分布式欺骗空间中实施多重欺骗网络主动防御技术.docVIP

分布式欺骗空间中实施多重欺骗网络主动防御技术摘要：计算机系统及网络的信息安全将是全球所面临的重大挑战之一。基于分布式欺骗空间中实施多重欺骗的网络主动防御技术的实现，对提高网络运行环境的安全性发挥了非常重要的作用。本文首先就分布式欺骗空间中实施多重欺骗的相关问题进行说明，然后就分布式欺骗空间中实施多重欺骗的安全威胁因素进行剖析，最后以H3C IPS网络主动防御系统的应用为例就分布式欺骗空间中实施多重欺骗的网络主动防御技术的实现进行说明。 关键词：分布式；欺骗空间；多重欺骗；网络主动防御技术 中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 05-0000-02 主动防御技术是用软件自动实现了反网络攻击分析判断的功能，有效的克服了传统安全软件无法防御未知恶意网络攻击的弊端，在技术上实现了对各种网络攻击的主动防御。其中基于分布式欺骗空间中的多重欺骗防御技术作为一个十分有效的网络主动防御技术，已经成为当前网络安全行业的研究重点。 一、分布式欺骗空间中实施多重欺骗的相关概念说明 （一）分布式欺骗空间中的多重欺骗的概念 所谓的分布式欺骗空间中的多重欺骗就是在分布式网络系统环境下，通过采取一定的技术措施来使入侵者相信这些错误的信息资源存在有价值的、可利用的安全弱点，从而将其引向这些错误的资源。分布式欺骗空间中的多重欺骗能够显著地增加入侵者的工作量、入侵复杂度以及不确定性，从而使入侵者不知道其进攻是否奏效或成功，进而实现网络安全防御的目的。 （二）分布式欺骗空间中的多重欺骗的主要方式 1.IP欺骗 （1）IP欺骗的原理 对病毒行为规律分析、归纳、总结，并结合反病毒专家判定病毒的经验，提炼成病毒识别规则知识库。模拟专家发现新病毒的机理，通过对各种程序动作的自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定新病毒，达到主动防御的目的。 所谓IP欺骗，无非就是伪造他人的IP地址，其实质就是让一台计算机来扮演另一台计算机，借以达到蒙混过关的目的。 IP欺骗利用了主机之间正常信任关系来发动的。所谓信任关系就是网络上的两台计算机X和Y，Y可以利用远程登录工具，无需要口令验证就可以登录到X主机上，而登录的基础是X对Y主机IP的验证。即X是否对Y的提供服务是基于对主机Y的IP地址的信任。 既然X、Y之间的信任关系是基于IP地址建立起来的，那么假如能够冒充Y的IP地址，就可以使rlogin登录上X，而不需要任何口令的验证，这就是IP欺骗的最根本的理论依据。 （2）IP欺骗的过程 第一、目标主机已选定，比如X。其次，信任模型已被发现，并找到了一个被目标主机信任的主机，比如Y。 第二、一旦发现被信任的主机，为了伪装它，往往要使其丧失工作能力。由于攻击者将要代替真正的被信任主机，所以它必须确保真正被信任的主机不能接收到任何有效的网络数据，否则将会被揭穿。 第三、使得被信任的主机（Y）丧失工作能力后，伪装成被信任的主机，同时建立起与目标主机基于地址验证的应用连接。如果成功，黑客可以使用一种简单的命令放置一个系统后门，以进行非授权操作。 2.DNS欺骗 （1）认识DNS欺骗 DNS欺骗是一种非常复杂的攻击手段。但是它使用起来比IP欺骗要简单一些，所以也比较常见。一个利用DNS欺骗进行攻击的典型案列，是全球著名网络安全销售商RSA Security的网站所遭到的攻击。其实RSA Security网站的主机并没有被入侵，而是RSA的域名被黑客劫持，当用户连上RSA Security时，发现主页被改成了其他的内容。 （2）DNS欺骗的原理 第一、DNS报文只使用一个序列号来进行有效性鉴别，序列号由客户程序设置并由服务器返回结果，客户程序通过它来确定响应与查询是否匹配，这就引入了序列号攻击的危险。 第二、在DNS 应答报文中可以附加信息，该信息可以和所请求的信息没有直接关系，这样，攻击者就可以在应答中随意添加某些信息，指示某域的权威域名服务器的域名及IP，导致在被影响的域名服务器上查询该域的请求都会被转向攻击者所指定的域名服务器上去，从而对网络的完整性构成威胁。 第三、DNS的高速缓存机制，当一个域名服务器收到有关域名和IP的映射信息时，它会将该信息存放在高速缓存中，当再次遇到对此域名的查询请求时就直接使用缓存中的结果而无需重新查询。 二、分布式欺骗空间中实施多重欺骗的安全防范措施 （一）IP欺骗的防范 对于来自网络外部的欺骗，防范的方法很简单，只需要在局域网的对外路由器上加一个限制设置就可以实现了，在路由器的设置里面禁止运行声称来自于网络内部的信息包。