病毒網路攻擊基礎知識(4)
五、DNS伺服器易受哪些攻擊,如何保護DNS伺服器
由於DNS服務使用UDP協議,因此對於攻擊者而言,更容易把攻擊焦點集中在DNS服務上。DNS服務面臨的威脅包括:
快取區中毒:這種攻擊是指黑客在主DNS伺服器向輔DNS伺服器進行區域傳輸時插入錯誤的DNS資訊,一旦成功,攻擊者便可使輔DNS伺服器提供錯誤的名稱到IP地址的解析資訊;如果使用DNS快取偽造資訊的話,攻擊者可以改變發向合法站點的傳輸流方向,使它傳送到攻擊者控制的站點上;
拒絕服務:對某些域名伺服器的大規模拒絕服務攻擊會造成網際網路速度普遍下降或停止執行;
域劫持:通過利用客戶升級自己的域註冊資訊所使用的不安全機制,攻擊者可以接管域註冊過程來控制合法的域;
洩漏網路拓樸結構:設定不當的DNS將洩漏過多的網路拓樸結構:如果你的DNS伺服器允許對任何人都進行區域傳輸的話,那麼你的整個網路架構中的主機名、主機IP列表、路由器名、路由器IP列表,甚至包括你的機器所在的位置等資訊都會不知不覺的洩露出去。
為了保護DNS伺服器不受攻擊,首先應當保護DNS伺服器所儲存的資訊,而且此資訊應當由建立和設計者才能修改。部分註冊資訊的登入方式仍然採用一些比較過時的方法,如採用電子郵件的方式就可以升級DNS註冊資訊,這些過時的方法需要新增安全措施,例如採用加密的口令,或者採用安全的瀏覽器平臺工具來提供管理域程式碼記錄的方式;其次是正確配置區域傳輸,即只允許相互信任的DNS伺服器之間才允許傳輸解析資料;還要應用防火牆配合使用,使得DNS伺服器位於防火牆的保護之內,只開放相應的服務埠和協議;還有一點需要注意的是使用那些較新的DNS軟體,因為他們中有些可以支援控制訪問方式記錄DNS資訊,因此域名解析伺服器只對那些合法的請求作出響應。內部的請求可以不受限制的訪問區域資訊,外部的請求僅能訪問那些公開的資訊;最後系統管理員也可以採用分離DNS的方式,內部的系統與外部系統分別訪問不同的DNS系統,外部的計算機僅能訪問公共的記錄。
六、路由器面臨有哪些威脅,如何保護路由器的安全
路由器作為網際網路上重要的地址資訊路由裝置,直接暴露於網路之中。攻擊路由器會浪費CPU週期,誤導資訊流量,使網路陷於癱瘓。路由器面臨的威脅有:
將路由器作為攻擊平臺:入侵者利用不安全的路由器作為生成對其他站點掃描或偵察的平臺;
拒絕服務:儘管路由器在設計上可以傳送大量的資料流,但是它同樣不能處理傳送給大於它傳輸能力的流量。入侵者利用這種特性攻擊連線到網路上的路由器,而不是直接攻擊網路上的系統,從而造成對路由器的拒絕服務攻擊;
明文傳輸配置資訊:許多網路管理員未關閉或加密Telnet會話,因此若明文傳輸的口令被擷取,黑客就可以任意配置路由器。
好的路由器本身會採取一個好的安全機制來保護自己,但是僅此一點是遠遠不夠的。保護路由器安全還需要網管員在配置和管理路由器過程中採取相應的安全措施:
(一)限制系統物理訪問:限制系統物理訪問是確保路由器安全的最有效方法之一,即將控制檯和終端會話配置成在較短閒置時間後自動退出系統;避免將調變解調器連線至路由器的輔助埠也很重要。一旦限制了路由器的物理訪問,使用者一定要確保路由器的安全補丁是最新的。因為漏洞常常是在供應商發行補丁之前被披露,這就使得黑客搶在供應商發行補丁之前利用受影響的系統,這需要引起使用者的關注。
(二)加強口令安全:黑客常常利用弱口令或預設口令進行攻擊。加長口令、選用30到60天的口令有效期等措施有助於防止這類漏洞。另外,一旦重要的網管員工辭職,使用者應該立即更換口令。使用者應該啟用路由器上的口令加密功能,實施合理的驗證控制以便路由器安全地傳輸資料。
(三)應用身份驗證功能:在大多數路由器上,使用者可以配置一些加密和認證協議,如遠端驗證撥入使用者服務。驗證控制可以將使用者的驗證請求轉發給通常在後端網路上的驗證伺服器,驗證伺服器還可以要求使用者使用雙因素驗證,以此加強驗證系統。
(四)禁用不必要服務:擁有眾多路由服務是件好事,但近來許多安全事件都凸顯了禁用不需要本地服務的重要性,如禁止CDP服務;需要注意的是,禁用路由器上的CDP可能會影響路由器的效能。定時對有效操作網路是必不可少的,即使使用者確保了部署期間時間同步,經過一段時間後,時鐘仍有可能逐漸失去同步。由此,使用者可以利用名為網路時間協議(NTP)的服務,對照有效準確的時間源以確保網路上的裝置時針同步;不過,確保網路裝置時鐘同步的最佳方式不是通過路由器,而是在防火牆保護的網路區段放一臺NTP伺服器,將該伺服器配置成僅允許向外面的可信公共時間源提出時間請求。另外,在路由器上,對於SNMP、DHCP以及WEB管理服務等,只有絕對必要的時候才可使用這些服務。
(五)限制邏輯訪問:限制邏輯訪問主要是藉助於合理處置訪問控制列表,限制遠端終端會話有助於防止黑客獲得系統邏輯訪問。其中SSH是優先的邏輯訪問方法,還可以使用終端訪問控制,以限制只能訪問可信主機。因此,使用者需要給Telnet在路由器上使用的虛擬終端埠新增一份訪問列表。
(六)有限使用ICMP訊息型別:控制訊息協議(ICMP)有助於排除故障,但也為攻擊者提供了用來瀏覽網路裝置、確定本地時間戳和網路掩碼以及對OS修正版本作出推測的資訊。因此,為了防止黑客蒐集上述資訊,只允許以下型別的ICMP流量進入使用者網路:主機無法到達的、埠無法到達的、源抑制的以及超出生存時間(TTL)的。此外,還應禁止ICMP流量以外的所有流量,以防止拒絕服務攻擊。
(七)控制流量有限進入網路:為了避免路由器成為DoS攻擊目標,使用者應該拒絕以下流量進入:沒有IP地址的包、採用本地主機地址、廣播地址、多播地址以及任何假冒的內部地址的包。雖然使用者無法杜絕DoS攻擊,但使用者可以限制DoS的危害;另外,使用者還可以採取增加SYN ACK佇列長度、縮短ACK超時等措施來保護路由器免受TCP SYN的攻擊。
(八)安全使用SNMP/TELNET:如果使用者使用SNMP,那麼一定要選擇功能強大的共用字串,最好是使用提供訊息加密功能的SNMP V3。如果不通過SNMP管理對裝置進行遠端配置,使用者最好將SNMP裝置配置成只讀;拒絕對這些裝置進行寫操作,使用者就能防止黑客改動或關閉介面。為進一步確保安全管理,使用者可以使用SSH等加密機制,利用SSH與路由器建立加密的遠端會話;為了加強保護,使用者還應該限制SSH會話協商,只允許會話用於同用戶經常使用的幾個可信系統進行通訊。
七、防範緩衝區溢位攻擊
緩衝區溢位(又稱堆疊溢位)攻擊是最常用的黑客技術之一。這種攻擊之所以氾濫,是由於開放原始碼程式的本質決定的。Unix本身以及其上的許多應用程式都是用C語言編寫的,而C語言不檢查緩衝區的邊界。在某些情況下,如果使用者輸入的資料長度超過應用程式給定的緩衝區,就會覆蓋其他資料區,這就稱作“緩衝區溢位”。一般情況下,覆蓋其他資料區的資料是沒有意義的,最多造成應用程式錯誤;但是,如果輸入的資料是經過“黑客”精心設計的,覆蓋緩衝區的資料恰恰是黑客的入侵程式程式碼,黑客就獲取了程式的控制權。儘管這項攻擊的技術要求非常高,而一旦執行這項攻擊的程式被設計出來卻是非常簡單的。
由於緩衝區溢位是一個程式設計問題,所以他們只能通過修復被破壞的程式程式碼來解決問題。從“緩衝區溢位攻擊”的原理可以看出,要防止此類攻擊,我們可以在開放程式時仔細檢查溢位情況,不允許資料溢位緩衝區。經常檢查作業系統和應用程式提供商的站點,一旦發現補丁程式就馬上下載是最好的方法。
八、防範IP欺騙攻擊
IP欺騙技術就是偽造某臺主機的IP地址的技術。通過IP地址的偽裝使得某臺主機能夠偽裝另外的一臺主機,而這臺主機往往具有某種特權或者被另外的主機所信任。假設現在有一個合法使用者(1.1.1.1)已經同伺服器建立了正常的連線,攻擊者構造攻擊的TCP資料,偽裝自己的IP為1.1.1.1,並向伺服器傳送一個帶有RST位的TCP資料段。伺服器接收到這樣的資料後,認為從1.1.1.1傳送的連線有錯誤,就會清空緩衝區中建立好的連線。這時,如果合法使用者1.1.1.1再發送合法資料,伺服器就已經沒有這樣的連線了,該使用者就必須從新開始建立連線。攻擊時,偽造大量的IP地址,向目標傳送RST資料,使伺服器不對合法使用者服務。
雖然IP欺騙攻擊有著相當難度,但我們應該清醒地意識到,這種攻擊非常廣泛,入侵往往由這裡開始。預防這種攻擊還是比較容易的,比如刪除UNIX中所有的/etc/hosts.equiv、$HOME/.rhosts檔案,修改/etc/inetd.conf檔案,使得RPC機制無法應用。另外,還可以通過設定防火牆過濾來自外部而信源地址卻是內部IP的報文。