Ⅰ 怎麼有效攔截ARP攻擊
1、*MAC和IP地址
杜絕IP 地址盜用現象。如果是通過代理伺服器上網:到代理伺服器端讓網路管理員把上網的靜態IP 地址與所記錄計算機的網卡地址進行*。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。這樣,就將上網的靜態IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了,即使別人盜用您的IP 地址,也無法通過代理伺服器上網。如果是通過交換機連接,可以將計算機的IP地址、網卡的MAC 地址以及交換機埠綁定。
2、修改MAC地址,欺騙ARP欺騙技術
就是假冒MAC 地址,所以最穩妥的一個辦法就是修改機器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過ARP 欺騙,從而達到突破封鎖的目的。
3、使用ARP伺服器
使用ARP 伺服器。通過該伺服器查找自己的ARP 轉換表來響應其他機器的ARP 廣播。確保這台ARP 伺服器不被攻擊。
4、交換機埠設置
(1)埠保護(類似於埠隔離):ARP 欺騙技術需要交換機的兩個埠直接通訊,埠設為保護埠即可簡單方便地隔離用戶之間信息互通,不必佔用VLAN 資源。同一個交換機的兩個埠之間不能進行直接通訊,需要通過轉發才能相互通訊。
(2)數據過濾:如果需要對報文做更進一步的控制用戶可以採用ACL(訪問控制列表)。ACL 利用IP 地址、TCP/UDP 埠等對進出交換機的報文進行過濾,根據預設條件,對報文做出允許轉發或阻塞的決定。華為和Cisco 的交換機均支持IP ACL 和MAC ACL,每種ACL 分別支持標准格式和擴展格式。標准格式的ACL 根據源地址和上層協議類型進行過濾,擴展格式的ACL 根據源地址、目的地址以及上層協議類型進行過濾,異詞檢查偽裝MAC 地址的幀。
5、禁止網路介面做ARP 解析
在相對系統中禁止某個網路介面做ARP 解析(對抗ARP欺騙攻擊),可以做靜態ARP 協議設置(因為對方不會響應ARP 請求報義)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如:Unix , NT 等,都可以結合「禁止相應網路介面做ARP 解析」和「使用靜態ARP 表」的設置來對抗ARP 欺騙攻擊。而Linux 系統,其靜態ARP 表項不會被動態刷新,所以不需要「禁止相應網路介面做ARP 解析」,即可對抗ARP 欺騙攻擊。
6、使用硬體屏蔽主機
設置好你的路由,確保IP 地址能到達合法的路徑。( 靜態配置路由ARP 條目),注意,使用交換集線器和網橋無法阻止ARP 欺騙。
7、定期檢查ARP緩存
管理員定期用響應的IP 包中獲得一個rarp 請求, 然後檢查ARP 響應的真實性。定期輪詢, 檢查主機上的ARP 緩存。使用防火牆連續監控網路。注意有使用SNMP 的情況下,ARP 的欺騙有可能導致陷阱包丟失。
技巧一則
址的方法個人認為是不實用的,首先, 這樣做會加大網路管理員的工作量,試想,如果校園網內有3000個用戶,網路管理員就必須做3000 次埠綁定MAC 地址的操作,甚至更多。其次, 網路管理員應該比較清楚的是, 由於網路構建成本的原因,接入層交換機的性能是相對較弱的, 功能也相對單一一些, 對於讓接入層交換機做地址綁定的工作,對於交換機性能的影響相當大, 從而影響網路數據的傳輸。
建議用戶採用綁定網關地址的方法解決並且防止ARP 欺騙。
1) 首先, 獲得安全網關的內網的MAC 地址。( 以windowsXP 為例)點擊"開始"→"運行", 在打開中輸入cmd。點擊確定後將出現相關網路狀態及連接信息, 然後在其中輸入ipconfig/all,然後繼續輸入arp - a 可以查看網關的MAC 地址。
2) 編寫一個批處理文件rarp.bat( 文件名可以任意) 內容如下:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
將文件中的網關IP 地址和MAC 地址更改為實際使用的網關IP 地址和MAC 地址即可。
3) 編寫完以後, 點擊"文件" →"另存為"。注意文件名一定要是*.bat 如arp.bat 保存類型注意要選擇所有類型。點擊保存就可以了。最後刪除之前創建的"新建文本文檔"就可以。
4) 將這個批處理軟體拖到"windows- - 開始- - 程序- - 啟動"中, ( 一般在系統中的文件夾路徑為C:\Documents and Settings\All Users\「開始」菜單\ 程序\ 啟動) 。
5) 最後重新啟動一下電腦就可以。
靜態ARP 表能忽略執行欺騙行為的ARP 應答, 我們採用這樣的方式可以杜絕本機受到ARP 欺騙包的影響。對於解決ARP 欺騙的問題還有多種方法: 比如通過專門的防ARP 的軟體, 或是通過交換機做用戶的入侵檢測。前者也是個針對ARP欺騙的不錯的解決方案, 但是軟體的設置過程並不比設置靜態ARP 表簡單。後者對接入層交換機要求太高, 如果交換機的性能指標不是太高, 會造成比較嚴重的網路延遲, 接入層交換機的性能達到了要求, 又會使網路安裝的成本提高。
在應對ARP 攻擊的時候,除了利用上述的各種技術手段,還應該注意不要把網路安全信任關系建立在IP 基礎上或MAC 基礎上,最好設置靜態的MAC->IP 對應表,不要讓主機刷新你設定好的轉換表,除非很有必要,否則停止使用ARP,將ARP 做為永久條目保存在對應表中。
Ⅱ 網管型交換機、路由器一般都設置什麼功能
CISCO和H3C 的命令事完全不一樣的。沒什麼相同的地方。
交換機
高性能IPv4/IPv6雙棧協議多層交換
高背板帶寬為所有的埠提供非阻塞性能;
硬體支持IPv4/IPv6雙協議棧多層線速交換,硬體區分和處理IPv4、IPv6協議報文,支持多種Tunnel隧道技術(如手工配置隧道、6to4隧道和 ISATAP隧道等等,可根據IPv6網路的需求規劃和網路現狀,提供靈活的IPv6網路間通信方案;
雙協議棧的支持和處理,使得無需改變網路架構,即可將現有網路無縫地升級為下一代IPv6方案;
豐富完善的路由性能和超大容量路由表資源可滿足大型網路動態路由需要;
基於LPM硬體路由轉發方式使得RG-S3760系列不僅適用於大型網路環境,而且可防禦各種網路病毒的侵襲,保障所有報文線速轉發,有效保證了設備的安全性。
靈活完備的安全控制策略
具有的多種內在機制可以有效防範和控制病毒傳播和黑客攻擊,如預防Dos攻擊、防黑客IP掃描機制、埠ARP報文的合法性檢查、多種硬體ACL策略等,還網路一片綠色;
業界領先的硬體CPU保護機制:特有的CPU保護策略(CPP技術),對發往CPU的數據流,進行流區分和優先順序隊列分級處理,並根據需要實施帶寬限速,充分保護CPU不被非法流量佔用、惡意攻擊和資源消耗,保障了CPU安全,充分保護了交換機的安全;
硬體實現埠或交換機整機與用戶IP地址和MAC地址的靈活綁定,嚴格限定埠上的用戶接入或交換機整機上的用戶接入問題;
專用的硬體防範ARP網關和ARP主機欺騙功能,有效遏制了網路中日益泛濫的ARP網關欺騙和ARP主機欺騙的現象,保障了用戶的正常上網;
SSH(Secure Shell)和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息,保證管理設備信息的安全性,防止黑客攻擊和控制設備;
控制非法用戶使用網路,保證合法用戶合理化使用網路,如多元素綁定、埠安全、時間ACL、基於數據流的帶寬限速等,滿足企業網、校園網加強對訪問者進行控制、限制非授權用戶通信的需求。
強大的多應用支持能力
支持各種單播和組播動態路由協議,可適應不同的網路規模和需要進行大量多播服務的環境,實現網路的可擴展和多業務應用;
支持IGMPv1/v2/v3全部版本,適應不同組播環境,滿足組播安全應用的需要;
支持豐富的路由協議如等價路由、權重路由等豐富的三層特性和業務特性,滿足不同網路鏈路規劃下的通信需要。
完善的QoS策略
以DiffServ標准為核心的QoS保障系統,支持802.1P、IP TOS、二到七層流過濾、SP、WRR等完整的QoS策略,實現基於全網系統多業務的QoS邏輯;
具備MAC流、IP流、應用流等多層流分類和流控制能力,實現精細的流帶寬控制、轉發優先順序等多種流策略,支持網路根據不同的應用、以及不同應用所需要的服務質量特性,提供服務。
高可靠性
支持生成樹協議802.1d、802.1w、802.1s,完全保證快速收斂,提高容錯能力,保證網路的穩定運行和鏈路的負載均衡,合理使用網路通道,提供冗餘鏈路利用率;
支持VRRP虛擬路由器冗餘協議,有效保障網路穩定;
支持RLDP,可快速檢測鏈路的通斷和光纖鏈路的單向性,並支持埠下的環路檢測功能,防止埠下因私接Hub等設備形成的環路而導致網路故障的現象。
方便易用易管理
RG-S3760-24靈活復用的千兆介面形式,可靈活滿足需要多個千兆鏈路上鏈、或多個千兆伺服器的連接,方便用戶靈活選擇和網路擴展;
RG-S3760-12SFP/GT的SFP和電口任意選用的架構設計,可選配多種規格千兆介面模塊,支持千兆銅纜、單/多模光纖介面模塊的混合配置,支持模塊熱插拔,極大方便用戶靈活配置和擴展網路;
網路時間協議保證交換機時間的准確性,並與網路中時間伺服器時間統一化,方便日誌信息和流量信息的分析、故障診斷等管理;
Syslog方便各種日誌信息的統一收集、維護、分析、故障定位、備份,便於管理員網路維護和管理;
CLI界面,方便高級用戶配置和使用;
Java-based Web管理方式,實現對交換機的可視化圖形界面管理,快速和高效地配置設備。
路由器
高數據處理能力
採用先進的PowerPC 通訊專用處理器,2G帶寬的PCI匯流排技術,包轉發延遲小,高效的數據處理能力支持高密度埠,保證在高速環境下的網路應用。
高匯聚能力
R3740可以同時插4個NM-1CPOS-STM1模塊,每個模塊提供63路的2M接入,最多可以達到252路2M的接入。
主控板固化2個10/100/1000M快速乙太網口,光口電口可選
主控板卡上固化兩個10/100/1000M快速乙太網口,可以根據實際情況,選擇光口或者電口模塊,在不購買任何模塊的情況下,便可以實現寬頻互聯。
主控板可以拔插、更換,今後可以通過升級主控板升級路由器。
高可靠性
關鍵部件熱插拔:所有電源、風扇都支持熱插拔功能,充分滿足網路維護、升級、優化的需求;
支持鏈路備份、路由備份等多種方式的備份技術,提高整個網路的可靠性;
支持VRRP熱備份協議,實現線路和設備的冗餘備份。
RPS冗餘電源支持。
模塊化結構設計
RG-R3740具有4個網路/語音模塊插槽,支持種類豐富、功能齊全、高密度的網路/語音模塊,可實現更多的組合應用。
良好的語音支持功能
支持G.711、G.723、G.729等多種語音編碼格式,支持H.323協議棧,可以和多家VOIP廠商的設備互通;
支持實時傳真功能;
支持語音網守功能。
良好的VPN功能
支持IPSec的VPN功能;
支持GRE的VPN功能;
支持L2TP/PPTP的VPDN應用;
在NAT應用下,支持L2TP/PPTP的穿透功能。
完善的QoS策略
支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等擁塞管理排隊策略;
支持WRED、RED的擁塞避免策略;
支持GTS流量整形策略;
支持CAR流量監管策略;
支持CTCP、CRTP等提高鏈路效率的QOS策略;
支持設置語音數據包優先順序,可以為中小型企業提供滿足要求的、高性價比的多功能服務平台。
高安全性
完善的防火牆技術,支持基於源目的IP、協議、埠以及時間段的訪問列表控制策略;
支持IP與MAC地址的綁定,有效防止IP地址的欺騙;
支持認證、授權、記錄用戶信息的AAA認證技術,支持Radius認證協議;
支持動態路由協議中的路由信息認證技術,保證動態路由網路中路由信息的安全和可靠;
支持PPP協議中的PAP、CHAP認證及回撥技術;
方便易用易管理
採用標准CLI界面,操作更簡單;
支持SNMP協議,配置文件的TFTP上傳下載,方便網路管理;
支持Telnet/Console,方便的實現遠程管理和控制;
多樣的在線升級,為將來的功能擴展預留空間;
產品型號
RG-R3740
固定埠(主控板)
1個Console埠
1個AUX埠
2個10/100/1000M自適應快速乙太網口
2個SFP光模塊插槽(支持千兆乙太網,與電口只能2選1)
主控板插槽
1個主控板卡插槽
模塊插槽
4個網路/語音模塊插槽
內部AIM插槽
1個
存儲模塊
Nor-Flash:2M
Nand-Flash:預設32M,可以擴展到96M
DDR-RAM:預設512M,最大1G
CPU
PowerPC通訊專用處理器
報文轉發能力
600Kpps-1.2Mpps
可用模塊
NM-2FE-TX :2埠10Base-T/100Base-TX快速乙太網介面模塊
NM-2HAS:2埠高速同非同步串口模塊
NM-4HAS:4埠高速同非同步串口模塊
NM-8A:8埠非同步串口模塊
NM-16A:16埠非同步串口模塊
NM-2cE1:2埠可拆分通道化cE1模塊
NM-4cE1:4埠可拆分通道化cE1模塊
NM-1B-S/T:1埠ISDN模塊(S/T介面)
NM-1B-U:1埠ISDN模塊(U介面)
NM-4B-U:4埠ISDN模塊(U介面)
NM- 4FXS:4埠語音模塊(FXS介面)
NM- 8FXS:8埠語音模塊(FXS介面)
NM- 4FXO:4埠語音模塊(FXO介面)
NM-1E1V1:E1語音模塊
AIM-VPN:硬體加密模塊
NM-1CPOS-STM1:通道化POS模塊
尺寸(寬 x高x深)
442mm×118mm×410mm,可以上19」標准機櫃
電源
85VAC~265VAC,47Hz~63Hz,支持RPS冗餘電源
整機功率
小於150W
溫度
工作溫度: 0℃ 到 40℃
存儲溫度:-40ºC 到 55ºC
濕度
工作濕度: 10% 到 90% RH
存儲濕度: 5% 到 90% RH
建立運營基礎:搭建一個高速、穩定的網路出口
從底層硬體架構保證:採用1.3GHz /64位RISC高性能專用網路處理器, 512M DDRII內存,支持60萬條超大容量的NAT會話數,內嵌銳捷網路自主研發的RGNOS網路操作平台,提供電信級網路產品的高性能和高穩定性。
重視設備線速轉發能力:包轉發率高達1.5Mpps,可滿足多條百兆/千兆光纖的線速轉發。能夠在遭受千兆DDoS攻擊情況下仍然穩定運行。
關注硬體設計和支持:支持硬體埠鏡像功能,監控口在提供監控功能的同時不影響網路性能,並兼容常見信息監控過濾系統。內置電信級寬頻開關電源,具有防雷、防過壓、防浪涌設計,適應電壓不穩定場合。
雙啟動映像文件:升級過程斷電依然可以自動恢復,讓您升級無憂。
做好運營保障:做好內、外網的安全保護
全方位的ARP防禦體系:通過掃描LAN口和「一鍵靜態綁定」可迅速完成內網的IP/MAC靜態綁定。支持關閉LAN口的MAC地址學習功能,拒絕非法用戶上網。支持「可信任ARP」專利技術,實現動態ARP綁定和靜態ARP綁定的完美結合。可智能驗證ARP信息的真實性,即不需要進行靜態綁定也不會被欺騙,同時還可以分等級顯示存在ARP欺騙行為的主機信息,定位欺騙源。
抗DDoS攻擊應對不正當競爭:具備1000M DDoS攻擊防禦能力。在100M DDoS攻擊下,CPU利用率不高於15%,依然可以實現小包的線速轉發。在1000M DDoS攻擊下,CPU穩定在90%,設備正常轉發。
防內外網攻擊和防IP/埠掃描:可防禦目前幾乎所有類型的攻擊,如:SYN flood,UDP flood,ICMP flood,Smurf/Fraggle攻擊,分片報文攻擊等。同時可記錄攻擊主機的地址信息,定位攻擊源;也可將內網攻擊主機列入黑名單,禁止其上網功能,硬體過濾攻擊報文,不佔用CPU資源。
硬體防病毒:通過添加規則過濾病毒報文,支持自動檢測沖擊波和震盪波病毒。可識別並阻斷機器狗病毒的中毒過程,同時顯示試圖訪問帶毒網站的主機信息和帶毒網站的IP地址。NBR系列路由器是業內唯一徹底阻斷機器狗病毒的路由器。
訪問控制/過濾:支持標准和擴展ACL(訪問控制列表),可根據指定的IP地址范圍、埠范圍進行數據包的檢測和過濾,支持專家ACL和時間ACL。支持域名過濾,阻斷對非法、惡意網站的訪問,健康上網。
業務提升關鍵:定製的智能特性提升用戶上網體驗
靈活的內外網應用:3個千兆WAN口實現多ISP線路接入,光電復用口滿足運營商多種形態線路接入。VRRP熱備份協議和基於Ping/DNS的線路檢測,實現多台設備、多條寬頻線路的負載均衡和線路備份。電信、網通自動選路功能,實現「電信數據自動走電信線路,網通數據自動走網通線路」。支持南方、北方選路策略,實用效果更好。
彈性帶寬、智能限速:可針對全網、單個IP或IP段進行上傳下載速率的分別彈性限制。彈性帶寬功能會根據網路帶寬的實時使用情況,按照設定的方式自動為每台在線PC智能分配最佳帶寬。在網路繁忙的時候自動抑制佔用大帶寬的下載流量,保證網路不卡、不慢;在網路空閑的時候允許用戶進行高速下載,充分利用網路資源,增強上網體驗。
網路游戲硬體加速:通過對游戲埠和報文大小的雙重識別,可為游戲報文劃分高優先順序的綠色通道,時刻保證快速游戲體驗。
其他特性:支持GRE的VPN功能。支持L2TP/PPTP的VPDN應用。NAT應用下,支持L2TP/PPTP的穿透功能。
網路管理利器:智能聯動控制、全web管理和監控見面
支持「智能聯動」專利技術:在NBR的WEB界面上就可對全網交換機(銳捷系列安全交換機)進行統一管理配置。核心/接入交換機自動完成埠安全策略配置和全網PC的IP/MAC/埠三元素綁定,硬體過濾ARP欺騙、DDoS攻擊等非法報文,完美解決內網完全問題。
高可用性的全WEB界面:獨有的管理頁面與監控頁面分開設計,實現許可權分離;在一個監控頁面下集中顯示了介面流量、IP流量、ARP綁定、NAT會話數、系統日誌等信息,並可按上傳速率、下載速率和IP地址對IP流量進行排序,輕鬆了解網路運行狀況;提供系統事件告警頁面和中文日誌,快速定位網路故障。
針對高級用戶,還提供命令行配置模式,實現更深入更細致的功能應用,體驗RGNOS操作平台強大的路由特性。
技術參數
參數描述
產品型號
RG-NBR3000
固化WAN埠
2個10/100M/1000M光/電復用埠(Combo)
1個10/100M /1000M自適應RJ45埠(Auto MDI/MDIX)
固化LAN埠
5個10/100M/1000M自適應RJ45埠,(Auto MDI/MDIX)
CPU處理器
1.3GHz主頻,64位RISC專業網路處理器
存儲模塊
DDRII:512M
FLASH:512M
BOOTROM:2M
指示燈
每埠:Link/Active(連接/工作)、Speed(速度)
每設備:Power、攻擊告警、系統狀態(飽和/繁忙/正常/空閑)
網路協議
l 支持TCP/IP 協議簇,實現了IP、ICMP、IGMP、TCP和UDP等協議
l 支持多種路由協議:靜態路由、RIP(V1/V2)
l 支持DHCP Relay 、DHCP Server
l 支持PPPoE
l 支持NAT,支持多種NAT ALG,包括FTP、H.323、DNS等
l 支持DDNS
l 支持Ping、Tracert故障檢測
l 支持QoS(PQ、CQ、FIFO、WFQ、CBWFQ等)
l 安全應用:PAP、CHAP、Firewall、ACL、埠鏡像
管理協議
中文WEB配置管理和監控
支持SNMPv1/v2
CLI(Telnet/Console)
TFTP升級和配置文件管理
支持非同步文件傳輸協議X-MODEM 升級方式
網路安全
l 徹底ARP 防攻擊
l 防機器狗病毒
l 防內網攻擊/外網攻擊
l 支持安全地址綁定
l 防止WAN 口Ping
l 防埠掃描攻擊
l 防止分片報文攻擊
l 防止ICMP flood攻擊
l 防止TearDrop攻擊
l 防止Ping of Death
l 防止Land 攻擊
l 防止Smurf/Fraggled攻擊
l 防止Syn Flood
特色功能
支持彈性帶寬(帶寬動態分配,可設置上傳、下載最大速率)
支持基於IP和MAC地址的限速
支持游戲帶寬保證(跑跑卡丁車、魔獸、征途等16種游戲)
支持域名過濾、流量均衡、流量監控
支持對網內設備的聯動管理
外型尺寸(高
×長×寬)
44.4mm×437mm×268mm
輸入電壓
AC: 100~240V 48/60Hz
整機功率
小於30W
參考 http://www.ruijie.com.cn/ProctDetail.aspx?proctid=244#
Ⅲ 入侵防護系統(IPS)的原理
IPS原理
防火牆是實施訪問控制策略的系統,對流經的網路流量進行檢查,攔截不符合安全策略的數據包。入侵檢測技術(IDS)通過監視網路或系統資源,尋找違反安全策略的行為或攻擊跡象,並發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網路流量,但仍然允許某些流量通過,因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數 IDS 系統都是被動的,而不是主動的。也就是說,在攻擊實際發生之前,它們往往無法預先發出警報。而IPS則傾向於提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網路流量中實現這一功能的,即通過一個網路埠接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再通過另外一個埠將它傳送到內部系統中。這樣一來,有問題的數據包,以及所有來自同一數據流的後續數據包,都能在IPS設備中被清除掉。
IPS工作原理
IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器,能夠防止各種攻擊。當新的攻擊手段被發現之後,IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定製的集成電路,可以深層檢查數據包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊,IPS能夠從數據流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查,不能檢測應用層的內容。防火牆的包過濾技術不會針對每一位元組進行檢查,因而也就無法發現攻擊活動,而IPS可以做到逐一位元組地檢查數據包。所有流經IPS的數據包都被分類,分類的依據是數據包中的報頭信息,如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進,包含惡意內容的數據包就會被丟棄,被懷疑的數據包需要接受進一步的檢查。
針對不同的攻擊行為,IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則,為了確保准確性,這些規則的定義非常廣泛。在對傳輸內容進行分類時,過濾引擎還需要參照數據包的信息參數,並將其解析至一個有意義的域中進行上下文分析,以提高過濾准確性。
過濾器引擎集合了流水和大規模並行處理硬體,能夠同時執行數千次的數據包過濾檢查。並行過濾處理可以確保數據包能夠不間斷地快速通過系統,不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義,因為傳統的軟體解決方案必須串列進行過濾檢查,會導致系統性能大打折扣。
IPS的種類
* 基於主機的入侵防護(HIPS)
HIPS通過在主機/伺服器上安裝軟體代理程序,防止網路攻擊入侵操作系統以及應用程序。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品,因此它們在防範紅色代碼和Nimda的攻擊中,起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為,整體提升主機的安全水平。
在技術上,HIPS採用獨特的伺服器保護途徑,利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下,最大限度地保護伺服器的敏感內容,既可以以軟體形式嵌入到應用程序對操作系統的調用當中,通過攔截針對操作系統的可疑調用,提供對主機的安全防護;也可以以更改操作系統內核程序的方式,提供比操作系統更加嚴謹的安全控制機制。
由於HIPS工作在受保護的主機/伺服器上,它不但能夠利用特徵和行為規則檢測,阻止諸如緩沖區溢出之類的已知攻擊,還能夠防範未知攻擊,防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器操作系統平台緊密相關,不同的平台需要不同的軟體代理程序。
* 基於網路的入侵防護(NIPS)
NIPS通過檢測流經的網路流量,提供對網路系統的安全保護。由於它採用在線連接方式,所以一旦辨識出入侵行為,NIPS就可以去除整個網路會話,而不僅僅是復位會話。同樣由於實時在線,NIPS需要具備很高的性能,以免成為網路的瓶頸,因此NIPS通常被設計成類似於交換機的網路設備,提供線速吞吐速率以及多個網路埠。
NIPS必須基於特定的硬體平台,才能實現千兆級網路流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類:一類是網路處理器(網路晶元),一類是專用的FPGA編程晶元,第三類是專用的ASIC晶元。
在技術上,NIPS吸取了目前NIDS所有的成熟技術,包括特徵匹配、協議分析和異常檢測。特徵匹配是最廣泛應用的技術,具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵,還要檢查當前網路的會話狀態,避免受到欺騙攻擊。
協議分析是一種較新的入侵檢測技術,它充分利用網路協議的高度有序性,並結合高速數據包捕捉和協議分析,來快速檢測某種攻擊特徵。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理,以此分析這些協議的數據包,來尋找可疑或不正常的訪問行為。協議分析不僅僅基於協議標准(如RFC),還基於協議的具體實現,這是因為很多協議的實現偏離了協議標准。通過協議分析,IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高,NIPS不將其作為主要技術。
* 應用入侵防護(AIP)
NIPS產品有一個特例,即應用入侵防護(Application Intrusion Prevention,AIP),它把基於主機的入侵防護擴展成為位於應用伺服器之前的網路設備。AIP被設計成一種高性能的設備,配置在應用數據的網路鏈路上,以確保用戶遵守設定好的安全策略,保護伺服器的安全。NIPS工作在網路上,直接對數據包進行檢測和阻斷,與具體的主機/伺服器操作系統平台無關。
NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高,每一層次的交換機都有可能集成入侵防護功能。
IPS技術特徵
嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包,並對該數據流的剩餘部分進行攔截。
深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截。
入侵特徵庫:高質量的入侵特徵庫是IPS高效運行的必要條件,IPS還應該定期升級入侵特徵庫,並快速應用到所有感測器。
高效處理能力:IPS必須具有高效處理數據包的能力,對整個網路性能的影響保持在最低水平。
IPS面臨的挑戰
IPS 技術需要面對很多挑戰,其中主要有三點:一是單點故障,二是性能瓶頸,三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中,而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設備出現問題,就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉,用戶就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業網路提供的應用。
即使 IPS 設備不出現故障,它仍然是一個潛在的網路瓶頸,不僅會增加滯後時間,而且會降低網路的效率,IPS必須與數千兆或者更大容量的網路流量保持同步,尤其是當載入了數量龐大的檢測特徵庫時,設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS 產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶元)來提高IPS的運行效率。
誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中,如果以每秒需要處理十條警報信息來計算,IPS每小時至少需要處理 36,000 條警報,一天就是 864,000 條。一旦生成了警報,最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善,那麼"誤報"就有了可乘之機,導致合法流量也有可能被意外攔截。對於實時在線的IPS來說,一旦攔截了"攻擊性"數據包,就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分,其結果可想而知,這個客戶整個會話就會被關閉,而且此後該客戶所有重新連接到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。
IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術,二是採用專用硬體加速系統來提高IPS的運行效率。盡管如此,為了避免IPS重蹈IDS覆轍,廠商對IPS的態度還是十分謹慎的。例如,NAI提供的基於網路的入侵防護設備提供多種接入模式,其中包括旁路接入方式,在這種模式下運行的IPS實際上就是一台純粹的IDS設備,NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。
IPS的不足並不會成為阻止人們使用IPS的理由,因為安全功能的融合是大勢所趨,入侵防護順應了這一潮流。對於用戶而言,在廠商提供技術支持的條件下,有選擇地採用IPS,仍不失為一種應對攻擊的理想選擇。