摘要:數(shù)據(jù)中心面臨著各種各樣的安全問題,網(wǎng)絡(luò)安全也是其中重要的一部分。網(wǎng)絡(luò)攻擊指針對數(shù)據(jù)中心網(wǎng)絡(luò)部分發(fā)起的攻擊,這樣的攻擊往往會造成數(shù)據(jù)中心應(yīng)用訪問緩慢或者數(shù)據(jù)丟失等一系列問題。
數(shù)據(jù)中心面臨著各種各樣的安全問題,網(wǎng)絡(luò)安全也是其中重要的一部分。網(wǎng)絡(luò)攻擊指針對數(shù)據(jù)中心網(wǎng)絡(luò)部分發(fā)起的攻擊,這樣的攻擊往往會造成數(shù)據(jù)中心應(yīng)用訪問緩慢或者數(shù)據(jù)丟失等一系列問題。所以,數(shù)據(jù)中心都會對內(nèi)部網(wǎng)絡(luò)進(jìn)行全方面的防護(hù),避免網(wǎng)絡(luò)部分受到攻擊,一個數(shù)據(jù)中心的網(wǎng)絡(luò)若是癱瘓了,整個數(shù)據(jù)中心也就停轉(zhuǎn)了。那么,針對網(wǎng)絡(luò)的攻擊有哪些形式和實(shí)現(xiàn)原理呢,本文將總體一下做個知識普及,以便對網(wǎng)絡(luò)攻擊有個初步認(rèn)識。
網(wǎng)絡(luò)攻擊可以分為兩種情況:一種是從數(shù)據(jù)中心外部直接發(fā)動攻擊,這種攻擊公開,短平快,迅速達(dá)到摧毀數(shù)據(jù)中心網(wǎng)絡(luò)的目的;另一種是從數(shù)據(jù)中心內(nèi)部越權(quán)操作,這種攻擊隱蔽,長期潛伏在數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部,潛移默化,由量變到質(zhì)變,最終將數(shù)據(jù)中心網(wǎng)絡(luò)攻陷。兩種攻擊方式,一個表現(xiàn)張揚(yáng),另一個表現(xiàn)內(nèi)斂,而目標(biāo)都是網(wǎng)絡(luò),只是操作手法上有所不同而已。從外部發(fā)起的攻擊,攻擊速度快,如果數(shù)據(jù)中心沒能抗住,很快就會被攻陷,而從內(nèi)部發(fā)起的攻擊,速度緩慢,稍有不慎就會被殲滅,在這個過程中網(wǎng)絡(luò)有很多機(jī)會可以挫敗攻擊。不管是哪種攻擊,要么是消耗網(wǎng)絡(luò)資源,網(wǎng)絡(luò)數(shù)據(jù)無法傳遞,要么是利用IP協(xié)議的缺陷,產(chǎn)生網(wǎng)絡(luò)表項(xiàng)紊亂。
網(wǎng)絡(luò)資源
數(shù)據(jù)中心網(wǎng)絡(luò)資源包括帶寬、CPU、內(nèi)存緩存、軟件資源等。通過攻擊侵占到這些資源,致使網(wǎng)絡(luò)運(yùn)轉(zhuǎn)不正常。比如通過向數(shù)據(jù)中心網(wǎng)絡(luò)注入大量的垃圾流量,將帶寬占滿,正常業(yè)務(wù)的流量因缺少帶寬,出現(xiàn)擁塞丟包,業(yè)務(wù)出現(xiàn)異常。此外,可以向網(wǎng)絡(luò)注入大量的流量控制報(bào)文,造成帶寬擁塞的假象,降低網(wǎng)絡(luò)轉(zhuǎn)發(fā)速度,從而使業(yè)務(wù)流量轉(zhuǎn)發(fā)速率也隨之降下來;網(wǎng)絡(luò)攻擊有時(shí)還會針對網(wǎng)絡(luò)設(shè)備發(fā)起協(xié)議攻擊,引起設(shè)備的CPU升高,尤其是交換機(jī)設(shè)備,CPU防攻擊能力都比較弱,CPU主要承擔(dān)控制協(xié)議的處理,CPU過高就會影響到一些協(xié)議報(bào)文的正常處理,會造成協(xié)議超時(shí)震蕩,嚴(yán)重時(shí)可以造成設(shè)備無響應(yīng),掛起的故障。當(dāng)數(shù)據(jù)中心網(wǎng)絡(luò)的重要節(jié)點(diǎn)被如此攻擊后,將可能導(dǎo)致整個網(wǎng)絡(luò)協(xié)議工作不正常,網(wǎng)絡(luò)處于不穩(wěn)定狀態(tài);網(wǎng)絡(luò)攻擊有時(shí)還會對設(shè)備發(fā)起內(nèi)存攻擊,通過大量的網(wǎng)絡(luò)連接消耗設(shè)備內(nèi)存,導(dǎo)致設(shè)備內(nèi)存迅速被耗盡,設(shè)備被異常重啟,導(dǎo)致網(wǎng)絡(luò)業(yè)務(wù)中斷。有的時(shí)候如果設(shè)備存在軟件BUG,在一些特定情況下出現(xiàn)內(nèi)存泄露,這一點(diǎn)也有可能被攻擊者所利用,然后觸發(fā)設(shè)備的內(nèi)存泄露,一點(diǎn)點(diǎn)將設(shè)備的內(nèi)存消耗光,最終陷入異常;網(wǎng)絡(luò)還有很多協(xié)議軟件資源,比如TCP端口號或者TCP會話數(shù),通過攻擊去消耗這些網(wǎng)絡(luò)資源,最終讓網(wǎng)絡(luò)系統(tǒng)走向崩潰,也是一種方法。可見,消耗網(wǎng)絡(luò)資源是網(wǎng)絡(luò)攻擊的一種非常重要的方式,惡意將網(wǎng)絡(luò)資源耗盡,從而觸發(fā)網(wǎng)絡(luò)異常,致使數(shù)據(jù)中心陷入癱瘓。
利用缺陷
以太網(wǎng)協(xié)議雖然已經(jīng)經(jīng)歷了四十幾年的發(fā)展,依然有一些協(xié)議漏洞,存在安全性問題,不少網(wǎng)絡(luò)攻擊都是利用這些已知缺陷,達(dá)到攻陷網(wǎng)絡(luò)的目的。這些缺陷包括網(wǎng)絡(luò)系統(tǒng)缺陷、軟件漏洞、協(xié)議工作機(jī)制等等。比如IP分片處理漏洞經(jīng)常被利用作為攻擊源。IP首部有兩個字節(jié)表示整個IP數(shù)據(jù)包長度,所以IP數(shù)據(jù)包最長只能為0xFFFF,即65535字節(jié)。如果有意發(fā)送總長度超過65535的超大包,一些老系統(tǒng)內(nèi)核在處理時(shí)候就會出現(xiàn)問題 ,導(dǎo)致崩潰或者拒絕服務(wù)。如果IP分片之間偏移量是經(jīng)過精心構(gòu)造,一些系統(tǒng)就無法處理,導(dǎo)致死機(jī)。比如ping o'death 、teardrop和jolt2等,原理都是利用發(fā)送異常IP分片,如果操作系統(tǒng)的內(nèi)核在處理分片重組時(shí)沒有考慮到所有異常情況,將可能引向異常的流程;針對網(wǎng)絡(luò)協(xié)議發(fā)起的攻擊類型也比較多,七層網(wǎng)絡(luò)幾乎都有被攻擊的可能,就連使用最廣的ARP協(xié)議,都存在協(xié)議漏洞,ARP欺騙就是其中一種。這是因?yàn)樵贏RP緩存表中存在一個缺陷,就是當(dāng)請求主機(jī)收到ARP應(yīng)答包后,不會去驗(yàn)證自己是否向?qū)Ψ街鳈C(jī)發(fā)送過ARP請求包,就直接把這個返回包中的IP地址與MAC地址的對應(yīng)關(guān)系保存進(jìn)ARP緩存表中,如果原有相同IP對應(yīng)關(guān)系,原有的則會被替換。ARP欺騙通過冒充網(wǎng)關(guān)或其他主機(jī)使得到達(dá)網(wǎng)關(guān)或主機(jī)的流量通過攻擊進(jìn)行轉(zhuǎn)發(fā)。通過轉(zhuǎn)發(fā)流量可以對流量進(jìn)行控制和查看,從而控制流量或得到機(jī)密信息。還有ICMP、TCP、DHCP等大量通用的網(wǎng)絡(luò)協(xié)議均存在缺陷,這緣于早期進(jìn)行網(wǎng)絡(luò)協(xié)議設(shè)計(jì)的時(shí)候并未過多考慮安全性,而是將注意力都放在了互通性上,在后來的IPv6設(shè)計(jì)中已經(jīng)將安全作為一項(xiàng)重要因素加以考慮,所以在IPv6協(xié)議上安全性得到很大提升。
無論是利用網(wǎng)絡(luò)資源,還是協(xié)議缺陷,最終都是希望對數(shù)據(jù)中心網(wǎng)絡(luò)造成破壞,這類網(wǎng)絡(luò)攻擊預(yù)期達(dá)到的效果基本都是希望對網(wǎng)絡(luò)造成破壞,將數(shù)據(jù)中心網(wǎng)絡(luò)搞癱。很少能從網(wǎng)絡(luò)攻擊中獲取機(jī)密數(shù)據(jù),因?yàn)閿?shù)據(jù)中心核心的數(shù)據(jù)基本都存在于存儲設(shè)備中,網(wǎng)絡(luò)傳遞過程中的海量數(shù)據(jù),一一截取、破譯去獲得機(jī)密數(shù)據(jù)將是一個非常復(fù)雜和困難的過程,要從海量數(shù)據(jù)中找到有價(jià)值的數(shù)據(jù)也非常耗時(shí)。所以,網(wǎng)絡(luò)攻擊主要希望得到的是破壞性的效果,攻擊性強(qiáng)主要體現(xiàn)在破壞力上。近期,數(shù)據(jù)中心網(wǎng)絡(luò)安全問題逐漸引起了更多人關(guān)注,網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)早就頒布,已不可能做太多改變,數(shù)據(jù)中心就需要根據(jù)網(wǎng)絡(luò)攻擊的常用模型,有針對性地做防護(hù),在關(guān)鍵位置增加安全防護(hù)設(shè)備,保護(hù)數(shù)據(jù)中心脆弱的網(wǎng)絡(luò)系統(tǒng)。
來源:機(jī)房360
石家莊服務(wù)器托管 石家莊服務(wù)器租用 石家莊機(jī)柜租用 石家莊機(jī)房