除了DNS，還有其他網(wǎng)絡基礎協(xié)議也會變成攻擊者的武器，該如何保護呢？

      涉及基礎互聯(lián)網(wǎng)協(xié)議的攻擊見諸報端時，人們的視線往往集中在Web上，HTTP或DNS是絕對的主角。但歷史告訴我們，其他協(xié)議也會被當做攻擊脆弱公司企業(yè)的武器和入口。

      比如BGP(邊界網(wǎng)關協(xié)議)、NTP(網(wǎng)絡時間協(xié)議)和FTP(文件傳輸協(xié)議)，就是攻擊者用以破壞運營或盜取數(shù)據(jù)資產(chǎn)的利器。最近頻發(fā)的加密貨幣錢包劫持事件，充分展現(xiàn)出了BGP劫持作為攻擊鏈一部分的有效性。從大多數(shù)用戶的角度來看，BGP的神秘源于其復雜性，而大多數(shù)公司企業(yè)僅在其網(wǎng)絡變得非常巨大之時才考慮應用BGP，更是增添了公司的風險。

      NTP常被看做是僅提供對時便利性的協(xié)議，讓用戶免去自行對時并手動錄入系統(tǒng)的麻煩。但實際上，從數(shù)據(jù)加密到文件傳輸?shù)纫粦聞?，都依賴NTP協(xié)議從標準服務器獲取權(quán)威時間。因此，NTP協(xié)議無處不在，對攻擊者非常有價值。

      另外，雖然用戶更喜歡用HTTP在系統(tǒng)間傳輸文件，但很多應用程序和系統(tǒng)仍將FTP作為基本的文件傳輸機制。因為常被用于傳輸大文件，只要能夠?qū)δ繕耸褂茫現(xiàn)TP就是網(wǎng)絡罪犯的有力武器。

      對大多數(shù)公司而言，“停止使用這些協(xié)議”并不現(xiàn)實；有太多應用程序和用戶都依賴這些協(xié)議，很長時間內(nèi)都無法放棄其中哪一個。而且BGP和NTP這兩個協(xié)議甚至都沒有替代方案可用。所以，公司企業(yè)有必要找到保護這些協(xié)議的方法，讓它們作為工具為公司所用，而不是作為武器為攻擊者所用。

      保護網(wǎng)絡基礎協(xié)議的方法當然有很多，其中有一些是可以激發(fā)思維，推動防御策略向前發(fā)展的。下面我們就為讀者呈上幾種保護網(wǎng)絡基礎協(xié)議的有效方法。

      1. BGP：保護發(fā)言人

      BGP是路由器間相互告知所處位置的協(xié)議，還可供路由器組用以建立數(shù)據(jù)包發(fā)送的最佳路徑。其實現(xiàn)過程中需要確定路由器仍然接在互聯(lián)網(wǎng)上：通過發(fā)言人(Speaker)每隔60秒在179端口發(fā)送一條TCP消息來保持與其相鄰節(jié)點的連接。如果發(fā)言人被拿下，不僅僅是路由器掉線，還會打開非法路由器頂替上位的大門。

      很明顯，在已知端口上定期通信的關鍵網(wǎng)絡鏈路是脆弱的，網(wǎng)絡擁有者需采取特別的預防措施來保護它。互聯(lián)網(wǎng)工程任務組(IETF)的專家們建議，可以采用訪問控制列表(ACL)來屏蔽掉來自非鄰居路由器節(jié)點的通信。

      另外，網(wǎng)絡管理員還應在控制層和數(shù)據(jù)層上施加速率限制，預防數(shù)據(jù)包洪水把發(fā)言人擠掉線。不僅僅是攻擊洪水，過量的合法流量也會將網(wǎng)絡從互聯(lián)網(wǎng)上擠掉。所以，預設速率限制是個不錯的預防方法。

      2. BGP：TTL保安全

      ACL是保護BGP的首要方法，其次就是利用網(wǎng)絡防護中一個更廣泛的機制：生存時間(TTL)。

      TTL安全在 IETF RFC 5082 的“通用TTL安全機制”(GTSM)中有所描述。其大意是，花費太長時間到達的數(shù)據(jù)包不可能來自鄰居節(jié)點，而不是來自鄰居節(jié)點的數(shù)據(jù)包是可以丟棄的。

      TTL安全的基本操作是：將TTL設置成255(最大值)，也就是要求數(shù)據(jù)包來自直接連接。因為第3層設備每碰一次數(shù)據(jù)包，都會導致TTL的衰減，所以繞來繞去的數(shù)據(jù)包是達不到TTL要求的。

      3. BGP：前綴過濾器

      想要保護BGP及其在網(wǎng)絡中的職能，須得確保通告特定路由的路由器具備通告該路由的權(quán)限。比如說，如果有路由器通告稱，“訪問AWS要經(jīng)過一家小電鋸修理廠的路由器”，那這臺路由器就肯定是惡意路由器，應被禁止其路由通告行為?？梢灶A防惡意路由通告的方法之一，是前綴過濾——有點復雜，還有些現(xiàn)實世界的局限性，但是非常有效的方法。

      前綴過濾可以判斷路由器是否具備通告某路由的權(quán)限。其基本方法是基于互聯(lián)網(wǎng)路由注冊表(IRR)中包含的信息來過濾前綴。但因為IRR未必能及時更新，所以該方法在實際應用上情況有點復雜。

      前綴過濾應僅允許路由器接受合法鄰居節(jié)點的路由，僅傳送合法路由到下游鄰居節(jié)點。雖然非常有效，但網(wǎng)絡管理員卻必須時常維護更新合法節(jié)點列表。當網(wǎng)絡(或客戶網(wǎng)絡)有很多冗余內(nèi)部和外部路由時，管理員的工作就會變得相當復雜。不過，在安全非常重要的場合，還是值得為此付出努力的。

      4. BGP：保護會話

      因為BGP使用TCP進行傳輸，所以保護BGP會話也就意味著保護TCP會話，用于保護通用TCP的很多機制同樣能用在保護BGP會話上。可以采用 RFC 2827 和 RFC 3704 中的建議，在網(wǎng)絡邊界處封鎖明顯的欺騙數(shù)據(jù)包。

      有了數(shù)據(jù)包封鎖，MD-5或TCP身份驗證選項(TCP-AO)就可以提供有效防護了。

      這些會話保護措施都會增加部署和維護上的開銷。個人網(wǎng)絡擁有者需衡量其安全收益與所花開銷的性價比。不過，這四步走下來，就能讓BGP更加安全而健壯。

      5. NTP： NTPsec

      保護NTP很重要，但這里面明顯應該先用NTPsec替換掉“經(jīng)典”的NTP。作為更安全的NTP，NTPsec直接兼容經(jīng)典代碼，且用戶不應感覺到有什么變化。NTPsec僅僅是讓該基礎服務更難以被黑客利用而已。換成NTPsec，黑客就難以利用NTP來執(zhí)行DDoS放大攻擊了。另外，大家普遍認為，NTPsec還能清潔代碼，并添加基本的管理和報告功能。

      必須指出的是，NTP和NTPsec都是開源項目，吸引了很多志愿者和支持者。網(wǎng)上支持和反對NTPsec的人都不難找到，但權(quán)衡下來，該協(xié)議的基本功能還是值得企業(yè)認真考慮的。

      6. NTP：更新很重要

      作為攻擊武器，NTP的主要價值在于：特定查詢所返回的數(shù)據(jù)可以比從原始攻擊系統(tǒng)發(fā)出的數(shù)據(jù)多上很多倍。NTP協(xié)議的一個問題是，該協(xié)議往往部署到系統(tǒng)上后再不更新了，讓很多老版本的服務器面臨攻擊風險。

      NTP服務器軟件ntpd的每個版本，只要是4.2.7之前的，都可被黑客用于發(fā)起攻擊。更新的版本也可能存在漏洞，但只要不是更改了默認配置，一般還是比較健壯的。為增強安全性，最好保證ntpd是最新版本。

      7. NTP：注意Monlist指令

      Monlist指令是ntpd可被利用成強力放大攻擊武器的根源，該指令能返回最近連接NTP服務器的600個客戶端的詳細信息。

      想要防止NTP被黑客武器化，必須限制monlist指令的執(zhí)行。4.2.7之后的ntpd版本默認是限制monlist指令執(zhí)行的；如果必須使用之前的版本，可以將該限制顯式添加到其配置文件ntp.conf里。

      8. FTP：別用標準版

      FTP有用，但其基本形太過古舊僵化。該協(xié)議最根本的問題在于，從身份驗證到文件傳輸，所有操作都沒加密。如果應用程序或工作流需要文件傳輸功能，其替代版可以提供更加安全的功能執(zhí)行。

      最常見的兩個替代版是FTPS和SFTP。這兩個版本完成相同的功能：通過加密隧道傳輸文件(以及傳輸前的憑證)。不過，二者的實現(xiàn)方法并不相同。

      SFTP是SSH中的FTP。FTPS是加了SSL的FTP。二者在安全上并無優(yōu)劣之分，具體要實現(xiàn)哪一個，就看FTP在文件呈現(xiàn)和傳輸上的安全性需求了?；蛘?，可以像很多團隊選擇的那樣，兩個都實現(xiàn)。

      9. FTP：架在正確的網(wǎng)關后

      很多情況下，F(xiàn)TP實現(xiàn)需允許合作伙伴、供應商或客戶與公司之間互傳文件。這意味著FTP服務器必須面對互聯(lián)網(wǎng)，通常是架在網(wǎng)絡中的非軍事區(qū)(DMZ)。

      直面互聯(lián)網(wǎng)的服務器往往比隔離網(wǎng)絡中的服務器更脆弱。所以，如果必須保留FTP功能，就得設置FTP網(wǎng)關來保護FTP服務器。大多數(shù)情況下，該網(wǎng)關就是另一種形式的反向代理：外部客戶端先與網(wǎng)關發(fā)起會話，然后網(wǎng)關建立起從服務器到該外部客戶端的安全隧道。

      FTP網(wǎng)關可選范圍很廣：AWS、IBM、Barracuda、Ipswitch都是能提供多種實現(xiàn)方式的公司，還有其他很多公司也能提供該功能。

      10. FTP：目錄和文件安全

      在網(wǎng)絡時代早期，人們還很單純的時候，公司企業(yè)有時候會通過FTP設置專用于發(fā)送和接收文件的子目錄。匿名FTP也可以在該子目錄中發(fā)送和接收文件，而且享有全部讀寫權(quán)限，文件保存時間還可以很長。

      應采取一系列措施保護FTP服務器及其收發(fā)的文件：限制子目錄讀寫權(quán)限，限制子目錄中文件的讀寫權(quán)限，限制該子目錄呈現(xiàn)的內(nèi)容僅為剛剛上傳或需要馬上下載的文件。

      公網(wǎng)上的任何活動都可能有風險。但運用恰當?shù)募夹g和策略，公司企業(yè)可以讓很多網(wǎng)絡活動變得更安全。