解析OSI七层网络攻击行为及防范手段
2020年3月3日,360安全大脑披露美国*情报局攻击组织(APT-C-39)对我国大型互联网公司、**部门及相关企业进行长达11年的网络攻击渗透,该组织所使用的网络武器和CIA“Vault7”项目中的网络武器完全吻合。如今随着互联网技术的蓬勃发展,网络攻击手段层出不穷,如何更好的保护企业机密信息不被非法泄露,成为全世界科研人员共同的话题。
在互联网设计初期,为了更好的对互联网进行管理,依照OSI标准,按照物理层、数据链路层、网络层、传输层、会话层、表示层和应用层对网络进行了划分,网络攻击行为的发生,也是针对其中一层或多层的弱点进行展开的。对此,我们可以分析网络各层不同的弱点分析存在的攻击行为,并总结防范手段,对于我们的防范工作会有很好的借鉴意义:
一、针对物理层的攻击
针对物理层的攻击方法就是比较暴力直接的攻击方式,一般是针对其网络硬件和基础设施来进行物理破坏或者是强行改变路由器,比如说要去攻击一个公司,就把他们公司的网线剪掉,让他们无法访问外网。
防范手段:保护物理线路的可靠性,对于物理设备的接入采用双线、双设备接入,保证物理线路和物理设备的可靠性,并处于监管的状态。
二、针对数据链路层的攻击
针对数据链路层的攻击常见的是对基于mac地址的伪装欺骗,在数据链路层有两个重要的协议ARP(地址解析协议)和RARP协议(反向地址解析协议),常见的攻击方式就是ARP欺骗(ARP伪装),其攻击原理为攻击者利用自己伪造的mac地址来告诉被攻击者自己是对方想要访问的身份,显而易见这个身份是攻击者自己伪造的,从而欺骗被攻击者将数据流量转发到自己伪造的身份地址上,进而获取数据,达到欺骗的目的。
防范手段:对于系统和通信网络中关键的设备进行ARP地址绑定,可以在Windows中输入arp-s gate-way-ip gate-way-mac固化ARP表,也可以通过安装ARP防护软件-ARPGuard,对ARP信息进行防护。
三、针对网络层的攻击
针对网络层的攻击也是目前互联网上常见的几种主要的攻击方式,如Smurf攻击(通过将回复地址设置为受害网络的广播地址,使用数据包淹没目标主机)、ICMP路由欺骗攻击、IP分片攻击、ping of death(死亡之ping)、IP欺骗伪造攻击,其通性都是通过制造大量的无用数据包,对目标服务器或者主机发动攻击,使得目标对外拒绝服务,可以理解为DDOS或者是类DDOS攻击。
防范手段:可以通过扩大带宽并部署DDOS防御系统来防御拒绝攻击,对于攻击发生过的IP和确认安全的IP,可以通过设置防火墙上IP白名单和黑名单对通信主机的地址进行限制、绑定,防止欺骗行为的发生。
四、针对传输层的攻击
针对传输层的攻击主要是利用TCP/UDP协议进行攻击,而利用TCP协议攻击主要是利用TCP协议的三次握手机制,向目标主机或者服务器发送大量连接请求但是不对其进行响应,使得占用大量目标服务器主机资源,造成瘫痪的攻击方式,常见的攻击方式由Flooding洪泛攻击、ACK flooding洪范攻击等,而利用UDP的攻击主要是利用流量攻击,使用UDP的不可靠性,大量发送数据包,造成目标拒绝服务的目的,常见的攻击方式有UDP flooding洪泛攻击。
防范手段:在这里也可以通过部署抗DDOS防御系统进行防护,并扩大带宽,对数据包进行筛选、防护。
五、针对会话层的攻击
针对会话层的攻击主要是利用或者窃取合法用户的cookie和session,然后冒用或者利用合法用户的身份,以达到非法授权访问的目的,其主要攻击目标为攻击cookie和token,常见的攻击方式有XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。
防范手段:针对会话层的攻击防范,主要是针对用户登录的cookie信息进行利用或盗取。为减少并防止该类攻击事件的发生。首先是应当在用户登录时,可采用双因子的认证方式,确认用户信息,并在cookice设置中启动httponle属性,并在代码层面添加随机产生的token认证,认证用户数据包信息,防止用户身份认证信息被窃取并盗用。
六、针对表示层的攻击
针对表示层的攻击主要是针对格式翻译和数据处理来进行的,攻击方式有Unicode攻击和计算溢出攻击。
防范手段:在系统设计层面,应考虑拥有足够充足的缓冲区,保证数据不会溢出被修改、覆盖。严格而控制服务器上文件和文件夹的权限,对登录用户和后台管理人员的权限进行合理的分配,防止服务器文件和文件夹被非法利用。
七、针对应用层的攻击
针对应用层的攻击主要是针对应用程序的设计漏洞进行的对应用协议漏洞的攻击、对应用数据的攻击、对应用操作系统平台的攻击等。其方法包括未经审查的WEB方式的信息录入、应用权限的访问控制被攻破、身份认证和会话管理被攻破、跨站点的执行代码漏洞、缓存溢出漏洞、弹出漏洞、错误处理不当、不安全存储、拒绝服务、不安全配置管理等。
防范手段:针对服务器的访问控制权限进行严格划分分配,防止管理员权限过大,可以采用基于角色的访问控制策略,保证用户的较小特权化。对服务器系统及时修补补丁,保证信息系统的一个安全状态,并对系统内用户行为和安全事件进行审计记录。
以上是针对OSI网络七层的攻击方式和防范方法的总结,构建信息安全防御体系,不仅需要从安全技术角度进行挖掘,还需要针对管理体系进行建设,华清信安除了提供安全技术支持,也提供配套的安全管理制度建设方案,希望大家持续关注。
bjhqsec.b2b168.com/m/