眾所周知， 目前國(guó)內(nèi)通信業(yè)的焦點(diǎn)仍有很多， 比如TD-SCDMA和WCDMA之爭(zhēng)， 手機(jī)電視以及各種3G增值業(yè)務(wù)之爭(zhēng)， 牌照之爭(zhēng)， 共享資源減少重復(fù)投資之爭(zhēng)， 諸如此類。 但至少有一點(diǎn)， 在各大運(yùn)營(yíng)商廠商以及研究院學(xué)者之間已經(jīng)達(dá)成了共識(shí)。 那就是今后的所有業(yè)務(wù)都將使用IP網(wǎng)絡(luò)來承載。 實(shí)現(xiàn)真正的AllOverIP。

　　并且隨著3G， IPTV等業(yè)務(wù)離我們的生活越來越近， 全I(xiàn)P網(wǎng)絡(luò)的融合也離我們?cè)絹碓浇��? 全I(xiàn)P承載網(wǎng)絡(luò)給我們帶來了標(biāo)準(zhǔn)化， 高帶寬， 資源共享， 網(wǎng)絡(luò)共享等優(yōu)點(diǎn)的同時(shí)， 也給我們帶來了新的思考和挑戰(zhàn)。 最大的挑戰(zhàn)無非來自于兩個(gè)方面。 IP的服務(wù)質(zhì)量以及IP的網(wǎng)絡(luò)安全。 毫無疑問， 傳統(tǒng)的專網(wǎng)專用的通信網(wǎng)絡(luò)可以提供給用戶穩(wěn)定性更好更安全的業(yè)務(wù)， 帶給了用戶更好的網(wǎng)絡(luò)體驗(yàn)。 使用IP網(wǎng)絡(luò)來承載上層應(yīng)用確實(shí)帶給了我們很多不確定性。 延遲， 丟包， 抖動(dòng)， 不穩(wěn)定性都會(huì)給運(yùn)營(yíng)商的服務(wù)質(zhì)量帶來很大沖擊。 同時(shí)， 針對(duì)IP網(wǎng)絡(luò)的安全攻擊事件也層出不窮。 但從總的趨勢(shì)來看， 全I(xiàn)P承載是大勢(shì)所趨， 利遠(yuǎn)大于弊。 因此我們需要花更多的時(shí)間來關(guān)注服務(wù)質(zhì)量以及IP的網(wǎng)絡(luò)安全。 本文則主要側(cè)重于IP網(wǎng)絡(luò)安全， 從多個(gè)方面進(jìn)行探討。

　　說起網(wǎng)絡(luò)安全， 首先自然要說起網(wǎng)絡(luò)攻擊。 如果沒有網(wǎng)絡(luò)攻擊， 自然天下太平。 而分析起網(wǎng)絡(luò)攻擊， 自然離不開對(duì)黑客的討論。 那么為什么要發(fā)起網(wǎng)絡(luò)攻擊呢？只有切實(shí)了解了黑客發(fā)起網(wǎng)絡(luò)攻擊的動(dòng)機(jī)才能反黑客。 只有消滅了犯罪的根源， 也才能杜絕犯罪， 維護(hù)社會(huì)穩(wěn)定。 下面我們可以先從技術(shù)的角度對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行一個(gè)分類。 按照OSI七層模型來進(jìn)行分類， 可以分為針對(duì)應(yīng)用層的攻擊， 針對(duì)傳輸層的攻擊， 針對(duì)網(wǎng)絡(luò)層的攻擊還有針對(duì)數(shù)據(jù)鏈路層的攻擊。

　　常見的網(wǎng)絡(luò)攻擊

　　針對(duì)數(shù)據(jù)鏈路層的攻擊

　　arp欺騙攻擊

　　ARP協(xié)議用來完成IP地址到MAC地址的轉(zhuǎn)換。 ARP協(xié)議對(duì)網(wǎng)絡(luò)安全具有重要的意義。 通過偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙， 能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞或者實(shí)現(xiàn)“maninthemiddle”進(jìn)行ARP重定向和嗅探攻擊。 目前網(wǎng)絡(luò)上有很多種工具可以完成此類攻擊， 如網(wǎng)絡(luò)執(zhí)法官等。 針對(duì)此類攻擊也有很多種防范措施， 比如MAC地址靜態(tài)綁定， arp智能檢測(cè)等。

　　Mac地址泛洪

　　交換機(jī)主動(dòng)學(xué)習(xí)客戶端的MAC地址， 并建立和維護(hù)端口和MAC地址的對(duì)應(yīng)表以此建立交換路徑， 這個(gè)表就是通常我們所說的MAC地址表。 MAC地址表的大小是固定的， 不同的交換機(jī)的MAC地址表大小不同。 Mac地址泛洪攻擊是指利用工具產(chǎn)生欺騙MAC， 快速填滿MAC地址表， 交換機(jī)MAC地址表被填滿后， 交換機(jī)以廣播方式處理通過交換機(jī)的報(bào)文， 這時(shí)攻擊者可以利用各種嗅探攻擊獲取網(wǎng)絡(luò)信息。 MAC地址表滿了后， 流量以泛洪方式發(fā)送到所有接口， 也就代表TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī)， 會(huì)造成交換機(jī)負(fù)載過大， 網(wǎng)絡(luò)緩慢和丟包甚至癱瘓。 目前主流廠家的中低端交換MAC地址表容量在8K左右， 而使用Dsniff工具可以輕松地在1分鐘內(nèi)產(chǎn)生15萬左右MAC地址沖擊我們的局域網(wǎng)。 而針對(duì)這種類型的攻擊防護(hù)可以在交換機(jī)啟動(dòng)最大MAC地址限制， 端口安全等策略。

　　針對(duì)網(wǎng)絡(luò)層的攻擊

　　針對(duì)路由協(xié)議的攻擊

　　BGP協(xié)議：由于BGP協(xié)議是依賴于TCP的179端口進(jìn)行傳輸， 因此可以很容易的通過掃描工具

　　探測(cè)179端口來判別BGP的存在而實(shí)現(xiàn)攻擊。 同時(shí)， 很多基于TCP的攻擊以及TCP本身暴露出來的協(xié)議漏洞同樣都成為BGP協(xié)議潛在的風(fēng)險(xiǎn)。 如基于TCP的SYNflood攻擊， 序列號(hào)攻擊， 針對(duì)此類攻擊， 可以采用針對(duì)179端口的訪問過濾以及BGP對(duì)等體的MD5認(rèn)證來加以保護(hù)。

　　OSPF協(xié)議：常見的針對(duì)OSPF協(xié)議的攻擊主要有以下幾種。

　　Maxage攻擊。 指的是攻擊者持續(xù)發(fā)送帶有最大maxage(缺省為3600秒)的LSA， 將導(dǎo)致路由器產(chǎn)生刷新信息來發(fā)送這個(gè)LSA， 最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)混亂路由震蕩后以及產(chǎn)生拒絕服務(wù)攻擊。

　　序列號(hào)攻擊。 RFC規(guī)定OSPF通過序列號(hào)來判斷舊的LSA是否需要更新。 當(dāng)攻擊者持續(xù)插入比較大的LSA序列號(hào)報(bào)文時(shí)， 網(wǎng)絡(luò)中的路由器將發(fā)送更新的LSA序列號(hào)報(bào)文來與攻擊者的LSA報(bào)文進(jìn)行競(jìng)爭(zhēng)， 最終導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定。

　　最大序列號(hào)攻擊。 根據(jù)RFC規(guī)定， 當(dāng)LSA的報(bào)文超過最大序列號(hào)0×7FFFFFFF， 需要將此LSA重新初始化在域中進(jìn)行刷新。 當(dāng)攻擊者持續(xù)發(fā)送帶有最大序列號(hào)的LSA報(bào)文到網(wǎng)絡(luò)中時(shí)， 將造成OSPF整個(gè)域的持續(xù)震蕩。

　　ISIS協(xié)議：針對(duì)ISIS協(xié)議的攻擊比較難以實(shí)現(xiàn)， 因?yàn)楸旧鞩SIS的LSP的交互是直接承載于二層的， 而不是由IP包頭來承載的， 因此ISIS協(xié)議本身安全性較高并被大型骨干數(shù)據(jù)網(wǎng)絡(luò)選為IGP協(xié)議的主要原因之一。

　　給予ICMP協(xié)議的攻擊

　　死亡之ping攻擊：即向目的主機(jī)發(fā)送大于64K字節(jié)載荷的報(bào)文， 許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB， 并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后， 要根據(jù)該標(biāo)題頭里包含的信息來為有效載荷生成緩沖區(qū)， 當(dāng)產(chǎn)生畸形的， 聲稱自己的尺寸超過ICMP上限的包也就是加載的尺寸超過64K上限時(shí)， 就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤， 導(dǎo)致TCP/IP堆棧崩潰， 致使接受方當(dāng)機(jī)。 可以通過打系統(tǒng)補(bǔ)丁或防火墻過濾等方法來進(jìn)行保護(hù)。

　　Smurf攻擊：用一臺(tái)PC發(fā)包， 將目的地址改為廣播地址(不一定為255.255.255.255， 也可以是一個(gè)網(wǎng)段的廣播地址如192.168.1.255)， 源地址改為你想要攻擊的那臺(tái)設(shè)備的地址， 這樣所有的設(shè)備都將向這臺(tái)設(shè)備回ACK包。 導(dǎo)致那臺(tái)設(shè)備性能下降。 利用Sniffer就可實(shí)現(xiàn)此類攻擊。 可以通過打系統(tǒng)補(bǔ)丁或防火墻過濾等方法來進(jìn)行保護(hù)。

　　ICMP重定向攻擊：通過偽造ICMP重定向報(bào)文， 使受害設(shè)備的路由表混亂。 可以通過在網(wǎng)關(guān)設(shè)備上關(guān)閉ICMP重定向來進(jìn)行防護(hù)。