马文捷
中国民用航空华东地区空中交通管理局 上海市 200335
摘要
本文就目前服务器面临的常见安全威胁做了一个简要的介绍,对相应的攻击的防护方法做了演示。文中所涉及的安全威胁有缓冲区溢出攻击、拒绝服务攻击(DDOS攻击)、Web漏洞SQL注入攻击、ARP攻击和用户密码暴力破解,针对各种攻击的防范,本文以装有Linux Cent OS 7.0的服务器平台进行演示。
。
一、空管设备网络信息化现状
空管系统通道部门目前主要的空管生产运行设备,如自动化监视系统、语音交换系统、记录仪系统等,均不接入互联网,并且这些生产系统均经过深度定制,不会轻易被传统的病毒木马攻克。
上海与外地分局的通讯都需要使用电信服务商的提供的线路,某种意义上并不是“物理隔离”,仍存在非法入侵的突破口。另外,从内部发起的攻击对系统更为致命。华东空管局作为空中交通管制服务重要的公共事业部门,做好网络信息安全的防护非常重要。
二、常见服务器安全威胁及其防范手段
THALES V5自动化系统使用深度定制的Linux系统。本文基于Linux操作系统的服务器分常见的4方面来讨论服务器面临的安全威胁和安全防护,模拟演示通过Cent OS 7.0实现,所述如下。
1.DDoS/DRDoS/CC攻击
典型的DDoS攻击——Syn-flood攻击及防护措施:
如果空管局网站Web服务器和客户机使用TCP/IP协议通讯,服务器80端口监听TCP/IP协议(web服务)。客户机要建立TCP/IP连接,需要通过3次握手机制:客户机首先发出syn数据包请求连接,服务器回应syn ack(syn ack都置1)数据包,客户机再回应ack数据包,连接建立,传输数据。黑客的客户机发出数量极多的syn数据包,服务器端记录请求客户端的IP,数量太多直到达到上限,因此其他用户访问空管局网站时就无法与该服务器建立连接了,这是种协议栈的问题。
应对Syn-flood攻击的一些方法:
1)修改tcp_max_syn_backlog的参数
[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_max_syn_backlog
1024
默认情况下Linux系统储存1024个syn数据包,可以增大该值来扩充系统能够存储的数量。
2)修改tcp_synack_retries的参数
[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_synack_retries
5
默认情况下为5,此参数是TCP/IP连接第二次握手syn ack数据包发送给请求客户端IP后,未收到第三次握手ack数据包时的重发次数。可以改为0,也就是对于一次TCP/IP请求,只发送一次syn ack,如没有回应则终止连接,不进行重试,加快回收资源。
3)SYN Cookie
SYN Cookie是对TCP服务器端的三次握手协议作一些修改,专门用来防范SYN Flood攻击的一种手段。它的原理是,在TCP服务器收到TCP SYN包并返回TCP SYN+ACK包时,不分配一个专门的数据区,而是根据这个SYN包计算出一个cookie值。在收到TCP ACK包时,TCP服务器在根据那个cookie值检查这个TCP ACK包的合法性。如果合法,再分配专门的数据区进行处理未来的TCP连接。
[root@localhost ~]# cat /proc/sys/net/ipv4/tcp_syncookies
1
tcp_syncookies值置1为开启。
2.缓冲溢出
当访问一台服务器,用C语言发送一段特别长的代码,代码长度超出了服务器系统程序的工作区域,如apache程序,使得剩余代码进入了其他区域,如root的工作区域,这时,黑客可能会取得系统最高权限,完全控制整个系统。这种攻击十分难防,特别是对于内核的漏洞,都是黑客高手们喜爱的手法。我们要时常关注系统和应用软件的修复补丁,第一时间安装升级补丁。
3.Web脚本漏洞或SQL注入等
此种攻击十分普遍,门槛不高。一旦入侵,服务器或者服务器上的数据就被控制。
原理:SQL注入通常由于不安全的数据库配置或数据库平台的漏洞所致;或是程序员对输入未进行细致地过滤,从而执行了非法的数据查询。SQL注入的产生原因通常表现在以下几方面:①不当的类型处理;②不安全的数据库配置;③不合理的查询集处理;④不当的错误处理;⑤转义字符处理不合适;⑥多个提交处理不当。
一些防护手段:
1.对用户的输入进行认真的校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等。
2.可以使用参数化的SQL或者直接使用存储过程进行数据查询存取,避免使用动态拼装SQL。
3.为每个应用使用单独的权限有限的数据库连接,不要使用具有管理员权限的数据库连接。
4.对机密信息和敏感的信息加密。
5.使用自定义的错误信息对原始错误信息进行包装2。
4.ARP欺骗攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
识别局域网中是否有ARP欺骗的情况,可使用以下指令:
[root@localhost ~]# arping 192.168.1.101
如果出现一个以上的MAC地址回应,说明网络中存在ARP欺骗。上图只有MAC地址为 08:00:27:E0:02:EB的设备回应,可观察一段时间确认是否存在ARP欺骗。
使用指令:
[root@localhost ~]# arp -s 192.168.1.101 08:00:27:E0:02:EB
绑定所需要的MAC地址,这样就避免ARP木马冒充特定网络设备的问题了。
三、空管数据通讯业务未来的发展展望
IP通信网络技术已经十分成熟,空中交通管理服务将逐渐建立在IP通讯技术上, Thales自动化监视系统就是基于Linux操作系统服务器的架构。民航使用的无线电主要厂商都已推出成熟的数字(软件)无线电,传输方式同样可以基于TCP/IP协议。可以看到未来的自动化监视服务,语音通讯、数据通讯业务等都将全面基于TCP/IP协议,网络信息安全将成为未来民航建设的重要课题,值得我们深入学习研究。
参考文献:
1.从Web的性能测试浅谈如何简单防范CC攻击。泽众软件测试[2013-03-24]
2.SQL注入原理讲解 csdn.[2013-01-21]