資料中心網絡攻擊形态漫談

資料中心面臨着各種各樣的安全問題，網絡安全也是其中重要的一部分。網絡攻擊指針對資料中心網絡部分發起的攻擊，這樣的攻擊往往會造成資料中心應用通路緩慢或者資料丢失等一系列問題。是以，資料中心都會對内部網絡進行全方面的防護，避免網絡部分受到攻擊，一個資料中心的網絡若是癱瘓了，整個資料中心也就停轉了。那麼，針對網絡的攻擊有哪些形式和實作原理呢，本文将總體一下做個知識普及，以便對網絡攻擊有個初步認識。

網絡攻擊可以分為兩種情況：一種是從資料中心外部直接發動攻擊，這種攻擊公開，短平快，迅速達到摧毀資料中心網絡的目的;另一種是從資料中心内部越權操作，這種攻擊隐蔽，長期潛伏在資料中心網絡内部，潛移默化，由量變到質變，最終将資料中心網絡攻陷。兩種攻擊方式，一個表現張揚，另一個表現内斂，而目标都是網絡，隻是操作手法上有所不同而已。從外部發起的攻擊，攻擊速度快，如果資料中心沒能抗住，很快就會被攻陷，而從内部發起的攻擊，速度緩慢，稍有不慎就會被殲滅，在這個過程中網絡有很多機會可以挫敗攻擊。不管是哪種攻擊，要麼是消耗網絡資源，網絡資料無法傳遞，要麼是利用ip協定的缺陷，産生網絡表項紊亂。

網絡資源

資料中心網絡資源包括帶寬、cpu、記憶體緩存、軟體資源等。通過攻擊侵占到這些資源，緻使網絡運轉不正常。比如通過向資料中心網絡注入大量的垃圾流量，将帶寬占滿，正常業務的流量因缺少帶寬，出現擁塞丢包，業務出現異常。此外，可以向網絡注入大量的流量控制封包，造成帶寬擁塞的假象，降低網絡轉發速度，進而使業務流量轉發速率也随之降下來;網絡攻擊有時還會針對網絡裝置發起協定攻擊，引起裝置的cpu升高，尤其是交換機裝置，cpu防攻擊能力都比較弱，cpu主要承擔控制協定的處理，cpu過高就會影響到一些協定封包的正常處理，會造成協定逾時震蕩，嚴重時可以造成裝置無響應，挂起的故障。當資料中心網絡的重要節點被如此攻擊後，将可能導緻整個網絡協定工作不正常，網絡處于不穩定狀态;網絡攻擊有時還會對裝置發起記憶體攻擊，通過大量的網絡連接配接消耗裝置記憶體，導緻裝置記憶體迅速被耗盡，裝置被異常重新開機，導緻網絡業務中斷。有的時候如果裝置存在軟體bug，在一些特定情況下出現記憶體洩露，這一點也有可能被攻擊者所利用，然後觸發裝置的記憶體洩露，一點點将裝置的記憶體消耗光，最終陷入異常;網絡還有很多協定軟體資源，比如tcp端口号或者tcp會話數，通過攻擊去消耗這些網絡資源，最終讓網絡系統走向崩潰，也是一種方法。可見，消耗網絡資源是網絡攻擊的一種非常重要的方式，惡意将網絡資源耗盡，進而觸發網絡異常，緻使資料中心陷入癱瘓。

利用缺陷

以太網協定雖然已經經曆了四十幾年的發展，依然有一些協定漏洞，存在安全性問題，不少網絡攻擊都是利用這些已知缺陷，達到攻陷網絡的目的。這些缺陷包括網絡系統缺陷、軟體漏洞、協定工作機制等等。比如ip分片處理漏洞經常被利用作為攻擊源。ip首部有兩個位元組表示整個ip資料包長度，是以ip資料包最長隻能為0xffff，即65535位元組。如果有意發送總長度超過65535的超大包，一些老系統核心在處理時候就會出現問題 ，導緻崩潰或者拒絕服務。如果ip分片之間偏移量是經過精心構造，一些系統就無法處理，導緻當機。比如ping o'death 、teardrop和jolt2等，原理都是利用發送異常ip分片，如果作業系統的核心在處理分片重組時沒有考慮到所有異常情況，将可能引向異常的流程;針對網絡協定發起的攻擊類型也比較多，七層網絡幾乎都有被攻擊的可能，就連使用最廣的arp協定，都存在協定漏洞，arp欺騙就是其中一種。這是因為在arp緩存表中存在一個缺陷，就是當請求主機收到arp應答包後，不會去驗證自己是否向對方主機發送過arp請求包，就直接把這個傳回包中的ip位址與mac位址的對應關系儲存進arp緩存表中，如果原有相同ip對應關系，原有的則會被替換。arp欺騙通過冒充網關或其他主機使得到達網關或主機的流量通過攻擊進行轉發。通過轉發流量可以對流量進行控制和檢視，進而控制流量或得到機密資訊。還有icmp、tcp、dhcp等大量通用的網絡協定均存在缺陷，這緣于早期進行網絡協定設計的時候并未過多考慮安全性，而是将注意力都放在了互通性上，在後來的ipv6設計中已經将安全作為一項重要因素加以考慮，是以在ipv6協定上安全性得到很大提升。

無論是利用網絡資源，還是協定缺陷，最終都是希望對資料中心網絡造成破壞，這類網絡攻擊預期達到的效果基本都是希望對網絡造成破壞，将資料中心網絡搞癱。很少能從網絡攻擊中擷取機密資料，因為資料中心核心的資料基本都存在于儲存設備中，網絡傳遞過程中的海量資料，一一截取、破譯去獲得機密資料将是一個非常複雜和困難的過程，要從海量資料中找到有價值的資料也非常耗時。是以，網絡攻擊主要希望得到的是破壞性的效果，攻擊性強主要展現在破壞力上。近期，資料中心網絡安全問題逐漸引起了更多人關注，網絡協定标準早就頒布，已不可能做太多改變，資料中心就需要根據網絡攻擊的常用模型，有針對性地做防護，在關鍵位置增加安全防護裝置，保護資料中心脆弱的網絡系統。

本文轉自d1net（轉載）