基于宽带接入的局域网安全管理问题分析

2.2.3 其它
    还有一些针对其它服务的攻击, 例如Syn-Flooder, Ping of Death(发送异常的很大的进行ping操作的packet来攻击windows nt), DNSkiller(运行在linux平台上, 攻击windows nt平台上的dns服务器)等。
在路由的层次上,对数据流进行过滤, 通过合适的配置会减少遭受此类攻击的可能性.Cisco Systems就提供了路由级的解决方案.
2.3 spoofing attack(电子欺骗)：
    针对http，ftp，dns等协议的攻击，可以窃取普通用户甚至超级用户的权限，任意修改信息内容，造成巨大危害。所谓ip欺骗，就是伪造他人的源ip地址。其实质上就是让一台机器来扮演另一台机器，借以达到蒙混过关的目的。下面一些服务相对来说容易招致此类攻击：
· 任何使用sunrpc调用的配置；rpc指sun公司的远程过程调用标准，是一组工作于网络之上的处理系统调用的方法。
· 任何利用ip地址认证的网络服务
· mit的xwindow系统
· 各种r服务: 在unix环境中，r服务包括rlogin和rsh，其中r表示远程。人们设计这两个应用程序的初衷是向用户提供远程访问internet网络上主机的服务。r服务极易受到ip欺骗的攻击
几乎所有的电子欺骗都倚赖于目标网络的信任关系（计算机之间的互相信任，在unix系统中，可以通过设置rhosts和host.equiv 来设置）。入侵者可以使用扫描程序来判断远程机器之间的信任关系。这种技术欺骗成功的案例较少，要求入侵者具备特殊的工具和技术（，并且现在看来对非unix系统不起作用）。另外spoofing的形式还有dns spoofing等。
解决的途径是慎重设置处理网络中的主机信任关系，尤其是不同网络之间主机的信任关系。如只存在局域网内的信任关系，可以设置路由器使之过滤掉外部网络中自称源地址为内部网络地址的ip包，来抵御ip欺骗。下面一些公司的产品提供了这种功能
· Cisco System
· iss.net公司的安全软件包可以测试网络在ip欺骗上的漏洞。
· etc.
    国际黑客已经进入有组织有计划地进行网络攻击阶段，美国政府有意容忍黑客组织的活动，目的是使黑客的攻击置于一定的控制之下，并且通过这一渠道获得防范攻击的实战经验。国际黑客组织已经发展出不少逃避检测的技巧. 使得攻击与安全检测防御的任务更加艰巨.

3 入侵层次分析：
3.1 敏感层的划分
使用敏感层的概念来划分标志攻击技术所引起的危险程度.
1 邮件炸弹攻击（emailbomb）（layer1）
2 简单服务拒绝攻击（denial of service）（layer1+）
3 本地用户获得非授权读访问（layer2）
4 本地用户获得他们非授权的文件写权限（layer3）
5 远程用户获得非授权的帐号（layer3+）
6 远程用户获得了特权文件的读权限（layer4）
7 远程用户获得了特权文件的写权限（layer5）
8 远程用户拥有了根（root）权限（黑客已攻克系统）（layer6）
以上层次划分在所有的网络中几乎都一样，基本上可以作为网络安全工作的考核指标。

    "本地用户"（local user）是一种相对概念。它是指任何能自由登录到网络上的任何一台主机上，并且在网络上的某台主机上拥有一个帐户，在硬盘上拥有一个目录的任何一个用户。在一定意义上，对内部人员的防范技术难度更大。据统计，对信息系统的攻击主要来自内部，占85％。因为他们对网络有更清楚的了解，有更多的时间和机会来测试网络安全漏洞，并且容易逃避系统日志的监视。

3.2 不同的对策

    根据遭受的攻击的不同层次，应采取不同的对策.

第一层：

    处于第一层的攻击基本上应互不相干,第一层的攻击包括服务拒绝攻击和邮件炸弹攻击.邮件炸弹的攻击还包括登记列表攻击（同时将被攻击目标登录到数千或更多的邮件列表中，这样，目标有可能被巨大数量的邮件列表寄出的邮件淹没）。对付此类攻击的最好的方法是对源地址进行分析，把攻击者使用的主机(网络)信息加入inetd.sec的拒绝列表(denylistings)中.除了使攻击者网络中所有的主机都不能对自己的网络进行访问外,没有其它有效的方法可以防止这种攻击的出现.

    此类型的攻击只会带来相对小的危害。使人头疼的是虽然这类攻击的危害性不大，但是发生的频率却可能很高，因为仅具备有限的经验和专业知识就能进行此类型的攻击。

第二层和第三层：

    这两层的攻击的严重程度取决于那些文件的读或写权限被非法获得。对于isp来说，最安全的办法是将所有的shell帐户都集中到某一台（或几台）主机上，只有它们才能接受登录，这样可以使得管理日志，控制访问，协议配置和相关的安全措施实施变得更加简单。另外，还应该把存贮用户编写的cgi程序的机器和系统中的其它机器相隔离。