数据中心网络攻击形态漫谈
数据中心面临着各种各样的安全问题,网络安全也是其中重要的一部分。网络攻击指针对数据中心网络部分发起的攻击,这样的攻击往往会造成数据中心应用访问缓慢或者数据丢失等一系列问题。所以,数据中心都会对内部网络进行全方面的防护,避免网络部分受到攻击,一个数据中心的网络若是瘫痪了,整个数据中心也就停转了。那么,针对网络的攻击有哪些形式和实现原理呢,本文将总体一下做个知识普及,以便对网络攻击有个初步认识。
网络攻击可以分为两种情况:一种是从数据中心外部直接发动攻击,这种攻击公开,短平快,迅速达到摧毁数据中心网络的目的;另一种是从数据中心内部越权操作,这种攻击隐蔽,长期潜伏在数据中心网络内部,潜移默化,由量变到质变,最终将数据中心网络攻陷。两种攻击方式,一个表现张扬,另一个表现内敛,而目标都是网络,只是操作手法上有所不同而已。从外部发起的攻击,攻击速度快,如果数据中心没能抗住,很快就会被攻陷,而从内部发起的攻击,速度缓慢,稍有不慎就会被歼灭,在这个过程中网络有很多机会可以挫败攻击。不管是哪种攻击,要么是消耗网络资源,网络数据无法传递,要么是利用IP协议的缺陷,产生网络表项紊乱。
网络资源
数据中心网络资源包括带宽、CPU、内存缓存、软件资源等。通过攻击侵占到这些资源,致使网络运转不正常。比如通过向数据中心网络注入大量的垃圾流量,将带宽占满,正常业务的流量因缺少带宽,出现拥塞丢包,业务出现异常。此外,可以向网络注入大量的流量控制报文,造成带宽拥塞的假象,降低网络转发速度,从而使业务流量转发速率也随之降下来;网络攻击有时还会针对网络设备发起协议攻击,引起设备的CPU升高,尤其是交换机设备,CPU防攻击能力都比较弱,CPU主要承担控制协议的处理,CPU过高就会影响到一些协议报文的正常处理,会造成协议超时震荡,严重时可以造成设备无响应,挂起的故障。当数据中心网络的重要节点被如此攻击后,将可能导致整个网络协议工作不正常,网络处于不稳定状态;网络攻击有时还会对设备发起内存攻击,通过大量的网络连接消耗设备内存,导致设备内存迅速被耗尽,设备被异常重启,导致网络业务中断。有的时候如果设备存在软件BUG,在一些特定情况下出现内存泄露,这一点也有可能被攻击者所利用,然后触发设备的内存泄露,一点点将设备的内存消耗光,最终陷入异常;网络还有很多协议软件资源,比如TCP端口号或者TCP会话数,通过攻击去消耗这些网络资源,最终让网络系统走向崩溃,也是一种方法。可见,消耗网络资源是网络攻击的一种非常重要的方式,恶意将网络资源耗尽,从而触发网络异常,致使数据中心陷入瘫痪。
利用缺陷
以太网协议虽然已经经历了四十几年的发展,依然有一些协议漏洞,存在安全性问题,不少网络攻击都是利用这些已知缺陷,达到攻陷网络的目的。这些缺陷包括网络系统缺陷、软件漏洞、协议工作机制等等。比如IP分片处理漏洞经常被利用作为攻击源。IP首部有两个字节表示整个IP数据包长度,所以IP数据包最长只能为0xFFFF,即65535字节。如果有意发送总长度超过65535的超大包,一些老系统内核在处理时候就会出现问题 ,导致崩溃或者拒绝服务。如果IP分片之间偏移量是经过精心构造,一些系统就无法处理,导致死机。比如ping o'death 、teardrop和jolt2等,原理都是利用发送异常IP分片,如果操作系统的内核在处理分片重组时没有考虑到所有异常情况,将可能引向异常的流程;针对网络协议发起的攻击类型也比较多,七层网络几乎都有被攻击的可能,就连使用最广的ARP协议,都存在协议漏洞,ARP欺骗就是其中一种。这是因为在ARP缓存表中存在一个缺陷,就是当请求主机收到ARP应答包后,不会去验证自己是否向对方主机发送过ARP请求包,就直接把这个返回包中的IP地址与MAC地址的对应关系保存进ARP缓存表中,如果原有相同IP对应关系,原有的则会被替换。ARP欺骗通过冒充网关或其他主机使得到达网关或主机的流量通过攻击进行转发。通过转发流量可以对流量进行控制和查看,从而控制流量或得到机密信息。还有ICMP、TCP、DHCP等大量通用的网络协议均存在缺陷,这缘于早期进行网络协议设计的时候并未过多考虑安全性,而是将注意力都放在了互通性上,在后来的IPv6设计中已经将安全作为一项重要因素加以考虑,所以在IPv6协议上安全性得到很大提升。
无论是利用网络资源,还是协议缺陷,最终都是希望对数据中心网络造成破坏,这类网络攻击预期达到的效果基本都是希望对网络造成破坏,将数据中心网络搞瘫。很少能从网络攻击中获取机密数据,因为数据中心核心的数据基本都存在于存储设备中,网络传递过程中的海量数据,一一截取、破译去获得机密数据将是一个非常复杂和困难的过程,要从海量数据中找到有价值的数据也非常耗时。所以,网络攻击主要希望得到的是破坏性的效果,攻击性强主要体现在破坏力上。近期,数据中心网络安全问题逐渐引起了更多人关注,网络协议标准早就颁布,已不可能做太多改变,数据中心就需要根据网络攻击的常用模型,有针对性地做防护,在关键位置增加安全防护设备,保护数据中心脆弱的网络系统。