据估算,目前全球具备攻击能力的人超过2000万,国内黑客数量大约在300-500万之间。而网络系统中的可攻击点又很多,比如网络设备漏洞、操作系统漏洞、还有第三方软件漏洞或服务器上放置的程序都有漏洞,都可以被攻击,只要几个关键环节被破坏,整个互联网将在瞬间瘫痪。
这里介绍几个实际发生过的极端性攻击类问题,希望通过对于其进攻思想的分析,能够对网管人员的安全防护意识有所影响。
一、攻击问题
以往那些乱打乱撞的莽撞网络攻击已经可以理解为常规的网络问题,而真正具备威胁的攻击行为,却是那些具备极端特征的非常规行为。
第一,蚕食型进攻
如图一,当流量被缓慢地拉高,且每天的增涨幅度很小,攻击方通过某种手段――如针对性程序或新型病毒――使得增幅在预定的范围内(如3-5%甚至更少),如此微小的变化足以麻痹绝大多数人,此时,不仅是网管人员,大量的终端用户也都很难感觉到网速的变化,并且逐渐适应现有的网速。当最终的速度达到难以适应的时候,常见的反应是增加投入如扩大带宽,而实际问题已经极其严重了。此类攻击在内网用户较多,或地域分布较广,或常规流量较大的情况下最容易得手。
图表 一
第二,斩首型攻击
在企业网内,网络可能发生突然断网(图二、图三),在这种情况下,网管人员通常由于缺乏故障前和发生故障时的数据内容而无法定位故障原因。虽然,为了保证系统稳定运行,很多企业特别是银行、电信这类对网络稳定性要求很高的单位都建立了多链路备份系统:当网络出现故障的瞬间自动切换至备份系统里,同时由网管人员检查系统、寻找原因并解决。
但是对于攻击所导致的网络故障,其作用却并不明显,且难以短时间内找到问题的根本所在。
图表 二
因为常规的网络故障可以根据经验和相关设备检测,这一过程虽然时间有长有短,备份系统却足以支持这一检测过程所消耗的时间。
如果故障是蓄意的攻击所导致,系统自动切换对于攻击源的表象是攻击目的尚未实现,仍会保持攻击的继续进行甚至更猛烈。此时,检修人员用于故障检测的时间必须小于一个毁坏性攻击周期的时间,系统修复也必须在第二轮攻击带来破坏以前完成。同时,修复工作不仅要找出故障点,还要发现攻击源行为特征并加以应对;否则,网瘫势成必然,且难以短时间内修复。
第三,复合型攻击
基于多种攻击行为的组合攻击,此类型攻击应是攻击方和防守方现阶段重点研究的方向。
较主流观点认为,随着攻击的成本会越来越高,攻击的目的性将越来越强。从底层攻击的难度将会加大,从应用层攻击的将会更多,比如邮件,应用程序,脚本等等方面。一些最新的实际攻击细节,这里不便广泛宣扬,只举一个简单的例子。
如图四,一个攻击力量或多个攻击力量组合配对,采取多种手段共同应用,针对多层次多攻击点位,攻击者同时或依次发起攻击,形成‘多兵种协同作战’局面,产生无序的破坏结果,使得网络多个被攻点失陷,现有的防护手段鲜有绝对稳妥地保护措施,网管人员疲于救火已是较轻结果。如果在若干点迅速被攻破后立即切断网络,形成网上无流量状态,使得网管人员无从查起更无从查找,这时对于网管人员将是一个极其痛苦的噩梦。
因此,对于网络的非常规问题,如何最快速度地对问题进行定性和定位,是网管人员一个极具挑战性的长期课题。此类攻击形式,在一些军事性质的电子战演练中已见端倪,相信很快就会在常规的攻击中被广泛使用。其结果,只会使得网络攻防更加残酷激烈,而被攻击的一方永远属于被动的一方且更加弱势。
图表 四
以上三种攻击形式属于不同思想下的攻击策略,表现的形式虽不同,但是对网络整体的威胁是同样严重的。目前,一些企业利用加大带宽的形式试图减少网络攻击的影响,显然是不被建议的。除去费用因素,还有以下几个关键因素不能回避:
首先,这样鸵鸟型消极防守的解决方式只能躲得过一时,并不能真正的解决问题,反而为各类安全隐患搭建了更宽大的滋生温床;
其次,较大的容忍度更加容易造成网管人员的思想麻痹;
第三,随着技术的发展,传统网络理论已被打破,BT就是典型的说明;
第四,随着移动办公和电子邮件的广泛使用,内部防范的质量正在逐渐降低,所谓的被动式安全防护,反而加大了网络的脆弱性。
二、隐患问题
正在进行或已发生的攻击,对于网络的危害都是可见的和可应对的,而更加严重的危险却来自于网络隐患:由于它存在的时候难以发现,何时发生、如何发生、破坏力如何,都是难以预估和彻底防范的,实际上可能暂时只是针对某一具体IP或某一网段发生影响,而问题的原因又是多种多样,例如参数设置等原因。
如图五,短时间的断网,很快又恢复正常,这样称之为“自愈”或“自恢”情况在实际工作中经常遇到,该时段究竟发生了什么,是简单的故障还是恶意攻击前的测试,事前无法预知,事后无从查起,损失情况未知,隐患却已生成。何时还会出现,下次状况如何均无法预知。
图表 五
图六反映类似的问题,一个瞬间的流量高峰是直观很难感觉到的,而其间到底是谁、在什么地方、做了什么样的访问或传输了什么内容,也是是无从查起。这一高峰的流量对网络的影响如何,存在什么问题,短时间内更是无从评估。
在进一步的应用中更是存在同类的问题,例如对于服务器的使用,很多网管人员依赖负载均衡器来实现均衡应用,但是,负载均衡器是否在正常工作呢?!如图七,某几个IP或网段传输的流量突然加大,在大网内通常难以被发觉,但是这些IP却实际产生了流量异常,是否是正常的流量加大?其原因是什么样的?对网络的潜在影响是什么?大多数情况下这些情况尚且都不会被发现,更何谈究查其原因。
图表 七
以往用Sniffer软件或类似产品抓包进行分析虽是个解决办法,但是不能保证7※24即时监控;同时对越来越复杂的网络问题,特别对断网这样严重的已发生故障不起作用。较好地解决方案是借用Sniffer存储式产品的回溯分析功能,不仅可以较好地发现极端或组合攻击行为的原因,还可以迅速地对各类问题准确定性和定位,尤其是能够及时发现各类网络隐患,对提高主动防护的水平有着重要的促进作用。
1. 预警
积极主动式的防范对网络的安全是十分必要的。最理想的办法是在问题刚刚冒头的时候就发现并解决掉。
借用Sniffer可以在网络性能下降,业务应用受到影响之前识别并解决问题。例如,如果用户对平均65ms 的应用响应时间感到满意,当应用的响应时间达到100 ms 就开始抱怨,那么通过Sniffer将告警门限设在75ms, 出现告警后应用Sniffer及时进行故障诊断,在响应时间到达100 ms、用户开始抱怨之前解决问题。
响应式网管
图表 八
主动式网管(应用
图表 九
2. 迅速定性,准确定位
面对各类已发生的网络问题,网管人员应该是尽快地对问题进行定性:我方的还是运营商的?线路问题?设备故障?设计缺陷?或是安全问题?哪一类的?起因来自于内部还是外部?
来自于运营商方面的反馈,宽带客户报障的主要问题通常是上网速度慢或者断网,实际检测的结果主体更多是用户内部的原因而少线路原因。
这里有以下建议作为参考:
l 病毒类问题
对于病毒类的攻击,最重要的不是只用杀毒工具扫描杀毒,因为不能确定此病毒是否被现有安全系统所识别,有效的办法是尽快找到被感染的机器,然后立即隔离;再后才是针对性地进行处理。
对于被感染的设备,通常的表象包括流量异常、反应速度异常等形式。用Sniffer软件或类似产品抓包进行分析虽是个解决办法,但是很多案例反映,网管人员面对大流量的数据风暴还是束手无措。
目前较为有效的主动防范策略是利用Sniffer存储式产品Infinistream及附带的专家系统,在流量超过阀值时立即报警,及时发现流量异常的设备,然后对具体时段流量的内容进行针对性的深入分析,以此发现被感染的机器并隔离。
l 简单攻击类问题
Sniffer最高2000M线速的实时抓包能力对流量统计具有高度的准确性,这是其他常规产品所不能比拟的。针对图二至图六,通过对数据包的还原,可以对已发生的网络传输内容进行1-7层回溯式解析分析,了解当时具体的传输内容,以最快速度判定流量异常的原因和具体位置,并由专家系统做出建议。
而针对图一现象,Sniffer可以采取流量趋势图即可发现不同目标流量的变化,具体的设置可根据时间段、网段、IP地址等作为监控对象。以此方法可以对主要关注的具体目标进行从宏观到微观的监控,并做出微观的详尽分析。
l 复杂攻击和隐患问题
专家分析系统在某网站案例:
Sniffer强大的专家系统,可对OSI七层的分析、提示、诊断情况。通过灵活的过滤条件,选取某个具体时段的数据,进行专家系统分析。下图就是一个网络环境进行分析的过程和判断结果,以及具体的建议方案。
图表 十
图表 十一
通过专家系统的评估判断,可以发现针对数据库服务器存在若干“数据库服务器较慢”告警错误。
专家分析系统在某新闻机构案例:
该网现象是出现大量重复请求,经Sniffer存储式设备抓包经专家系统分析,由图可以看到,网络在GLOBAL层出现了LAN Overload的告警,而此时实际其他统计监控设备采集到的数据流量只达到不足30%的使用率。同时显示,在传输层上可以看到有数据重传以及目标站点没有响应的告警。初步判断:由于同时有大文件在进行网络传输,导致局域网出现短时间过载现象(Sniffer在微秒级别上的实际统计分析反映更精确一些),音像数据没法正常传输,导致重传,多次重传未果,导致数据在工作站上没法正常组合为可用数据,体现出来是音像丢帧或者出现马赛克现象。进一步检查发现该网络存在多处设计缺陷及参数设置错误。
四、小结
对于各种类型的网络安全问题,主动地防御应该是被鼓励和坚持的,经验证明这样的行为可以大大减小损失。过于依赖防火墙、杀毒软件或IDS这类产品,对于未知病毒和组合型复杂类的攻击作用却很低,尤其是网络本身一些先天性的缺陷难以根绝此类问题,而常规安全产品的滞后性也无法避免。
存储式Sniffer作为一种新型的防护手段,以其优越的性能,正在被越来越多的网管人员所接受和认同。
