信息網(wǎng)絡(luò)對抗機(jī)制的攻防分析

引言
    信息網(wǎng)絡(luò)對抗作為信息作戰(zhàn)的主要形式之一已獲得了各國廣泛地認(rèn)同，一些西方國家甚至專門組建了網(wǎng)絡(luò)作戰(zhàn)部隊(duì)，組織實(shí)施針對信息網(wǎng)絡(luò)的對抗活動(dòng)。從概念上講，信息網(wǎng)絡(luò)是廣義的，一切能夠?qū)崿F(xiàn)信息傳遞與共享的軟、硬件設(shè)施的集合都可以被稱為信息網(wǎng)絡(luò)。因此，信息網(wǎng)絡(luò)并不完全等同于計(jì)算機(jī)網(wǎng)絡(luò)，傳感器網(wǎng)絡(luò)、短波無線電臺網(wǎng)絡(luò)、電話網(wǎng)等都屬于信息網(wǎng)絡(luò)的范疇。本文所討論的信息網(wǎng)絡(luò)對抗主要涉及計(jì)算機(jī)網(wǎng)絡(luò)，對其他類型的信息網(wǎng)絡(luò)也有一定的普適性。
    信息網(wǎng)絡(luò)（以下簡稱為網(wǎng)絡(luò)〕對抗包括攻擊和防御兩個(gè)方面，本文首先對網(wǎng)絡(luò)對抗機(jī)制進(jìn)行了歸納分，然后討論了各種網(wǎng)絡(luò)防御機(jī)制，重點(diǎn)分析了不同防御機(jī)制中所存在的脆弱性，并提出了相應(yīng)的攻擊機(jī)制。最后，對當(dāng)前網(wǎng)絡(luò)對抗機(jī)制間的攻防關(guān)系進(jìn)行了總結(jié)。
    1、網(wǎng)絡(luò)對抗機(jī)制的分類
    網(wǎng)絡(luò)對抗機(jī)制泛指網(wǎng)絡(luò)攻擊、防御的方式及其各自實(shí)現(xiàn)的策略或過程。網(wǎng)絡(luò)攻防雙方對抗的焦點(diǎn)是信息資源的可用性、機(jī)密性和完整性。目前，網(wǎng)絡(luò)攻擊方式可以說是日新月異，并呈現(xiàn)出智能化、系統(tǒng)化、綜合化的發(fā)展趨勢。而針對不同的網(wǎng)絡(luò)層次和不同的應(yīng)用需求也存在著多種安全防御措施，其中，綜合利用多種防御技術(shù)，以軟、硬件相結(jié)合的方式對網(wǎng)絡(luò)進(jìn)行全方位的防御被看作是網(wǎng)絡(luò)防御的解決方案。通過分析和總結(jié)，本文提出了一種具有普遍意義的網(wǎng)絡(luò)對抗分類體系。我們認(rèn)為，這一分類體系基本涵蓋了當(dāng)前各種類型的網(wǎng)絡(luò)攻擊機(jī)制和防御機(jī)制。
    2、網(wǎng)絡(luò)防御抵抗網(wǎng)絡(luò)攻擊
    2.1 訪問控制
    訪問控制主要是防止未授權(quán)用戶使用網(wǎng)絡(luò)資源，避免網(wǎng)絡(luò)入侵的發(fā)生。主要措施有：
    （1）物理隔離：不接入公用網(wǎng)絡(luò)（如因特網(wǎng)）或采用專用、封閉式的網(wǎng)絡(luò)體系能夠?qū)⑼獠抗粽呔苤W(wǎng)外，從而極大地降低了外部攻擊發(fā)生的可能性。對于一些關(guān)鍵部門或重要的應(yīng)用場合（如戰(zhàn)場通信），物理隔離是一種行之有效的防御手段。
    （2）信號控制接入：直擴(kuò)、跳頻或擴(kuò)跳結(jié)合等信號傳輸方面的安全措施都是相當(dāng)有效的網(wǎng)絡(luò)接入控制手段。
    （3）防火墻是網(wǎng)絡(luò)間互聯(lián)互通的一道安全屏障，它根據(jù)用戶制定的安全策略對網(wǎng)絡(luò)間的相互訪問進(jìn)行限制，從而達(dá)到保護(hù)網(wǎng)絡(luò)的目的。同時(shí)，基于代理技術(shù)的應(yīng)用網(wǎng)關(guān)防火墻還能夠屏蔽網(wǎng)絡(luò)內(nèi)部的配置信息，從而抑制部分網(wǎng)絡(luò)掃描活動(dòng)。充當(dāng)TCP連接中介的防火墻對SYN flood攻擊也有一定的防御作用。
    （4）身份認(rèn)證用于鑒別參與通信的用戶、主機(jī)或某種材料（如數(shù)字證書）的真實(shí)性。通過身份認(rèn)證后，不同的用戶會(huì)被賦予不同的網(wǎng)絡(luò)訪問權(quán)限。身份認(rèn)證是防止欺騙攻擊的有效手段。
    2.2 加密
    加密是對信息進(jìn)行某種形式的變換，使得只有擁有解密信息的用戶才能閱讀原始信息。對信息進(jìn)行加密可以防御網(wǎng)絡(luò)監(jiān)聽，保護(hù)信息的機(jī)密性。同時(shí)，高強(qiáng)度的信息加密技術(shù)極大地抑制了密碼破譯攻擊的成攻實(shí)施，尤其是采取了算法保密等非技術(shù)措施后，企圖采用技術(shù)手段破譯加密系統(tǒng)是極其困難的。另外，加密既可以作為身份認(rèn)證的一種實(shí)現(xiàn)方式，又可以為認(rèn)證安全提供保障，因而在一定程度上也能夠防止欺騙攻擊的發(fā)生。
    網(wǎng)絡(luò)傳輸中一般采取鏈路層加密和網(wǎng)絡(luò)層加密的保護(hù)措施。
    鏈路層加密為相鄰鏈路節(jié)點(diǎn)間的點(diǎn)對點(diǎn)通信提供傳輸安全保證。它首先對欲傳輸?shù)逆溌穾M(jìn)行加密處理，然后由每一中間節(jié)點(diǎn)對所接收的鏈路幀進(jìn)行解密及相應(yīng)的處理操作，如該幀需繼續(xù)傳輸，則使用下一條鏈路的密鑰對消息報(bào)文重新進(jìn)行加密。鏈路層加密又分為鏈路加密和節(jié)點(diǎn)加密兩種。二者的差異在于：鏈路加密對包括源/宿節(jié)點(diǎn)地址信息在內(nèi)的所有傳輸信息都進(jìn)行加密處理，中間節(jié)點(diǎn)必須對鏈路幀完全解密以對用戶報(bào)文進(jìn)行正確的處理，所以用戶消息在中間節(jié)點(diǎn)以明文形式存在。而在節(jié)點(diǎn)加密中，源/宿節(jié)點(diǎn)的地址信息以明文形式傳輸，由一個(gè)與節(jié)點(diǎn)機(jī)相連的安全模塊（被保護(hù)的外圍設(shè)備）負(fù)責(zé)對密文進(jìn)行解密及加密處理，不允許用戶消息在中間節(jié)點(diǎn)以明文形式出現(xiàn)。 　　網(wǎng)絡(luò)層加密也稱作端到端加密，它允許用戶報(bào)文在從源點(diǎn)到終點(diǎn)的傳輸過程中始終以密文形式存在，中間節(jié)點(diǎn)只負(fù)責(zé)轉(zhuǎn)發(fā)操作而不做任何解密處理，所以用戶的信息內(nèi)容在整個(gè)傳輸過程中都受到保護(hù)。同時(shí)，各報(bào)文均獨(dú)立加密，單個(gè)報(bào)文的傳輸錯(cuò)誤不會(huì)影響到后續(xù)報(bào)文。因此對網(wǎng)絡(luò)層加密而言，只要保證源點(diǎn)和終點(diǎn)的安全即可。
    2.3 監(jiān)控
    網(wǎng)絡(luò)防御中的監(jiān)控可分為惡意代碼掃描和入侵檢測兩部分。惡意掃描主要是病毒掃描和后門程序掃描，現(xiàn)有病毒掃描軟件在查殺病毒方面的有效性已得到了公眾的認(rèn)可，是防御惡意代碼攻擊的有力武器。入侵檢測系統(tǒng)主要通過搜集、分析網(wǎng)絡(luò)或主機(jī)系統(tǒng)的信息來識別異常事件的發(fā)生，并會(huì)及時(shí)地報(bào)告、制止各種可能對網(wǎng)絡(luò)或主機(jī)系統(tǒng)造成危害的入侵活動(dòng)。入侵檢測系統(tǒng)可以發(fā)現(xiàn)網(wǎng)絡(luò)掃描活動(dòng)，并對拒絕服務(wù)攻擊的防御起著重要作用。
    2.4 審計(jì)
    審計(jì)是一種事后措施，用以及早地發(fā)現(xiàn)攻擊活動(dòng)、獲得入侵證據(jù)和入侵特征，從而實(shí)現(xiàn)對攻擊的分析和追蹤。建立系統(tǒng)日志是實(shí)現(xiàn)審計(jì)功能的重要手段，它可以記錄系統(tǒng)中發(fā)生的所有活動(dòng)，因此有利于發(fā)現(xiàn)非法掃描、拒絕服務(wù)攻擊及其他可疑的入侵行為。
    3、網(wǎng)絡(luò)攻擊對抗網(wǎng)絡(luò)防御
    3.1 針對訪問控制的攻擊
    首先，采取物理隔離措施的目標(biāo)網(wǎng)絡(luò)構(gòu)成了一個(gè)信息“孤島”，外界很難利用網(wǎng)絡(luò)對其進(jìn)行滲透，只能采用物理摧毀或通過間諜手段將病毒代碼、邏輯炸彈等植入目標(biāo)網(wǎng)絡(luò)。
    其次，就信號控制接入而言，信號截獲、信號欺騙和信號干擾等都是可行的攻擊方式。目前已具備截獲慢速短波跳頻信號、直擴(kuò)信號和定頻信號的能力。針對定頻信號可實(shí)施欺騙攻擊，如能獲取目標(biāo)網(wǎng)絡(luò)的信號傳輸設(shè)備，則對擴(kuò)頻信號進(jìn)行欺騙也具有實(shí)施的可能，WLAN中就常常使用這種方式進(jìn)行網(wǎng)絡(luò)嗅探。當(dāng)然，實(shí)施有效的信號截獲和信號欺騙必須對信號格式有所了解，這個(gè)條件是比較容易滿足的。另外，電磁干擾手段是對付各種電子信號的普遍方式。
    第三，對防火墻控制技術(shù)來說，由于其無法對以隧道方式傳輸?shù)募用軘?shù)據(jù)包進(jìn)行分析，因此可利用偽裝的含有惡意代碼的隧道加密數(shù)據(jù)包繞過防火墻。另外，利用網(wǎng)絡(luò)掃描技術(shù)可以尋找因用戶配置疏忽或其他原因而敞開的網(wǎng)絡(luò)端口，從而以此為突破口對系統(tǒng)進(jìn)行入侵。
    第四，對認(rèn)證技術(shù)來說，基于主機(jī)的認(rèn)證方式大多利用主機(jī)IP地址作為認(rèn)證對象，因而可利用IP地址欺騙等方式對其進(jìn)行攻擊?；谟脩舻恼J(rèn)證方式安全性更高，對其攻擊主要以緩沖區(qū)溢出和報(bào)文截獲分析為主。同時(shí)，密碼破譯也是一種可能的攻擊手段。
    3.2 加密的脆弱性及其攻擊
    3.2.1鏈路層加密的脆弱性及攻擊
    （1）同步問題：鏈路層加密通常用在點(diǎn)對點(diǎn)的同步或異步鏈路中，因而在加密前需要先對鏈路兩端的加密設(shè)備進(jìn)行同步。如果鏈路質(zhì)量較差，就需要頻繁地對加密設(shè)備進(jìn)行同步，從而造成數(shù)據(jù)的丟失或頻繁重傳。
    （2）通信量分析：節(jié)點(diǎn)加密要求鏈路幀的地址信息以明文形式傳輸。以便中間節(jié)點(diǎn)能對其進(jìn)行正確地轉(zhuǎn)發(fā)處理。可以看出，這種處理方式對于通信量分析攻擊是脆弱的。
    （3）節(jié)點(diǎn)的物理安全依賴性：鏈路加密要求消息報(bào)文在中間節(jié)點(diǎn)以明文形式存在，從而增加了傳輸安全對節(jié)點(diǎn)物理安全的依賴性。
    （4）密鑰的分配與管理問題：鏈路層加密大多采用對稱加密技術(shù)，所有密鑰必須安全保存，并按一定的規(guī)則進(jìn)行更新。由于各節(jié)點(diǎn)必須存儲(chǔ)與其連接的所有鏈路的加密密鑰，密鑰的分發(fā)和更新便需要通過物理傳送或建立專用的網(wǎng)絡(luò)設(shè)施來進(jìn)行。對于節(jié)點(diǎn)地理分布廣闊的網(wǎng)絡(luò)而言，這種密鑰分發(fā)與更新的過程非常復(fù)雜，而且密鑰連續(xù)分配的代價(jià)也非常高。
    （5）密碼機(jī)是實(shí)現(xiàn)點(diǎn)對點(diǎn)鏈路傳輸加密的常用設(shè)備，它實(shí)現(xiàn)單點(diǎn)到多點(diǎn)傳輸?shù)某杀痉浅８?，而且其加密?qiáng)度的提高會(huì)對所采用的信道傳輸速率有所限制，或?qū)е螺^高的傳輸誤碼率。