<form id="jbtrf"></form>

              中國學術雜志網

              電力系統網絡UDP端口研究

               論文欄目:電力教育論文     更新時間:2020/10/17 9:51:28   

              摘要:電力系統的網絡環境越來越復雜,網絡安全問題也越來越被大家所重視。本文從一次電力設備網絡安全自檢結果出發,以nmap為例闡述了對UDP端口的攻擊原理,并基于此對UDP端口的網絡安全防護進行研究,給出具體的防護要求、合理的防護方案以及在嵌入式系統中具有普遍意義和應用價值的幾種實現方式。

              關鍵詞:電力系統;網絡安全;UDP;nmap;端口攻擊;端口防護

              筆者從業于電力保護行業,電力系統作為國家關鍵基礎設施的重要組成部分,其安全的重要性不言而喻[1]。隨著網絡融合、物聯網、新基建等一系列建設發展要求的提出,電力系統的網絡環境越來越復雜,越來越多的信息傳輸向通用協議靠攏,基于TCP/IP協議簇實現。而信息傳輸的便利伴隨著安全的風險,應用通用的協議,便于設備接入和網絡融合,但是同時也降低了攻擊的難度,攻擊者知道網絡設備通信協議的實現細節,那么就能針對這些細節進行攻擊。而傳統的電力保護設備的網絡安全防護能力往往很弱[2],究其原因有兩點,一點是傳統的電力保護設備在研發設計之初,由于單純封閉的網絡環境,往往沒有考慮網絡安全的問題;另一點是傳統的電力保護設備上往往應用簡化的操作系統甚至是不應用操作系統,那么本身的網絡功能模塊乃至網絡安全模塊就不完善。隨著近年來國際上工業控制網絡的安全事件逐年上升[3],電力系統的網絡安全越來越被大家所重視,這一點也體現在了一次次入網測試中客戶對網絡安全越來越多越來越具體的要求上。基于網絡安全的行業客觀要求以及產品用戶基于自己理解提出的各項具體要求[4],各電力系統設備廠家在產品研發的過程中,對產品的網絡安全會提前進行自檢,而這個自檢的過程其實就是模擬攻擊,看產品是否能做好防護。筆者在一次產品自檢的過程中,發現對UDP端口的掃描結果存在一些爭議,深入研究后,得出一些結論,因此撰寫本文,以nmap為例對UDP端口的攻擊原理進行闡述,對掃描UDP端口的結果進行解析,并提出合理有效的防護要求和防護方案,同時給出部分具體的實現方式。

              1UDP端口攻擊原理

              我們知道,在網絡通信協議公開通用的環境下,對網絡上連接的各種網絡設備可以進行端口掃描,判斷出網絡設備開放了哪些端口,并通過對這些端口的進一步訪問,獲取到網絡設備運行的軟件系統、應用服務的具體信息。收集這些信息是對網絡設備進行滲透乃至攻擊的第一步,而防止這些信息的外泄也就成為對抗網絡攻擊保證網絡安全的第一步。因此我們通常把端口掃描結果作為網絡設備網絡安全性的一個重要指標[5],端口掃描也成為我們進行網絡安全自檢中的一項很重要的工作。目前對于tcp端口的掃描和攻擊已經得到普遍關注和討論[6-7],因此本文僅著重討論UDP端口的掃描原理和防護策略。我們能接觸到很多種端口掃描工具或者叫網絡嗅探工具,同時它們也是網絡審計工具,因為它們的功能讓它們在網絡攻擊和網絡防護標準驗證上都起著作用。它們的功能大同小異,區別無非是算法的不同進而體現在收集信息的能力不同,其中比較常用的一個是nmap,本文就以nmap為例來闡述對UDP端口進行掃描攻擊的原理。UDP協議是TCP/IP協議簇的一個子協議,詳見RCF768標準。UDP協議與TCP協議同屬于傳輸層協議,它的特點在于不建立連接直接傳輸數據,適用于傳輸性能要求高于傳輸質量要求的場合。UDP端口是UDP報文中的一個重要參數,可以看作是UDP傳輸中發送方和接收方的名片。在具體的協議規定中,UDP報文使用兩個字節存放端口號,因此端口號的有效范圍是從0到65535。nmap對網絡設備的UDP端口進行掃描時,實際上就是對特定網段或者特定IP的整個端口范圍進行掃描,對所有端口發送數據內容為空的UDP報文,然后根據收到回復報文的情況來確認被掃描網絡設備UDP端口的使用情況。由于UDP無連接傳輸的特性,若是端口未開啟或者端口開啟但沒有收到合理的應用報文,UDP協議層不會給出任何回復,UDP協議層只會在應用層要求時發送報文。因此nmap的這個測試方案是不會收到UDP協議層的回復報文的。這個時候就需要提到TCP/IP協議簇的另一個子協議ICMP(Internet控制報文協議),該協議用于在IP主機之間傳遞控制消息,控制消息是指網絡通不通、主機是否可達、路由是否可用等網絡本身的消息,可以說是一個“錯誤偵測與回報機制”,其目的就是讓我們能夠檢測網絡的連線狀況﹐也能確保連線的準確性[8]。ICMP協議通過不同的類別(Type)與代碼(Code)來表示不同的狀況。在我們當前討論的案例中需要著重關注的是“端口不可達”類型,此時Type=3,Code=3。如果我們系統中的對應端口沒有開放,則在接收到nmap發出的空的UDP報文時,ICMP協議就會回復這個“端口不可達”報文。nmap判斷端口的狀態有open、close、filtered三種,在收到合法回復報文時,會判斷端口為open狀態,并繼續進行進一步的嗅探,獲取端口服務類型、版本等具體信息;在收到ICMP“端口不可達”報文時,會認為該端口是close的,不再進行進一步的攻擊試探;在收到其它“不可到達”類型ICMP報文時,會認為該端口報文被過濾了;沒有收到任何回復報文,則無法判斷端口狀態,顯然不能認為端口是close的,那么給出的掃描結果就會是open|filtered,就是說無法確認端口是打開的沒回復掃描報文還是被過濾掉了。表1簡單給出了nmap判斷端口狀態的準則。

              2UDP端口安全防護

              筆者遇到的案例中,就是對“open|filtered”狀態的端口有爭議,一方面可以認為這個端口沒有被判定“open”,不會被攻擊方獲取到進一步的信息,算是防護成功;另一方面又可以認為這個端口沒有被判定為“close”,是一個不確定的狀態,還是有被繼續攻擊的可能性。筆者以為,第二種觀點更合理,只要端口沒有被判定為“close”而是以“open”、“open|filtered”甚至“filtered”的狀態在掃描結果中列出,都有可能會被繼續以其它方式進行嗅探或者攻擊,甚至嚴格來說,被明確列出的端口信息,本身已經是一種信息泄漏。從攻擊者的角度來看,如果有端口被他監測到filtered或者是open|filtered,那么他知道這個端口被做了特殊處理了,即使現在無法攻擊這個端口,但是很明確的是,這個端口行為跟其它沒有被使用的端口不一致,這個端口很大可能是被攻擊設備正在使用或者準備使用的端口。攻擊方可以結合其它的已知信息,比如市面上常用的操作系統可能開放的端口、第三方插件信息等,推論出被攻擊設備的信息。在這種情況下攻擊者會對這個端口進行長期監視,或者通過其它手段來獲得端口的實際服務、訪問方式等等,最終進行有效的攻擊。因此我們在做UDP端口的防護工作時,要使得我們使用或者有可能使用的端口,在面對攻擊時的表現與其它端口完全一致,這樣才可以徹底保護設備的端口、服務、系統版本等具體信息。我們在做端口防護時,最常采用的方式就是過濾,通過對某些特定端口報文進行攔截、丟棄,來達到保護該端口的目的。而根據前面分析的攻擊原理和對安全要求的明晰,我們需要讓我們使用或者可能使用的UDP端口與其它端口行為一致,也就是讓嗅探工具判斷這個端口也是close。那么解決方案就很明確了,就是要做到兩點:過濾發送到這個端口的報文并丟棄;返回ICMP報文表示端口不可達。要實際做到這兩點,在不同軟件環境下的實現方式是不一樣的。本文給出三個常見的場景如下:(1)設備有操作系統,且操作系統有防火墻,且防火墻的機制做得比較好,在防火墻的規則中本身帶了可配置項,可以通過設置防火墻的規則來實現過濾對應端口接收到的報文,并且發送ICMP報文表示端口不可達。(2)設備有操作系統,且操作系統有防火墻,但是防火墻的機制比較簡單,僅能夠過濾報文,不能主動發送干擾報文,那么我們需要對防火墻模塊進行完善,在針對UDP端口過濾報文的環節添加發送ICMP報文的操作。(3)設備只有簡單的操作系統,沒有防火墻模塊,也就是從報文過濾到發送ICMP報文都要由開發者實現。這種時候有兩種實現方式,一種是在協議棧模塊實現,在UDP報文處理過程中實現簡單的防火墻功能;第二種是在鏈路層實現,也就是在報文接收的最前端,根據TCP/IP協議對報文進行解析,然后對目標類型報文進行過濾以及后續的ICMP報文發送操作。另外筆者還遇到一類特殊的UDP端口,這種UDP端口屬于操作系統本身使用的核心端口,比如調試用的端口,由于調試的特殊需求,比如存在調試協議棧的可能,調試部分模塊的代碼從原理上來說就應該獨立于協議棧,也就繞過了防火墻。某些操作系統針對調試用的端口會實現一個獨立的簡化的協議層,借用協議規約,但是跟實際使用的協議層代碼相獨立。那么防火墻策略乃至協議層的處理都失效了,只能在它自有的代碼模塊或者鏈路層進行處理。

              3結束語

              本文由一次網絡安全自檢出發,介紹了電力系統網絡安全要求的行業背景,以nmap為例闡述了UDP端口的攻擊原理,給出了合理的防護要求和防護方案,認為UDP端口的防護不能止于報文過濾,并基于此給出具有普遍適用性的幾種實現方式。

              參考文獻:

              [1]尹騫.電力行業工業控制網絡的運維和安全研究[J].信息安全研究,2019.

              [2]尹紅旭,呂奮飛,劉念等.網絡攻擊影響電力基礎設施的原因與實例分析[J].電力信息化,2013.

              [3]郭慶來,辛蜀駿.由烏克蘭停電事件看信息能源系統綜合安全評估[J].電力工控系統自動化,2016.

              [4]全國信息安全標準化技術委員會.GB/T22239-2019信息安全技術網絡安全等級保護基本要求[S].北京:國家標準化管理委員會,2019.

              [5]陳瑾.試論端口掃描與檢測技術[J].網絡安全技術與應用,2013.

              [6]趙剛.端口和端口安全[J].安徽電子信息職業技術學院學報,2004.

              [7]武裝.網絡端口掃描及對策研究[J].電子技術應用,2004.

              [8]莊曉華.ICMP協議的應用及分析[J].濟南職業學院學報,2011.

              作者:丁琳 單位:南京國電南自電網自動化有限公司

              學術網收錄7500余種,種類遍及
              時政、文學、生活、娛樂、教育、學術等
              諸多門類等進行了詳細的介紹。

              電力教育論文
              @2008-2012 學術網
              出版物經營許可證 音像制品經營許可證
              主機備案:200812150017
              值班電話
              0825-6697555
              0825-6698000

              夜間值班
              400-888-7501

              投訴中心
              13378216660
              咨詢電話
              唐老師:13982502101
              涂老師:18782589406
              文老師:15882538696
              孫老師:15982560046
              何老師:15828985996
              江老師:15228695391
              易老師:15228695316
              其它老師...
              咨詢QQ
              89937509
              89937310
              89903980
              89937302
              89937305
              89937307
              89937308
              業務
              綜合介紹
              在線投稿
              支付方式
              常見問題
              會員評價
              官網授權
              經營許可
              關于我們
              網站簡介
              版權聲明
              友情鏈接
              人員招聘
              聯系我們
              国产午夜福利在线观看视频 - 视频 - 在线观看 - 影视资讯 -酷酷网