容進行阻斷。這類技術的優點是不影響互聯網訪問的速度,并且對用戶沒有特殊的設置要求。通俗講是并聯在互聯網的出口上,不會影響原來網絡的穩定性。

  采用旁路的方式管理網絡并阻斷非法連接的方法可以分為三類:

  1、 發送TCP Reset包
  2、 通過與網關產品聯動,建立臨時規則
  3、 進行基于arp的阻斷方式。

  首先我們看一下TCP Reset,我們以IDS為例,IDS設備是一個典型的旁路監聽并通過TCP Reset進行阻斷的網絡安全設備。IDS TCP Reset實現方法,當IDS發現一條非法得連接IDS將會向通信的兩端各發送一個TCP RESET包,從而實現主動切斷連接的目的,此時通信雙方的堆棧將會把這個RESET包解釋為另一端的回應,然后停止整個通信過程,釋放緩沖區并撤銷所有TCP狀態信息。這個時候,攻擊數據包可能還在目標主機操作系統TCP/IP堆棧緩沖區中,沒有被提交給應用程序,由于緩沖區被清空了,所以攻擊不會發生。

  對于RESET包來說,IDS發出的RESET包的前提是知道整個會話當前的序列號和確認號,否則這個RESET包將會被忽略。我們假定一個會話得確認號必須為152如果你發送的RESET包的確認號為142,那么堆棧將會認為這是一個無效的數據包或者被破壞的數據包而將它忽略掉。

  從另一方面講所有的IDS在響應攻擊時都有延遲時間,因為IDS從抓取數據包,監測攻擊,產生RESET包,到最后發出RESET整個過程都要消耗一定的時間。很多的IDS使用libpcap庫來抓包,大部分IDS構建在類BSD的系統上,BSD系統下是利用BPF(Berkeley Packet Filters)進行抓包,BPF默認將會開一個很大的緩沖區,在一個典型的網絡中,IDS發出RESET包的過程大約會延遲半秒。在Linux和Solaris平臺上,性能要稍微好一點,但是肯定也有延遲時間。

  而且TCP Rest對于網絡得應用來說也有著很大得局限性,其只能針對通常得標準TCP連接發送阻斷信息,對于UDP會話是無能為力得。再則目前得一些網絡應用軟件在會話連接保持上都很強得能力,TCP Reset包對于他們得效果基本可以忽略。

  通過與網關產品的聯動方式主要是向防火墻發送臨時規則,以及路由器或交換機發送臨時ACL列表,阻斷當前這個會話。

  這種方式存在著這么幾個方面得問題:

  1、首先是聯動協議問題?!傲幣恢筆峭綈踩韁械囊桓齪蓯擯值母拍?,雖然已經有五六年的歷史,但是到目前為止,還遠遠沒有得到充分的發展。現在聯動得實現是以現有得某個廠家為核心,其他廠家的產品在一些半公開的SDK的支持下實現與核心廠家的某個產品實現互聯。這樣導致現有和多產品有聯動功能,但是沒有聯動得實際效果。

  2、聯動信息的滯后。即使產品與防火墻有著優良得聯動相應方式,IDS產品在檢測得過程中發現了非法得連接,生成一條臨時規則發送到防火墻,防火墻應用這條規則阻斷這個連接;在這一個過程中存在著三個延時,一、IDS發現非法連接,生成臨時規則;二、規則傳輸給防火墻;三、防火墻應用規則。這三個演示得總時間最好情況下是小于兩秒,而且這個過程當中IDS的檢測是滯后IDS檢測到非法連接時,這個連接已經建立了,如果這個連接時蠕蟲,或木馬,兩秒的延時足夠成功攻擊了。

  3、當遇到大規模的非法連接的時候,IDS會針對每一條會話向防火墻添加臨時規則,這樣勢必造成防火墻臨時規則增大,降低防火墻的效率,引起防火墻包轉發延時,嚴重造成防火墻癱瘓,網絡中斷。

  最后我們來看一下基于arp的阻斷,共有三種方式ARP 欺騙、ARP 投毒和 ARP 攻擊。先了解ARP的原理。ARP 用于將 IP 地址匹配到或解析至恰當的 MAC 地址,所有的網絡設備都有一張 ARP 表,里面臨時記憶著該設備已經匹配起來的所有的 IP 地址和 MAC 地址。ARP 表能夠確保該設備不需要向已經與自己進行過通信的計算機重復 ARP 詢問。當有人在未獲得授權時就企圖更改 MAC 和 IP 地址的 ARP 表格中的信息時,就發生了 ARP 攻擊。通過這種方式我們可以偽造ARP應答包,使得非法連接主機的ARP表錯誤,無法連接到網關,從而阻斷連接。

  這種阻斷方式從效果上講是很強得,但是同時也造成了一個問題,其不但阻止了非法連接,而且也阻斷了合法連接,這對于網絡中的正常應用是有著很大得影響得。

  綜上所述,采用旁路阻斷的方式在實際應用中時不可行的。

聯系站長租廣告位!
?
中國首席信息安全官


關閉


博彩彩票计划
關閉
重庆时时开奖结果直播视频 重庆时时开彩结果官网 手机赌龙虎稳赢法 快速时时能玩吗 牌九游戏下载 双色球走势图带连线 聚享捕鱼app官方下载 福彩3d稳赚不赔的方法 足彩胜负14场 功夫时时彩网 玩北京pk10的技巧 非凡炸金花提现版1.1.1 体彩投注单打印机 时时彩计划 3d投注技巧大全 福中心老时时