防范黑客攻击策略分析
来源:中国IT实验室 更新时间:2009-12-21

  本文通过电信IP网的特性,分析了黑客攻击对电信IP网的安全威胁,介绍了黑客攻击电信IP网的手段及防范措施,最后讨论了电信IP网如何建立防范黑客攻击的安全防范策略。

  1 引言

  电信网从原来电话交换为主的话音业务正全面向语音、数据、多媒体等综合业务的平台转变。IP技术成为下一代电信网络的关键技术,传统电信网由于其自身的封闭性,安全问题并不是很突出,但是以IP为基础协议的下一代网络已经开始必须面对以往只是在IP网上才会出现的网络安全问题。在威胁我国电信IP网的众多因素中,黑客攻击是其中最为重要的一种,在我国电信IP网中曾出现过遭黑客攻击的案例,如近日某企业员工通过参与某移动公司项目得到了系统的密码,继而侵入移动公司充值中心数据库,盗取充值卡密码,给移动公司带来了370余万元的损失。

  近年来,黑客对电信网络的攻击给社会带来了极大的损害,随着黑客攻击技术的不断发展,网络和系统漏洞的不断出现,黑客群体的变化,社会对网络的依赖性提高,未来黑客攻击手段越来越隐蔽,破坏力将越来越大,攻击行为也将变得越来越复杂和难于防范。2006年世界电信日的主题是:让世界网络更安全。我国信息产业部也根据这个主题开展了一系列的主题活动,从而可以看出网络安全已经成为电信发展中的一个重要问题。本文就黑客攻击的手段和防范的策略给出简单的分析。

  2 黑客攻击对电信IP网的安全威胁分析

  在《中华人民共和国电信条例》中,对电信网络安全方面,针对现实中危害较大的计算机病毒、黑客等情况,做了禁止性的规定。其中在第五十八条规定了任何组织或者个人不得有四类危害电信网络安全和信息安全的行为,其中第三类中就是故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施。这个其他行为目前主要是指黑客攻击。黑客通过遍及全球的IP网侵入通信系统,截取通信安全方面的信息资料,他们篡改信息、替换网页、下载或盗取敏感信息、攻击主机和网络、发送邮件炸弹或使网络瘫痪。黑客攻击一旦得逞,小则瘫痪网络的某项服务,大则造成短时间内无法恢复的整个网络的瘫痪,造成巨大的损失。黑客之所以能够对电信IP网造成威胁,主要有以下几点原因:

  (1)技术方面:IP协议设计中的错误和疏忽使得网络先天不足,为黑客攻击提供了条件。例如,IEEE802.11b 中出现的WEP漏洞,还有由于TCP/IP协议缺乏相应的安全机制,且IP网最初设计基本没有考虑安全问题等等都使得电信网络存在先天不足。随着软件系统规模的不断增大,各种系统软件、应用软件变得越来越复杂,电信设备厂商、集成商和运营商的软件中心在开发和实现过程中不可避免的会出现各种缺陷和漏洞,这使得黑客可以利用这些漏洞对电信IP网进行攻击。

  (2)管理方面:缺乏完整统一的安全策略,缺乏完善的、切实可行的管理和技术规范,为黑客“钻空子”提供了便利。很多网络在建设初期,发展的方向都倾向于网络的便利性和实用性,忽略了至关重要的网络安全性,为以后的发展埋下了隐患。有些地方缺乏合理安全的网络设计规划和配置,防火墙的配置也不够严密,这些都为黑客攻击提供了方便。

  (3)人力方面:缺少网络安全方面的专职人员,并且各运维人员安全意识、安全水平上也存在着很大的差别,有些黑客居然可以冒充管理人员通过打电话而问到网络的密码,这些都成为黑客攻击电信IP网的手段,所以提高运维人员的安全水平和安全意识对各个运营商来说是刻不容缓的事情。

  3 黑客攻击电信IP网手段和防范措施

  黑客攻击手段按照结果分可分为二类:本地攻击和远程攻击;按照侵入的深度可大致分为:表层攻击、读访问、非根式的写与执行访问、根式的写和执行访问;按照系统遭受攻击的程度又可分为六个层次:第一层是邮件炸弹攻击和服务拒绝攻击、第二层是本地用户获得非授权读访问、第三层为本地用户获得非授权文件的写权限、第四层是远程用户获得非授权的帐号和远程用户获得文件的读权限、第五层是远程用户获得特许文件的写权限、第六层是远程用户获得根权限。几种分类的关系如图1所示。

  常见的黑客攻击电信IP网的手段主要有:口令破解等解码类攻击、恶意代码攻击、后门程序的攻击、拒绝服务类攻击、邮件炸弹、邮件列表类炸弹攻击、通过 IP包进行攻击、通过操作系统漏洞对电信网进行攻击、缓冲区溢出和远程缓冲区溢出攻击、网络服务漏洞攻击等等。这里对几种常见黑客攻击手段进行分析。

  3.1 口令破解等解码类攻击

  口令攻击是黑客最常用的攻击方法之一。黑客通过口令破解软件破解服务器账号口令,由于管理员事安全意识不强,使得该方法简单而且行之有效。对于口令破解的攻击,在设置口令时应注意不要使用过于简单的密码;不要在不同的账号里使用相同的密码;应保守密码口令并经常有规律的更换;每隔一段时间要把所有的密码都更换一次;及时的取消调离或者停止工作职员的账号以及无用的密码;在验证过程中,口令不能以明文方式传输,也不能以明文方式存放在系统中。

  3.2 恶意代码和后门程序的攻击

  恶意代码包括病毒、蠕虫、特洛伊木马等,后门程序是系统调试后预留的或黑客攻击系统之后为方便再次进入而开启的守候进程或隐蔽通道,是攻击者绕过安全性控制而获取对程序或系统访问权的方法。对于特洛伊木马这种黑客程序,可以采用专门的查找软件,检测和清除系统中隐藏的木马程序。

  3.3 拒绝服务类攻击

  该类型攻击是目前电信网中最常遭受的攻击之一,就是让服务器的CPU过载、磁盘饱和、内存不足等等,包括拒绝服务攻击和分布式拒绝服务。攻击目的有两种:占用大量的带宽和攻击脆弱服务器。前者的攻击手段有:SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等,甚至利用路由协议的漏洞制造网络风暴等,通过短时间内向目标系统发送大量的数据包而导致网络流量堵塞,从而达到阻止目标主机大部分服务的功能。对Land攻击和WinNuke攻击,适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计。对Ping Of Death攻击和Teardrop攻击,要添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。

  3.4 通过操作系统漏洞对电信网进行攻击

  现在电信网中主机设备大部分使用UNIX系统,这也使得黑客可以通过机器操作系统的一些漏洞对电信网进行攻击。包括操作系统本身的体系结构的不安全、进程管理机制中的缺陷,还有操作系统提供的远程调用服务和特意安排的系统漏洞也是不安全因素之一。黑客通过黑客软件针对操作系统的薄弱环节,对网络设备进行非正常或越权使用,使系统的安全机制收到威胁,或者利用各种假冒和欺骗的手段,如IP地址欺骗等,非法获得合法用户的使用权,致使操作系统对资源分级分权管理的失效。对于操作系统出现漏洞,系统需要及时添加补丁程序和进行安全性能优化配置工作。

  3.5 缓冲区溢出和远程缓冲区溢出

  是一种系统攻击的手段,通过往程序的缓冲区写超出其长度的内容,造成缓冲区溢出,黑客可以获得其他用户或组的非授权读、写的访问。缓冲区溢出攻击占了远程网络攻击的绝大多数。目前有四种基本的方法保护缓冲区免受缓冲区溢出的攻击和影响。首先,要编写正确的代码;其次,数组边界检查能防止所有的缓冲区溢出的产生和攻击;再次,要对程序指针进行完整性的检查;最后,通过操作系统使被攻击程序的数据地址空间不执行,从而使得攻击者不能执行被植入被攻击程序输入缓冲区的代码。

  4 电信IP网防范黑客攻击的安全体系

  网络安全威胁和防范一直是电信运营商十分关注的问题。要做好电信IP网防范黑客攻击的安全防护,需要从人力、技术、管理、和安全立法几方面采取措施,以建立有效的安全防护体系。

  有效的防范黑客攻击安全体系的实现需要三方面的努力:

  (1)技术上:黑客攻击的多样性决定了防范技术也必须采取多层次、全方位的防御体系。包括先进的、不断更新和完善的安全工具、各种软硬件设备、管理平台和监控系统。主要包括防火墙、安全扫描、评估分析、入侵检测、入侵取证、陷阱网络、备份恢复和病毒防治等。

  (2)管理上:黑客攻击的技术手段越来越高明,但是不可否认,有些黑客攻击之所以可以成功在于网络管理上的疏忽和漏洞。所以要建立有效的防范黑客攻击的安全体系需要严密完善的安全技术规范、管理制度、高水平的安全技术人才和高度的工作责任心。其中包括建立定期检查制度、建立包机或网络安全专人负责制、建立安全事故及时上报制度、建立定期备份制度、建立口令定期修改制度等等。

  (3)规划上:网络技术迅猛发展,也使得黑客攻击技术不断发展,网络管理者要做好防范工作的同时也要做出正确合理的网络结构设计、规划和组织,做到防范于未然。对新的技术和产品的研发要早作准备,深入调研国内外电信IP网安全的状况,了解黑客技术的进展,在广泛融合的基础上做出前瞻性的规划,培养相关领域的人才。

  5 结束语

  电信网是公网,是国家关键基础设施的重要组成部分,对可靠性和安全性要求极高,是人们向信息社会迈进的基石,与人们的工作、生活息息相关,因此无论政府、运营商还是用户,都应该更多地关心电信网络的安全问题。只有了解了电信IP网安全的现状、熟悉黑客攻击的基本手段、建立安全有效的防范体系,电信网才能成为高效率、可靠、可信赖的通信平台。