Ⅰ 怎么有效拦截ARP攻击
1、*MAC和IP地址
杜绝IP 地址盗用现象。如果是通过代理服务器上网:到代理服务器端让网络管理员把上网的静态IP 地址与所记录计算机的网卡地址进行*。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。这样,就将上网的静态IP 地址192.16.10.4 与网卡地址为00-EO-4C-6C-08-75 的计算机绑定在一起了,即使别人盗用您的IP 地址,也无法通过代理服务器上网。如果是通过交换机连接,可以将计算机的IP地址、网卡的MAC 地址以及交换机端口绑定。
2、修改MAC地址,欺骗ARP欺骗技术
就是假冒MAC 地址,所以最稳妥的一个办法就是修改机器的MAC 地址,只要把MAC 地址改为别的,就可以欺骗过ARP 欺骗,从而达到突破封锁的目的。
3、使用ARP服务器
使用ARP 服务器。通过该服务器查找自己的ARP 转换表来响应其他机器的ARP 广播。确保这台ARP 服务器不被攻击。
4、交换机端口设置
(1)端口保护(类似于端口隔离):ARP 欺骗技术需要交换机的两个端口直接通讯,端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN 资源。同一个交换机的两个端口之间不能进行直接通讯,需要通过转发才能相互通讯。
(2)数据过滤:如果需要对报文做更进一步的控制用户可以采用ACL(访问控制列表)。ACL 利用IP 地址、TCP/UDP 端口等对进出交换机的报文进行过滤,根据预设条件,对报文做出允许转发或阻塞的决定。华为和Cisco 的交换机均支持IP ACL 和MAC ACL,每种ACL 分别支持标准格式和扩展格式。标准格式的ACL 根据源地址和上层协议类型进行过滤,扩展格式的ACL 根据源地址、目的地址以及上层协议类型进行过滤,异词检查伪装MAC 地址的帧。
5、禁止网络接口做ARP 解析
在相对系统中禁止某个网络接口做ARP 解析(对抗ARP欺骗攻击),可以做静态ARP 协议设置(因为对方不会响应ARP 请求报义)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系统中如:Unix , NT 等,都可以结合“禁止相应网络接口做ARP 解析”和“使用静态ARP 表”的设置来对抗ARP 欺骗攻击。而Linux 系统,其静态ARP 表项不会被动态刷新,所以不需要“禁止相应网络接口做ARP 解析”,即可对抗ARP 欺骗攻击。
6、使用硬件屏蔽主机
设置好你的路由,确保IP 地址能到达合法的路径。( 静态配置路由ARP 条目),注意,使用交换集线器和网桥无法阻止ARP 欺骗。
7、定期检查ARP缓存
管理员定期用响应的IP 包中获得一个rarp 请求, 然后检查ARP 响应的真实性。定期轮询, 检查主机上的ARP 缓存。使用防火墙连续监控网络。注意有使用SNMP 的情况下,ARP 的欺骗有可能导致陷阱包丢失。
技巧一则
址的方法个人认为是不实用的,首先, 这样做会加大网络管理员的工作量,试想,如果校园网内有3000个用户,网络管理员就必须做3000 次端口绑定MAC 地址的操作,甚至更多。其次, 网络管理员应该比较清楚的是, 由于网络构建成本的原因,接入层交换机的性能是相对较弱的, 功能也相对单一一些, 对于让接入层交换机做地址绑定的工作,对于交换机性能的影响相当大, 从而影响网络数据的传输。
建议用户采用绑定网关地址的方法解决并且防止ARP 欺骗。
1) 首先, 获得安全网关的内网的MAC 地址。( 以windowsXP 为例)点击"开始"→"运行", 在打开中输入cmd。点击确定后将出现相关网络状态及连接信息, 然后在其中输入ipconfig/all,然后继续输入arp - a 可以查看网关的MAC 地址。
2) 编写一个批处理文件rarp.bat( 文件名可以任意) 内容如下:
@echo off
arp - d
arp - s 192.168.200.1 00- aa- 00- 62- c6- 09
将文件中的网关IP 地址和MAC 地址更改为实际使用的网关IP 地址和MAC 地址即可。
3) 编写完以后, 点击"文件" →"另存为"。注意文件名一定要是*.bat 如arp.bat 保存类型注意要选择所有类型。点击保存就可以了。最后删除之前创建的"新建文本文档"就可以。
4) 将这个批处理软件拖到"windows- - 开始- - 程序- - 启动"中, ( 一般在系统中的文件夹路径为C:\Documents and Settings\All Users\「开始」菜单\ 程序\ 启动) 。
5) 最后重新启动一下电脑就可以。
静态ARP 表能忽略执行欺骗行为的ARP 应答, 我们采用这样的方式可以杜绝本机受到ARP 欺骗包的影响。对于解决ARP 欺骗的问题还有多种方法: 比如通过专门的防ARP 的软件, 或是通过交换机做用户的入侵检测。前者也是个针对ARP欺骗的不错的解决方案, 但是软件的设置过程并不比设置静态ARP 表简单。后者对接入层交换机要求太高, 如果交换机的性能指标不是太高, 会造成比较严重的网络延迟, 接入层交换机的性能达到了要求, 又会使网络安装的成本提高。
在应对ARP 攻击的时候,除了利用上述的各种技术手段,还应该注意不要把网络安全信任关系建立在IP 基础上或MAC 基础上,最好设置静态的MAC->IP 对应表,不要让主机刷新你设定好的转换表,除非很有必要,否则停止使用ARP,将ARP 做为永久条目保存在对应表中。
Ⅱ 网管型交换机、路由器一般都设置什么功能
CISCO和H3C 的命令事完全不一样的。没什么相同的地方。
交换机
高性能IPv4/IPv6双栈协议多层交换
高背板带宽为所有的端口提供非阻塞性能;
硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和 ISATAP隧道等等,可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案;
双协议栈的支持和处理,使得无需改变网络架构,即可将现有网络无缝地升级为下一代IPv6方案;
丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要;
基于LPM硬件路由转发方式使得RG-S3760系列不仅适用于大型网络环境,而且可防御各种网络病毒的侵袭,保障所有报文线速转发,有效保证了设备的安全性。
灵活完备的安全控制策略
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等,还网络一片绿色;
业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全;
硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题;
专用的硬件防范ARP网关和ARP主机欺骗功能,有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网;
SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备;
控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
强大的多应用支持能力
支持各种单播和组播动态路由协议,可适应不同的网络规模和需要进行大量多播服务的环境,实现网络的可扩展和多业务应用;
支持IGMPv1/v2/v3全部版本,适应不同组播环境,满足组播安全应用的需要;
支持丰富的路由协议如等价路由、权重路由等丰富的三层特性和业务特性,满足不同网络链路规划下的通信需要。
完善的QoS策略
以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
支持VRRP虚拟路由器冗余协议,有效保障网络稳定;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。
方便易用易管理
RG-S3760-24灵活复用的千兆接口形式,可灵活满足需要多个千兆链路上链、或多个千兆服务器的连接,方便用户灵活选择和网络扩展;
RG-S3760-12SFP/GT的SFP和电口任意选用的架构设计,可选配多种规格千兆接口模块,支持千兆铜缆、单/多模光纤接口模块的混合配置,支持模块热插拔,极大方便用户灵活配置和扩展网络;
网络时间协议保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;
CLI界面,方便高级用户配置和使用;
Java-based Web管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。
路由器
高数据处理能力
采用先进的PowerPC 通讯专用处理器,2G带宽的PCI总线技术,包转发延迟小,高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用。
高汇聚能力
R3740可以同时插4个NM-1CPOS-STM1模块,每个模块提供63路的2M接入,最多可以达到252路2M的接入。
主控板固化2个10/100/1000M快速以太网口,光口电口可选
主控板卡上固化两个10/100/1000M快速以太网口,可以根据实际情况,选择光口或者电口模块,在不购买任何模块的情况下,便可以实现宽带互联。
主控板可以拔插、更换,今后可以通过升级主控板升级路由器。
高可靠性
关键部件热插拔:所有电源、风扇都支持热插拔功能,充分满足网络维护、升级、优化的需求;
支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性;
支持VRRP热备份协议,实现线路和设备的冗余备份。
RPS冗余电源支持。
模块化结构设计
RG-R3740具有4个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。
良好的语音支持功能
支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多家VOIP厂商的设备互通;
支持实时传真功能;
支持语音网守功能。
良好的VPN功能
支持IPSec的VPN功能;
支持GRE的VPN功能;
支持L2TP/PPTP的VPDN应用;
在NAT应用下,支持L2TP/PPTP的穿透功能。
完善的QoS策略
支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等拥塞管理排队策略;
支持WRED、RED的拥塞避免策略;
支持GTS流量整形策略;
支持CAR流量监管策略;
支持CTCP、CRTP等提高链路效率的QOS策略;
支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。
高安全性
完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制策略;
支持IP与MAC地址的绑定,有效防止IP地址的欺骗;
支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议;
支持动态路由协议中的路由信息认证技术,保证动态路由网络中路由信息的安全和可靠;
支持PPP协议中的PAP、CHAP认证及回拨技术;
方便易用易管理
采用标准CLI界面,操作更简单;
支持SNMP协议,配置文件的TFTP上传下载,方便网络管理;
支持Telnet/Console,方便的实现远程管理和控制;
多样的在线升级,为将来的功能扩展预留空间;
产品型号
RG-R3740
固定端口(主控板)
1个Console端口
1个AUX端口
2个10/100/1000M自适应快速以太网口
2个SFP光模块插槽(支持千兆以太网,与电口只能2选1)
主控板插槽
1个主控板卡插槽
模块插槽
4个网络/语音模块插槽
内部AIM插槽
1个
存储模块
Nor-Flash:2M
Nand-Flash:缺省32M,可以扩展到96M
DDR-RAM:缺省512M,最大1G
CPU
PowerPC通讯专用处理器
报文转发能力
600Kpps-1.2Mpps
可用模块
NM-2FE-TX :2端口10Base-T/100Base-TX快速以太网接口模块
NM-2HAS:2端口高速同异步串口模块
NM-4HAS:4端口高速同异步串口模块
NM-8A:8端口异步串口模块
NM-16A:16端口异步串口模块
NM-2cE1:2端口可拆分通道化cE1模块
NM-4cE1:4端口可拆分通道化cE1模块
NM-1B-S/T:1端口ISDN模块(S/T接口)
NM-1B-U:1端口ISDN模块(U接口)
NM-4B-U:4端口ISDN模块(U接口)
NM- 4FXS:4端口语音模块(FXS接口)
NM- 8FXS:8端口语音模块(FXS接口)
NM- 4FXO:4端口语音模块(FXO接口)
NM-1E1V1:E1语音模块
AIM-VPN:硬件加密模块
NM-1CPOS-STM1:通道化POS模块
尺寸(宽 x高x深)
442mm×118mm×410mm,可以上19”标准机柜
电源
85VAC~265VAC,47Hz~63Hz,支持RPS冗余电源
整机功率
小于150W
温度
工作温度: 0℃ 到 40℃
存储温度:-40ºC 到 55ºC
湿度
工作湿度: 10% 到 90% RH
存储湿度: 5% 到 90% RH
建立运营基础:搭建一个高速、稳定的网络出口
从底层硬件架构保证:采用1.3GHz /64位RISC高性能专用网络处理器, 512M DDRII内存,支持60万条超大容量的NAT会话数,内嵌锐捷网络自主研发的RGNOS网络操作平台,提供电信级网络产品的高性能和高稳定性。
重视设备线速转发能力:包转发率高达1.5Mpps,可满足多条百兆/千兆光纤的线速转发。能够在遭受千兆DDoS攻击情况下仍然稳定运行。
关注硬件设计和支持:支持硬件端口镜像功能,监控口在提供监控功能的同时不影响网络性能,并兼容常见信息监控过滤系统。内置电信级宽频开关电源,具有防雷、防过压、防浪涌设计,适应电压不稳定场合。
双启动映像文件:升级过程断电依然可以自动恢复,让您升级无忧。
做好运营保障:做好内、外网的安全保护
全方位的ARP防御体系:通过扫描LAN口和“一键静态绑定”可迅速完成内网的IP/MAC静态绑定。支持关闭LAN口的MAC地址学习功能,拒绝非法用户上网。支持“可信任ARP”专利技术,实现动态ARP绑定和静态ARP绑定的完美结合。可智能验证ARP信息的真实性,即不需要进行静态绑定也不会被欺骗,同时还可以分等级显示存在ARP欺骗行为的主机信息,定位欺骗源。
抗DDoS攻击应对不正当竞争:具备1000M DDoS攻击防御能力。在100M DDoS攻击下,CPU利用率不高于15%,依然可以实现小包的线速转发。在1000M DDoS攻击下,CPU稳定在90%,设备正常转发。
防内外网攻击和防IP/端口扫描:可防御目前几乎所有类型的攻击,如:SYN flood,UDP flood,ICMP flood,Smurf/Fraggle攻击,分片报文攻击等。同时可记录攻击主机的地址信息,定位攻击源;也可将内网攻击主机列入黑名单,禁止其上网功能,硬件过滤攻击报文,不占用CPU资源。
硬件防病毒:通过添加规则过滤病毒报文,支持自动检测冲击波和震荡波病毒。可识别并阻断机器狗病毒的中毒过程,同时显示试图访问带毒网站的主机信息和带毒网站的IP地址。NBR系列路由器是业内唯一彻底阻断机器狗病毒的路由器。
访问控制/过滤:支持标准和扩展ACL(访问控制列表),可根据指定的IP地址范围、端口范围进行数据包的检测和过滤,支持专家ACL和时间ACL。支持域名过滤,阻断对非法、恶意网站的访问,健康上网。
业务提升关键:定制的智能特性提升用户上网体验
灵活的内外网应用:3个千兆WAN口实现多ISP线路接入,光电复用口满足运营商多种形态线路接入。VRRP热备份协议和基于Ping/DNS的线路检测,实现多台设备、多条宽带线路的负载均衡和线路备份。电信、网通自动选路功能,实现“电信数据自动走电信线路,网通数据自动走网通线路”。支持南方、北方选路策略,实用效果更好。
弹性带宽、智能限速:可针对全网、单个IP或IP段进行上传下载速率的分别弹性限制。弹性带宽功能会根据网络带宽的实时使用情况,按照设定的方式自动为每台在线PC智能分配最佳带宽。在网络繁忙的时候自动抑制占用大带宽的下载流量,保证网络不卡、不慢;在网络空闲的时候允许用户进行高速下载,充分利用网络资源,增强上网体验。
网络游戏硬件加速:通过对游戏端口和报文大小的双重识别,可为游戏报文划分高优先级的绿色通道,时刻保证快速游戏体验。
其他特性:支持GRE的VPN功能。支持L2TP/PPTP的VPDN应用。NAT应用下,支持L2TP/PPTP的穿透功能。
网络管理利器:智能联动控制、全web管理和监控见面
支持“智能联动”专利技术:在NBR的WEB界面上就可对全网交换机(锐捷系列安全交换机)进行统一管理配置。核心/接入交换机自动完成端口安全策略配置和全网PC的IP/MAC/端口三元素绑定,硬件过滤ARP欺骗、DDoS攻击等非法报文,完美解决内网完全问题。
高可用性的全WEB界面:独有的管理页面与监控页面分开设计,实现权限分离;在一个监控页面下集中显示了接口流量、IP流量、ARP绑定、NAT会话数、系统日志等信息,并可按上传速率、下载速率和IP地址对IP流量进行排序,轻松了解网络运行状况;提供系统事件告警页面和中文日志,快速定位网络故障。
针对高级用户,还提供命令行配置模式,实现更深入更细致的功能应用,体验RGNOS操作平台强大的路由特性。
技术参数
参数描述
产品型号
RG-NBR3000
固化WAN端口
2个10/100M/1000M光/电复用端口(Combo)
1个10/100M /1000M自适应RJ45端口(Auto MDI/MDIX)
固化LAN端口
5个10/100M/1000M自适应RJ45端口,(Auto MDI/MDIX)
CPU处理器
1.3GHz主频,64位RISC专业网络处理器
存储模块
DDRII:512M
FLASH:512M
BOOTROM:2M
指示灯
每端口:Link/Active(连接/工作)、Speed(速度)
每设备:Power、攻击告警、系统状态(饱和/繁忙/正常/空闲)
网络协议
l 支持TCP/IP 协议簇,实现了IP、ICMP、IGMP、TCP和UDP等协议
l 支持多种路由协议:静态路由、RIP(V1/V2)
l 支持DHCP Relay 、DHCP Server
l 支持PPPoE
l 支持NAT,支持多种NAT ALG,包括FTP、H.323、DNS等
l 支持DDNS
l 支持Ping、Tracert故障检测
l 支持QoS(PQ、CQ、FIFO、WFQ、CBWFQ等)
l 安全应用:PAP、CHAP、Firewall、ACL、端口镜像
管理协议
中文WEB配置管理和监控
支持SNMPv1/v2
CLI(Telnet/Console)
TFTP升级和配置文件管理
支持异步文件传输协议X-MODEM 升级方式
网络安全
l 彻底ARP 防攻击
l 防机器狗病毒
l 防内网攻击/外网攻击
l 支持安全地址绑定
l 防止WAN 口Ping
l 防端口扫描攻击
l 防止分片报文攻击
l 防止ICMP flood攻击
l 防止TearDrop攻击
l 防止Ping of Death
l 防止Land 攻击
l 防止Smurf/Fraggled攻击
l 防止Syn Flood
特色功能
支持弹性带宽(带宽动态分配,可设置上传、下载最大速率)
支持基于IP和MAC地址的限速
支持游戏带宽保证(跑跑卡丁车、魔兽、征途等16种游戏)
支持域名过滤、流量均衡、流量监控
支持对网内设备的联动管理
外型尺寸(高
×长×宽)
44.4mm×437mm×268mm
输入电压
AC: 100~240V 48/60Hz
整机功率
小于30W
参考 http://www.ruijie.com.cn/ProctDetail.aspx?proctid=244#
Ⅲ 入侵防护系统(IPS)的原理
IPS原理
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数 IDS 系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
IPS工作原理
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2(介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。
IPS的种类
* 基于主机的入侵防护(HIPS)
HIPS通过在主机/服务器上安装软件代理程序,防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防护能够保护服务器的安全弱点不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龙渊服务器核心防护都属于这类产品,因此它们在防范红色代码和Nimda的攻击中,起到了很好的防护作用。基于主机的入侵防护技术可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为,整体提升主机的安全水平。
在技术上,HIPS采用独特的服务器保护途径,利用由包过滤、状态包检测和实时入侵检测组成分层防护体系。这种体系能够在提供合理吞吐率的前提下,最大限度地保护服务器的敏感内容,既可以以软件形式嵌入到应用程序对操作系统的调用当中,通过拦截针对操作系统的可疑调用,提供对主机的安全防护;也可以以更改操作系统内核程序的方式,提供比操作系统更加严谨的安全控制机制。
由于HIPS工作在受保护的主机/服务器上,它不但能够利用特征和行为规则检测,阻止诸如缓冲区溢出之类的已知攻击,还能够防范未知攻击,防止针对Web页面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关,不同的平台需要不同的软件代理程序。
* 基于网络的入侵防护(NIPS)
NIPS通过检测流经的网络流量,提供对网络系统的安全保护。由于它采用在线连接方式,所以一旦辨识出入侵行为,NIPS就可以去除整个网络会话,而不仅仅是复位会话。同样由于实时在线,NIPS需要具备很高的性能,以免成为网络的瓶颈,因此NIPS通常被设计成类似于交换机的网络设备,提供线速吞吐速率以及多个网络端口。
NIPS必须基于特定的硬件平台,才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可以分为三类:一类是网络处理器(网络芯片),一类是专用的FPGA编程芯片,第三类是专用的ASIC芯片。
在技术上,NIPS吸取了目前NIDS所有的成熟技术,包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术,具有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征,还要检查当前网络的会话状态,避免受到欺骗攻击。
协议分析是一种较新的入侵检测技术,它充分利用网络协议的高度有序性,并结合高速数据包捕捉和协议分析,来快速检测某种攻击特征。协议分析正在逐渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理,以此分析这些协议的数据包,来寻找可疑或不正常的访问行为。协议分析不仅仅基于协议标准(如RFC),还基于协议的具体实现,这是因为很多协议的实现偏离了协议标准。通过协议分析,IPS能够针对插入(Insertion)与规避(Evasion)攻击进行检测。异常检测的误报率比较高,NIPS不将其作为主要技术。
* 应用入侵防护(AIP)
NIPS产品有一个特例,即应用入侵防护(Application Intrusion Prevention,AIP),它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备,配置在应用数据的网络链路上,以确保用户遵守设定好的安全策略,保护服务器的安全。NIPS工作在网络上,直接对数据包进行检测和阻断,与具体的主机/服务器操作系统平台无关。
NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高,每一层次的交换机都有可能集成入侵防护功能。
IPS技术特征
嵌入式运行:只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
深入分析和控制:IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。
入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。
高效处理能力:IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
IPS面临的挑战
IPS 技术需要面对很多挑战,其中主要有三点:一是单点故障,二是性能瓶颈,三是误报和漏报。设计要求IPS必须以嵌入模式工作在网络中,而这就可能造成瓶颈问题或单点故障。如果IDS 出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
即使 IPS 设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS必须与数千兆或者更大容量的网络流量保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS 产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。
误报率和漏报率也需要IPS认真面对。在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算,IPS每小时至少需要处理 36,000 条警报,一天就是 864,000 条。一旦生成了警报,最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善,那么"误报"就有了可乘之机,导致合法流量也有可能被意外拦截。对于实时在线的IPS来说,一旦拦截了"攻击性"数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被"尽职尽责"的IPS拦截。
IPS厂商采用各种方式加以解决。一是综合采用多种检测技术,二是采用专用硬件加速系统来提高IPS的运行效率。尽管如此,为了避免IPS重蹈IDS覆辙,厂商对IPS的态度还是十分谨慎的。例如,NAI提供的基于网络的入侵防护设备提供多种接入模式,其中包括旁路接入方式,在这种模式下运行的IPS实际上就是一台纯粹的IDS设备,NAI希望提供可选择的接入方式来帮助用户实现从旁路监听向实时阻止攻击的自然过渡。
IPS的不足并不会成为阻止人们使用IPS的理由,因为安全功能的融合是大势所趋,入侵防护顺应了这一潮流。对于用户而言,在厂商提供技术支持的条件下,有选择地采用IPS,仍不失为一种应对攻击的理想选择。