（通信与信息系统专业论文）面向军网的ddos协同防御技术研究.pdf

m st h e s i s j i i ir li i1 i r l1 1 1 i i l y 1813 4 6 6 r e s e a r c ho nm i l i t a r y - o r i e n t e dn e t w o r k c o o p e r a t i v e d e f e n s e t e c h n o l o g y 一 - 一 一 一 一 ：s p e c i a l t y ：c o m m u n i c a t i o na n di n f o r m a t i o ns y s t e m m a s t e rd e g r e ec a n d i d a t e ：w u y o n g m i l i t a r ys u p e r v i s o r ：s 曼垒i q q ! q 坠星le 堕圣h 坠垫g s c h o o lo fi n f o r m a t i o ns c i e n c e e n g i n e e r i n g c e n t r a ls o u t h u n i v e r s i t y c h a n g s h a ，h u n a n ， e r c 5 。 中南大学 学位论文保密审批表 申请人姓名学号 l 咕穷沙d 6 所在学院 稳钭髫牙砾删专业l 煎纺7 岛糸魄 学位类别博士口硕士回 l 联系电话l侈蚓蹈2 私 论文题目 建议密级 定密依据及保密要点： 害涔采岁、困良军肉够峦耙免设计 刷磁字履级 稍乏跏、 知7 年月j ，日 学院审查( 盖章) ：， ? 蕾瓢一 。塥搦雇冕 7 年，月烨日 学校审批( 盖章) ： 密级类型国家秘密 技术秘密口 专利技术 口 机密口保密期限年 秘密 保密期限基年 ，二一 ，工微b 、 内部口保密期限，年 。 l 塑墅望! 坦b 注：办理学位论文保密审批手续必须携带全部学位论文以便：盖保；毒+ 丽； j 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了论文中特j g o d l ：i 以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得中南大学或其他单位的学位或证书而使用过的材料。与我共 同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：喻趔年卫月丝日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校有 权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位论 文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论文； 学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名： 瑚i | | f 配 日期：l 年一月二日 h , t t 弱：孕年卫月业目 目录 摘要i a b s t r a c t ii 第一章绪论1 1 1 问题的提出1 1 1 1d d o s 攻击产生的危害l 1 1 2 军事网络自身的缺陷2 1 2d d o s 攻击简介4 1 2 1d d o s 攻击的目的4 1 2 2d d o s 攻击的分类4 1 3 研究现状5 1 4 研究意义及研究内容6 1 4 1 研究意义6 1 4 2 研究内容7 1 5 论文的组织结构7 第二章d d o s 攻击及其对策8 2 1 网络攻击技术8 2 1 1 网络攻击概念8 2 1 2 网络攻击的目的和分类8 2 1 3 攻击工具发展趋势9 2 2d d o s 概述1 0 2 2 1d d o s 发展1 0 2 2 2 攻击常用技术1 3 2 3 典型攻击工具1 4 2 3 1s m u r f 攻击1 4 2 3 2t r i n o o 攻击1 6 2 3 3t f n 攻击1 6 2 3 4t f n 2 k 攻击1 6 2 3 5s t a c h e l d r a h t 攻击1 7 2 4d d o s 攻击产生的原因以及发展趋势1 7 2 4 1d d o s 攻击产生的原因1 7 2 4 2d d o s 攻击的发展趋势1 8 2 5 本章小结1 8 第三章面向军网的d d o s 协同防御模型1 9 3 1 协同防御介绍1 9 i i i 3 1 1 单一防御手段在网络中使用时存在的缺陷1 9 3 1 2 协同防御的优点2 0 3 2 军事嘲络特点2 0 3 2 1 军事网络中现有防御方法的不足2 0 3 2 2 军事网络中数据安全的要求2 l 3 3 面向军网的协同防御模型及各功能模块介绍2 2 3 3 1 面向军网的协同防御系统基础2 2 3 3 2 系统架构设计2 2 3 3 3 数据交换系统网络布局拓扑结构2 5 3 4 本章小结2 6 第四章面向军网的d d o s 协同防御模块设计2 7 4 1 报警系统模块设计2 7 4 2 数据规范化与数据交互模块设计2 8 4 2 1 军事通信网络与x m l 语言2 8 4 2 2 数据包结构的定义与生成数据包2 9 4 2 3 数据包的解析3 0 4 3r i d 模块设计3 1 4 3 1r i d 查询接收器设计3 1 4 3 2r i d 查询发送器设计3 2 4 4 本地追踪模块设计3 2 4 4 1 本地追踪模块设计3 3 4 4 2 标记和定位算法3 4 4 4 3 标记空间3 5 4 5 数据的加密与解密3 5 4 6 实验测试与分析3 6 4 6 1 区域追踪算法实验3 6 4 6 2x m l 数据交换系统实验3 7 4 7 本章小结3 8 第五章结束语3 9 5 1 本文工作总结3 9 5 2 本系统希望在军事信息网络中达到的效果3 9 5 3 进一步的工作4 0 参考文献4 1 致谢4 5 作者在攻读硕士期间的科研成果4 6 i v 烦l j 学位论文 第一章绪论 第一章绪论 本章首先介绍了课题的研究背景和意义，随后阐明了课题研究的主要内容和 目的，最后给出了论文的章节安排。 1 1 问题的提出 1 i 1d d o s 攻击产生的危害 伴随着计算机技术和网络通信技术的飞速发展，计算机信息系统同益庞大， 构成系统的实体数量、实体类型、网络结构、信息流方式、信息处理方式等都发 生了非常大的变化，成为了一个庞大的复杂系统。该系统涉及到国家的政治、军 事、文教等诸多领域，其中存贮、传输和处理的信息有很多如政府宏观调控决策 信息、银行资金转帐信息、股票证券信息、商业经济信息、能源资源数据和科研 数据等是重要信息、敏感信息、甚至是国家和军事机密，因此难免会吸引来自世 界各地的各种人为攻击( 例如窃取信息、篡改数据、假冒信息、伪造信息等) 。另 一方面计算机犯罪的迅速增加，使各国的计算机信息系统都面临着很大的威胁， 并成为严重的社会问题之一，因此各国在信息系统安全方面都在不断加大研究力 度。 近几年来，越来越多的安全研究调查报告显示，大量网站遭到黑客攻击的事 件层出不穷，所造成的后果和损失也越来越大，据估计网上黑客平均每周发起的 d d o s 类型的攻击就超过了8 0 0 0 次，并且有时候网站遭到入侵攻击的后果是可 以极具杀伤力的。例如在2 0 0 2 年2 月7 日的时候，一连串d d o s 的攻击使许多 知名网站的正常运作严重瘫痪了，如y a h o o 、e b a y 、a m a z o n 【1 1 。表面上看，这 些公司因此而损失了上千万美元的收入，但从更长久来看对于该公司则是损失了 苦心维持的良好的声誉。而最令人担心的是，有关指导如何进行非法网络攻击的 黑客软件和教程在互联网上几乎随处可见，许多计算机初学者只要免费下载一个 黑客攻击程序然后按照说明进行操作，就可以达到非常令人担心的后果，而且此 种局面在目前看来还有不断扩大的迹象。在各种网络软件中，没有绝对安全的产 品出现( 除非你与世隔绝) 。只要有交流就存在危险。黑客与网管之间的较量目 前看来远远没有结束，这种较量不仅仅是技术层面的，还有的是网络体系架构的 先天缺陷和设计漏洞，更多的往往是安全意识和思维的较量。在众多的网络攻击 手段中，d d o s l 2 1 攻击已经越来越被频繁地提起，它不像传统黑客是通过系统的 漏洞而取得目标主机的使用权，并且加以控制的入侵攻击方式，d d o s 的攻击属 于隐藏型，是一种蓄意恶性攻击行为，它是网站攻击者的秘密武器，足以将系统 坝i j 学位论文第一搴绪论 的所有资源耗尽，让你的服务系统不是“拒绝报务”，而是无能力服务了。 1 1 2 军事网络自身的缺陷 目自订，由于我军网络也是基于i p v 4 协议构建的，因此，也存在和现有的地 方互联网络一样的协议漏洞问题( 可能有些问题只有等到i p v 6 才能根本解决) 。 其实，任何人为制定的网络通信协议都不是十全十美的，事实上也不可能做到这 一点。对于某些通信协议，总会出现这样或那样的不完善之处。而如果这种先天 的漏洞或缺陷落在黑客手中，就可以刻意扩大其错误的杀伤力，使之成为一种专 门的攻击手段。下面就简单介绍一下基本的网络协议及其工作原理，其实也就是 d d o s 能够实现的原理。 1 t c p i p ：传输控制协议1 3 i ( t r a n s m i s s i o nc o n t r o lp r o t o c o l ，t c p ) 和网际协 议( i n t e m e t p r o t o c o l ，i p ) 称为互联网的基本协议基础。t c p i p 最初是在d a r p a 的 赞助下丌发的，后被应用在a r p a n e t 上，随着互联网热潮的兴起，t c p i p 也得， 到了越来越广泛的应用。t c p 是建立在不可靠的因特网上提供可靠的、端到端的 字节流的通信协议，它为用户进程提供可靠的虚拟电路，丢失或受损的数据包会 得到重新传输，t c p 的传输是基于三次握手机带l j ( t h r e e w a yh a n d - - s h a k i n g ) 来建 立的。每个t c p 的报文中的序列号决定着数据传送的顺序，而t c p 数据包报头 中的主机i p 和端口号指明了进行会话通信双方的地址，在一次服务器与客户端 的建立连接过程中，双方是通过报头中的s y n 和a c k 信息标志的特定数值代 表的不同的意义来互相沟通的。i p 是网络层协议，在因特网上所有t c p 、u d p 、 i c m p 、i g m p 等数据都要通过i p 数据包来发送。i p 没有虚拟电路或电话呼叫的 概念，所以它是一种建立在无连接上的不可靠服务。i p 数据包由一个头部和一 个正文部分构成。正文主要是传输的数据，i p 的头部通常包括有3 2 位的i p 源地 址、目标地址、校验值和若干参数。i p 的传输通常是没有保障的，传输过程中 数据包可能会被丢弃，也可能在某些地方被分割，而所有这些行为都是不可预知 和不可控制的。 漏洞或缺陷：t c p 建立连接时所采用的三次握手机制提供了远比其他协议更 安全的措施，但这并非十全十美，攻击者可以通过发送伪造的数据包来迷惑目标 主机。比如利用特殊的程序设置t c p 的h e a d e r ，向服务器端不断地成倍发送只 有s y n 标志的t c p 连接请求。当服务器接收的时候，都认为是没有建立起来的 连接请求，于是为这些请求建立会话，排到缓冲区队列( t c pb a c k l o g ) 中，当缓冲 区被这些蓄意的无效请求所占满时，服务器就无法向正常用户提供服务了。 2 脚冲：地址解析协议( a d d r e s sr e s o l u t i o np r o t o c o l ，a r p ) 是用来将3 2 位的 2 第一蒂绪论 i p 地址解析成局域网硬件所使用的媒体访问控$ 1 j ( m a c ) 地址，m a c 地址是一个 4 8 位的以太网地址。a r p 通过网络广播洵问所附i p 地址的设备的媒体访问控制 地址，然后将其保存在高速缓存中，这些保留着的已经建立起来的地址，将在以 后的通讯中直接调用。 漏洞或缺陷：有可能一个非法节点获取本网络的权限后，会发布虚假的a r p 报文使所有的通信都转向它，以达到窃取数据等目的。 3 u d p ：用户数据报协议( u s e rd a t a g r a mp r o t o c o l ，u d p ) 是基于无连接的传 输层协议，它适用于仅仅需要询问响应的应用中，所需的丌销和耗费较少。但 它没有流量控制和差错修正的机制，所以容易造成数据丢失或错误。 漏洞或缺陷：要获得u d p 的信任非常容易，因为它没有像t c p 那样的握手 机制和序列号，除非应用程序自己可以鉴别发来的数据包。 4 i c m p ：因特网控制报文协议( i n t e m e tc o n t r o lm e s s a g ep r o t o c o l ，i c m p ) 是用来监控t c p u d p 层连接状态的低层机制，通常用来通知主机如何到达目 的地的较好路由，报告路径中出现的问题，监测网络中出现的故障。 漏洞或缺陷：因为i c m p 通常用来报告网络传送中出现的故障，因此也最容 易被黑客们用来制造攻击。典型的如p i n g 命令就可以演化成f l o o d ( 淹没) 的攻击， 更不要说r e d i r e c t ( 重定向) 和d e s t i n a t i o nu n r e a c h a b l e ( 目标不可到达) 的i c m p 报 文，因为伪造有的报文非常容易，攻击者往往假扮受害者的i p 发送协议或端口 不可到达给所有的主机，使其他机器不能访问该主机。 5 r i p ：路由信息协议( r o u t i n gi n f o r m a t i o np r o t o c o l ，r i p ) 是动态发现合适 的因特网路径的协议，它是运行t c p i p 的基础。因此也最容易受到攻击。 漏洞或缺陷：伪造的r i p 路由信息很容易欺骗主机和路由器，最简单的可以 利用i p 的稀疏源路由机制显式地指明路径，如果攻击者将被攻击的机器指定为 目的地址，则很容易造成被攻击机器的瘫痪。另外由于允许存在不对称路由的选 择，因此其中含有更多的安全隐患。 6 d n s ：域名服务系统( d o m a i nn a m es y s t e m ，d n s ) 是用来将主机名解析 成不容易记忆的3 2 位i p 地址的系统。它是一个分布式的数据库系统，其名字空 间采用树状结构。d n s 有正向和反向两种映射方式，即主机名到i p 地址和i p 地址到主机名。 漏洞或缺陷：反向映射有可能导致麻烦，控制了反向映射的黑客会将域名解 析导向错误的目标。 7 其他容易引起d d o s 攻击的应用协议：如简单邮件传输协议( s i m p l e m a i l t r a n s p o np r o t o c o l ，s m t p ) ，一个拥有高速宽带的黑客完全可以发送多个 1 0 0 m b 或者更大的邮件包给受害者而造成对方瘫痪。 顺l j 学化论文讹一葶绪论 除了上述协议本身的缺陷以外，由于部队网络管理机制不完善，人员素质参 差不齐以及教育程度不够等问题，时常出现“一机双卡”等现象，造成军队内部网 络和地方互联网互联互通，使得物理隔绝失效，从而给敌对方以及黑客有了可乘 之机。 1 2d d o s 攻击简介 1 2 1d d o s 攻击的目的 d d o s 就是通过欺骗伪装及其他手段以使得提供服务资源的主机出现错误 或资源耗尽，从而让目标机器停止提供服务或资源访问的一种攻击手段。从目前 的所有网络攻击的方法和所产生的破坏情况来看，d d o s 算是一种很简单但又很 有效的进攻方式。它的目的就是干扰目标的服务访问，破坏组织的正常运行，最 终使系统服务、i n t e m e t 连接或网络服务失效或瘫痪。 d d o s 技术严格地说只是一种破坏网络服务的技术方式，具体的实现有很多 种方式，但都有一个共同点，就是其根本目的是使受害主机或网络失去及时接受 处理外界请求，或者无法及时回应外界请求。d d o s 攻击广义上可以指任何导致 服务器不能正常提供服务的攻击，比如说停电、硬件设备损坏、人为中止服务等， 其最终结果都是让用户得不到正常的服务。这不属于本文讨论的范围。本文主要 是分析由远程端向服务器发起的人为的攻击的行为。 d d o s 攻击是目前不少黑客常用的攻击手法，它可以由一些公丌的常用的软 件进行攻击，它的发动简单，而且能很快地产生大规模的效应，但是，要防范它 又非常困难，因为它常常和正常访问混在一起，给你的感觉就是由于大量的正常 访问造成服务器难以应付而产生“拒绝服务”。因为这是目前t c p i p 协议中的自 身缺陷，所以从技术上，目前没有根本的方法将其彻底消除，只能加以防范和减 轻。 1 2 2d d o s 攻击的分类 当前主要有三种流行的d d o s 攻击方式： 1 s y n a c kf l o o d 攻击：这种攻击方法是经典最有效的d d o s 方法，可通 杀各种系统的网络服务，主要是通过向受害主机发送大量伪造源i p 和源端口的 s y n 或a c k 包，导致主机的缓存资源被耗尽或忙于发送回应包而造成拒绝服务， 由于源都是伪造的- 故追踪起来比较困难，缺点是实施起来有一定难度，需要高带 宽的僵尸主机支持。少量的这种攻击会导致主机服务器无法访问，但却可以p i n g 的通，在服务器上用n e t s t a t n a 命令会观察到存在大量的s y nr e c e i v e d 状态， 4 坝卜学化论文第一亭= 绪沦 大量的这种攻击会导致p i n g 失败、t c p i p 栈失效，并会出现系统凝固现象，即 不响应键盘和鼠标。普通防火墙大多无法抵御此种攻击。 2 t c p 全连接攻击：这种攻击是为了绕过常规防火墙的检查而设计的， 般情况下，常规防火墙大多具备过滤t e a r d r o p 、l a n d 等d o s 攻击的能力，但对 于j 下常的t c p 连接是放过的，殊不知很多网络服务程序( 如：i i s 、a p a c h e 等 w e b 服务器) 能接受的t c p 连接数是有限的，一旦有大量的t c p 连接，即便是 j 下常的，也会导致网站访问非常缓慢甚至无法访问，t c p 全连接攻击就是通过许 多僵尸主机不断地与受害服务器建立大量的t c p 连接，直到服务器的内存等资 源被耗尽而被拖跨，从而造成拒绝服务，这种攻击的特点是可绕过一般防火墙的 防护而达到攻击目的，缺点是需要找很多僵尸主机，并且由于僵尸主机的i p 是 暴露的，因此容易被追踪。 3 刷s c r i p t 脚本攻击：这种攻击主要是针对存在a s p 、j s p 、p h p 、c g i 等 脚本程序，并调用m s s q l s e r v e r 、m y s q l s e r v e r 、o r a c l e 等数据库的网站系统而 设计的，特征是和服务器建立正常的t c p 连接，并不断的向脚本程序提交查询、 列表等大量耗费数据库资源的调用，典型的以小博大的攻击方法。一般来说，提 交一个g e t 或p o s t 指令对客户端的耗费和带宽的占用是几乎可以忽略的，而 服务器为处理此请求却可能要从上万条记录中去查出某个记录，这种处理过程对 资源的耗费是很大的，常见的数据库服务器很少能支持数百个查询指令同时执 行，而这对于客户端来说却是轻而易举的，因此攻击者只需通过p r o x y 代理向主 机服务器大量递交查询指令，只需数分钟就会把服务器资源消耗掉而导致拒绝服 务，常见的现象就是网站慢如蜗牛、a s p 程序失效、p h p 连接数据库失败、数 据库主程序占用。c p u 偏高。这种攻击的特点是可以完全绕过普通的防火墙防护， 轻松找一些p r o x y 代理就可实施攻击，缺点是对付只有静态页面的网站效果会大 打折扣，并且有些p r o x y 会暴露攻击者的i p 地址。 1 3 研究现状 b u r c h 和c h e s w i c k t 4 】于1 9 9 9 年提出了网络追踪的概念，并且提出应该通过 监控网络流量的变化和泛洪网络连接来识别攻击路径。之后，提出了多种追踪的 方法，例如：概率包标记技术i5 1 、i c m p 技术【6 1 、层叠网络( o v e r l a yn e t w o r k ) 追踪 技术【7 】【引、h a s h b a s e d 追踪技术【9 1 、基于i p s e c 的路由追踪技术【1 0 1 1 】等。 s a v a g e 等人i l2 j 提出 p p m ( p r o b a b i l i s t i ep a c k e tm a r k i n g ) 方案，其原始思想是 每个路由器以一定的概率( 推荐为o 0 4 ) 对经过的数据包进行标记，把路由器的 i p 信息写入i p 头中不常用到的1 6 b i t s 的i d 字段。接收方通过接受被标记过的数据 包来重构攻击路径的信息。s o n g 和p e r r i g t b j 在p p m 基础上，提出对边进行标记并 硕j j 学位论文第一章绪论 蚝 h m a c 来对标记信息的合法性进行认证的方案。他们不存储i p 分段信息，而是 存储一条边上2 个节点的m a c 验证码的异或值。这个方案部分解决了攻击者伪造 标记信息的问题，性能较s a v a g e 的方案也有所提高。然而此方案需要网络拓扑信 息来重构攻击路径，另外其可测量性也受到置疑。 b e l l o v i n l l 4 1 等人提出了一种名为i t r a c e 方案，路由器概率的向数据包的源地址 第一毋绪论 本文研究意义以及所做 的工作。 第二章对目前比较典型的d d o s 攻击进行分析，针对部分攻击手法，总结 出防御措施。 第三章对简要分析协同防御方法和传统防御方法的区别，同时对本文建立 模型要用到的模块进行介绍。 第四章根据军事网络的需求和特点建立一个协同防御d d o s 攻击的模型， 并对各个模块进行具体设计。 第五章总结全文，并提出进一步的工作。 7 硕十学何论文第二章d d o s 攻击及其对策 第二章d d o s 攻击及其对策 网络安全是一项复杂的系统工程，b r u c es c h n e i e r 曾经强调：“安全性是一条 链，其可靠程度取决于链中最薄弱的环节”。【2 i 】可见，处理好预防，检测与响应 之问的关系对安全建设有重要意义。本章从分析网络安全技术为切入点，首先总 结网络攻击技术的特点和分类；其次论述d d o s 攻击的发展状况；最后对现在普 遍使用的d d o s 攻击工具进行了分析。 2 1 网络攻击技术 2 1 1 网络攻击概念 网络攻击就是利用对方信息系统自身存在的安全漏洞，通过使用网络指令或 专用的工具软件进入对方网络系统，或者是使用强电磁武器摧毁其硬件设施。其 目的就是破坏网络安全的各项指标，窃取敌方信息、破坏扰乱对方信息系统的正 常运行、篡改对方信息，致使对方计算机网络和系统崩溃、失效或错误工作。 利用网络攻击技术可以大规模破坏敌方计算机网络及其系统，对国家金融、 交通、通信、供电以及军事等战略资源和战略目标进行毁灭性打击，从而使整个 国家在经济、社会秩序和军事等各方面处于全面瘫痪。 2 1 2 网络攻击的目的和分类 网络攻击一般出于以下目的： 1 获取目标系统的非法访问一获得不该获得的访问权限。 2 获取所需资料一包括科技情报、个人资料、金融账户、技术成果、系统 信息等等。 3 篡改有关数据篡改资料，达到非法目的。 4 利用有关资源一利用某台机器的资源对其他目标进行攻击，发布虚假信 息，占用存储空间。 网络攻击的方式和方法从早期的粗糙、单一的攻击方法发展到今天的精致、 综合复杂的攻击方法。早期主要的攻击方法以口令破解、泛洪式拒绝服务和特洛 伊木马为主；九十年代开始兴起缓冲区溢出、网络信息探测和网络漏洞扫描攻击； 近几年又出现了综合各种网络攻击手段的网络欺骗攻击、分布式拒绝服务攻击和 分布式网络病毒攻击。下面是各类网络攻击技术的分类： 1 阻塞类攻击。阻塞类攻击企图通过强制占有信道资源、网络连接资源、 8 硕十学f 节论文 第一二章d d o s 攻，打及其对策 存储窄问资源，使服务器崩溃或资源耗尽无法对外继续提供服务。d o s 是典型的 阻塞类攻击，常见的方法有：泪滴攻击、u d p t c p 泛洪攻击、l a n d 攻击、s m u r f 攻击、电子邮件炸弹等多种方式。为了针对宽带网络技术的发展，目自矿d o s 己 发展为“火力”更为猛烈的分布式集群攻击，及不容易找到攻击源的d r d o s 攻击。 2 控制类攻击。控制类攻击试图获得目标机器的控制权。常见的有口令攻 击、特洛伊木马攻击和缓冲区溢出攻击。攻击者进入目标主机，获得系统控制权 后便可读取目标主机中的秘密文件、信息。有时利用主机问的相互信任关系还可 进一步获得与目标主机建立信任关系的主机上的信息。 3 病毒类攻击。计算机病毒已经由单机病毒发展到网络病毒，由d o s 病毒 发展到w i n d o w s 9 8 n t 2 0 0 0 ) ( p 2 0 0 3 系统的病毒，u n i x l i n u x 平台病毒也 己出现。计算机病毒，再加上黑客程序的配合，将产生强大的破坏性，病毒和后 门程序更改、删除主机中的系统文件，使系统非法运作，软件运行出错，硬件超 负荷运转，直至损坏。 4 电磁辐射攻击。在网络中传输着0 、1 数字化信息，无论是否经过调制， 在线路上的任一点，在时序上传过的电信号有、无或强、弱区别度都非常明显。 这种明显区别具有很强的抗干扰性，但对外泄漏的电磁场在时序上同样有明显的 强弱变化区别，将这种变化与o 、l 对应便能截获线路中的部分信息。 上述的网络攻击方法发展到今天丌始融合在一起，形成各种分布式网络攻击 方法，尤其是缓冲区溢出、口令攻击、特洛伊木马和拒绝服务攻击实现了完美的 结合，应用更为广泛。 2 1 3 攻击工具发展趋势 只有加深对网络攻击技术发展趋势的了解，才能够尽早采取相应的防护措 施。目前网络攻击技术和攻击工具正在以下几个方面快速发展： 1 网络攻击的自动化程度和攻击速度不断提高 自动化攻击一般涉及四个阶段，每个阶段都发生了新的变化。在扫描阶段， 利用更先进的扫描模式来改善扫描效果，提高扫描速度；在渗透控制阶段，安全 脆弱的系统更容易受到损害；攻击传播技术的发展，使靠人启动软件工具发起攻 击，发展到攻击工具可自己发动新的攻击；在攻击工具协调管理方面，随着分布 式攻击工具的出现，黑客可以容易地控制和协调分布在i n t e m e t 上的大量己部署 的攻击工具。 2 攻击工具越来越复杂 攻击工具的开发者正在利用更先进的技术武装攻击工具，攻击工具特征比以 前更难发现，它们己具备了反侦破、动态行为、攻击工具更成熟等特点。同时攻 9 硕十。f 何论文第二章d d o s 攻击及其对策 击工具也越来越普遍地支持多操作系统平台。 3 黑客利用安全漏洞的速度越来越快 新发现的各种系统与网络安全漏洞每年都要增加一倍，每年都会发现漏洞的 新类型，网络管理员需要不断用最新的软件补丁修补这些漏洞。黑客经常能够抢 在厂商修补这些漏洞日i f 发现这些漏洞并发起攻击。 4 防火墙被攻击者渗透的情况越来越多 配置防火墙目前仍然是防范网络入侵者的主要保护措施，但是，现在出现了 越来越多的攻击技术，可以实现绕过防火墙的攻击，例如，黑客可以利用i n t e m e t 打印协议i p p 和基于w e b 的分布式创作与翻译绕过防火墙实施攻击。 5 攻击网络基础设施产生的破坏效果越来越大 由于用户越来越多地依赖计算机网络提供各种服务，完成同常业务，黑客攻 击网络基础设施造成的破坏影响越来越大。黑客对网络基础设施的攻击，主要手 段有分布式拒绝服务攻击、蠕虫病毒攻击、对i n t e m e t 域名系统d n s 的攻击和 对路由器的攻击。 2 2d d o s 概述 d d o s 攻击程序最初依赖于客户端，操纵端和代理端之间的端口通信( t c p ， u d p ) 得以实现。端口之间的通信采用明文传输方式，攻击形式大都只是简单的 数据包洪水。而随后出现的d d o s 程序不仅实现了客户端，控制端，和代理端之 间通信的保密性，可以进行源地址欺骗，而且通信也不一定要绑定在某一端口上， 隐蔽性大为增强，攻击的手段也不再局限于洪水法，而是可以利用发送小的数据 包模仿开发连接和发送请求的方法使得服务器运行缓慢甚至于瘫痪。现在d d o s 攻击的方式是利用第三方( 路由器和w e b 服务器) 弹出攻击流到受害者。 2 2 1d d o s 发展 系统的资源、操作能力是有限的，如果有过多的数据请求，就可能因为系统 资源用尽，而无法完成所请求的任务而处于死锁状态，就形成了死机，被请求的 主机由于处于死锁状态不能提供服务，于是就发生了拒绝服务。拒绝服务攻击本 身也可以细分，如从阻塞对象看，可能是c p u ( 大量频繁调用比较耗费c p u 的程 序) ，内存( 大量频繁调用内存开销很大的程序) ，存储介质( 导致大量的大文件生 成) ，i o ( 造成i o 被占满) ，带宽( 占满所有可用带宽) ，或者系统参数( 冲破系统 设置的某些参数限制，造成系统不能打开新文件或接收新请求1 。从攻击对象看， 可能是伺服程序( 如w e bs e r v e r ，甚至打印服务应用程序) ，c g i 程序，路由设备， 或者其他任何可在远程调用的请求应答程序。 l o 对策 的缺 陷，通过执行一些恶意的操作而使得合法的系统用户不能及时地得到应得的服务 或者系统资源，如c p u 处理时问、存储器、网络带宽等。d o s 往往造成计算机 或者网络无法正常工作，进而使得一个依赖于计算机或者网络服务的企业不能正 常运转。拒绝服务攻击最本质的特征是延长服务等待时间，当服务等待时间超过 某个闽值时，用户无法忍耐而放弃服务，拒绝服务攻击的关键在于所达到的效果： 延迟或者阻碍合法的用户使用系统提供的服务，对关键性和实时性服务造成的影 响最大。拒绝服务攻击与其他的攻击方式相比，其独特性在于拒绝服务利用系统 向外提供的服务进行攻击，并且拒绝服务攻击可协助其他攻击。 目前，网络攻击者利用网络通信协议的弱点传送大量数据报使得计算机系统 负荷过重，并让主机的某一服务无法运作、发生错误、重新开机或整个系统停机， 但是拒绝服务攻击行为本身并不破坏资料的内容。 2 分布式拒绝服务( d d o s ) 攻击 d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e s ) 是指采用分布、协作的大规模的d o s 攻击方式，联合或控制网络上能够发动攻击的若干主机同时发动攻击，制造数以 百万计的数据流入欲攻击的目标，消耗网络带宽或者系统资源，致使目标主机的 服务请求极度拥塞无法提供正常的网络服务。 图2 - 1d d o s 攻击原理 d d o s 攻击分为3 层：攻击、主控端、代理端，三者在攻击中扮演着不同的 角色。 攻击者：攻击者所用的计算机是攻击主控制台，可以是网络上任何一台主机， 硕 j ，学f 移论文 第：章d d o s 攻击及其对策 甚至可以是一个活动的便携机。攻击者操纵整个攻击过程，它向主控端发送攻击 命令。 主控端：主控端是攻击者非法侵入并控制的主机，这些主机还分别控制大量 的代理主机。主控端主机的上面安装了特定程序，因此可以接收攻击者发来的特 殊指令，并且可把这些命令发送到代理主机上。 代理端：代理端同样也是攻击者侵入并控制的一批主机，它们上面运行攻击 器程序，接受和运行主控端发送来的命令。代理端主机是攻击的执行者，真正向 受害者主机发动攻击。 d d o s 攻击体系结构是进行d d o s 攻击的基本模型，而整个攻击过程一般分 三步： ( 1 ) 在i n t e r n e t 上寻找有漏洞的主机，有许多无关主机可以支配是整个攻 击的前提。在成功侵入后，通过网络监听等蚕食的方法进一步扩充被侵入的主机 群。 ( 2 ) 在所侵入的主机上安装攻击软件。攻击软件包括攻击服务器和攻击执 行器。攻击服务器仅占总数的很小一部分，设置攻击服务器的目的是隔离网络联 系，保护攻击者，使其不会在攻击进行中时受到监控系统的跟踪，同时也能更好 地协调进攻：剩下的参与攻击的主机都被用来充当攻击执行器，执行器都是一些 相对简单的程序，它们可以连续向目标发出大量的连接请求而不作任何回答。 ( 3 ) 从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。由于攻 击控制台的位置非常灵活，而且发布命令的时间很短，所以非常隐蔽，难以定位。 一旦攻击命令传送到服务器，主控台就可关闭或脱离网络，以逃避追踪。接着， 攻击服务器将命令发布到各个攻击执行器。最后各部分主机各司其职，在攻击者 的调遣下对攻击对象发起攻击。 在攻击执行器接到攻击命令后，每个攻击执行器开始向目标主机发出大量的 服务请求数据报。这些数据报经过伪装，无法识别它的来源。而且，这些报所请 求的服务往往要消耗较大系统资源，如c p u 或网络带宽。若数百台甚至上千台 攻击执行器同时攻击一个目标，就会导致目标主机网络和系统资源耗尽。另外还 可阻塞防火端和路由器等网络设备，进一步加重网络拥塞状况。更致命的是，由 于攻击者所用的协议都是一些常见协议和服务，导致系统管理员难以区分恶意请 求和正常连接请求，从而无法有效分离出攻击数据报。 3 分布式反弹拒绝服务攻击 反弹分布式拒绝服务攻击( d r d o s d i s t r i b u t e dr e f l e c t e dd e n i a lo f s e r v i c e s ) 比分布式拒绝服务攻击多了一个反弹器，攻击者或其控制下的傀儡机不是直接向 受害者发送攻击数据报，而是向第三方的反弹器发送特定的数据报，依据反弹器 1 2 硕卜。化论文第二章d d o s 攻击及其对策 根据一个消息生成另一个消息的能力( 具有“自动消息生成”的协议如t c p ，u d p 和各种i c m p 消息协议都可以在反弹攻击中被利用) ，再经山反弹器向受害者发 送攻击者所希望的数据报，在这种攻击中受害者收到的是有真实源i p 地址的数 据报。在网络上最具威力的反弹服务器有d n s 服务器、g n u t e l l a 服务器、基于 t c p i p 的服务器( 特别是w e b 服务器) 及路由器，因为他们会对s y n 报文或者其 他t c p 报文回应s y na c k 或r s t 报文，以及对一些i p 报文回应i c m p 数据报 超时或目的地不可达消息的数据报，而攻击者可利用这些回应的数据报对目标发 动d d o s 攻击。反弹式攻击不仅对受害者终端系统有害，而且还拥塞反弹器与受 害者之间的网络带宽。 值得注意的是利用反弹技术，攻击者不需要把服务器作为网络流量的放大器 ( 发送比攻击者发送的更大容量的网络数据) 。他们甚至可以使洪水流量变弱，最 终才在目标服务器汇合为大容量的洪水。 4 脉动分布式拒绝服务攻击 这种拒绝服务攻击是在分布式的拒绝服务攻击的基础上，攻击者发动攻击的 过程不是一直进行的，而是通过间歇式的方式进行的，在发起攻击的过程中，控 制台( m a s t e r ) 控制着大量的傀儡机( cs l a v e s ) 轮翻进行发送攻击数据报。 2 2 2 攻击常用技术 1 利用系统、协议漏洞发动攻击 t c p 洪水攻击。由于t c p 协议连接三次握手【2 2 】的需要，在每个t c p 建立连 接时，都要发送一个带s y n 标记的数据报，如果在服务器端发送应答报后，客 户端不发出确认，服务器会等待到数据超时，如果大量的受控制客户发出大量的 带s y n 标记的t c p 请求数据报到服务器端后都没有应答，会使服务器端的t c p 资源迅速枯竭，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。 u d p 洪水攻击。u d p 是一个无连接协议，发送u d p 数据报时接受方必须处 理该数据报。在u d p 洪流攻击1 2 3 1 时，报文发往受害系统的随机或指定的端1 2 1 ， 通常是目标主机的随机端口，这使得受害系统必须对流入的数据进行分析以确定 那个应用服务请求了数据，若受害系统的某个攻击端口没有运行服务，它将用 i c m p 报文回应一个“目标端口不可达”消息。当控制了大量的代理主机发送这种 数据报时，使得受害主机应接不暇，造成拒绝服务，同时也会拥塞受害主机周围 的网络带宽。 i c m p 洪流攻击就是通过代理向受害主机发送大量i c m pe c h o s e r e q u e s t ( “p i n g ”) 报文。这些报文涌向目标并使其回应报文，两者和起来的流量 将使受害者主机网络带宽饱和，造成拒绝服务。 硕一i ：学何论文第：章d d o s 攻m 及其对策 2 发送异常数据报攻击 发送i p 碎片，或超过主机能够处理的数掘报使得受害主机崩溃。著名的 t e a r d r o p 攻击工具就利用了某些系统i p 协议栈中有关分片重组的程序漏洞，当 数据报在不同的网络中传输时，可能需要根据网络的最大传输单元( m t u ) ，将 数据报分割成多个分片。各个网络段都有不同的能够处理的最大数据单元，当主 机收到超过网络主机能够处理的网络数据数据报时，就不知道该怎么处理这种数 据报，从而引发系统崩溃。 3 对邮件系统的攻击 向一个邮件地址或邮件服务器发送大量的相同或不同的邮件，使得该地址或 者服务器的存储空间塞满而不能提供j 下常的服务。电子邮件炸弹是最古老的匿名 攻击之一，它的原理就是利用旧的s m t p 协议不要求对发信人进行身份认证， 黑客以受害者的e m a i l 地址订阅大量的邮件列表，从而导致受害者的邮箱空间被 占满。 新的s m t p 协议增加了2 个命令，对发信人进行身份认证，在一定程度上 降低了电子邮件炸弹的风险。 4 僵尸网络攻击( z o m b i e l b o t 是r o b o t ( 机器人) 的简写【2 4 】，通常是指可以自动地执行预定义的功能、 可以被预定义的命令控制、具有一定人工智能的程序。b o t 可以通过溢出漏洞攻 击、蠕虫邮件、网络共享、口令猜测、p 2 p 软件、i r c 文件传递等多种途径进入 被害者的主机，被害主机被植入b o t 后，就主动和互联网上的一台或多台控制节 点( 例如i r c 服务器) 取得联系，进而自动接 收黑客通过这些控制节点发送的控制指令，这些被害主机和控制服务器就组 成了b o t n e t ( 僵尸网络) 。黑客可以控制这些“僵尸网络”集中发动对目标主机的拒 绝服务攻击。 2 3 典型攻击工具 2 3 1s m u r f 攻击 1 s m u r d 2 3 j 简介 如果某攻击者利用i c m p 的请求会有回应的特点，将某主机的回复地址设 为广播地址，于是大家都会对其i c m p 请求作出答复，于是导致网络堵塞而造 成d o s 攻击。任何连接到互联网上的支持i c m p 请求响应的网络设备都可能 成为这种攻击的目标。更加复杂的s m u r f 将源地址改为第三方的受害者，让整 个网络都对其作出回应，最终导致第三方崩溃。i c m p 协议用来传达状态信息和 1 4 硕 ：。? 何论文第二章d d o s 攻击及j t 对策 错误信息，并交换控制信息。i c m p 还是诊断主机或网络连接状态的有用工具。 使用i c m p 协议判断某台主机是否可达，通常以“p i n g ”命令实现。 2 攻击手段 s m u r f 攻击行为的完成涉及三个元素：攻击者( a t t a c k e r ) 、中间脆弱网 ( i n t e r