博客提及了网络攻防的对抗关系,涉及网络、加密、解密、防火墙等信息技术领域内容,展现了网络安全方面的相关对抗情况。
作者:中国电子科技集团第54研究所 周希元
摘要:攻击和防御是对抗的两个基本方面。本文首先对信息网络的对抗机制进行了归纳分类,然后讨论了各种信息网络防御机制,重点分析了不同防御机制中所存在的脆弱性,并提出了相应的攻击机制。最后,对当前信息网络对抗机制间的攻防关系进行了总结。
关键词:信息网络 网络对抗 网络攻击 网络防御
引言
信息网络对抗作为信息作战的主要形式之一已获得了各国广泛地认同,一些西方国家甚至专门组建了网络作战部队,组织实施针对信息网络的对抗活动。从概念上讲,信息网络是广义的,一切能够实现信息传递与共享的软、硬件设施的集合都可以被称为信息网络。因此,信息网络并不完全等同于计算机网络,传感器网络、短波无线电台网络、电话网等都属于信息网络的范畴。本文所讨论的信息网络对抗主要涉及计算机网络,对其他类型的信息网络也有一定的普适性。
信息网络(以下简称为网络〕对抗包括攻击和防御两个方面,本文首先对网络对抗机制进行了归纳分,然后讨论了各种网络防御机制,重点分析了不同防御机制中所存在的脆弱性,并提出了相应的攻击机制。最后,对当前网络对抗机制间的攻防关系进行了总结。
1、网络对抗机制的分类
网络对抗机制泛指网络攻击、防御的方式及其各自实现的策略或过程。网络攻防双方对抗的焦点是信息资源的可用性、机密性和完整性。目前,网络攻击方式可以说是日新月异,并呈现出智能化、系统化、综合化的发展趋势。而针对不同的网络层次和不同的应用需求也存在着多种安全防御措施,其中,综合利用多种防御技术,以软、硬件相结合的方式对网络进行全方位的防御被看作是网络防御的最佳解决方案。通过分析和总结,本文提出了一种具有普遍意义的网络对抗分类体系。我们认为,这一分类体系基本涵盖了当前各种类型的网络攻击机制和防御机制。
2、网络防御抵抗网络攻击
2.1 访问控制
访问控制主要是防止未授权用户使用网络资源,避免网络入侵的发生。主要措施有:
(1)物理隔离:不接入公用网络(如因特网)或采用专用、封闭式的网络体系能够将外部攻击者拒之网外,从而极大地降低了外部攻击发生的可能性。对于一些关键部门或重要的应用场合(如战场通信),物理隔离是一种行之有效的防御手段。
(2)信号控制接入:直扩、跳频或扩跳结合等信号传输方面的安全措施都是相当有效的网络接入控制手段。
(3)防火墙是网络间互联互通的一道安全屏障,它根据用户制定的安全策略对网络间的相互访问进行限制,从而达到保护网络的目的。同时,基于代理技术的应用网关防火墙还能够屏蔽网络内部的配置信息,从而抑制部分网络扫描活动。充当TCP连接中介的防火墙对SYN flood攻击也有一定的防御作用。
(4)身份认证用于鉴别参与通信的用户、主机或某种材料(如数字证书)的真实性。通过身份认证后,不同的用户会被赋予不同的网络访问权限。身份认证是防止欺骗攻击的有效手段。
2.2 加密
加密是对信息进行某种形式的变换,使得只有拥有解密信息的用户才能阅读原始信息。对信息进行加密可以防御网络监听,保护信息的机密性。同时,高强度的信息加密技术极大地抑制了密码破译攻击的成攻实施,尤其是采取了算法保密等非技术措施后,企图采用技术手段破译加密系统是极其困难的。另外,加密既可以作为身份认证的一种实现方式,又可以为认证安全提供保障,因而在一定程度上也能够防止欺骗攻击的发生。
网络传输中一般采取链路层加密和网络层加密的保护措施。
链路层加密为相邻链路节点间的点对点通信提供传输安全保证。它首先对欲传输的链路帧进行加密处理,然后由每一中间节点对所接收的链路帧进行解密及相应的处理操作,如该帧需继续传输,则使用下一条链路的密钥对消息报文重新进行加密。链路层加密又分为链路加密和节点加密两种。二者的差异在于:链路加密对包括源/宿节点地址信息在内的所有传输信息都进行加密处理,中间节点必须对链路帧完全解密以对用户报文进行正确的处理,所以用户消息在中间节点以明文形式存在。而在节点加密中,源/宿节点的地址信息以明文形式传输,由一个与节点机相连的安全模块(被保护的外围设备)负责对密文进行解密及加密处理,不允许用户消息在中间节点以明文形式出现。 网络层加密也称作端到端加密,它允许用户报文在从源点到终点的传输过程中始终以密文形式存在,中间节点只负责转发操作而不做任何解密处理,所以用户的信息内容在整个传输过程中都受到保护。同时,各报文均独立加密,单个报文的传输错误不会影响到后续报文。因此对网络层加密而言,只要保证源点和终点的安全即可。
2.3 监控
网络防御中的监控可分为恶意代码扫描和入侵检测两部分。恶意扫描主要是病毒扫描和后门程序扫描,现有病毒扫描软件在查杀病毒方面的有效性已得到了公众的认可,是防御恶意代码攻击的有力武器。入侵检测系统主要通过搜集、分析网络或主机系统的信息来识别异常事件的发生,并会及时地报告、制止各种可能对网络或主机系统造成危害的入侵活动。入侵检测系统可以发现网络扫描活动,并对拒绝服务攻击的防御起着重要作用。
2.4 审计
审计是一种事后措施,用以及早地发现攻击活动、获得入侵证据和入侵特征,从而实现对攻击的分析和追踪。建立系统日志是实现审计功能的重要手段,它可以记录系统中发生的所有活动,因此有利于发现非法扫描、拒绝服务攻击及其他可疑的入侵行为。
3、网络攻击对抗网络防御
3.1 针对访问控制的攻击
首先,采取物理隔离措施的目标网络构成了一个信息“孤岛”,外界很难利用网络对其进行渗透,只能采用物理摧毁或通过间谍手段将病毒代码、逻辑炸弹等植入目标网络。
其次,就信号控制接入而言,信号截获、信号欺骗和信号干扰等都是可行的攻击方式。目前已具备截获慢速短波跳频信号、直扩信号和定频信号的能力。针对定频信号可实施欺骗攻击,如能获取目标网络的信号传输设备,则对扩频信号进行欺骗也具有实施的可能,WLAN中就常常使用这种方式进行网络嗅探。当然,实施有效的信号截获和信号欺骗必须对信号格式有所了解,这个条件是比较容易满足的。另外,电磁干扰手段是对付各种电子信号的普遍方式。
第三,对防火墙控制技术来说,由于其无法对以隧道方式传输的加密数据包进行分析,因此可利用伪装的含有恶意代码的隧道加密数据包绕过防火墙。另外,利用网络扫描技术可以寻找因用户配置疏忽或其他原因而敞开的网络端口,从而以此为突破口对系统进行入侵。
第四,对认证技术来说,基于主机的认证方式大多利用主机IP地址作为认证对象,因而可利用IP地址欺骗等方式对其进行攻击。基于用户的认证方式安全性更高,对其攻击主要以缓冲区溢出和报文截获分析为主。同时,密码破译也是一种可能的攻击手段。
3.2 加密的脆弱性及其攻击
3.2.1链路层加密的脆弱性及攻击
(1)同步问题:链路层加密通常用在点对点的同步或异步链路中,因而在加密前需要先对链路两端的加密设备进行同步。如果链路质量较差,就需要频繁地对加密设备进行同步,从而造成数据的丢失或频繁重传。
(2)通信量分析:节点加密要求链路帧的地址信息以明文形式传输。以便中间节点能对其进行正确地转发处理。可以看出,这种处理方式对于通信量分析攻击是脆弱的。 (3)节点的物理安全依赖性:链路加密要求消息报文在中间节点以明文形式存在,从而增加了传输安全对节点物理安全的依赖性。
(4)密钥的分配与管理问题:链路层加密大多采用对称加密技术,所有密钥必须安全保存,并按一定的规则进行更新。由于各节点必须存储与其连接的所有链路的加密密钥,密钥的分发和更新便需要通过物理传送或建立专用的网络设施来进行。对于节点地理分布广阔的网络而言,这种密钥分发与更新的过程非常复杂,而且密钥连续分配的代价也非常高。
(5)密码机是实现点对点链路传输加密的常用设备,它实现单点到多点传输的成本非常高,而且其加密强度的提高会对所采用的信道传输速率有所限制,或导致较高的传输误码率。
3.2.2 网络层加密和用户消息加密的脆弱性
在网络层加密和用户信息加密的过程中存在着加密强度与处理速度、复杂度之间的矛盾,从而使加密技术在实际应用中并不会真正实现其所宣称的安全性。
(1)一般来说,加密密钥越长,加密强度就越高,但长密钥会导致加/解密速度的减慢,增加了系统实现的复杂度,公钥加密尤为如此。因此,在一些实时性要求高的场合,密码长度往往受限,这就为破译密码提供了可能。
(2)对称加密安全性强,执行速度快,但对大型网络来说,对称加密所带来的密钥管理问题却制约着其使用。事实上,公钥加密也存在密钥管理的问题。没有一个完善的密钥管理体系,就会为加密体制国有极大的安全隐患。目前,用于密钥管理、数字证书等目的的公钥基础设施尚不完善,因而实施身份欺骗是一种可行的方式。
(3)设备处理能力的增强不仅仅对加密处理有利,对提高破译密钥的速度同样有利。
(4)有些情况下,通信过程或通信设备中提供的强加密措施往往不被使用或没有严格按照规定的方式使用,这一点在因特网和WLAN中尤为突出。
(5)当两种网络的加密方式不兼容时,在网络衔接处可能会出现脱密现象,如通过WLAN接入因特网时会取消WEP加密。
3.2.3 对加密的攻击
从上面的讨论可以看出,对加密可实施的攻击手段有:
(1)密码破译:它可用于各层加密,但在各国都十分重视加密技术的今天,企图对核心加密进行密码破译是非常困难的。对于因特网上的一些普通应用而言,密码破译还是相当有用的。
(2)通信量分析:主要用于链路层攻击,对未采用隧道方式的网络层加密攻击也很有效。
(3)电子干扰:主要针对链路层加密实施。通过降低通信链路的传输质量造成加密设备间频频进行同步处理,导致数据的丢失或频繁重传。
(4)欺骗攻击:利用密钥管理机制的不完善以及认证过程中单项认证的缺陷,实施身份欺骗。多用于因特网攻击。
(5)重放攻击:如无法对所截获的报文进行解密,可将其复制、延迟后直传。此攻击可能会造成接收方的处理错误,而且由于解密操作尤其是公钥体制下对系统资源的消耗较大,因而也可能会造成目标系统的拒绝服务。
3.3 监控的脆弱性及其攻击
病毒扫描和入侵检测共同的脆弱性在于无法识别新的病毒或入侵操作,甚至无法识别已知病毒或入侵操作的变异形式。其他入侵检测系统的脆弱性有:
(1)实施流量识别与处理时受到处理速度的限制,如出现流量剧增的情况,其检测功能很容易就会崩溃。
(2)当遭受拒绝服务攻击时,部分入侵检测系统的失效开放机制会掩蔽攻击者其他的攻击行为。
(3)管理和维护困难,容易造成配置上的漏洞,形成安全隐患。
(4)漏报率和误报率较高。容易使用户忽视真正攻击的发生。
因此,对监控可实施以下方式的攻击:
(1)欺骗攻击:主要以代码伪装为主,包括代码替代、拆分、编码变换等。
(2)DoS和DDoS攻击。
(3)新的病毒代码或新的入侵方式。
3.4 审计攻击
审计攻击的重点是处理目标系统的日志文件,可以利用以下两种方式实施:
(1)直接删除日志或有选择地修改日志,可由攻击者亲自实施或利用一些ROOTKITS程序实施。
(2)利用具有地址欺骗功能的DDoS攻击使系统日志文件的大小迅速膨胀,影响系统本身和审计功能的正常执行。
4、总结
综合本文前述,可得到如表1所示的网络对抗中攻防机制间的相互关系。
| 攻击 对抗性 防御 | 网络嗅探 | 密码破译 | 欺骗 | 恶意代码 | 拒绝服务 | |
| 接入控制 | 物理隔离 | × | × | × | ★× | ★ |
| 信号控制 | ★× | × | ★× | × | ★ | |
| 防火墙 | ★× | ★ | ★ | ★× | ||
| 身份认证 | ★ | ★ | ★× | ★ | ★ | |
| 加密 | 链路层加密 | ★× | ★× | ★× | ★ | |
| 网络层加密 | ★× | ★× | ★× | ★ | ||
| 应用层加密 | × | ★× | ★× | ★ | ||
| 监测 | × | ★ | ★× | ★× | ||
| 审计 | × | ★ | ★ | ★× | ||
从表中可以得出如下结论:
(1)欺骗与网络嗅探都受到了攻防双方的重视,围绕这两种攻击方式展开的对抗更为集中,攻防也较为均衡。
(2)恶意代码攻击和拒绝服务攻击是两种有效的攻击方式。从实际应用来看,防御方在对抗恶意代码攻击和拒绝服务攻击方面始终处于被动状态。
(3)很显然,密码破译主要对链路层、网络层和应用层加密进行攻击。对应用层的简单加密措施目前已获得相应技术可实施破译攻击,而对复杂加密来说,目前的破译技术则显得非常无力,尤其在时效有限的应用中更为突出
扫一扫
1439
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
