缓冲区溢出攻击 简谈IP欺骗攻击(2)

首先可以采取配置边界路由器的方法，即禁止从外网进入却申明自己具有内部网络IP地址的数据包通过路由器（下图所示）。这样子从外部进行IP欺骗攻击所发出的数据包就会被路由器过滤掉，从而保证目标主机的安全，但是这种方法也有缺陷：首先，如果系统要向外部提供信任关系，则对路由器的配置就会失去作用；其次，如果欺骗入侵是源于网络内部的话，配置路由器根本无济于事。

通过路由器上设置过滤只能减小IP欺骗攻击发生的可能性，而并不能从根本上解决问题。其他减少IP欺骗攻击的方法主要包括：

1）尽量不要采用使用源地址认证的服务系统，实现基于密码的认证。

2）如果一定要允许外部的主机进行信任连接，要在路由器上实现加密的通路。

3）通过改变TCP/IP栈的实现来防止SYN湮没的发生。缓冲区溢出攻击比如说从Linux2.0,3.0以后版本的内核中，当队列将满时，它不再回送一个SYNACK，而是回送一个SYN cookie的回应时，才发送SYNACK。这样一来，等发生攻击时，队列永远不会被填满。但是，对于分布式拒绝服务攻击等新兴攻击方式，要彻底解决类似缓冲区溢出、队列填满以及湮没问题，在系统处理能力有限的情况下，还是无能为力的。对于IP欺骗攻击，最终的解决方法是密码认证机制。在无法从根本上阻止IP欺骗攻击发生的情况下，应当加强对网络的监控，尽早检测到IP欺骗攻击。目前采取如下几个方法：

1）监测网络上的数据包。通过对网络上的数据包进行监控，及时发生IP欺骗攻击的前兆，比如说对信任主机的SYN湮没以及在目标主机上大量连接处于“SYN_RECEIVED”状态等。

2）对照检查本地主机之间的日志是否对应。由于大部分IP欺骗攻击是攻击主机来模拟信任主机，所以通过在相互设置信任关系的主机之间，对照检查日志就可以发现TCP连接是否被伪造。

3）IP欺骗的攻击目标是目标主机，但是信任主机在这一攻击中也起着相当重要的作用。从信任主机来说，如果它能够阻止SYN湮没的情况发生，就会向目标主机发回响应的消息，从而阻止黑客的攻击。

同时，通过提高入侵检测系统的智能化水平，也可以发现一些潜在的攻击威胁。比如，通过对IP欺骗攻击步骤的分析，为入侵检测系统建立一个较高级别的匹配模式，并在局域网上进行了试验。这种模式不同于包过滤防火墙中的数据包模式匹配，而是对大量数据包之间的关系进行分析，发现其中的每一个小的步骤看似平常，但连贯起来看则都是有目的的。对于入侵检测系统，如果还把检测停留在对单个数据包之间的潜在联系进行分析，并将结果与已知攻击模式进行匹配，极大地提高了检测到这些入侵的可能性。

从防范的角度来说，由于从Ipv4到Ipv6的过渡还需要很长的一段时间，所以采用IP安全协议成为目前的主要方法之一。

对于网络安全来说。协议的漏洞往往是最致命的漏洞。IP欺骗攻击正是利用TCP/IP协议本身的漏洞。要从根本上解决这一问题，必须从根本上去除Ipv4中的一些不安全因素。而在目前Ipv4被广泛应用的前提下，对于一些重要的连接必须采取加密技术来防止IP欺骗以及会话劫持攻击。同时，对于入侵检测系统，也要采取一些响应的措施如分布式入侵检测和智能检测技术来发现一些类似的攻击。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-67139-2.html