论文部分内容阅读
【摘要】互联网技术的发展给广播播控中心带来新的机遇的同时,也带来的网络安全问题。本文对集中常见的几种网络攻击手段进行了简单介绍,并针对性地给出了相应的防范措施。全文对常见的网络攻击手段进行了归纳总结,为播控中心今后的网络安全管理工作提供了一些借鉴参考。
【关键词】播控中心;网络安全;安全播出
中图分类号:TN929 文献标识码:A DOI:10.12246/j.issn.1673-0348.2021.16.019
进入21世纪,移动互联网技术高速发展,传统以模拟和数字传播信号为主导的广播播控中心已经逐渐不能适应新时代的发展需求,各地的播控中心纷纷走上全媒体改造之路,网上广播平台,虚拟化平台,全媒体直播平台,云平台等网络化功能的加入使得全新的播控中心大放异彩,紧跟时代脚步。
然而,互联网的快速发展,在提供更广阔的应用空间和更灵活的应用场景的同时,也滋生了一系列的安全隐患,特别是网络安全隐患。近年来,网络安全事件层出不穷,一起起的网络攻击导致的安全事故给安全播出为重任的播控中心的运营和管理敲响了警钟。本文通过对几种常见的网络攻击手段以及防范思路进行介绍和总结,为播控中心网络安全的防范管理提供一些思路。
1. DDoS攻击
1.1 DDoS攻击介绍
DDoS攻击,全名分布式拒绝服务攻击(Distributed Denial of Service),是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击就被称为分布式拒绝服务攻击,其中的攻击者可以有多个。分布式拒绝服务攻击的目的是通过瞬间大量的攻击服务消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
1.2 CC攻击
CC攻击,全名挑战崩溃攻击(Challenge Collapsar)是 DDoS攻击的一种,其前身名为Fatboy(肥仔)攻击,也是一种常见的网站攻击方法。CC攻击的原理就是借助代理服务器针对目标系统的消耗资源比较大的页面不断发起正常的请求,造成对方服务器资源耗尽,一直到宕机崩溃。攻击者在发送CC攻击前,需要寻找加载比较慢,消耗资源比较多的网页,如需要查询数据库的页面、读写硬盘的文件等。针对攻击对象的短板进行攻击而使得系统崩溃。相比其它的DDoS攻击来说,CC更有技术含量一些,并且反查不到真实源IP,也监测不到特别大的异常流量,但造成服务器无法进行正常连接。
1.3 JavaScript DDoS 攻击
基于JavaScript的DDoS攻击利用的工具是普通网民的上网终端,这也意味着只要装有浏览器的电脑,都能被用作为DDoS攻击者的工具。当被操纵的浏览器数量达到一定程度时,这种DDoS攻击方式将会带来巨大的破坏性。
攻击者会在海量访问的网页中嵌入指向攻击目标网站的恶意JavaScript代码,当互联网用户访问该网页时,则流量被指向攻击目标网站。攻击者相当于利用了海量的无辜用户,对目标进行了攻击。
1.4 DNS攻击
DNS作为互联网的核心服务之一,自然也是DDoS攻击的一大主要目标。DNS Query Flood(DNS泛滥查询)采用的方法是操纵大量傀儡机器,向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,若查找不到且该域名无法直接解析时,便向其上层DNS服务器递归查询域名信息。
通常,攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名。由于在本地域名服务器无法查到对应的结果,本地域名服务器必须使用递归查询向上层域名服务器提交解析请求,引起连锁反应。解析过程给本地域名服务器带来一定的負载,每秒钟域名解析请求超过一定的数量就会造成域名服务器解析域名超时。
1.5 DDoS攻击的防范策略
应对DDoS攻击,需要从网络层和应用层两个方面进行防范。
在网络层上,首先需要对单个IP请求频率进行限制。同时,在网络架构上做好优化,采用负载均衡分流。在防火墙等安全设备上,设置禁止ICMP包等。通过DDoS硬件防火墙的数据包规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等技术对异常流量进行清洗过滤。最后,采用ISP近源清洗,使用电信运营商提供的近源清洗和流量压制,避免全站服务对所有用户彻底无法访问,这是应对超过自身带宽储备和自身DDoS防御能力之外超大流量的补充性缓解措施。
在应用层上,首先要优化操作系统的TCP/IP栈,并对应用服务器严格限制单个IP允许的连接数和CPU使用时间。在编写代码时,尽量实现优化并合理使用缓存技术。尽量让网站静态化,减少不必要的动态查询。并且也要使用CDN/云清洗策略,在攻击发生时,及时进行云清洗。
2. ARP欺骗与嗅探扫描
2.1 ARP欺骗
ARP欺骗是通过MAC翻译错误造成计算机内的身份识别冲突,使得计算机IP冲突,无法打开网页,频繁弹出错误对话框。一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的MAC地址。在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的。ARP欺骗就是通过ARP协议不会检查自己请求包的缺陷,伪装成正常互相通信的服务器中的一台来对目标服务器进行欺骗,达到窃取资料的目的。 总的来说,ARP攻击属于局域网的攻击方式,攻击者可以通过ARP欺骗的方式释放木马病毒,达到窃取局域网用户资料的目的。
2.2 嗅探扫描
嗅探器是一种监视网络数据运行的软件设备,既能用于合法网络管理,也能用于窃取网络信息,如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则等。非法嗅探器严重威胁网络安全性,因为它不但可以进行探测行为,而且容易随处插入,所以黑客常将它作为攻击武器。
当一个黑客成功地攻陷了一台主机,并拿到了ROOT权限,如果他还想利用这台主机去攻击同一网段上的其他主机时,他就会在这台主机上安装一款嗅探器软件,对以太网设备上传送的数据包进行嗅探,从而监听感兴趣的包。如果发现符合条件的包,就会想方设法破译数据包的内容,如果在某数据包里面包含有某主机的账户以及密码,那么该主机就极有可能被黑客入侵。
2.3 ARP欺骗以及嗅探扫描的防范
应对ARP攻击和嗅探扫描,我们需要采取以下策略。首先,采用双边的ip+Mac地址+端口绑定的方式进行双向绑定,提高点对点的对接安全性。同时部署支持ARP过滤功能的防火墙,并建立起DHCP服务器。然后对安全区域进行严格划分,隔离广播。最后,设置系统定期杀毒。
3. 跨站脚本攻击
3.1 跨站脚本攻击介绍
跨站脚本攻击(Cross Site Scripting)(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。通过对系统漏洞的利用注入恶意代码,根据程序返回的结果,获得一些他想得到的数据,配合暴力口令破解,撞库等方式,逐渐达到拿到服务器权限的过程。跨站脚本攻击应该是最常见的黑客攻击方式,是一种悄无声息,不容易被发现的入侵形式,目的基本上是通过窃取目标服务器上的有价值信息资料,完成自己的经济或者政治上的攫取目的,使受害者遭受巨大的损失。
3.2 跨站脚本攻击的实施步骤
攻击者实施跨站脚本攻击通常的通常有一个完整的过程,首先通过扫描工具获取目标服务器的ip地址,同时对C网段下的所有主机进行扫描,或许目标服务器及C网段下所有主机的系统信息,进行漏洞分析的同时使用工具扫描后台登录地址,在发现系统漏洞或者登录地址后,分别尝试代码植入、SQL漏洞注入、暴力破解、撞库等方式进行渗透,直至登录进入后台取得ROOT权限,同时植入木马后门。这样,目标服务器在已经被攻破的同时也在未来时刻暴露在攻击者的监视之下。
3.3 跨站脚本攻击的防范
应对跨站脚本的攻击,我们首先需要应用功能强大的防火墙,同时对重要的服务器进行代码审计,并进行渗透测试。更换掉常用的端口号和后台地址的路径,让路径分析软件无法取得真实的登录地址。同时,注意服务器系统的及时升级,避免漏洞隐患,并采用验证码登录或者限制登录次数的方式,隔断暴力破解的路。在有外网接触的路径上,对外部发送的可以文件以及邮件要谨慎接收,同时对子用户的权限进行严格定义,谨慎赋予编辑写入权限。最后需要对C段同主机也要进行以上操作,并定期更换系统密码,定期杀毒。
4. 总结
保障节目运行安全稳定播出,是播控中心的最核心任务。所以,网络安全对于新一代的融媒体中心的运营保障工作来说是重中之重的工作。在日常的管理和运維工作中,网络安全工作需要作为单独的一个模块来进行管理和实施。通常情况下,配备高级别防火墙以及监控系统,并且通常隔绝外部网络连接的融媒体系统服务器,在应对DDoS等互联网外部攻击的时候通常游刃有余,但是应对从内网渗透的攻击时通常会措手不及。所以,核心系统在日常运行时在不影响正常运营的情况下,除了上文所列举的网络攻击的防范措施以外,还要严格定义内网终端的访问权限,甚至在重要时段隔绝内网访问。同时对于系统内部接入外网的终端,针对邮件接收,文件传输,定期杀毒,系统升级等操作要建立完善的规章制度并严格执行,始终把网络安全放在重要位置,方能保证播控系统的安全稳定运行。
进入21世纪,网络技术高速发展,传统广播技术也面临新的挑战,怎样在技术上不断创新的同时保证系统一如既往的安全和稳定,是传媒行业技术人员时刻面对的并需要绞尽脑汁解决的问题。相信在技术人员的积极思考与创新改造之下,传统媒体一定能焕发出新的活力,紧紧跟上新时代的发展脚步。
参考文献:
[1]周文泉.播出网络安全等保建设的设计与实现[J].现代电视技术,2015(02):111-115
[2]袁杰,孙国兵,周为民,徐创义.无锡有线网络前端安全播出技术防范新体系的构建[J].有线电视技术,2008(06):88-91.
[3]屠逸,宋海波,黄小康.基于网络智能化的安全播出系统设计与建设[J].广播与电视技术,2016(10):110-113
【关键词】播控中心;网络安全;安全播出
中图分类号:TN929 文献标识码:A DOI:10.12246/j.issn.1673-0348.2021.16.019
进入21世纪,移动互联网技术高速发展,传统以模拟和数字传播信号为主导的广播播控中心已经逐渐不能适应新时代的发展需求,各地的播控中心纷纷走上全媒体改造之路,网上广播平台,虚拟化平台,全媒体直播平台,云平台等网络化功能的加入使得全新的播控中心大放异彩,紧跟时代脚步。
然而,互联网的快速发展,在提供更广阔的应用空间和更灵活的应用场景的同时,也滋生了一系列的安全隐患,特别是网络安全隐患。近年来,网络安全事件层出不穷,一起起的网络攻击导致的安全事故给安全播出为重任的播控中心的运营和管理敲响了警钟。本文通过对几种常见的网络攻击手段以及防范思路进行介绍和总结,为播控中心网络安全的防范管理提供一些思路。
1. DDoS攻击
1.1 DDoS攻击介绍
DDoS攻击,全名分布式拒绝服务攻击(Distributed Denial of Service),是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击就被称为分布式拒绝服务攻击,其中的攻击者可以有多个。分布式拒绝服务攻击的目的是通过瞬间大量的攻击服务消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。
1.2 CC攻击
CC攻击,全名挑战崩溃攻击(Challenge Collapsar)是 DDoS攻击的一种,其前身名为Fatboy(肥仔)攻击,也是一种常见的网站攻击方法。CC攻击的原理就是借助代理服务器针对目标系统的消耗资源比较大的页面不断发起正常的请求,造成对方服务器资源耗尽,一直到宕机崩溃。攻击者在发送CC攻击前,需要寻找加载比较慢,消耗资源比较多的网页,如需要查询数据库的页面、读写硬盘的文件等。针对攻击对象的短板进行攻击而使得系统崩溃。相比其它的DDoS攻击来说,CC更有技术含量一些,并且反查不到真实源IP,也监测不到特别大的异常流量,但造成服务器无法进行正常连接。
1.3 JavaScript DDoS 攻击
基于JavaScript的DDoS攻击利用的工具是普通网民的上网终端,这也意味着只要装有浏览器的电脑,都能被用作为DDoS攻击者的工具。当被操纵的浏览器数量达到一定程度时,这种DDoS攻击方式将会带来巨大的破坏性。
攻击者会在海量访问的网页中嵌入指向攻击目标网站的恶意JavaScript代码,当互联网用户访问该网页时,则流量被指向攻击目标网站。攻击者相当于利用了海量的无辜用户,对目标进行了攻击。
1.4 DNS攻击
DNS作为互联网的核心服务之一,自然也是DDoS攻击的一大主要目标。DNS Query Flood(DNS泛滥查询)采用的方法是操纵大量傀儡机器,向目标服务器发送大量的域名解析请求。服务器在接收到域名解析请求时,首先会在服务器上查找是否有对应的缓存,若查找不到且该域名无法直接解析时,便向其上层DNS服务器递归查询域名信息。
通常,攻击者请求解析的域名是随机生成或者是网络上根本不存在的域名。由于在本地域名服务器无法查到对应的结果,本地域名服务器必须使用递归查询向上层域名服务器提交解析请求,引起连锁反应。解析过程给本地域名服务器带来一定的負载,每秒钟域名解析请求超过一定的数量就会造成域名服务器解析域名超时。
1.5 DDoS攻击的防范策略
应对DDoS攻击,需要从网络层和应用层两个方面进行防范。
在网络层上,首先需要对单个IP请求频率进行限制。同时,在网络架构上做好优化,采用负载均衡分流。在防火墙等安全设备上,设置禁止ICMP包等。通过DDoS硬件防火墙的数据包规则过滤、数据流指纹检测过滤、及数据包内容定制过滤等技术对异常流量进行清洗过滤。最后,采用ISP近源清洗,使用电信运营商提供的近源清洗和流量压制,避免全站服务对所有用户彻底无法访问,这是应对超过自身带宽储备和自身DDoS防御能力之外超大流量的补充性缓解措施。
在应用层上,首先要优化操作系统的TCP/IP栈,并对应用服务器严格限制单个IP允许的连接数和CPU使用时间。在编写代码时,尽量实现优化并合理使用缓存技术。尽量让网站静态化,减少不必要的动态查询。并且也要使用CDN/云清洗策略,在攻击发生时,及时进行云清洗。
2. ARP欺骗与嗅探扫描
2.1 ARP欺骗
ARP欺骗是通过MAC翻译错误造成计算机内的身份识别冲突,使得计算机IP冲突,无法打开网页,频繁弹出错误对话框。一台主机和另一台主机通信,要知道目标的IP地址,但是在局域网中传输数据的网卡却不能直接识别IP地址,所以用ARP解析协议将IP地址解析成MAC地址。ARP协议的基本功能就是通过目标设备的IP地址,来查询目标设备的MAC地址。在局域网的任意一台主机中,都有一个ARP缓存表,里面保存本机已知的此局域网中各主机和路由器的IP地址和MAC地址的对照关系。ARP缓存表的生命周期是有时限的。ARP欺骗就是通过ARP协议不会检查自己请求包的缺陷,伪装成正常互相通信的服务器中的一台来对目标服务器进行欺骗,达到窃取资料的目的。 总的来说,ARP攻击属于局域网的攻击方式,攻击者可以通过ARP欺骗的方式释放木马病毒,达到窃取局域网用户资料的目的。
2.2 嗅探扫描
嗅探器是一种监视网络数据运行的软件设备,既能用于合法网络管理,也能用于窃取网络信息,如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则等。非法嗅探器严重威胁网络安全性,因为它不但可以进行探测行为,而且容易随处插入,所以黑客常将它作为攻击武器。
当一个黑客成功地攻陷了一台主机,并拿到了ROOT权限,如果他还想利用这台主机去攻击同一网段上的其他主机时,他就会在这台主机上安装一款嗅探器软件,对以太网设备上传送的数据包进行嗅探,从而监听感兴趣的包。如果发现符合条件的包,就会想方设法破译数据包的内容,如果在某数据包里面包含有某主机的账户以及密码,那么该主机就极有可能被黑客入侵。
2.3 ARP欺骗以及嗅探扫描的防范
应对ARP攻击和嗅探扫描,我们需要采取以下策略。首先,采用双边的ip+Mac地址+端口绑定的方式进行双向绑定,提高点对点的对接安全性。同时部署支持ARP过滤功能的防火墙,并建立起DHCP服务器。然后对安全区域进行严格划分,隔离广播。最后,设置系统定期杀毒。
3. 跨站脚本攻击
3.1 跨站脚本攻击介绍
跨站脚本攻击(Cross Site Scripting)(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。通过对系统漏洞的利用注入恶意代码,根据程序返回的结果,获得一些他想得到的数据,配合暴力口令破解,撞库等方式,逐渐达到拿到服务器权限的过程。跨站脚本攻击应该是最常见的黑客攻击方式,是一种悄无声息,不容易被发现的入侵形式,目的基本上是通过窃取目标服务器上的有价值信息资料,完成自己的经济或者政治上的攫取目的,使受害者遭受巨大的损失。
3.2 跨站脚本攻击的实施步骤
攻击者实施跨站脚本攻击通常的通常有一个完整的过程,首先通过扫描工具获取目标服务器的ip地址,同时对C网段下的所有主机进行扫描,或许目标服务器及C网段下所有主机的系统信息,进行漏洞分析的同时使用工具扫描后台登录地址,在发现系统漏洞或者登录地址后,分别尝试代码植入、SQL漏洞注入、暴力破解、撞库等方式进行渗透,直至登录进入后台取得ROOT权限,同时植入木马后门。这样,目标服务器在已经被攻破的同时也在未来时刻暴露在攻击者的监视之下。
3.3 跨站脚本攻击的防范
应对跨站脚本的攻击,我们首先需要应用功能强大的防火墙,同时对重要的服务器进行代码审计,并进行渗透测试。更换掉常用的端口号和后台地址的路径,让路径分析软件无法取得真实的登录地址。同时,注意服务器系统的及时升级,避免漏洞隐患,并采用验证码登录或者限制登录次数的方式,隔断暴力破解的路。在有外网接触的路径上,对外部发送的可以文件以及邮件要谨慎接收,同时对子用户的权限进行严格定义,谨慎赋予编辑写入权限。最后需要对C段同主机也要进行以上操作,并定期更换系统密码,定期杀毒。
4. 总结
保障节目运行安全稳定播出,是播控中心的最核心任务。所以,网络安全对于新一代的融媒体中心的运营保障工作来说是重中之重的工作。在日常的管理和运維工作中,网络安全工作需要作为单独的一个模块来进行管理和实施。通常情况下,配备高级别防火墙以及监控系统,并且通常隔绝外部网络连接的融媒体系统服务器,在应对DDoS等互联网外部攻击的时候通常游刃有余,但是应对从内网渗透的攻击时通常会措手不及。所以,核心系统在日常运行时在不影响正常运营的情况下,除了上文所列举的网络攻击的防范措施以外,还要严格定义内网终端的访问权限,甚至在重要时段隔绝内网访问。同时对于系统内部接入外网的终端,针对邮件接收,文件传输,定期杀毒,系统升级等操作要建立完善的规章制度并严格执行,始终把网络安全放在重要位置,方能保证播控系统的安全稳定运行。
进入21世纪,网络技术高速发展,传统广播技术也面临新的挑战,怎样在技术上不断创新的同时保证系统一如既往的安全和稳定,是传媒行业技术人员时刻面对的并需要绞尽脑汁解决的问题。相信在技术人员的积极思考与创新改造之下,传统媒体一定能焕发出新的活力,紧紧跟上新时代的发展脚步。
参考文献:
[1]周文泉.播出网络安全等保建设的设计与实现[J].现代电视技术,2015(02):111-115
[2]袁杰,孙国兵,周为民,徐创义.无锡有线网络前端安全播出技术防范新体系的构建[J].有线电视技术,2008(06):88-91.
[3]屠逸,宋海波,黄小康.基于网络智能化的安全播出系统设计与建设[J].广播与电视技术,2016(10):110-113