緩沖區(qū)溢出攻擊的防范方法

1、緩沖區(qū)溢出攻擊的防范方法2007年第8期福建電腦43緩沖區(qū)溢出攻擊的防范方法巫玲.王新昊(1.西南科技大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院四Jll綿陽(yáng)6210102.山東工商學(xué)院管理科學(xué)與工程學(xué)院山東煙臺(tái)264000)【摘要】:本文首先分析了緩沖區(qū)溢出攻擊的基本原理和常見的兩種攻擊方式:棧溢出和堆溢出,然后介紹了緩沖區(qū)溢出防范的技術(shù).最后提供了緩沖區(qū)溢出攻擊防護(hù)的可行辦法.【關(guān)鍵詞】:緩沖區(qū)溢出;堆溢出;棧溢出;防范緩沖區(qū)溢出漏洞是當(dāng)今最常見和最危險(xiǎn)的一個(gè)安全威脅.CERT(ComputerEmergencyResponseTeam計(jì)算機(jī)應(yīng)急響應(yīng)小組)發(fā)布的軟件安全缺陷大部分和緩沖區(qū)溢出漏洞有關(guān).從198

2、8年的Monis(莫里斯),到2oo1年的CodeRed(紅色代碼),再到2oo3年的SQLSlammer(SQL殺手)和Blaster(沖擊波),再到2004年的Sasser(震蕩波),緩沖區(qū)溢出漏洞被無(wú)數(shù)蠕蟲所利用.也被無(wú)數(shù)攻擊者作為獲取遠(yuǎn)程控制的手段.1.緩沖區(qū)溢出的原理緩沖區(qū)就是程序運(yùn)行時(shí)在內(nèi)存中臨時(shí)存放數(shù)據(jù)的一段空間.這段空間的長(zhǎng)度在程序執(zhí)行前已預(yù)先被定義好了,如果執(zhí)行時(shí)存入的數(shù)據(jù)超過(guò)了預(yù)先定義的長(zhǎng)度.就產(chǎn)生了溢出.溢出的數(shù)據(jù)將覆蓋在原來(lái)的合法數(shù)據(jù)上如果計(jì)算機(jī)不能理解這些溢出數(shù)據(jù),則將引起程序的運(yùn)行失敗,嚴(yán)重的甚至導(dǎo)致系統(tǒng)崩潰;如果這些溢出數(shù)據(jù)是精心設(shè)計(jì)的.則攻擊者就可以利用它們指向

3、預(yù)先設(shè)計(jì)的攻擊代碼(shellcode).緩沖區(qū)溢出產(chǎn)生的根源在于疏忽的編程.c和c+語(yǔ)言出于靈活性考慮并沒(méi)有提供自動(dòng)的邊界檢查.還提供了很多非安全的字符串操作(strpyO,spfintf0,getO:),需要程序員自己進(jìn)行溢出與否的判斷.但這通常被大多數(shù)人所忽略.具有緩沖區(qū)溢出漏洞的程序幾乎完全是用C和C+語(yǔ)言編寫的.因此.下文的分析也主要圍繞著C和C+程序.2.緩沖區(qū)溢出攻擊的方式按照緩沖區(qū)的不同.緩沖區(qū)溢出可以分為兩類:基于棧的緩沖區(qū)溢出和基于堆的緩沖區(qū)溢出2.1棧溢出這是最常見的溢出方式.主要手段是改寫返回地址,幾乎已經(jīng)成了緩沖區(qū)溢出的代名詞棧(stack),即堆棧,是一段連續(xù)的內(nèi)存

4、區(qū)域.可以理餌為數(shù)據(jù)結(jié)構(gòu)中的棧的實(shí)現(xiàn).棧底位于高端地址.當(dāng)程序中的函數(shù)被調(diào)用時(shí),系統(tǒng)先將被調(diào)用函數(shù)所需的參數(shù)以逆序的方式人棧.隨系統(tǒng)不同.還可能壓入一些其他數(shù)據(jù)來(lái)保護(hù)現(xiàn)場(chǎng).然后將返回地址入棧,接著在棧中為該函數(shù)內(nèi)的局部變量分配所需的存儲(chǔ)空間.當(dāng)被調(diào)用的函數(shù)執(zhí)行結(jié)束后.系統(tǒng)就會(huì)釋放掉局部變量所占用的?？臻g.恢復(fù)被保存的運(yùn)行環(huán)境.將程序控制權(quán)交給返回地址上的程序,系統(tǒng)將這個(gè)地址上程序認(rèn)為是原來(lái)被中斷的程序.以原來(lái)的級(jí)別運(yùn)行在這個(gè)內(nèi)存空間分配的過(guò)程中.非靜態(tài)局部變量緩沖區(qū)的分配和填充不是同時(shí)進(jìn)行的,其分配是依據(jù)程序中變量的聲明.面填充則是按照其實(shí)際被賦予的值.這個(gè)過(guò)程中就出現(xiàn)了安全漏洞.雖然理論上棧

5、的空間是從高端內(nèi)存向低端內(nèi)存延伸.但在變量的實(shí)際填充時(shí),操作是從低端地址向高端地址進(jìn)行的.因此,只要實(shí)際填充的數(shù)據(jù)足夠長(zhǎng).就可以將更高端地址空間中的返回地址覆蓋掉當(dāng)然,棧溢出攻擊的實(shí)現(xiàn)不只通過(guò)覆蓋返回地址.也可以覆蓋函數(shù)指針,稱為函數(shù)指針重定向.如果程序中存在一句v0id(p)0聲明了一個(gè)返回值為void函數(shù)指針的變量p,由于函數(shù)指針可以用來(lái)定位任何地址空間.所以攻擊者只需在任何空間內(nèi)的函數(shù)指針附近找到一個(gè)能夠溢出的緩沖區(qū).然后溢出這個(gè)緩沖區(qū)來(lái)改變?cè)摵瘮?shù)指針.以后.當(dāng)程序通過(guò)函數(shù)指針調(diào)用函數(shù)時(shí).程序的流程就將按攻擊者的意圖進(jìn)行.特定情況下,改變指針變量而不是函數(shù)指針也可能取得對(duì)程序執(zhí)行的控制.

6、還存在一種利用長(zhǎng)跳轉(zhuǎn)實(shí)現(xiàn)的棧溢出攻擊.長(zhǎng)跳轉(zhuǎn)是C語(yǔ)言中的一個(gè)異常處理機(jī)制,是一個(gè)簡(jiǎn)單的檢驗(yàn)/恢復(fù)系統(tǒng).稱為setjmp/lonmp,這是C標(biāo)準(zhǔn)庫(kù)的兩個(gè)庫(kù)函數(shù),setjmp函數(shù)用于保存程序的運(yùn)行時(shí)的堆棧環(huán)境.后面通過(guò)調(diào)用longjmp函數(shù)來(lái)恢復(fù)先前被保存的程序堆棧環(huán)境.如同函數(shù)指針,lonjmp能夠指向任何地址空間.攻擊者首先找到一個(gè)可供溢出的緩沖區(qū).覆蓋longimp緩沖區(qū),然后誘導(dǎo)進(jìn)入恢復(fù)模式(如浮點(diǎn)異常),恢復(fù)后就跳轉(zhuǎn)到攻擊代碼上了.溢出的實(shí)現(xiàn)一般需要通過(guò)如下的步驟:(1)測(cè)試溢出點(diǎn)如果程序產(chǎn)生了溢出.而新的返回地址無(wú)效.系統(tǒng)就會(huì)報(bào)告非法操作.如oxaaaaaa引用內(nèi)存0 xbbbbbbb

7、b.該內(nèi)存不能為read.結(jié)合EIP的值就可以判斷是否為溢出的返回地址.通常這都是一個(gè)不斷重復(fù)的過(guò)程.用各種長(zhǎng)度的不同數(shù)據(jù)進(jìn)行測(cè)試.比較系統(tǒng)返回信息,逐步細(xì)化范圍,從而測(cè)算出具體溢出點(diǎn).由于不同的操作系統(tǒng)類型.補(bǔ)丁版本.以及軟件環(huán)境使同一個(gè)溢出漏洞產(chǎn)生的溢出情況不同.而溢出點(diǎn)哪怕計(jì)算錯(cuò)一個(gè)位置,攻擊代碼都不可能被系統(tǒng)執(zhí)行,因此.攻擊者在攻擊前肯定需要掃描被攻擊主機(jī)的具體情況.或者說(shuō).針對(duì)特定緩沖區(qū)溢出漏洞的蠕蟲只會(huì)感染特定的系統(tǒng).(2)構(gòu)造攻擊代碼攻擊者必須嚴(yán)格按照受攻擊系統(tǒng)的相關(guān)匯編指令的格式和規(guī)范來(lái)編寫代碼(3)發(fā)起攻擊攻擊代碼可以是直接放置到破攻擊程序的緩沖區(qū)中.也就是向攻擊程序輸入一個(gè)

8、字符串.這個(gè)字符串包含了可以在這個(gè)硬件平臺(tái)上運(yùn)行的指令序列.此時(shí)一般是將返回地址指向本堆棧棧頂或者先返回到一條iinpesp指令處.當(dāng)然,放置攻擊代碼和緩沖區(qū)溢出不一定要在一次動(dòng)作內(nèi)完成攻擊者可以在另一個(gè)緩沖區(qū)內(nèi)放置代碼.通過(guò)溢出被攻擊程序所在的緩沖區(qū)來(lái)轉(zhuǎn)移該程序的執(zhí)行.另外.攻擊者也可以利用已經(jīng)存在的代碼.Ubc中部分代碼會(huì)執(zhí)行exec(),如WinExecfcmd.exe,SWHIDE);會(huì)打開命令窗口.攻擊者需要做的就是將參數(shù)放置到合適的位置,然后溢出使程序跳轉(zhuǎn)到特定庫(kù)函數(shù)的入口.2.2堆溢出堆不同于數(shù)據(jù)結(jié)構(gòu)中堆的概念,而有些類似于鏈表.棧的分配運(yùn)算內(nèi)置于處理器的指令集中,效率很高.但分

9、配的內(nèi)存容量有限,因此,一些程序員會(huì)調(diào)用C函數(shù)malloc(caUoc/realloc),free,C+的new/delete或者WIN32API函數(shù)HeapAlloe/HeapFree來(lái)動(dòng)態(tài)分配內(nèi)存時(shí),這時(shí)分配的就是堆oleap).堆也常被稱為塊(chunk).堆是從低端地址向高端地址擴(kuò)展的.每個(gè)堆除了分配用戶指定大小的內(nèi)存外.還有一個(gè)管理結(jié)構(gòu).這個(gè)管理結(jié)構(gòu)在堆是空閑或已經(jīng)被分配兩種情況下有一些不同.雙指針只在該堆是空閑的時(shí)候才使用,是一對(duì)分別向前和向后的指針.操作系統(tǒng)就通福建電腦2007年第8期過(guò)雙指針實(shí)現(xiàn)雙向循環(huán)鏈表對(duì)空閑堆加以管理.只有當(dāng)上一個(gè)塊是空閑的.才將本堆的上一塊的字節(jié)數(shù)處的值

10、認(rèn)為是上一塊的大小.規(guī)定每個(gè)堆不能小與16字節(jié),大小必須是8字節(jié)的整數(shù)倍.當(dāng)空閑塊被分配后,會(huì)執(zhí)行unlink操作(從空閑堆的雙向循環(huán)鏈表中脫離),在當(dāng)前塊的字節(jié)處填人數(shù)據(jù)區(qū)字節(jié)數(shù)+8字節(jié)(管理結(jié)構(gòu)的大小)后的值.堆中不存在返回地址.但如果管理結(jié)構(gòu)被覆蓋操作就會(huì)發(fā)生異常.目前幾乎所有的堆溢出攻擊都可以歸結(jié)為通過(guò)unlink操作實(shí)現(xiàn).Unlink操作就是從空閑堆的雙向鏈表中摘除被分配了的堆的操作.與數(shù)據(jù)結(jié)構(gòu)中從雙向鏈表中刪除一個(gè)節(jié)點(diǎn)相同.此時(shí)本應(yīng)該改變前一個(gè)節(jié)點(diǎn)和后一個(gè)節(jié)點(diǎn)指向本節(jié)點(diǎn)的指針的值.但由于前后節(jié)點(diǎn)指針的位置是根據(jù)本節(jié)點(diǎn)指針通過(guò)JJn/減塊的大小計(jì)算的.而當(dāng)塊溢出時(shí).塊的字節(jié)數(shù)將溢出的

11、數(shù)據(jù)也記人了.這樣攻擊者就可以通過(guò)改變數(shù)據(jù)區(qū)的長(zhǎng)度和值來(lái)實(shí)現(xiàn)將任意的數(shù)值寫入任意的地址.攻擊時(shí)Unlink操作除了在下一次maUoc0的時(shí)候執(zhí)行.還可以通過(guò)本塊的free0實(shí)現(xiàn).由于每個(gè)堆大小都是8字節(jié)的整數(shù)倍.因此對(duì)于當(dāng)前塊的大小的數(shù)值來(lái)說(shuō),最后3位是沒(méi)有意義的.最后兩位作為標(biāo)志位.最低位常用P?標(biāo)志,表示前一塊是否是被使用.攻擊者通過(guò)溢出強(qiáng)制將下一塊的P?標(biāo)志設(shè)為0(空閑),在釋放本塊時(shí)就涉及到空閑塊的合并問(wèn)題,需要對(duì)下一塊執(zhí)行unlink操作,從而攻擊者可以改變程序執(zhí)行的流向.3.緩沖區(qū)溢出攻擊的方式3.1源程序檢查3.1.1靜態(tài)檢查這是在不運(yùn)行程序的情況下使用工具檢查程序的全部源代碼.

12、通過(guò)語(yǔ)法分析,溢出條件檢查等方法查找潛在漏洞.最簡(jiǎn)單的靜態(tài)檢查就是grep,使用方便但功能有限.結(jié)果顯示也不夠清晰.Flawfinder,RATS和lint等一般是設(shè)計(jì)了專門的漏洞庫(kù),通過(guò)類型匹配等技術(shù)實(shí)現(xiàn).其中,Flawfinder是免費(fèi)軟件,運(yùn)行比較快,主要針對(duì)RedHatLinux平臺(tái);RATS也是免費(fèi)軟件.分別針對(duì)Linux和Windows平臺(tái)提供了不同版本.通過(guò)XML輸出錯(cuò)誤信息.是可配置的.可以通過(guò)改變配置來(lái)改變輸出的錯(cuò)誤信息的級(jí)別,漏洞庫(kù)也接受用戶的自定義輸入:Lint工具目前分為PCLint和spLint,PCLint是收費(fèi)產(chǎn)品,功能很強(qiáng)大.光選項(xiàng)就有300多個(gè).是很多大型軟件

13、公司的程序檢查工具;spLint也是一個(gè)開源的免費(fèi)產(chǎn)品,提供Unix,Linux,Solaris,Win32等不同版本C語(yǔ)言的靈活性使得有效的靜態(tài)檢查變得困難.漏報(bào),誤報(bào)率高.3.1.2動(dòng)態(tài)測(cè)試也叫做故障注入.通過(guò)人為的隨機(jī)制造一些緩沖區(qū)溢出來(lái)測(cè)試,尋找代碼的安全漏洞.此方法一般工作在靜態(tài)檢查的基礎(chǔ)上,在找到的漏洞處插入專門的故障發(fā)生函數(shù).或者輸入可能溢出的數(shù)據(jù).然后通過(guò)專門的監(jiān)控程序來(lái)監(jiān)測(cè)是否發(fā)生了溢出.由于故障注入的針對(duì)性極強(qiáng),一般通過(guò)人工完成.雖然理論上源程序檢查可以從根本上防止任何緩沖區(qū)溢出的發(fā)生.但是.源程序的難以獲得性限制了源程序檢查作為防護(hù)手段的實(shí)用性.這也是大多數(shù)靜態(tài)檢查工具都

14、基于Unux平臺(tái)的原因.而且.實(shí)際操作中.源程序檢查一般都只能減少緩沖區(qū)溢出的可能,而不能完全消除它的存在.也有人直接建議采用更安全的語(yǔ)言,如iava,但是操作系統(tǒng)和大量已有的程序都是使用C/C+語(yǔ)言的.而且作為Java程序執(zhí)行平臺(tái)的Java虛擬機(jī)使用的也是C語(yǔ)言.同樣會(huì)有緩沖區(qū)溢出的危險(xiǎn)3.2不可執(zhí)行的緩沖區(qū)不可執(zhí)行的緩沖區(qū)就是使堆棧數(shù)據(jù)空問(wèn)中不能執(zhí)行程序這種防范方法一般通過(guò)專門的內(nèi)核補(bǔ)丁的形式實(shí)現(xiàn).也可以通過(guò)硬件實(shí)現(xiàn).要注意的是.這種方法只能防范攻擊者直接將代碼植入緩沖區(qū)的攻擊方式3-3數(shù)組邊界檢查只要數(shù)組不被溢出,溢出攻擊也就無(wú)法實(shí)現(xiàn).數(shù)組邊界檢查就是編譯時(shí)檢查所有的數(shù)組操作,確保對(duì)數(shù)組

15、的操作都在正確的范圍內(nèi).目前C0nlpaq公司的C編譯器和gcc的一個(gè)補(bǔ)丁可以實(shí)現(xiàn)數(shù)組邊界檢查,但這樣的檢查是以犧牲性能為代價(jià)的,而且這些產(chǎn)品還不夠成熟.CompaqC不會(huì)對(duì)指針傳遞的數(shù)組和streDy這樣的不安全函數(shù)進(jìn)行檢查,而gcc補(bǔ)丁還不能編譯復(fù)雜的程序.因此數(shù)組邊界檢查目前還不適合于實(shí)際應(yīng)用.有的程序員直接在調(diào)試程序時(shí)使用pu曲等工具檢查存儲(chǔ)器的存取來(lái)進(jìn)行數(shù)組邊界檢查3I4運(yùn)行時(shí)攔截檢查這是目前殺毒軟件主要采用的方式.主要有兩種實(shí)現(xiàn):一種是不安全函數(shù)檢查.另一種是數(shù)據(jù)完整性檢查,主要優(yōu)點(diǎn)是對(duì)性能影響小.不安全函數(shù)檢查.如libsafe.針對(duì)的是使用C庫(kù)中不安全的函數(shù)編程帶來(lái)的緩沖區(qū)溢出

16、漏洞.一般是在運(yùn)行時(shí)首先攔截所有對(duì)具有緩沖區(qū)溢出風(fēng)險(xiǎn)的庫(kù)函數(shù)的調(diào)用.然后調(diào)用具有邊界檢查功能的相應(yīng)的安全函數(shù)來(lái)完成原功能,如果檢查不通過(guò).就報(bào)警并終止進(jìn)程.但只能防范不安全庫(kù)函數(shù)使用產(chǎn)生的緩沖區(qū)溢出.目前也存在繞過(guò)手段完整性檢查是檢測(cè)程序中的特定數(shù)據(jù)是否被修改了.如返回地址或某個(gè)指針.此保護(hù)方法的一種實(shí)現(xiàn)是在函數(shù)調(diào)用時(shí).保留一份返回地址的副本.在函數(shù)返回前將堆棧中的返回地址與保留的副本進(jìn)行一致性比較.前提和困難之處在于保證副本的安全性.這個(gè)檢查也可以由編譯器實(shí)現(xiàn),Stackguar采取另一種保護(hù)方式:在堆棧內(nèi)的局部變量和返回地址之間附加一些字節(jié).在函數(shù)返回時(shí)先檢查這個(gè)附加的字節(jié)是否發(fā)生了變化為

17、了防止攻擊者在溢出是產(chǎn)生相同的字節(jié)來(lái)跳過(guò)檢測(cè).附加字節(jié)一般采用C語(yǔ)言的終止符號(hào)(如CR,LF等)或者隨機(jī)數(shù).P0intguar進(jìn)一步將這些字節(jié)存放在所有受保護(hù)的數(shù)據(jù)前后.還可以通過(guò)對(duì)地址或指針進(jìn)行加密操作來(lái)實(shí)現(xiàn)數(shù)據(jù)保護(hù).針對(duì)堆溢出.也可以通過(guò)檢查前后鏈表指針是否一致來(lái)判斷是否產(chǎn)生了溢出.上述方法有各自的針對(duì)性和優(yōu)缺點(diǎn).表1進(jìn)行了比較.各種防范技術(shù)可以組合使用.攻擊方式棧溢出tittill疆蓋返函敦f長(zhǎng)詹tttl防范技術(shù)回地址重定向轉(zhuǎn)挫洋檢蠢非執(zhí)行的埋沖區(qū)敦ii1邊界檢盤運(yùn)行時(shí)攔截檢蠢表I緩沖區(qū)溢出攻擊防范技術(shù)使用范圍的比較4.日常緩沖區(qū)溢出攻擊防范措施4.1及時(shí)打補(bǔ)丁目前針對(duì)軟件漏洞的攻擊通常

18、的情況是軟件發(fā)行公司,網(wǎng)絡(luò)安全監(jiān)控組織(如CERT)或者個(gè)人發(fā)布某個(gè)軟件存在緩沖區(qū)溢出漏洞.然后才出現(xiàn)大量針對(duì)該漏洞的蠕蟲和攻擊如沖擊波蠕蟲就是在微軟公布其RI)C遠(yuǎn)程緩沖區(qū)溢出漏洞后近一個(gè)月才爆發(fā)的.而微軟在公布漏洞時(shí)同時(shí)就公布了修補(bǔ)該漏洞的補(bǔ)丁.只是用戶沒(méi)有及時(shí)的下載安裝.使沖擊波成了2003年的毒王.可以通過(guò)主機(jī)安全掃描技術(shù)主動(dòng)發(fā)現(xiàn)主機(jī)存在的漏洞,審核系統(tǒng)的安全性.它是通過(guò)記錄系統(tǒng)配置的各項(xiàng)主要參數(shù),將之與安全配置標(biāo)準(zhǔn)庫(kù)進(jìn)行匹配和比較.凡不滿足者即被視為漏洞.針對(duì)windows系統(tǒng)最常用的主機(jī)掃描軟件就是微軟提供的MB.SA,目前是2.0版,提供對(duì)Windows,Office,IIS,S

19、QLServer等軟件的安全和更新掃描.掃描完成后會(huì)用n將存在的漏洞標(biāo)示出來(lái),并提供相應(yīng)的解決方法指導(dǎo)用戶進(jìn)行修補(bǔ).但MBSA只能在Windows2000/XP/2003系統(tǒng)上運(yùn)行.而且沒(méi)有中文版本.4I2反掃描由于不同的操作系統(tǒng)類型,補(bǔ)丁版本,不同的軟件環(huán)境使同一個(gè)漏洞產(chǎn)生的溢出情況都不同,因此,攻擊者(下轉(zhuǎn)第4o頁(yè))福建電腦2007年第8期同的操作系統(tǒng)并預(yù)先設(shè)置些漏洞.以誘攻擊,使黑客們的精力集中在對(duì)蜜罐的攻擊上.一旦攻取又掉如罐中,確保我們的營(yíng)運(yùn)網(wǎng)的安全.隨著研究的深入.現(xiàn)有技術(shù)已達(dá)到將一組研究型蜜罐組成一個(gè)蜜罐網(wǎng).來(lái)搜集黑客的信息,監(jiān)視他們的行動(dòng),從而采取不同的應(yīng)對(duì)策略.蜜罐網(wǎng)在實(shí)現(xiàn)時(shí)

20、常采取以下的技術(shù):.欺騙技術(shù).它構(gòu)建了一個(gè)拷貝的模擬網(wǎng)作為Honeypot,利用端口重定向技術(shù)在工作系統(tǒng)中模擬一個(gè)非端口.將它重定向另一個(gè)Honeypot的IP地址中.信息的捕獲.當(dāng)入侵者進(jìn)入Honeypot以后還要防止逃脫,因此既要控制數(shù)據(jù)流量又要不被入侵者懷疑.及時(shí)地捕獲盡可能多的信息是很重要的.實(shí)時(shí)監(jiān)控.當(dāng)入侵者進(jìn)入Honeypot后及時(shí)發(fā)出警告提示有非法入侵.進(jìn)行實(shí)時(shí)監(jiān)控.網(wǎng)管得到入侵警報(bào)后通過(guò)計(jì)算機(jī)及時(shí)觀察黑客的行動(dòng).并記錄他的相關(guān)行為產(chǎn)品型的蜜罐網(wǎng)可以說(shuō)是一個(gè)真實(shí)運(yùn)行網(wǎng)的拷貝.它完全模擬的仿真,不易被黑客發(fā)現(xiàn).當(dāng)有入侵發(fā)生時(shí)及時(shí)了解和獲得黑客的信息,實(shí)現(xiàn)知己知彼,變被動(dòng)為主動(dòng)地出擊

21、.實(shí)現(xiàn)重點(diǎn)防范.其中可以有系統(tǒng)的自動(dòng)行為,也可有人工參與措施.既實(shí)現(xiàn)了有效的防護(hù).又節(jié)約了成本.21網(wǎng)絡(luò)隔離措施面對(duì)新型網(wǎng)絡(luò)攻擊手段的出現(xiàn)和高安全度網(wǎng)絡(luò)對(duì)安全的特殊需求,全新安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)一網(wǎng)絡(luò)隔離技術(shù)應(yīng)運(yùn)而生.網(wǎng)絡(luò)隔離技術(shù)的目標(biāo)是確保把有害的攻擊隔離.在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下.完成網(wǎng)問(wèn)數(shù)據(jù)的安全交換.網(wǎng)絡(luò)隔離技術(shù)是在原有安全技術(shù)的基礎(chǔ)上發(fā)展起來(lái)的,它彌補(bǔ)了原有安全技術(shù)的不足,突出了自己的優(yōu)勢(shì).網(wǎng)絡(luò)隔離,英文名為NetworkIsolation.主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)(如:TCPP)通過(guò)不可路由的協(xié)議(如:IPX/SPX,NetBEUI等

22、)進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的.由于其原理主要是采用了不同的協(xié)議.所以通常也叫協(xié)議隔離fProtocolIsola.tion).隔離概念是在為了保護(hù)高安全度網(wǎng)絡(luò)環(huán)境的情況下產(chǎn)生的;隔離產(chǎn)品的大量出現(xiàn),也是經(jīng)歷了五代隔離技術(shù)不斷的實(shí)踐和理論相結(jié)合后得來(lái)的第一代隔離技術(shù)一完全的隔離.此方法使得網(wǎng)絡(luò)處于信息孤島狀態(tài),做到了完全的物理隔離,需要至少兩套網(wǎng)絡(luò)和系統(tǒng).更重要的是信息交流的不便和成本的提高.這樣給維護(hù)和使用帶來(lái)了極大的不便.第二代隔離技術(shù)一硬件卡隔離.在客戶端增加一塊硬件卡,客戶端硬盤或其他存儲(chǔ)設(shè)備首先連接到該卡,然后再轉(zhuǎn)接到主板上.通過(guò)該卡能控制客戶端硬盤或其他存儲(chǔ)設(shè)備.而在選擇不同的硬盤時(shí)

23、.同時(shí)選擇了該卡上不同的網(wǎng)絡(luò)接口,連接到不同的網(wǎng)絡(luò).但是.這種隔離產(chǎn)品有的仍然需要網(wǎng)絡(luò)布線為雙網(wǎng)線結(jié)構(gòu).產(chǎn)品存在著較大的安全隱患.第三代隔離技術(shù)一數(shù)據(jù)轉(zhuǎn)播隔離.利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來(lái)實(shí)現(xiàn)隔離,切換時(shí)間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問(wèn)速度.更不支持常見的網(wǎng)絡(luò)應(yīng)用,失去了網(wǎng)絡(luò)存在的意義第四代隔離技術(shù)一空氣開關(guān)隔離.它是通過(guò)使用單刀雙擲開關(guān).使得內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問(wèn)臨時(shí)緩存器來(lái)完成數(shù)據(jù)交換的,但在安全和性能上存在有許多問(wèn)題.第五代隔離技術(shù)一安全通道隔離.此技術(shù)通過(guò)專用通信硬件和專有安全協(xié)議等安全機(jī)制.來(lái)實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換,不僅解決了以前隔離技術(shù)存在的問(wèn)題.并有效地

24、把內(nèi)外部網(wǎng)絡(luò)隔離開來(lái),而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換.透明支持多種網(wǎng)絡(luò)應(yīng)用.成為當(dāng)前隔離技術(shù)的發(fā)展方向要具有高度的自身安全性隔離產(chǎn)品要保證自身具有高度的安全性.至少在理論和實(shí)踐上要比防火墻高一個(gè)安全級(jí)別從技術(shù)實(shí)現(xiàn)上.除了和防火墻一樣對(duì)操作系統(tǒng)進(jìn)行加固優(yōu)化或采用安全操作系統(tǒng)外.關(guān)鍵在于要把外網(wǎng)接口和內(nèi)網(wǎng)接口從一套操作系統(tǒng)中分離出來(lái).也就是說(shuō)至少要由兩套主機(jī)系統(tǒng)組成.一套控制外網(wǎng)接口.另一套控制內(nèi)網(wǎng)接口.然后在兩套主機(jī)系統(tǒng)之間通過(guò)不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換.如此.既便黑客攻破了外網(wǎng)系統(tǒng),仍然無(wú)法控制內(nèi)網(wǎng)系統(tǒng),就達(dá)到了更高的安全級(jí)別.5.小結(jié)網(wǎng)絡(luò)安全不是靠某一項(xiàng)技術(shù)就能很好的維護(hù)的.除了上述討論的新技術(shù)以外,還有數(shù)據(jù)融合,免疫算法等新的技術(shù).相信這些新技術(shù)加上傳統(tǒng)的技術(shù)的合理運(yùn)用可以更好的維護(hù)網(wǎng)絡(luò)的安全,建筑起多層次,相對(duì)安全的網(wǎng)絡(luò)防護(hù)體系.參考文獻(xiàn):1,周學(xué)廣,劉藝,信息安全學(xué))M】,機(jī)械工業(yè)出版社,2003.2,王洪君.網(wǎng)絡(luò)技術(shù)淺析1,計(jì)算機(jī)應(yīng)用,2003.113.吳聞,許容生.構(gòu)建網(wǎng)絡(luò)安全體系的必要措施,網(wǎng)絡(luò)安全,2004.24,StephenNorthcutt.網(wǎng)絡(luò)入侵檢測(cè)程序員分析手冊(cè))M】,人民郵電出版社.2oo1(上接第44頁(yè))在攻擊