據(jù)2020年上半年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)數(shù)據(jù)分析報(bào)告顯示，惡意程序控制服務(wù)器、拒絕服務(wù)攻擊（DDoS）等網(wǎng)絡(luò)攻擊行為有增無減。時(shí)至今日，網(wǎng)絡(luò)攻擊已經(jīng)成為影響網(wǎng)絡(luò)信息安全、業(yè)務(wù)信息安全的主要因素之一。

網(wǎng)絡(luò)攻擊是指利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對(duì)網(wǎng)絡(luò)系統(tǒng)的軟硬件及其系統(tǒng)數(shù)據(jù)進(jìn)行攻擊的行為。TCP/IP協(xié)議作為網(wǎng)絡(luò)的基礎(chǔ)協(xié)議，從設(shè)計(jì)之初并沒有考慮到網(wǎng)絡(luò)將會(huì)面臨如此多的威脅，導(dǎo)致出現(xiàn)了許多攻擊方法。由于網(wǎng)絡(luò)中的通訊都源于數(shù)據(jù)包，通過對(duì)數(shù)據(jù)包的自動(dòng)采集與解碼分析，可以快速發(fā)現(xiàn)與追溯網(wǎng)絡(luò)攻擊。

TCP/IP協(xié)議

業(yè)界通常將TCP/IP協(xié)議棧劃為四層：即鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。鏈路層主要用來處理數(shù)據(jù)在物理介質(zhì)（如以太網(wǎng)、令牌環(huán)等）的傳輸，實(shí)現(xiàn)網(wǎng)卡接口的網(wǎng)絡(luò)驅(qū)動(dòng)程序；網(wǎng)絡(luò)層采用IP協(xié)議是整個(gè)協(xié)議棧的核心，其主要功能是進(jìn)行數(shù)據(jù)包的選路和轉(zhuǎn)發(fā)，實(shí)現(xiàn)網(wǎng)際互聯(lián)與擁塞控制等；傳輸層為主機(jī)間的應(yīng)用程序提供端到端的通信，該層定義了兩種協(xié)議即TCP與UDP；應(yīng)用層的主要功能是處理應(yīng)用程序的邏輯，比如文件傳輸、名稱查詢和網(wǎng)絡(luò)管理等，位于該層的協(xié)議有基于TCP協(xié)議的FTP文件傳輸協(xié)議、HTTP超文本傳輸協(xié)議和基于UDP協(xié)議的域名服務(wù)DNS等。

（TCP/IP協(xié)議模型層次結(jié)構(gòu)圖）

由于TCP/IP協(xié)議有四層且每一層功能、協(xié)議各不相同，因此針對(duì)不同協(xié)議層攻擊方法也各不相同：

針對(duì)鏈路層的攻擊，主要是對(duì)網(wǎng)絡(luò)硬件和基礎(chǔ)設(shè)施進(jìn)行物理破壞或強(qiáng)行改變路由器路由；IP協(xié)議與ARP協(xié)議是網(wǎng)絡(luò)層最重要的兩個(gè)協(xié)議，針對(duì)網(wǎng)絡(luò)層的攻擊，主要有IP碎片攻擊、ARP欺騙等；由于TCP協(xié)議與UDP協(xié)議是傳輸層最主要的兩個(gè)協(xié)議，因此針對(duì)傳輸層的攻擊非常多，包括DOS攻擊等；而應(yīng)用層的協(xié)議是整個(gè)協(xié)議棧最多的，因此針對(duì)該層的攻擊數(shù)量極為龐大，常見的如DNS欺騙等。

ARP攻擊

ARP（Address Resolution Protocol，地址解析協(xié)議），將網(wǎng)絡(luò)主機(jī)的IP地址解析成MAC地址，每臺(tái)主機(jī)設(shè)備上都擁有一個(gè)ARP緩存（ARP Cache）,通過檢查自己的ARP緩存，然后進(jìn)行判斷（如果有，可以直接映射；如果無，可以廣播ARP請(qǐng)求包）；之后檢查數(shù)據(jù)包中的目標(biāo)IP地址是否與自己的IP地址一致，如果一致，可以發(fā)送ARP響應(yīng)，告知MAC地址；當(dāng)源節(jié)點(diǎn)在收到ARP響應(yīng)數(shù)據(jù)包后，可以將得到的目標(biāo)主機(jī)IP地址和MAC地址對(duì)映射表項(xiàng)添加至自己的ARP緩存中。

（ARP協(xié)議工作原理）

ARP攻擊就是通過偽造IP地址和MAC地址來實(shí)現(xiàn)ARP欺騙，通過在網(wǎng)絡(luò)中制造大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊，因此ARP攻擊通常也被稱作ARP欺騙。

盡管ARP攻擊僅能在以太網(wǎng)進(jìn)行且門檻很低，造成的影響卻很大，比如會(huì)出現(xiàn)斷網(wǎng)攻擊、流量被限、賬號(hào)被盜等情況。網(wǎng)絡(luò)運(yùn)維可以采取ARP防御機(jī)制，比如通過在交換機(jī)部署網(wǎng)絡(luò)鏡像，抓取可疑數(shù)據(jù)包分析，也可以結(jié)合DHCP偵聽、IP源防護(hù)等技術(shù)，維護(hù)網(wǎng)絡(luò)安全。

DoS攻擊

TCP協(xié)議是基于流的方式，面向連接的可靠通信方式，可以在網(wǎng)絡(luò)不佳的情況下降低系統(tǒng)由于重傳帶來的帶寬開銷。具體來說，TCP連接的建立過程需要經(jīng)歷三個(gè)步驟，每一步同時(shí)連接發(fā)送端與接收端，俗稱“三次握手”：發(fā)送端發(fā)出SYN包，進(jìn)入SYN_SENT狀態(tài)，表明計(jì)劃連接的服務(wù)器端口以及初始序號(hào)，等待接收端確認(rèn)；接收端收到SYN包，發(fā)送SYN_ACK，對(duì)發(fā)送端進(jìn)行確認(rèn)，進(jìn)入SYN_RECV狀態(tài)；發(fā)送端收到SYN_ACK包，向接收端發(fā)送ACK，雙方連接建立完成。

（TCP的三次握手）

由于TCP協(xié)議是面向連接的傳輸控制協(xié)議，因此DoS攻擊的主要目的就是使用戶主機(jī)或網(wǎng)絡(luò)無法接收或處理外界請(qǐng)求。比如通過制造大流量的無用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使被攻擊的主機(jī)無法和外界正常通信；利用重復(fù)連接缺陷，反復(fù)發(fā)送重復(fù)服務(wù)請(qǐng)求，使其無法正常處理其它請(qǐng)求；又或利用協(xié)議缺陷，反復(fù)發(fā)送攻擊數(shù)據(jù)，占用主機(jī)或系統(tǒng)資源，導(dǎo)致死機(jī)等。

簡(jiǎn)單來說，DoS（Denial of Service）拒絕服務(wù)攻擊通常使用數(shù)據(jù)包淹沒本地系統(tǒng)，以打擾或嚴(yán)重阻礙肯幫本地的服務(wù)響應(yīng)外來合法的請(qǐng)求，使本地系統(tǒng)奔潰。SYN flood攻擊是最常見的DoS攻擊類型。攻擊者將自身IP源地址進(jìn)行偽裝，向本地系統(tǒng)發(fā)送TCP連接請(qǐng)求；本地系統(tǒng)回復(fù)SYN-ACK至偽裝地址，導(dǎo)致本地系統(tǒng)收不到RST消息，無法接收ACK回應(yīng)，將一直處于半連接狀態(tài)，直至資源耗盡。攻擊者發(fā)送連接請(qǐng)求速度比TCP超時(shí)釋放資源速度更快，利用反復(fù)連接請(qǐng)求，導(dǎo)致本地服務(wù)無法接收其它連接。解決SYN flood的最好方法就是做好防范策略，通過網(wǎng)絡(luò)性能管理工具，自動(dòng)篩選可疑數(shù)據(jù)包，縮短SYN Timeout時(shí)間，設(shè)置SYN Cookie，為每一個(gè)請(qǐng)求設(shè)置Cookie，如果短時(shí)間內(nèi)收到某個(gè)IP的重復(fù)SYN報(bào)文，就認(rèn)定為攻擊，拋棄該IP地址。

DNS攻擊

IP協(xié)議為了將數(shù)據(jù)信息包從原設(shè)備傳送到目的設(shè)備，需要依賴IP地址與IP路由器。IP地址是機(jī)器語(yǔ)言，通常較長(zhǎng)，所以盡管IP地址具有唯一性，但是不方便記憶與使用，人們便在此基礎(chǔ)上發(fā)明了DNS。DNS（Domain Name System）即域名系統(tǒng)，域名通常較短，兼具可讀性與實(shí)用性。由于域名與IP地址呈一一對(duì)應(yīng)關(guān)系，因此，上網(wǎng)時(shí)只需在地址欄輸入域名，系統(tǒng)會(huì)直接進(jìn)行域名解析，將域名翻譯成IP地址。

在執(zhí)行完域名搜索后，域名服務(wù)器會(huì)保存域名記錄，每條記錄都會(huì)包含域名與IP地址。如果域名服務(wù)器的某條地址被人為修改，那么就可以人為操作用戶的訪問地址，這種行為被稱為“域名劫持”?！坝蛎俪帧钡氖甲髻刚呤怯蛎?wù)器提供商，因此目前解決該問題的有效方法是棄用或換用域名服務(wù)器。

除“域名劫持”外，還有另外一種常見的DNS攻擊叫做“域名污染”或“域名欺騙”。當(dāng)電腦發(fā)送“域名查詢”至域名服務(wù)器后，域名服務(wù)器會(huì)將回應(yīng)發(fā)送回電腦，發(fā)送請(qǐng)求與接收信息是一個(gè)過程，中間會(huì)出現(xiàn)時(shí)間差，網(wǎng)絡(luò)攻擊會(huì)在接收信息前，偽造錯(cuò)誤應(yīng)答至電腦，那么該信息即為錯(cuò)誤IP。

面對(duì)網(wǎng)絡(luò)攻擊，我們除了需要提高安全意識(shí)，積極盡責(zé)地維護(hù)系統(tǒng)，加強(qiáng)防火墻設(shè)置外，還可以通過對(duì)數(shù)據(jù)包進(jìn)行分析進(jìn)而追溯網(wǎng)絡(luò)攻擊。通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集與解碼分析，掌握網(wǎng)絡(luò)中最細(xì)微的變化，針對(duì)網(wǎng)絡(luò)攻擊的特征值或者行為進(jìn)行有效的告警信息配置，可以快速定位網(wǎng)絡(luò)中的攻擊。也可以通過使用具有安全防護(hù)功能的網(wǎng)絡(luò)性能管理工具，譬如天旦網(wǎng)絡(luò)性能管理NPM，支持TCP端口掃描、ARP攻擊與DOS攻擊等可疑數(shù)據(jù)包自動(dòng)分析，實(shí)現(xiàn)自動(dòng)告警，保障數(shù)據(jù)信息的正常傳輸與使用。