基于大數據的計算機網絡安全與應對措施分析

檀香超

（中通服網盈科技有限公司 江蘇 南京 210000）

引言

大數據時代常常通過某一個或者幾個特征信息，輸入到電腦軟件中，就能找到該目標的匹配信息。有的時候會使用其他IP地址，從而使被查看人無法進行網絡追蹤，面對這種情況，人們往往只能使用代理IP，但這也恰恰說明人類已經開始走進了一個新的智能化時代：大數據時代[1]。

1 IP地址欺騙攻擊

IP 欺騙攻擊，通常是利用兩臺通信 PC之間的信任來實現的。例如，攻擊者為了進行IP欺騙，首先使被信任關系的主機失去工作能力或阻斷其通信，然后由自己偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應用連接。攻擊者一般會使用SYN洪水攻擊、TTN、Land等進行欺騙攻擊[2-3]。

假設甲與乙兩臺PC正在通信，通過了解TCP/IP協議我們知道，必須要先進行“三次握手”來建立TCP連接。

第一次握手：甲發送SYN包(seq=x)到乙，并進入SYN發送狀態，等待乙確認。第二次握手：乙收到SYN包，必須確認甲的SYN-(ack=x+1)，同時自己也發送一個SYN包(seq=y)，即SYN+ACK包，此時乙進入SYN接收狀態。第三次握手：甲收到乙的SYN+ACK包，向乙發送確認包ACK(ack=y+1)，完成三次握手。

TCP會為每一個連接建立一個ISN，但ISN的變化是有規律的，對于攻擊者來說，一旦掌握了規律，就可以對目標主機進行攻擊，現在很多攻擊軟件就是對ISN進行計算和偽造數據包來實現的，這是因為協議自身的缺陷造成的。

2 防止IP欺騙攻擊的方法

2.1 設置路由

即便攻擊者掌握了攻擊原理，若要實施欺騙攻擊，操作起來是比較困難的，如對序列號的猜測。但也并不是完全沒有可能，一般的攻擊步驟分為：①尋找并發現信任關系；②通過操作，使被信任的主機失去連接目標主機的工作能力；③獲取并偽造TCP數據包，同時找出序列號規律；④攻擊者與目標主機建立連接，并獲取目標主機的權限；⑤進一步提升權限，從而達到控制目標主機的目的[4-5]。

經分析具體IP欺騙攻擊案例發現，通過對防火墻及入侵檢測系統進行有針對性的配置與部署，可以檢測發現并阻止攻擊。但這就涉及到另外一個網絡設備：路由器。在整個網絡體系中，對邊界路由器進行防攻擊配置，過濾掉從外部網絡進入，卻聲明具體內部網絡IP地址的數據包，來保證目標主機的安全。但這樣做有個前提：第一，目標主機IP不可以與外部網絡主機建立信任關系；第二，攻擊者所使用的IP必須來自于外部網絡。因為路由器是用于連接兩個完全不同的網絡組，如果攻擊者來自于內部網絡，那么路由器的設置就會不起作用。

由此可見，通過對路由器進行設置，只能在一定程度上降低目標主機被攻擊的概率，卻不能從根本上解決問題。

2.2 智能化入侵檢測系統

通過對IP欺騙攻擊的步驟進行分析發現，入侵檢測系統通常只是對單個的數據包進行檢測（即一個一個的檢測），在微觀上起到了防止被攻擊的作用，但在宏觀的把握上所有欠缺。如果將入侵檢測系統智能化，可以做到對大量數據包之間的潛在聯系進行分析，同時篩選出可疑的數據包與已掌握的攻擊模式進行對比，若有威脅馬上阻止。

2.3 檢查主機日志

這種辦法比較簡單，但卻很麻煩。它是通過對主機之間的日志一致性進行核對來實現。攻擊者對信任主機進行模擬，并偽裝成信任主機，來對目標主機實施欺騙行為。所以，對兩臺已產生信任關系的主機進行日志檢查，就可以發現數據是否有被偽造。但這只限于局域網環境下使用。

2.4 API網關在網絡安全中的角色

API網關是一個服務器，是整體系統中唯一的一個入口。API網關封裝了系統內部架構，為每個客戶端提供一個定制的API。同時也具有其他的一些作用，如身份驗證、監控、負載均衡、緩存、請求分片與管理、靜態響應處理等，因此它具有一定的防護功能，如果沒有防護，API網關的集成服務基本上是不安全的。當然，API網關是建立在API平臺的架構上，關于API的具體應用和開發，這里不做詳述，只從安全性的角度闡述。

API網關的安全性一般體現在以下幾個方面：①認證授權：OAuth2、OpenID、API Key、IP限制；②傳輸安全：SSL、TLS；③流量控制：配額、過載保護、頻率限制；④威脅防護：防抓站、防撞庫、DDoS/CC防護；⑤編排轉換：服務分組、7層理由、協議格式轉換；⑥監控分析：訪問量實時統計、性能監控、訪問分析；⑦統計計費：針對不同用戶、不同API分組；⑧緩存加速：毫秒級緩存、請求隊列、異步化。

3 結束語

綜上所述，大數據時代的到來，為計算機行業的發展，提供了新的方向，但也對網絡安全提出了更高的要求。本文只是針對IP欺騙攻擊這一個點來分析的。以上防止IP欺騙攻擊的方法各有各的優勢，但也有各自的缺陷。