文/陸潔瑩 熊焱燊 陳威 袁浩棟

1 引言

隨著科技的日益發(fā)展，生活中幾乎離不開網絡，于是網絡安全越來越重要。網絡安全防御技術還不夠完備，處理速度也有些慢。Spark采用了構建彈性分布數據集（RDD）來提供內存集群計算，將作業(yè)輸出保存在內存中。極大地提高了處理速率，當今，現有的網絡安全與大數據結合的模型大多是與Hadoop技術結合，而Spark比Hadoop更高效、處理速度更快且便捷。隨著時間推移，新型惡意攻擊層出不窮，過去的防御模型無法應對新型惡意攻擊，因此設計新型三層防御模型是必要的。

1.1 設計思想

設計模型的基本思想是在模擬局域網中建立應對內部惡意攻擊與外部惡意攻擊的三層防御體系，由Spark處理進入局域網的數據流，處理完畢后快速高效地將數據流傳遞給局域網內部進行應對分析并防御。

1.2 整體模型的構建

在模擬局域網中建立應對內部惡意攻擊與外部惡意攻擊的三層防御體系，由Spark處理進入局域網的數據流，處理完畢后快速高效地將數據流傳遞給局域網內部進行應對分析并防御。

局域網遇到攻擊后接收到數據流后Spark處理數據流返還防御端進行防御處理的具體模型構建，如圖1所示。

圖1：整體模型構建圖

圖2：Spark處理數據速度圖

圖3：Hadoop處理數據速度圖

圖4：局域網隨機外部攻擊測試拓撲圖

1.2.1 攻擊端模型

本次研究主要研究的兩個攻擊模型：仿冒DHCP攻擊模型、MAC欺騙攻擊模型。

偽造DHCP攻擊原理是攻擊者欺騙客戶端，為客戶端分配錯誤的IP地址并提供錯誤的網關地址等參數。

MAC欺騙攻擊理論是交換機的MAC地址列表填滿后，接收到的流量數據幀會被泛洪到所有端口。入侵者使用工具將大量無效源MAC地址泛洪到PC上的交換機，并填充交換機MAC地址列表，發(fā)起DOS攻擊。合法的PC（MAC地址)無法在交換機的CAM列表上注冊。目前，許多網絡使用交換機作為集線器進行連接。因此，對于由集線器組成的網絡，用戶很容易在沒有安全性的情況下攔截和分析網絡攻擊。MAC地址欺騙、IP地址欺騙及更高層面的信息騙取等，阻止用戶訪問Internet和泄露信息。

1.2.2 局域網模型的構建

網絡中使用的基礎網絡設備，本身就能夠提供一定的安全特性。這些安全特性在工作網絡中的實現不需要特別的硬件設備，只需要在當前設備上進行適當的配置即可，如三層網絡安全技術它包含：訪問控制列表，ARP表項安全控制等；二層網絡安全技術它包含：端口安全（Port Security），DHCP Snooping等；網絡設備自身安全它包含：設備登陸安全控制，協(xié)議報文認證等。

路由器大量的運算是基于軟件的，所以安裝合適的軟件之后，路由器能夠提供很多的安全特性。譬如對ARP表項進行安全控制，可以限制ARP刷新的速度。訪問控制列表是網絡設備中的基本安全功能，能夠根據數據包的五元組進行過濾，也能夠利用來對路由協(xié)議進行特定的控制。部分防火墻還實現了更多的安全特性，譬如能夠像防火墻一樣工作，基于連接狀態(tài)進行數據過濾；也能夠提供IPSec接入等功能。

圖5：偽造DHCP攻擊測試拓撲圖

圖6：MAC欺騙攻擊測試拓撲圖

交換機工作在二層，針對二層的攻擊，交換機也發(fā)展了很多安全特性，譬如端口安全技術防止MAC地址泛洪攻擊；DHCP Snooping防止基于DHCP協(xié)議的攻擊。風暴控制是網絡流量異常時候的控制手段。

網絡設備運行在網絡中，自身也有可能遭受到惡意攻擊。譬如網絡設備遠程登陸的時候，需要進行身份認證，為了提高登陸的安全性，推薦使用SSH/HTTPS等加密協(xié)議進行登陸。另外網絡設備運行包括路由協(xié)議在內的各種協(xié)議，為了防止有人利用正常的協(xié)議攻擊網絡，需要在協(xié)議中啟用鄰居認證，面向非合法網絡設備的端口關閉協(xié)議。

2 仿真結果及分析

2.1 Spark大數據處理端測試

將Spark處理速度與Hadoop處理速度進行測試對比，當Spark與Hadoop處理相同任務時，Spark處理速度顯然更快，如圖2、圖3所示。

2.2 防御端應對隨機攻擊測試

2.2.1 局域網中隨機外部攻擊測試

實驗原理是攻擊者通過我們共同使用的外部網絡進行攻擊公司內部，我們通過NAT技術使我們內部可以訪問外部，而外網卻不能訪問我們內部的信息，從而到達防御外網的目的。

實驗具體過程是我們通過ENSP作為模擬器來實現對外網防御的模擬，外網服務器端的IP地址網段為192.168.2.0/24，內部網段為192.168.1.0/24網段，在沒有配置NAT之前，外網的192.168.2.0/24可以輕松訪問內部員工1（192.168.1.2）的信息，但是當我們設置了NAT技術后，外部的服務器就不能訪問到我們的員工了，而我們的員工1、2還是可以照常訪問外網。模擬拓撲結構如圖4所示。

測試用例1——局域網隨機外部攻擊防御測試：

測試1：在公司內部路由器的出接口（圖4）不使用NAT地址轉換技術，外網是否可以訪問到公司的內網。

具體操作：1.直接用外網去ping公司內網的任意一個IP地址；2.用員工1的PC去ping通外網。

結果：1.外網可以ping通到公司的內網；2.員工1的PC可以ping通外網。

結論：外網可以輕松地訪問公司內部網絡。

測試2：在公司內部路由器（圖4）的出接口使用NAT地址轉換技術，外網是否可以訪問到公司的內網。

具體操作：在公司內部路由器上寫下acl規(guī)則后，在公司內部路由器的出接口配置NAT地址轉換技術后，再執(zhí)行：1.直接用外網去ping公司內網的任意一個IP地址；2.用員工1的PC去ping通外網。

結果：1.外網不可以ping通到公司的內網；2.員工1的PC可以ping通外網。

結論：我們通過NAT技術使我們內部可以訪問外部，而外網卻不能訪問們內部的信息，從而到達防御外網。

2.2.2 局域網中隨機內部攻擊測試

局域網的隨機內部攻擊測試我們選擇了偽造DHCP攻擊測試和MAC欺騙攻擊測試兩種。

偽造DHCP攻擊測試實驗程序是將DHCP Snooping在交換機端口上劃分為可信端口(Trusted port)和不可信端口(Untrusted ports)，連接到合法DHCP服務器的端口應配置為可信端口，其他端口應配置為不可信端口。交換機從Trusted端口(GE0/0/1)接收到DHCP響應報文(例如DHCP Offer報文、DHCP Ack報文等等)后，轉發(fā)這些數據包以確保合法的DHCP服務器可以正確分配IP地址并提供其他網絡參數。交換機收到Untrusted端口的DHCP響應報文后丟棄這些報文，從而防止偽造DHCP服務器分配IP地址并提供其他網絡參數。實驗拓撲圖，如圖5所示。

MAC欺騙攻擊測試實驗是端口安全通過將接口獲取的動態(tài)MAC地址轉換為安全MAC地址，防止未授權用戶通過接口與交換機通信。如果接口上的安全MAC地址數量達到限制，如果源MAC地址不存在，則端口安全認為存在非法用戶攻擊。將根據配置的操作保護接口。缺省情況下，保護動作是restrict。實驗拓撲圖如圖6所示。

3 結束語

本次研究分析了不同攻擊方式的原理及漏洞，構建了防御模型并通過實驗達到了較好的結果，通過與Spark大數據處理系統(tǒng)的結合將原有的日志分析的拖延有了良好的改善，由于網絡攻擊隨科技發(fā)展層出不窮，新型的攻擊越來越多，網絡安全防御模型還需要進一步研究和改進。

特別鳴謝姜旭濤同志對本次研究的大力支持及幫助。