（通信与信息系统专业论文）基于corba技术的分布式入侵检测系统研究.pdf

摘要 计算机和互联网技术正在改变着人类社会的面貌，与之伴随而来的是信息和 网络安全的问题。入侵技术越来越朝着综合化、复杂化、间接化、分布化和规 模化的方向发展。与此同时入侵检测技术也在不断的取得进步，它被认为是防 火墙之后的最后一道安全闸门，是网络安全体系中的一个重要组成部分。攻击 技术的发展，尤其是分布式攻击的出现，使传统的单机i d s 的局限性越来越明 显，于是便产生了分布式入侵检测系统。网络的异构、分布、动态和开放属性 要求采用一种新方式对开放资源进行控制和管理，只有构建在分布式处理环境 上的入侵检测系统才能更好地适应现有和未来的入侵检测的发展。而c o r b a ( c o m m o n o b j e c tr e q u e s t b r o k e ra r c h i t e c t u r e ，公共对象请求代理体系结构) 技 术正是为了实现分布式计算而引入的。 本文将入侵检测技术与c o r b a 技术结合起来，设计了一种基于c o r b a 技 术的分布式入侵检测系统模型。论文的研究、设计工作主要包括以下几个方面： 1 分析了网络安全的现状，对入侵技术及其发展作了总结；研究了分布式入 侵检测架构的背景；介绍了入侵检测的c i d f 模型以及i d w g 的标准化努力。 分析了入侵检测发展中存在的问题，比如交互性差、扩展性差、检测效率低下 等问题。 2 结合现有入侵检测系统中存在的可交互性差、可扩展性差、不能跨平台性 和对分布式入侵检测攻击无能为力的缺点，认为将c o r b a 技术与入侵检测技术 结合起来的可行性进行的深入的研究。c o r b a 技术正好能弥补现有入侵检测技 术中存在的不能跨平台、跨语言、可扩展性差等的缺点，将二者结合具有很好 的实用价值。 3 设计了基于c o r b a 技术的分布式入侵检测系统模型( c d i d s ) 。首先介绍 了模型的设计思想，描述了c d i d s 的各个功能模块：代理器、监视中心以及 c o r b a 对象请求代理o r b 。该系统模型功能强大，叙述详细，完整的描述了 本文所设计的系统的整体功能。 4 解决了c d i d s 实现中的一些关键问题：用i d l 语言设计实现了c d i d s 系 统对象的接口；c d i d s 的通信及通信协议i i o p ，使得通信效率更高，具有更好 的安全性；分析c d i d s 的分布式对象调用模式，解决了调用中的死锁问题。 关键词：入侵检测，分布式，c o r b a ，c d i d s ，o r b 武汉理工大学硕士学位论文 a b s t r a c t t h e c o m p u t e ra n di n t e r a c tt e c h n o l o g ya r ec h a n g i n gt h ea p p e a r a n c eo ft h eh u m a n s o c i e t y ；i t i st h eq u e s t i o no fi n f o r m a t i o na n do n l i n es e c u r i t yw i t hi t so n et h a tf o l l o w e d i n v a d et e c h n o l o g ym o r ea n dm o r et o w a r d st a n t a l i z a t i o n ，c o m p l i c a t e s ，m e l t s ，a n d d i s t r i b u t e d m e l t i n g t o d e v e l o p 、i mt h e d i r e c t i o no fs c a l e i n d i r e c t l y m e a n w h i l e i n v a d et h ec o n s t a n tm a k i n gp r o g r e s st o oo f t h ed e t e c t i o nt e c h n i q u e ，as a f eg a t eo f e n d a f t e ri ti sc o n s i d e r e dt ob et h ef i r ew a l l ，i ti sa l li m p o r t a n tc o m p o n e n ti nt h eo n l i n e s e c u r i t ys y s t e m t h ed e v e l o p m e n ta t t a c k i n go ft e c h n o l o g y , t h ee s p e c i a l l yd i s t r i b u t e d a p p e a r a n c e t h a ta r a c k e d ，m a k et h el i m i t a t i o no ft r a d i t i o n a lu n i ti d sm o r ea n dm o r e o b v i o u s t h e n p r o d u c e d a n di n v a d e dt h ed e t e c t i o n s y s t e m d i s t r i b u t e d n l e c o n s t r u c t i n gd i f f e r e n t l yo ft h en e t w o r k ，d i s t r i b u t i n g ，t h et r e n d sa n do p e na t t r i b u t e d e m a n dt o a d o p tak i n do fn e ww a yt oc o n t r o l a n dm a n a g eo p e nr e s o n r c e s ，o n l y c o n s t r u c t e da n db u i l ti na n dd e a l tw i t ht h ei n v a s i o nd e t e c t i o n s y s t e m o nt h e e n v i r o n m e n td i s t r i b u t e da n dc o u l da d a p tt ot h ed e v e l o p m e n tm e a s u r e di ne x i s t i n ga n d f u t u r ei n v a s i o nb e t t e r a n dc o r b a ( c o m m o n o b j e c tr e q u e s t b r o k e ra r c h i t e c t u r e ) t e c h n o l o g yi si n t r o d u c e di no r d e r t or e a l i z ed i s t r i b u t e dc a l c u l a t i o n t h e r e f o r et h i st e x tw i l li n v a d et h ed e t e c t i o nt e c h n i q u ea n dc o r b a t e c h n o l o g y t o c o m b i n et o g e t h e r , i n v a d et h ed e t e c t i o ns y s t e mm o d e lb a s e do nc o r b at e c h n o l o g y a n dd i s t r i b u t e da f t e r d e s i g n i n go n e t l l er e s e a r c h d e s i g n a n dr e a l i z i n gw o r k i n g m a i n l yo f t h e t h e s i si n c l u d i n gs e v e r a lf o l l o w i n g r e s p e c t s ： 1h a v ea n a l y s e st h ec u r r e n ts i t u a t i o no ft h e o n l i n e s e c u r i t y , h a s d o n et h e s u m m a r y i n i n v a d i n g t h e t e c h n o l o g y a n d d e v e l o p m e n t a n d h a sd i s c u s s e d e m p h a t i c a l l y t h a ti n v a d e st h ed e t e c t i o nt e c h n i q u e h a v ep r o b e di n t oa n di n v a d e da n d m e a s u r e dt h eb a c k g r o u n db u i l tu p ，t h ep r o b l e mt ob es o l v e dd i s t r i b u t e d d i l i g e n tt o i n t r o d u c et h es t a n d a r d i z a t i o nw h i c hi n v a d e sc ) fm o d e la n di d w gm e a s u r e d t h e r e f o r et h ed e v e l o p i n gq u e s t i o ni ss u m m a r i z e di ni n t r u s i o nd e t e c t i o n 2c o m b i n ee x i s t i n gt oi n v a d ed e t e c t i o ns y s t e mi n t e r a c t i o nb a d ，b a dc a ns t e p i i 武汉理工大学硕士学位论文 p l a t f o r ma n dt od i s t r i b u t e dt oi n v a d ed e f i c i e n c ym e a s u r e dt oa t t a c k i n ge x p a n s i b i l i t y t h a t e x i s t ，h a v ep r o b e di n t o t h ec h a r a c t e r i s t i co fc o r b at e c h n o l o g y , t h e d e e p s t u d y i n gc a r r y i n go nt h ef e a s i b i l i t yt h a tc o r b a t e c h n o l o g yc o m b i n e sw i t hi n v a d i n g t h ed e t e c t i o n t e c h n i q u e i ti si n c l u d e dt h a tt h ee x c e l l e n c eo fc o r b a c a nm a k e u pt h e d i s a d v a n t a g e s i ni n t r u s i o n d e t e c t i o n ，a n dm a k et h e mi n t e g r a t e dh a v ee x c e l l e n t p r a c t i c a l i t y 3h a v ed e s i g n e dt h ed i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e mb a s e dc o r b a ( c d i d s ) h a v ei n t r o d u c e dt h ed e s i g np h i l o s o p h yo f t h em o d e la tf t r s t ；a n dd e s c r i b e d e a c hf u n c t i o nm o d u l eo fc d i d s ：a g e n td e v i c e ，m o n i t o r i n gt h ec e n t r ea n dc o r b a t a r g e tt oa s kt oa c tf o ro r b n l es y s t e mm o d e lh a ss t r o n gf u n c t i o n p a r t i c u l a r l y d e p i c t i o n ，m a d d e s c r i b e st h ef u n c t i o no f t h ec d i d s 4r e a l i z et oc d ) sc o n c r e t e l ys o m ep r o b l e m si nt h ec o u r s eh a v ec a r r i e do n r e s e a r c h c d i d si d l ，t a r g e to fi n t e r f a c er e a l i z e ，c o m m u n i c a t i o na n dc o m m u n i c a t i o n p r o t o c o li i o p , d i s t r i b u t e dt a r g e to fc d i d s o fc d i d st r a n s f e rt h em o d e n ef o r m a l w o r kr e s o l v e ss o m ek e yq u e s t i o i l si nt h ei m p l i c a t i o no fc d i d s ；h n p r o v et h ew h o l e f u n c t i o no f t h e s y s t e m k e y w o r d ：i n t r u s i o nd e t e c t i o n ，d i s t r i b u t e d ，c o r b a ，c d i d s ，o r b i i 武汉理 ：大学硕士学位论文 第1 章绪论 1 1 论文研究背景及意义 随着信息技术的飞速发展，计算机网络的开放性及其资源共享特性日趋走 向完善化，它深刻地改变着社会的现实。信息网络进入到人们的工作，生活的 每一个角落，使人们对信息系统的依赖性日渐显著。而信息网络系统也正在日 复日地通过互联而扩大为广域的、洲际性的庞大系统。然而计算机网络信息 系统所固有的系统脆弱性给网络安全带来了严重的问题，这是我们当前不得不 面对的现实。 网络安全的一个主要威胁就是通过网络对信息系统的入侵。网络入侵是指 任何企图破坏资源的完整性、机密性和可用性的活动的集合【1 1 。1 9 8 0 年a n d e r s o n 将入侵行为划分为外部闯入、内部授权、用户的越权使用和滥用等三种类型， 并首次提出了入侵检测的概念 2 1 。美国国际计算机安全协会( i s c a ) 对入侵检测 的定义是：入侵检测是通过从计算机网络或系统中的若干关键点收集信息并对 其进行分析，从中发现网络系统中是否有违反安全策略的行为和遭到袭击的迹 象的一种安全技术1 3 】。它一经提出，就引起广大科学工作者的广泛关注，并得到 了迅猛的发展。 随着i n t e m e t 的迅速发展，网络入侵技术也有了很大的变化。攻击技术的发 展，尤其是分布式攻击的出现，使传统的单机入侵检测系统( i d s ) 的局限性越 来越明显，于是便产生了分布式入侵检、钡4 系统 4 l 。它是一种分布于网络环境的入 侵检测系统，用来监视与网络连接的主机及网络自身。网络的异构、分布、动 态和开放属性要求采用一种新方式对开放资源进行控制和管理，只有构建在分 布式处理环境上的入侵检测系统才能更好地适应现有和未来的入侵检测的发展 1 5 1 。而c o r b a ( c o m m o no b j e c tr e q u e s t b r o k e ra r c h i t e c t u r e ，公共对象请求代理 体系结构) 技术正是为了实现分布式计算而引入的1 6 】。它是由o m g 对象管理组 织定义的用于分布式异构环境下实现可重用、可移植、可交互的面向对象软件 系统的规范，定义了对象管理结构( o m a ) ，主要包括对象请求代理( o r b ) 、 武汉理二 大学硕士学位论文 对象服务、公共设施集和应用对象等四个部分。与其他分稚式计算技术相比， 它具有面向对象性、平台无关性等优点，通过接口定义语言i d l ，使得它可以支 持多种面向对象语言，任何语言都能制作c o r b a 组件。由此论文将入侵检测技 术与c o r b a 技术结合起来，设计了种基于c o r b a 技术的分布式入侵检测系 统模型。 1 2 论文主要工作内容 论文首先介绍了网络安全和网络入侵的概念，分析网络入侵行为的特征， 讨论了入侵行为的一般性规律，为研究新的入侵检测技术提供了良好的思路。 针对传统入侵检测系统对分布式入侵攻击的不足，探讨了将c o r b a 技术与入侵 检测技术结合起来的可行性。设计了基于c o r b a 技术的分布式入侵检测系统模 型，对模型的组成以及各组成模块的工作原理进行了详细的描述，并对系统具 体实现中的一些关键问题进行了探讨。 论文的研究、设计和实现工作主要包括以下几个方面： 1 分析了网络安全的现状，对入侵技术及其发展作了总结，并着重讨论了 入侵检测技术；研究了分布式入侵检测架构的背景；介绍了入侵检测的c i d f 模 型以及i d w g 的标准化努力。总结分析了入侵检测发展中存在的问题及未来的 发展方向。 2 结合现有入侵检测系统中存在的可交互性差、可扩展性差、不能跨平台 性和对分布式入侵攻击检测的不足，研究了c o r b a 技术的特点，将c o r b a 技 术与入侵检测技术结合起来的可行性进行的深入的研究。研究发现c o r b a 技术 正好能弥补现有入侵检测技术中存在的不能跨平台、跨语言、可扩展性差等的 缺点，将二者结合具有很好的实用价值。 3 设计了基于c o r b a 技术的分布式入侵检测系统模型( c d i d s ) 。首先介绍 了模型的设计思想，描述了c d i d s 的各个功能模块：代理器、监视中心以及 c o r b a 对象请求代理o r b 。该系统模型功能强大，叙述详细，完整的描述了 本文所设计的系统的整体功能。 4 对c d i d s 具体实现过程中的一些问题进行了研究。c d l d s 对象接口的 i d l 实现、c d i d s 的通信及通信协议i i o p 、c d i d s 的分布式对象调用模式。通 过上述工作解决了c d i d s 实现中的些关键问题，提升了系统的整体性能。 武汉理工大学硕士学位论文 第2 章入侵与入侵检测 2 1 网络信息安全简介 2 1 1 网络如何工作 计算机网络是由一群相互连接的计算机构成的。也就是说这种连接可以是 物理的办公室局域网的连线，包括电话线、拨号连接、光纤；联网方式也 可能通过电磁波，即无线连接、微波等等方式。 ， 简单的说一台计算机要跟另一台计算机通讯，首先要生成一个i p 包，它包 含该计算机名和网络地址，然后这个包通过网络发送。这一过程与电话交换不 同。在电话网中当a l i c e 要与b o b 通话时，他把b o b 的网络名( 即电话号码) 告知电话公司的计算机网络，不同的通讯线路于是被挂接起来，包括铜线、卫 星、蜂窝、光缆等等，形成不问断连接。a l i c e 和b o b 通过这个电路进行通话， 直至一方挂断电话。然后这一连接被拆解，允许其它人使用线路拨打电话。下 次他们要通话时线路连接将会完全不同。 计算机不使用电路交换进行连接。他们之间通过发送数据包来交换信息。 这些数据包可以是图片、e - m a i l 、音频视频流等。计算机将一个大文件分成小的 数据包以便于传输。这些包通过路由器在网络中传送。网络协议有多种，如以 太、t c p i p 或别的，但他们的工作原理基本相同。路由器查找数据包中的目的 地址，并把它们发往目的地。他们或许不知道目的地在哪里，但却知道应该怎 样走。这很类似邮局系统的投递过程。邮递员到你家取走要发出的信件，把它 们送到当地的邮局，邮局也不知道f i n g e r b o n e p i t t e r p a t 大街1 7 3 号，但却知道把 信件送上去往芝加哥的飞机。芝加哥邮局知道将信件送上飞往b o i s e 的飞机， b o i s e 邮局知道把信件送上去f i n g e r b o n e 的火车，最终，f i n e r b o n e 当地邮局知道 信件的地址，由投递员将信件投递。 武汉理工大学硕士学位论文 2 1 2i p 安全 不难看出，建立在以上这种模型之上的网络是多么的不安全。看一看护联 网，当信息包在路由器间传递时，这些被称作负载的数据对任何人都是开放的。 路由器仅仅搜寻信息包中的目的地址，但不能避免其内容被窥视。世界上的多 数i p 包是由快速路由器之间的高速连接处理的，这就是通常所说的i n t e m e t 骨 干网。远距离之间的所有信息包传递，比如美国道日本，仅经过几个路由器。 对于个体黑客而言，很难窥视到i n t e r n e t 的全部，但却很容易窥视到其局部。 他所必须做的就是设法登陆到网络上的某些计算机，观察流动的数据包，找到 它们感兴趣的内容。如果接近并进入到台a 公司的外围计算机，他就极有可 能监视进出这一系统的所有数据。( 当然这里所说的“接近”是指“靠近网络”， 而非真正物理地域上的接近) 。如果他得到了a 公司附近的一台计算机，他可能 并不能了解很多公司的数据信息( 或根本就不知道) 。假如他是个精明的黑客而 且并不过分关心他正在窃听的公司的情况，还不会有太大的问题。 黑客们最感兴趣的是包含口令的数据包。口令窃听十分容易，而且是i n t e r n e t 最常见的攻击。黑客要安装一个用于窃取用户名和口令的包窃听程序，这些程 序可以帮助黑客们窃取每次登录会话信息中的头几十个字节，并保存起来。这 些字节几乎毫无疑问的包括用户名和口令( 口令通常是加密的) ，之后黑客对日 常口令进行破解，用破解的口令登陆其它计算机。探查口令窃取程序很难发掘， 因为一旦攻入某台计算机后，就可以在里面安装一个口令窃取器窃取更多的口 令，使用这些口令还极有可能登陆到其它计算机上。 不仅网络窃听是可能的，而且实际上网络上的主动攻击更容易。在大多数 通信系统中，主动插入和删除信息包远不如被动窃听来的容易。但在i n t e m e t 上 正好相反。网络窃听很困难，但发送信息却极容易，任何自信的黑客都能做到 这一点，因为网络通信是基于包的，包的传输经过不同的路径最后在目的地端 安装，很多黑客都是利用现有的通信通道，任意的插入信息包。 这叫i p 欺骗，实现起来很容易，信息包中包括源地址和目的地址，但黑客 可按自己的意愿修改它们。黑客创建一个看似发自某一站点的信息包，而i n t e m e t 计算机假想“源地址”和“目的地址”是正确的，所以当它看到个包来自于 它所信任的计算机，它就认为它发出的信息包也是可靠的。黑客就是利用这些 信任关系攻入某台计算机，发送一个来自被信任计算机的仿造信息包，以使目 武汉理工大学硕士学位论文 的计算机信任并接收的。 另外还有路由攻击，这时攻击者告诉网l 的两个节点，它们之间最近的传 输路线就是经过这台计算机，这就使得在特定节点侦听变得更容易。 要解决这个问题，在理论上显得较容易，但实现起来却不尽然。如果把信 息包加密，传输过程中就没有人能解读；如果对数据包进行验证，就不再有能 够插入伪造的来自其它地方的信息包，删除某个信息包也会被发觉，并引起反 应。 实际上，对n t e m e t 上的信息包加密有多种方法。s s h 程序能对一台计算机 的用户经网络登录另台计算机的连接进行加密并验证。s s l 协议可以加密验证 i n t e m e t 上的w e b 数据流。i p s e c 协议则声称能加密验证所有信息。 2 1 3d n s 安全 域名服务( d n s ) 从根本上讲是一种大型的分布式数据库。i n t e r n e t 上的大 多数计算机包括节点、路由器和主机在内，都具有像“b r o k e n m o u s e c o l a ” 或“i i o n p e n e t f i ”这样的域名，这些名字的设计便于人们记忆，同时用于建立 u r l 地址和e m a i l 地址。计算机并不识别域名，但能识别2 0 8 2 5 6 8 6 4 这样的i p 地址。i p 地址用于信息包在网络上的寻址。 除其它功能以外，d n s 必须将域名转化为口地址，当计算机处理域名时， 它需要d n s 服务器将域名翻译成i p 地址。于是这台机器才知道向何处发送信息 包。 这一系统的问题在于d n s 系统并不安全。当一台计算机向d n s 服务器发 出查询请求，并收到回应时，它认为这一回应是正确的，d n s 服务器也是诚实 的。其实，d n s 服务器并非如此诚实无误，也可能存在欺骗。计算机收到的d n s 服务器的应答可能并不是来自d n s 服务器，而是来自其它地方的虚假回应。如 果黑客改动了d n s 表格( 指从域名到i p 地址的转换数据，或者反向数据) ，计 算机也会默认接受。 不难想象这种攻击的结果。黑客会设法使台计算机相信他的请求来自另 一台可置信机器( 通过改变d n s 表，使黑客计算机的i p 地址成为可信任的i p 地址) ，网络攻击会劫持并改变一个网络连接( 修改d n s 表，使得对 l e g i t i m a t e c o n a p a n y c o r n 的访问变成对e v i l h e a k e r c o m 的访问) ，攻击者可能作各 武汉理l 一人学硕士学位论文 种类似的操作。d n s 服务器会执行修改过程，如果一台d n s 服务器的纪录发生 了变化，它就会通知另一台d n s 服务器，并被承认。这样，如果攻击者在少数 几个节点上作了手脚，那么这种改动将在整个i n t e r n e t 上繁殖。 在1 9 9 9 年的一次黑客攻击事件中，d n s 系统遭到了攻击，发往某域名登记 公司的数据系统被引导到另一家域名登记公司。1 9 9 7 年也发生过相同的攻击事 件，这一次是名声攻击，此起事件发生在域名注册公开竞争之前。a l t e r n l c 的 老板e u g e n ek a s h p u r e f f 将n e t w o r ks o l u t i o n s 公司的业务引导至他的个人站点。 此人后来被抓并判缓刑两年。 在2 0 0 0 年，r s a 安全公司的主页被黑客利用蒙骗d n s 表而劫持。这与闯 入某w e b 站点建立主页面的性质不同。黑客通过操纵d n s 纪录将合法访问系统， 并导向由他们制作的假主页，他们并未攻击r s a 的d n s 服务器，而是攻击d n s 服务器上的上传信息流。他们做得既聪明又简单。用d n s 纪录诈骗攻击w e b 站 点是一种繁琐的方式。为了迸步破坏站点，黑客让人们误以为a 公司的w e b 站点受攻击，而入侵者实际上破坏了b 公司的d n s 服务器。 这些问题都很严重，而且难以解决。用密码学的鉴别方法可能彻底解决这 个问题，因为计算机不会冒然相信那些声称是来自d n s 服务器的消息。现在， 人们正在研究d n s 系统的安全版本，以处理这些问题。 2 1 4 拒绝服务攻击 1 9 9 6 年9 月，一个不知名的黑客或黑客组织攻击了纽约一家i s p ：公共访问 网络公司( 即p a n i x ) 的一台计算机。他们的所作所为就是给p a n i x 计算机发问 候语( 即s y n 信息包) 。p a n i x 接受并响应，之后远程计算机继续与之对话。攻 击者操纵远程计算机的返回地址，p a n i x 计算机试图结束与这台实际不存在的计 算机的同步通讯。在此之前，p a n i x 响应远程计算机之后等了7 5 秒，攻击者以 每秒5 0 个提示信息向p a n i x 大量发送p a n i x 难以负荷如此大量的信息，结果引 起系统崩溃，这就叫做“s y n 洪流”攻击。 这是第一例引起公众关注的袭击i n t e r n e t 主机的拒绝服务攻击事件。自此之 后，又发生了多起类似事件。拒绝服务攻击对通讯系统的破坏作用尤为特殊。 因为通讯系统是专门用于通讯的，在网络上对一台计算机提出大量的通信请求， 最易使计算机崩溃。通常从技术上还难以跟踪是任何人组织了这场攻击。 武汉理工大学硕士学位论文 还有种针对用户纸质邮件的拒绝服务攻击：攻击者替受害者订购各种邮 件，这些邮件包括邮件订单目录、信用卡申请单以及任何他们所能想到的东西。 结果是受害人受到大量邮件，每天大概有2 0 0 件，而真正的邮件则被淹没在垃 圾邮件中。理论上这种攻击总能奏效，防止其发生的唯一方法就是限制垃圾邮 件的数量，尽管i n t e m e t 上的邮件系统总是提交邮件。1 9 9 5 年，互联网解放阵线 ( i n t e m e tl i b e r a t i o nf r o n t ，这是一个虚名，以前不曾听说过) 给名为j o s h u a q u i t t n e r 的作家和有限杂志发送大量的e m a i l ，这场洪流势不可挡，最终致使计 算机系统崩溃。 这种攻击叫做“邮件炸弹”，这是一种非常有效的攻击。给某人发送过量的 邮件可使他的系统被装满，直至崩溃。这种攻击最简单的办法就是向受害人发 送成千上万的电子邮件，受害人的硬盘就会耗尽空间，网络连接被迫中断，或 者计算机系统崩溃。只要你能隐瞒邮件的出处，那就没人找到你。 另外，还有其他形式的拒绝服务攻击，有些攻击时针对邮件服务器的，有 些则是针对路由器、w e b 服务器的。其基本思路大致相同：向目标发送大量信 息使其崩溃，像w i n n u k e 能使旧版的w i n 9 5 崩溃一样。1 9 9 9 年4 月，有人在因 特网上一次就使6 0 0 0 台w i n 9 5 级崩溃。利用拒绝服务攻击袭击w e b 站点很常见， 像a k a m a i 这样的远程缓存服务只会使攻击更易实施而较难发现。 有时很难区分拒绝服务攻击和非正常操作。比照一下环绕城市的高速公路， 正常情况下，高速公路运行良好，但在高峰时间段，车辆就会堵塞拥挤。有专 家提议，可将让客户端在连接网络时进行稍微复杂的计算作为一种防范措施。 其思想是：如果客户机需花费机时才能完成个网络连接，那么它就不能与目 标机进行大量的连接。这一想法非常好，但对于分布式的拒绝服务攻击却无效。 有人归咎于i n t e m e t 网上缺少鉴别，其实这是不相干的。拒绝服务攻击仅当 提交信息包时才有危害性，这与信息包是否被鉴别毫无相干。强制性的鉴别对 防范这种攻击、打击黑客丝毫不起作用，只有网络上所有节点都进行鉴别检查 时才会有帮助。这将改变n t c m c t 的工作方式，并将大大减少网络带宽：网上所 有交换机和路由器都要对包进行鉴别，而不仅是只对包进行传输。 在i s p 端进行大规模的过滤会有效。如果网络能够阻止拒绝服务攻击，那么 这种攻击就不会伤及目标计算机。因此，鉴别会有些益处。但i s p 过滤不仅需作 大量的工作，而且会使网络带宽明显下降。同样，大范围修改i n t e r n e t 交换机和 武汉理工人学硕+ 学位论文 路由器工作模式会缓解这一问题，可以让交换机和路由器拒绝转送明显伪造的 信息包，但这样做同样有极大的改变。 尽管有各种做法，但这种简单地向目标发送大流量数据的拒绝服务攻击还 是难以控制。有些攻击还利用了系统的某些脆弱性进行大流量攻击，弥补这些 脆弱性可以避免受到攻击，但是如果黑客携带的救火水管比你的更粗，他们就 能阻塞你的网络连接。 拒绝服务攻击不是侵害性行为，他们不影响w e b 站点内的数据。这类攻击 不会偷窃信用卡帐号和重要信息，也不会转移银行账户上的钱或以他人名义进 行股票交易。进攻者并不直接从这类攻击中受益。 这并不是说拒绝服务攻击不真实，不重要。对于多数大公司而言，安全性 最大的风险是收入和信誉的损失，这两种损失都可能由于明显的拒绝服务攻击 而引起。对那些有着至关重要或性命攸关的任务的公司，拒绝服务攻击足以使 人的生命受到威胁。 2 1 5 分布式拒绝服务攻击 分布式拒绝服务攻击是拒绝服务群起进攻的方式。1 9 9 9 年，发布了第一个 用于这种攻击方式的自动化工具，m i n e s o t a 大学在1 9 9 9 年8 月成为第一个受攻 击的公开目标。2 0 0 0 年年初，成批攻击行为把他们推到了各地报纸的头版头条。 这种攻击与传统的拒绝服务攻击样，只不过进攻源不止个。黑客首先 进入成百上千没有安全防护系统的计算机，这些计算机被称作“僵尸”，入侵者 在计算机内安装一个攻击程序，之后他控制这些计算机同时向目标发起进攻。 目标机即刻受到来自多个地方的攻击，其传统的防范措施失去作用，最终发生 死机。 在传统方式的拒绝服务攻击中，作为受害者的计算机可能会察觉这个攻击 来自何处，并关闭这些连接。但在分布式的拒绝服务攻击中，进攻源将不止有 个。计算机应当关闭除他信任的连接之外的所有连接，但这在公共i n t e m e t 站 点上根本无法实现。 近年就分布式拒绝服务攻击的问题已召开了多次学术研讨会，会议一致认 为没有通用的防护手段。只有不断监视网络连接，及时切换备份服务器和路由 器。有时一些特殊的被攻击行为利用的漏洞可以修复，但很多却不能。i n t e r n e t 武汉理： 人学硕 学位论文 的设计就不是为了抵御这些攻击的。 这些攻击的破坏性i f 在变的越来越强。目前分粕式拒绝服务工具需要攻击 者进入多台计算机，安装僵尸程序，并保持这些程序不被发觉知道最后联合发 起进攻。所有这些过程都隐蔽着不被发现。现代的工具逐渐转向病毒、蠕虫或 特洛伊木马程序，它们可以繁殖僵尸程序，而后从公开论坛上获取命令代码以 自动发起攻击。 这种方式的攻击已有一例。1 9 9 9 年，有人在网上发布了一条假消息，声称 微软i n t e r n e t 浏览器进行了升级。这实则是一只特洛伊木马，那些被程序感染的 计算机会向保加利皿电信公司发送信息流，这次拒绝服务攻击给该公司带来了 长期的问题。 问题在于，成百上千甚至成千上万无辜的计算机用户很容易受到攻击。他 们使用a d s l 或m o d e m ，而且总是使用静态i p 地址上网。因而他们就容易受到 黑客的控制，并成为每次攻击的跳板。从新闻媒介报道的表面看，似乎许多公 司遭受了攻击，实际上受到攻击的是个人的计算机系统。 2 2 入侵技术及其发展 古语道：知己知彼，百战不殆。任何一位安全专家，无论是某座城池的守 城将领还是网络安全专家，如果不从入侵者的角度来分析问题，那么必将面临 失败的结局，事实上，每一位入侵者都是一位网络安全方面的专家，因为他们 熟知攻击的原理和技巧，能够巧妙地绕过现有的安全防范体系并侵入系统然而 长期以来，黑客攻击技术却没有成为系统安全研究的一个重点，导致网络安全 防御和响应技术始终落后于网络入侵技术的发展。 2 2 1 黑客与入授者 黑客是些什么人? 黑客( h a c k e r ) ，源于英语动词h a c k ，念为“劈砍”，也就意味着“辟出，开 辟”，进一步引申为“千了一件非常漂亮的工作”。该词源于麻省理工学院，当 时一个学个组织的一些成员因不满当局对某个电脑系统的使用所采取的限制措 施，而开始自己“闲逛”闯入该系统。他们认为任何信息都是自由公开的，任 9 武汉理j ：大学绚士学位论文 何人都可以平等地获取。 黑客本来是专指那些酷爱电脑、热衷于程序设计的人，并没有丝贬义。 以至后来，才逐渐演变成入侵者、破坏者的意思，成为让人们不齿的“骇客 ( c r a c k e r ) ”。因此有人将黑客定义为：利用通讯软件，通过网络非法进入他人系统， 截获或篡改计算机数据，危害信息安全的电脑入侵者。 但是多年以来，媒体一直在错误地运用“黑客”这个字眼来表达“入侵者 ( i n t r u d e r ) ”的意思，致使公众认为黑客就是非法闯入计算机系统的人。其实，这 种晓法是不对的，应对黑客和入侵者两者的定义区分开。 黑客指对于任何计算机操作系统的奥秘都有强烈兴趣的人。他们大都是程 序员，具有操作系统和编程语言方面的高级知识。知道系统中的漏洞及某原因 所在：他们不断追求更深的知识，并公开他们的发现，与其他人分享：他们从来 没有破坏数据的企图。从事黑客活动，意味着对计算机的最大潜力进行智力上 的自由探索。 而入侵者则是指怀着不良的企图，闯入甚至破坏远程机器系统完整性的人， 入侵者利用获得的非法访问权，破坏重要数据，拒绝合法用户服务访求，或为 了自己的目的制造麻烦。入侵者很容易被识别，因为他们的行为是恶意的。事 实上，是黑客养活了大批网络安全专家。黑客和网络安全专家们之间的较量正 将我们的网络安全技术不断向更高的水平提升。 但是，本文并不会从道德和伦理上对此进行无休止的论述。因此，本文只 是将入侵行为看作为一种纯技术的行为，无论是否是黑客，无论是否是恶意入 侵，都是入侵。其行为人也都称之为入侵者。 2 , 2 2 网络入侵分类 想要将不同种类的网络入侵行为分类是十分困难的，因为各种不同种类的 入侵行为常常是同时发生的。另外，有些方法难以被划分到已知的类别中。而 且，网络技术发展迅猛，每天都有新的技术出现，每天也会有新型入侵的发生。 网络入侵与安全防护正处于永无休止的此消彼涨之中。 下面简要介绍一些主要的网络攻击行为： 网络扫描 通常，攻击者在确定攻击目标之后，首先要对目标进行深入的调查，收集 武汉理t 火学硕士学位论文 有用的资料和情报。这些资料和情报将为进一步的行动提供极有价值的信息。 对目标的这种调查可以通过一些社会工程的手段，比如打电话询问以及找熟人 打听等，也可以通过技术的手段。其中最主要的条就是网络扫描。 通常，网络扫描是运用一些程序或者专用的扫描器来实现的。通过向目标 主机发送一系列的数据报文并分析返回结果来了解目标主机的一些状况，如是 否在线，有哪些端口打开，运行了哪些网络服务等等。通常的情况下，使用专 用的扫描器，可以获得大量有关目标主机的信息。 根据网络扫描方式的不同，可以将扫描分成端口扫描和漏洞扫描两大类。 在通过简单的主机扫描( 如p i n g ) 得知目标主机在线后，就要用端口扫描来获取更 多关于目标主机的信息，如： 目标主机运行的操作系统类型、版本等信息； 。 目标主机是否具有如防火墙之类的保护措施； 目标主机上运行的网络服务类型及其版本： 目标主机存在的漏洞。 比如，通过网络扫描得知目标主机的2 3 号端口处于打开状态，那么就可以 知道目标主机运行了t e l n e t 服务程序，然后就可以运用一些口令攻击程序对 t e l n e t 服务进行口令暴力破解。 网络嗅探 嗅探器( s n i 鼢) 攻击也是网络上非常流行的一种攻击手段。对于一个入侵者 来说，一个放置很好的嗅探器就是一个巨大的宝藏，能够从中得到成千上万条 有用信息。嗅探器就是一种能够捕捉网络报文的设备。通用网络公司最早开发 了一个能够捕捉网络报文的程序，称为s n i f f e r 。后来，s n i f f e r 就成为了各种嗅 探器的代名词。 嗅探器可以分析网络的流量，帮助找出网络中潜在的问题。网络管理员可 以通过嗅探器对网络的运行状态作出分析，从而解决网络通信中的各种问题a 但是，由于嗅探器可以捕获网络报文，因此它也对网络安全产生了巨大的 危害。通过嗅探器可以捕获到网络中传输的口令等机密信息，从而帮助入侵者 获取更高的权限。 嗅探器并不是万能的，也不是说有了嗅探器就可以得到网络上传输的所有 信息。其实，嗅探器的工作在很大程度上依赖于目前小型局域网及网络设备的 武汉理t 大学硕士学位论文 工作方式。嗅探器通常是安装在某一台主机上的：那么，该嗅探器仅能接收到 本机网络接口上所能接收到的报文。因此，要想使嗅探器能够获取本网络( 更确 切地说，本网段) 上的所有报文，必须具有以下几个条件： 共享式网络( 即网络中使用的是共享式集线器) ； 网络适配器的接收方式为混杂模式( 即不仅接收发往本机的数据包，而且接 收发往其它机器的数据包) ； 安装嗅探软件。 嗅探器运行在网络的底层。通常，非法使用嗅探器是入侵者在网络中进行 欺骗或者进行其它攻击行为的开始。 例如，目前网络上存在大量未经加密的信息。嗅探器可以很轻松地捕获到 明文传送的用户名和密码等信息，从而造成更严重的破坏。 又如，通过记录两台主机之间的网络接口地址、i p 地址、路由信息以及t c p 序列号等信息，可以对其中一台主机进行i p 欺骗攻击。 电子欺骗 电子欺骗( s p o o f i n g ) 可以用一句话来概括：通过伪造源于可信任地址的数据 包以使一台机器认证另一台机器的复杂技术。 在网络上，计算机之间进行的交互是建立在认证和信任关系的前提下的。 认证是网络上的计算机相互之间识别的过程，经过相互认证，两台建立连接的 计算机之间就会建立信任关系。信任和认证具有逆反关系，如果计算机之间存 在高度的信任关系，则连接时就不需要进行严格的认证；反之，则要进行严格 的认证。 当两台计算机之间存在了信任关系，第三台计算机就可能冒充建立了相互 信任关系的两台计算机中的一台对另一台进行欺骗。常见的电子欺骗的方式有： i p 欺骗( i ps p o o f i n g ) ： t c p 会话劫持( t c ph