网络攻防特点 常见的网络攻防技术

总结在工业控制系统的实际网络环境中，往往需要创建一个物理隔离的网络环境来实现内部网络之间或者内部网络与外部网络之间的物理隔离。但是物理隔离的网络也需要数据交换，各种

总结

在工业控制系统的实际网络环境中，往往需要创建一个物理隔离的网络环境来实现内部网络之间或者内部网络与外部网络之间的物理隔离。但是物理隔离的网络也需要数据交换，各种SCADA系统、生产统计、办公文档都可能需要定期传输数据。最初的解决方案是手动传输，通过u盘、光盘等方式传输数据。，但是效率比较低。随着网络业务的日益成熟，数据交换的需求越来越强烈，人工模式成为瓶颈。因此，GAP技术应运而生。

网关，也称网络安全隔离设备，是一种专业硬件，是在两个互不相连的网络之间，根据需要，在一定的限制条件下，完成网络间数据资源的安全传输。

网关最早出现在美国、以色列等国家的军队中，用来解决涉密网络与公网连接时的安全问题。目前，该网关已广泛应用于国内外政府、军事、金融、电力、航空航天等场景。

网关的实现

图1反向隔离栅示意图

如图所示，典型的网关由硬件设备和软件客户端组成，软件只能在特定的主机上运行。一般来说，这样的主机称为节点机。网关设备内部由两个设备和专门的摆渡硬件组成，可以称为接口机A和接口机b，两个接口机分别与外网和内网相连，但是由于接口机取消了系统的所有网络功能，比如ICMP和所有TCP功能，内外网的普通网络用户不可能感知到网关的存在，甚至普通的网络扫描都无法发现设备。只有节点可以通过预设的端口与网关设备进行单向通信。接口之间不是通过TCP/IP连接，而是通过专用的硬件卡或存储器搭建一个数据交换区，实现数据摆渡。

网关设备的基本特性主要包括:网络连接不完整、单向传输、数据格式认证:

没有完整的网络连接:通过闸机的摆渡控制，数据交换区和内外网随时无法连接。这种设计中断了内部网络和外部网络之间的直接连接。使内外网达到物理隔离的效果。一般网络应用，包括病毒、木马等。，无法通过网关建立所需的网络连接。

单向传输:网关的硬件和软件之间采用特定的私有协议，保证数据不能在与预设方向相反的方向传输，HTTP、FTP、SMTP等协议无法通过。如果内外网需要数据交互，一般需要部署两套正向和反向网关，采用不同的策略通过内外网不同的节点机发送数据。

数据格式认证:不支持协议解析，业务应用不通过传输。仅运送特定文件格式的认证数据文件。

由于网关具有上述特性，可以防止两个网络建立任何TCP/IP网络连接，保证物理隔离，达到传输特定数据的目的。

网络网关中可能出现的一些问题

在测试了一些网关设备之后，Winute安全团队发现了一些问题，例如:

1:私有文件格式

在典型的工业应用环境中，网关被配置为只允许特定于工业的私有格式文件通过。这种格式是类似xml的纯文本格式，有特定的格式要求，文件中不允许包含0x01、0x02等字符。该方法有效防止了exe、rar、doc等常见二进制文件格式的传输。而且普通的文本文件或者脚本文件并不能真正通过文件格式验证，所以无法通过网关传输。但是任何文件都可以被base64编码成纯文本，然后用这种特定格式的文件来构造，达到通过网关的目的。当然，这种方法也有一定的局限性。如果接收端的处理程序不执行解码操作，传入的文件无法恢复到原来的形式，它将暂时无法工作。

2.准明文传输问题

按照设计原则，网关软硬件之间的数据通道要有足够强度的加密。但通过数据包分析发现，某网关使用UDP协议单向传输数据。数据只是被编码，而不是加密。这种问题可能发生在传输隧道建立和协商的过程中，由于某些政策或环境的限制，安全性下降。

图2可以看作是明文网络数据包拦截

如图，所有字符异或0x88后，即可得到明文内容。

3.仅使用软件过滤的逻辑来绕过。

网关在软件环节检查文件格式，硬件接口机不再检查。在这种情况下，可以在逻辑上绕过发送节点机的软件检查，直接通过搭建的隧道将任意文件格式发送到网关硬件接口机，从而达到传输任意文件的目的。

总结:

网关的保护效果强烈依赖于未公开的文件格式和未公开的自身协议。目前，该网关对已知病毒、木马和远程攻击工具具有良好的防御效果。但如果攻击者在了解网关工作原理的前提下构造恶意程序，就有可能削弱网关的防护能力，甚至穿透网关，进而借助网关设备构建攻击路径。