基于Spark的网络安全防御模型
2019-10-09陆洁莹熊焱燊陈威袁浩栋
文/陆洁莹 熊焱燊 陈威 袁浩栋
1 引言
随着科技的日益发展,生活中几乎离不开网络,于是网络安全越来越重要。网络安全防御技术还不够完备,处理速度也有些慢。Spark采用了构建弹性分布数据集(RDD)来提供内存集群计算,将作业输出保存在内存中。极大地提高了处理速率,当今,现有的网络安全与大数据结合的模型大多是与Hadoop技术结合,而Spark比Hadoop更高效、处理速度更快且便捷。随着时间推移,新型恶意攻击层出不穷,过去的防御模型无法应对新型恶意攻击,因此设计新型三层防御模型是必要的。
1.1 设计思想
设计模型的基本思想是在模拟局域网中建立应对内部恶意攻击与外部恶意攻击的三层防御体系,由Spark处理进入局域网的数据流,处理完毕后快速高效地将数据流传递给局域网内部进行应对分析并防御。
1.2 整体模型的构建
在模拟局域网中建立应对内部恶意攻击与外部恶意攻击的三层防御体系,由Spark处理进入局域网的数据流,处理完毕后快速高效地将数据流传递给局域网内部进行应对分析并防御。
局域网遇到攻击后接收到数据流后Spark处理数据流返还防御端进行防御处理的具体模型构建,如图1所示。
图1:整体模型构建图
图2:Spark处理数据速度图
图3:Hadoop处理数据速度图
图4:局域网随机外部攻击测试拓扑图
1.2.1 攻击端模型
本次研究主要研究的两个攻击模型:仿冒DHCP攻击模型、MAC欺骗攻击模型。
伪造DHCP攻击原理是攻击者欺骗客户端,为客户端分配错误的IP地址并提供错误的网关地址等参数。
MAC欺骗攻击理论是交换机的MAC地址列表填满后,接收到的流量数据帧会被泛洪到所有端口。入侵者使用工具将大量无效源MAC地址泛洪到PC上的交换机,并填充交换机MAC地址列表,发起DOS攻击。合法的PC(MAC地址)无法在交换机的CAM列表上注册。目前,许多网络使用交换机作为集线器进行连接。因此,对于由集线器组成的网络,用户很容易在没有安全性的情况下拦截和分析网络攻击。MAC地址欺骗、IP地址欺骗及更高层面的信息骗取等,阻止用户访问Internet和泄露信息。
1.2.2 局域网模型的构建
网络中使用的基础网络设备,本身就能够提供一定的安全特性。这些安全特性在工作网络中的实现不需要特别的硬件设备,只需要在当前设备上进行适当的配置即可,如三层网络安全技术它包含:访问控制列表,ARP表项安全控制等;二层网络安全技术它包含:端口安全(Port Security),DHCP Snooping等;网络设备自身安全它包含:设备登陆安全控制,协议报文认证等。
路由器大量的运算是基于软件的,所以安装合适的软件之后,路由器能够提供很多的安全特性。譬如对ARP表项进行安全控制,可以限制ARP刷新的速度。访问控制列表是网络设备中的基本安全功能,能够根据数据包的五元组进行过滤,也能够利用来对路由协议进行特定的控制。部分防火墙还实现了更多的安全特性,譬如能够像防火墙一样工作,基于连接状态进行数据过滤;也能够提供IPSec接入等功能。
图5:伪造DHCP攻击测试拓扑图
图6:MAC欺骗攻击测试拓扑图
交换机工作在二层,针对二层的攻击,交换机也发展了很多安全特性,譬如端口安全技术防止MAC地址泛洪攻击;DHCP Snooping防止基于DHCP协议的攻击。风暴控制是网络流量异常时候的控制手段。
网络设备运行在网络中,自身也有可能遭受到恶意攻击。譬如网络设备远程登陆的时候,需要进行身份认证,为了提高登陆的安全性,推荐使用SSH/HTTPS等加密协议进行登陆。另外网络设备运行包括路由协议在内的各种协议,为了防止有人利用正常的协议攻击网络,需要在协议中启用邻居认证,面向非合法网络设备的端口关闭协议。
2 仿真结果及分析
2.1 Spark大数据处理端测试
将Spark处理速度与Hadoop处理速度进行测试对比,当Spark与Hadoop处理相同任务时,Spark处理速度显然更快,如图2、图3所示。
2.2 防御端应对随机攻击测试
2.2.1 局域网中随机外部攻击测试
实验原理是攻击者通过我们共同使用的外部网络进行攻击公司内部,我们通过NAT技术使我们内部可以访问外部,而外网却不能访问我们内部的信息,从而到达防御外网的目的。
实验具体过程是我们通过ENSP作为模拟器来实现对外网防御的模拟,外网服务器端的IP地址网段为192.168.2.0/24,内部网段为192.168.1.0/24网段,在没有配置NAT之前,外网的192.168.2.0/24可以轻松访问内部员工1(192.168.1.2)的信息,但是当我们设置了NAT技术后,外部的服务器就不能访问到我们的员工了,而我们的员工1、2还是可以照常访问外网。模拟拓扑结构如图4所示。
测试用例1——局域网随机外部攻击防御测试:
测试1:在公司内部路由器的出接口(图4)不使用NAT地址转换技术,外网是否可以访问到公司的内网。
具体操作:1.直接用外网去ping公司内网的任意一个IP地址;2.用员工1的PC去ping通外网。
结果:1.外网可以ping通到公司的内网;2.员工1的PC可以ping通外网。
结论:外网可以轻松地访问公司内部网络。
测试2:在公司内部路由器(图4)的出接口使用NAT地址转换技术,外网是否可以访问到公司的内网。
具体操作:在公司内部路由器上写下acl规则后,在公司内部路由器的出接口配置NAT地址转换技术后,再执行:1.直接用外网去ping公司内网的任意一个IP地址;2.用员工1的PC去ping通外网。
结果:1.外网不可以ping通到公司的内网;2.员工1的PC可以ping通外网。
结论:我们通过NAT技术使我们内部可以访问外部,而外网却不能访问们内部的信息,从而到达防御外网。
2.2.2 局域网中随机内部攻击测试
局域网的随机内部攻击测试我们选择了伪造DHCP攻击测试和MAC欺骗攻击测试两种。
伪造DHCP攻击测试实验程序是将DHCP Snooping在交换机端口上划分为可信端口(Trusted port)和不可信端口(Untrusted ports),连接到合法DHCP服务器的端口应配置为可信端口,其他端口应配置为不可信端口。交换机从Trusted端口(GE0/0/1)接收到DHCP响应报文(例如DHCP Offer报文、DHCP Ack报文等等)后,转发这些数据包以确保合法的DHCP服务器可以正确分配IP地址并提供其他网络参数。交换机收到Untrusted端口的DHCP响应报文后丢弃这些报文,从而防止伪造DHCP服务器分配IP地址并提供其他网络参数。实验拓扑图,如图5所示。
MAC欺骗攻击测试实验是端口安全通过将接口获取的动态MAC地址转换为安全MAC地址,防止未授权用户通过接口与交换机通信。如果接口上的安全MAC地址数量达到限制,如果源MAC地址不存在,则端口安全认为存在非法用户攻击。将根据配置的操作保护接口。缺省情况下,保护动作是restrict。实验拓扑图如图6所示。
3 结束语
本次研究分析了不同攻击方式的原理及漏洞,构建了防御模型并通过实验达到了较好的结果,通过与Spark大数据处理系统的结合将原有的日志分析的拖延有了良好的改善,由于网络攻击随科技发展层出不穷,新型的攻击越来越多,网络安全防御模型还需要进一步研究和改进。
特别鸣谢姜旭涛同志对本次研究的大力支持及帮助。