舒军晓

摘 要：蠕虫的传播对网络的稳定性的影响已经持续了很多年，现在的网络在面对蠕虫洪水般的攻击的时候是非常脆弱的。本文在分析了一种企业网络安全架构的基础上，对基于网络的蠕虫防御和检测的检测技术进行了研究。

关键词：企业级网络 架构 网络蠕虫

一个典型的具有安全域的企业级网络架构，其中包括了路由器、防火墙、入侵检测系统、蜜罐等。网络流从路由器首先到达企业级防火墙，同时激活入侵检测系统（NIDS)，通过NIDS检测后进入企业网络。企业的内部访问网络与外部公共访问的网络是分离的，同时在各自的网络中都部署了蜜罐系统。个人防火墙、黑洞和基于主机的入侵检测和防御系统，但它们在防御针对个人主机的网络攻击方面都是非常必要的。

一、网络路由器

网络路由器能够把数据包从一个网络传输到另一个网络、查看网络数据包、控制数据包的流动。路由器通过新建或更新路由表，能够支持50多个网络协议，比如RIp (Router Information Protocol)和OSPF(Open Shortest path First)等协议。虽然这里没有直接提到路由器的安全功能，但路由器却是企业网络的第一道防线。路由器的访问控制列表用于控制在网络接口处的数据包流动。Cisco公司拥有标准的和拓展的访问控制列表。比如使用以下控制列表的断言:access-list 1 permit host 150.50.1.2，就可以允许IP为150.50.1.2的主机的数据包通过路由器进入网络。拓展的访问控制列表能够设定一些端口的开放与关闭和允许通过路由器的数据流的类型，比如TCP、UDP和ICMP协议的数据流等。如果想让WEB服务器通过80端口向外界开放，可以使用以下断言:aeeess-list 101 permit tcp any host 155.30.40.1eq50。为了防止一些类似SYN洪水的Dos攻击，可以使用IS0的TCP中断功能。

蠕虫在过去的几年中对因特网的稳定性产生了巨大的影响。在路由器级做好防御蠕虫的措施是很有必要的，但是路由器的防御是有限的，蠕虫通常采用专门针对路由器的数据包分段技术来绕过路由器的一些限制。当路由器检查到来的数据包时，整个数据包的头信息被分段到各个小的数据包当中，这会导致设定的访问控制列表对于它们无效。禁止数据包的分段传输对于网络安全可以起到很重要的作用，但分段传输在正常的网络活动中也是很常见的，所以禁止数据包的分段传输会过滤掉一些重要的数据包。

另外一个针对路由器的技术时源地址欺骗技术。这种技术把数据包的源地址设为可信任的区域，比如来自公司的内部网络等。针对这种技术必须仔细考虑网络边界的保护。

二、防火墙的保护

防火墙与路由器在防御功能方面有类似的地方。路由器的主要作用是根据规则路由网络数据包。防火墙的主要作用则是根据预先定义的规则保证访问网络的安全。

对于蠕虫，防火墙能以各种方式抵御蠕虫的感染和网络攻击。最有效的抵御蠕虫的措施是用防火墙关闭系统不需要开放的端口，以及监控从本地主机流向外网的数据流。很多的蠕虫攻击都能通过关闭目标网络端口来防御，但是防火墙和其它软件一样也存在漏洞，有漏洞的防火墙越来越多的成为蠕虫攻击的对象。Witty蠕虫就是利用了Blackke防火墙的漏洞进行了传播，事实上己经在现有的一些防火墙上面发现了漏洞，所以对防火墙的升级和打补丁也是非常重要的。

三、网络入侵检测系统

入侵检测系统(IDS)是一个比较新的研究领域。虽然UNix系统上的一些系统日志、审计记录工具早在20世纪70年代己经有了，但是真正的入侵检测系统只是在20世纪80年代末才开始被研究。到了20世纪90年代中期才开始在市场上出现，作为网络安全产品中的一个重要类型。根据数据来源的不同，入侵检测系统常被分为基于主机的入侵检测系统(Host-based IDs)和基于网络的入侵检测系统(Network-based IDs)。基于主机的入侵检测系统的数据源来自主机，如日志文件、审计记录等。基于网络的入侵检测系统的数据源是网络流量，这是拦截蠕虫发送的精心构造的数据包的重要屏障。基于网络入侵检测系统在网络安全方面起着越来越重要的作用，大致有两种基本的入侵检测系统:基于网络特征码和基于网络流、协议分析的入侵检测系统。一些NIDS会集成这两种技术。

基于网络特征码分析的技术着重在于对网络数据的特征码匹配，即对蠕虫发送的攻击ShenCode进行匹配。基于网络流和协议分析技术的NIDS实际上就是一个启发式引擎。比如，一个大的协议分析模块包含了大多数相关的协议(HTTP、FTP、SMTP等)的内容。

此外，IDS还能够布防在企业的内部主机。一个真正有效的入侵检测系统应该是基于主机和基于网络的混合。所以现在的杀毒软件都或多或少的加入了IDS的功能。入侵检测系统有很大的市场前景。未来的入侵检测系统将会向提高检测速度和准确率、硬件化、专业化、人工智能的应用、互联化、标准化等方向发展。

四、蜜罐技术

本世纪初，蜜罐技术渐渐地发展与成熟起来。它已经在网络安全领域的各个方面都引起了巨大的影响，被认为是带领网络安全防御从被动转为主动的主要技术之一。蜜罐技术的核心思想是通过人为地设置网络陷阱，来诱骗攻击者，使他们将时间和资源都浪费在陷阱上面，并且暴露自己的攻击方法和工具。除此之外，它还能对攻击中的请求做出相应的应答，以进一步欺骗攻击者继续执行，从而获取尽可能多的有关攻击的资料。事后通过对这些资料的分析，可以发现是否有攻击发生，可以得知攻击的整个过程以及攻击中所用到的数据或者文件，可以获取攻击过程中所有用到的技术细节。所以蜜罐技术是一种很好的追踪黑客攻击的手段。◆

参考文献：

[1] 诸葛建伟,叶志远,邹维. 攻击技术分类研究[J]计算机工程, 2005,(21) .

[2] 王方伟,张运凯,王长广,马建峰. 网络蠕虫的扫描策略分析[J]计算机科学, 2007,(08) .