在互联网的黑暗森林中,网络攻击无处不在,从外部公网的狂轰滥炸到内部局域网的暗箭难防,网络安全架构师必须随时准备应对各种维度的威胁。目前,在公网上最粗暴、破坏力也最强的攻击手段当属分布式拒绝服务攻击(DDoS)。
DDoS 攻击的本质是“人海战术”。黑客通过控制全球成千上万台被植入木马的僵尸电脑(Botnet),在同一时间向目标服务器发送无穷无尽的伪造请求(如 SYN Flood、UDP Flood、CC 攻击)。这些垃圾流量会瞬间塞满企业的公网出口带宽,或者将物理服务器的 CPU 和内存资源彻底耗尽,导致合法用户根本无法访问。针对这种体量的攻击,单一的防火墙毫无招架之力,必须借助运营商或云厂商提供的“流量清洗中心”。清洗系统在核心链路上对流量进行实时深度包检测(DPI),将正常的用户报文放行,而将垃圾攻击流量引流到清洗设备中直接丢弃,实现业务的抗D自愈。
而在看似安全的办公网内部,则隐藏着另一种经典欺骗技术——ARP 欺骗。在以太网中,主机通过 ARP 协议将 IP 地址解析为二层 MAC 地址。然而,传统的 ARP 协议缺乏任何身份验证机制。黑客可以在局域网内疯狂发送虚假的 ARP 应答包,欺骗全网电脑说“我才是网关”,同时欺骗网关说“我才是某台员工电脑”。通过这种两头欺骗的手段,内网的所有机密流量都会神不知鬼不觉地先流经黑客的电脑,导致敏感密码被嗅探甚至直接被篡改。防范内网 ARP 欺骗,最有效的落地手段是在企业交换机上开启 DAI(动态 ARP 检查)技术,强制结合 DHCP Snooping 绑定表,对每个端口上路过的 ARP 报文进行严格的来源合法性审查,切断内网中间人攻击的温床。