（计算机应用技术专业论文）hop完整性协议及其实现技术的研究.pdf

h o p 完整性协议及其实现技术的研究 摘要 近年来拒绝服务攻击活动频繁，对网络供应商造成不小损失。研究表明，拒绝 服务攻击是众多网络攻击中较难防御的一种攻击方式。拒绝服务攻击现有的防范的 方法有很多，但大部分是被动的、在攻击造成损失后才能发现，或者是耗费太高， 不能大范围部署。由m o h a m e dg g o u d a 等人2 0 0 2 年设计的跳完整性协议是一种拒 绝服务攻击的主动防范方法，它能有效地防止数据包被伪造、窜改和重放。 l i n u x 操作系统因其自身的开放性、稳定性、灵活性以及可定制性在业界受到 好评。本文在详细分析跳完整性协议原理的基础上，基于n e t f i l t e r 功能框架，利 用动态模块加载机制、添加系统调用以及p r o c 伪文件系统等多种l i n u x 内核技术， 实现了跳完整性协议，包括密钥交换、数据包输入输出处理两个模块，并在其上添 加了数据包统计功能，充分利用跳完整协议的安全便利实现了基于跳完整性卧议的 回溯追踪系统。最后，对本文所实现的跳完整性协议和回溯追踪系统进行了功能测 试与性能分析。分析表明跳完整性协议保证在相邻路由器之间被篡改、伪造、重放 的数据包在第一跳被检测出来，从而能够主动防御拒绝服务攻击：在发生攻击时，能 够迅速准确的定位攻击源：在性能上没有给系统带来太大开销，在对实时性要求不 高的情况下，绐处理数据包带来的延时可以接受。 关键词：网络安全、拒绝服务攻击、跳完整性协议、回溯追踪、n e t f i l t e r 、l i n u x 河海大学硕：b 学位论文 a b s t r a c t i nr e c e n ty e a r s ，t h eh i g hf r e q u e n ta c t i v i t i e so fd e n i a lo fs e r v i c e( d o s ) a t t a c k sh a v eb e e 几b r i n g i n g1 a r g el o s st oi n t e r n e ts e r v i c ep r o v i d e r( i s p ) ， a sd o sa t t a c ki sam o d eo fa t t a c km o r ed i f f i c u l tt ob ed e t e c t e da n dd r e v e 几t e d t h a no t h e r s m o s te x i s t e dr e s i s t i n gm e t h o d sa r ep a s s i v e ，w h i c hc a no n l y d e t e c td o s ：a t t a c ka f t e fi th a s1 e dt os o m ec e r t a i nl o s s ，o rc a n n o tb ew i d e l y d e p l o y e db e c a u s eo fh i g he x p e n s e s h o w e v e r ， h o pi n t e g r i t y ，d e s i g n e db y m o h a m e dg g o u d ai n2 0 0 2 ，w h i c hc a np r e v e n tn e t w o r kp a c k e t sf r o mb e i n gf o r g e d ， m o d i f i e da n dr e p l a y e da c t i v e l ya n de f f e c t i v e l y ，i sa ne f f e c t i v ew a yo f p r e v e n t i n gd o sa c t i v e l y l i n u xh a sb e c o m em o r ea n dm o r ep 叩u l a ri ni tf i e l db e c a u s eo fit so p e n i n g c h a r a c t e r i s t i c ，s t a b i l i t y ，f l e x i b i l i t ya n dc u s t o m i z a b i l i t y a f t e ra n a l y z i n g t h ep r i n c i p l eo fh o pi n t e g r i t yp r o t o c o li nd e t a i l s ， t h i sp a p e ri m p l e m e n t s h o pi n t e g r jt yp r o t o c o lb a s e do nm a n yk e r n e lt e c h n o l o g i e so f1 i n u x ， s u c ha s n e t f i l t e rp a c k a g e f i 】t e r i n gt e c h n o l o g y ， l k m ，s y s t e mc a l la n d p r o cf i l e s y s t e m w h a t sm o r e ，am o d u l eo fl o g g i n gt h en e t w o r kp a c k e t si n f o r m a t i o n i si m b e d d e d t h isi m p 】e m e n t a t i o ni n c l u d e st h r e ef n a i n l vm o d u l e s ，s e c r e t e x c h a n g em o d u l e ，h a n d l eo ft h ei n p u ta n do u t p u tm o d u l ea n dt r a c e b a c km o d u l e t h et r a c e b a c km o d u l ec a nw o r kw e l lb yt a k i n gf u l la d v a n t a g eo ft h es e c u r i t y f a c t o r so fh o pi n t e g r i t y i nt h ee n d ，t h ef u n c t i o no ft h eh o pi n t e g r it y ， i m p l e m e n t e di nt h l sp a p s er ， i st e s t e d ，a n dt h ep e r f o r m a n c ejse v a l u a t e d i t s h o w st h a t ， h o pi n t e g r i t yd o e s w e l li np r e v e n t i n g p a c k a g e sf r o f ib e i n g m o d i f i e d ，f o r g e da n dr e p l a y e di nt h e i rf i r s th o pb e t w e e na d j a c e n tr o u t e r s ， t h u si tc a nr e s i s td o sa t t a c ka c t i v e l y w h e nc e r t a i na t t a c k sh a p p e n ，a t t a c k s 。u r c ec a nb et r a c e dq u i c k l ya n de f f e cci v e l y i ta l s od o e sn o tb r i n g a r g e c o s tt ( ) c h eo s a l t h o u g ht h ea n a l y s i ss h o w st h a h o pi n t e g r i t yc a u s es o m e d e l a yo ft h ep a c k a g e st r a n s f o r m a t j o n ，i ti sa c c e p t e dw h i l er e a lc i m et r a n s f e r 1sn o tt h em o s tjm d o r t a n tf a c t o r s k e y w o r d s ：n e t w o r ks e c u r i t y 、d d o s 、h o pi n t e g r i t yp r o t o c o 】、n e t f i l t e r 、l i n u x 2 独创性声明 本人所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表或撰写过的研究成果。与我一同工作的同事对本研究所做的任何贡献均已在 论文中作了明确的说明并表示了谢意。如不实，本人负全部责任。 学位论文作者签名：高弭、 签字日期：2 0 0 6 年6 月2 日 学位论文版权使用授权说明 河海大学、中国科学技术信息研究所、国家图书馆、中国学术期刊( 光盘版) 电子杂志社有权保留本人所送交学位论文的复印件或电子文档，可以采用影印、缩 印或其它复制手段保存论文。本人电子文档的内容和纸质论文的内容相一致。除在 保密期内的保密论文外，允许论文被查阅和借阅。论文全部或部分内容的公布( 包 括：f u 登) 授权河海大学研究生院办理。 学位论文作者签名：高符 签字目期：2 0 0 6 年6 月 h o p 完整性协议及其实现技术的研究 1 - 1 研究背景 第一章绪论 随着因特网的日益普及，上网对许多人来说已经成为生活中必不可少的一部分， 人们通过网络来查找资料、交流信息。根据中国互联网络信息中心( c n n i c ) 2 0 0 5 年7 月2 1 日发布的第十六次中国互联网络发展状况统计报告，我国上网用户总数达 1 3 亿人，和上年同期相比增长1 8 4 ，上网计算机达到4 5 6 0 万台，增长率为2 5 6 ； 从报告中可以看出，经过十年快速的发展，中国互联网已经形成规模，互联网应用 走向多元化。人们在工作、学习和生活中越来越多地使用互联网，互联网从单一的 行业互联网发展成为深入我国各行各业的社会大众的互联网。人们的上网用途进一 步多元化发展，不论是在关注的信息内容还是在使用功能上，涉及范围都更深更广。 但是，伴随着网络的发展，各种各样的问题也应运而生，其中安全问题尤为突 出。网络安全具有如下七个方面的特征：机密性、鉴别、完整性、不可抵赖性、访 问控制性、可用性“3 。机密性是指信息不可泄漏给非法用户、实体或者进程，或供 其利用；鉴别保证通信实体身份的可信性；完整性是指数据在存储和传输过程中保 持不被修改、不被破坏和丢失的特性；不可抵赖性是指所有参与者不能否认曾经完 成的操作；访问控制是限制和控制经通信链路对主机系统和应用程序进行访问的能 力：可用性是指可被合法用户按需使用。因特网本身设计的缺陷及其开放性，使得 大部分网络存在如下安全问题：攻击者可以向网络中插入新数据包、修改已有数据 包或重放数据包，这种手段同时破坏了信息的完整性和可用性。这些被伪造、窜改 或者重放的数据包往往比较难以发现，更重要的是，产生这些数据包的确切物理位 置也难以确定。在这种类型的网络攻击中，拒绝服务攻击”1 是比较典型也比较难于 防御的一种攻击方式。这种攻击方式手段简单、容易达到目的，目难于防止和追查， 所以成为越来越常见的攻击方式。 1 2 拒绝服务攻击 1 2 1 拒绝服务攻击概念 拒绝服务攻击通过耗尽主机、服务器的计算资源或通信资源，使得该主机或服 务器所在的网络提供的f 常服务不能被合法、正常的使用，甚至是完全不可用。这 种攻击方式针对网络上的所有资源，给因特网服务提供商( i s p ) 和因特网社区 ( i n t e r n e tc o n u n i l i y ) 造成了很大麻烦。 河海大学硕= 忙学位论文 1 2 2 常见拒绝服务攻击 在支持t c p i p 协议的网络中，较为典型的拒绝服务攻击方式有早期的t e a r d r o p 攻击、s y nf 1 0 0 d 、s 【i u r fa t t a c k 、u d pf l o o d 、以及f r a g g l e 等。 1 2 2 1t e a r d r o p 1 、原理 t e a r d r o p 是早期的一种拒绝服务攻击方式，利用早期操作系统对t c p i p 协议中 i p 分片重组的漏洞进行拒绝服务攻击。 网络传输过程中，物理层有一个最大传输单元m t u ，所有大于m t u 值的数据包都 要经过分片后才能在物理网络上传输，到达目的地址后，目的主机再将分片重组为 一个完整的数据包。早期的i p 重组的处理过程只检查分片数据包数据是否过长，而 不检测数据包数据是否过小。当第一个数据包的偏移量为0 ，长度为n ，第二个数据 包的偏移量小于n ，为了重组这些数据包分片，t c p i p 堆栈将分配很长的内存空间， 从而造成系统资源匮乏甚至系统崩溃。 2 、攻击步骤 ( 1 ) 发送带有正常数据的分片，段偏移量为o f f s e t l = 0 ，数据包数据长度为 l e n g t h l ： ( 2 ) 发送后续分片，修改段偏移量为o f f s e t 2 ，数据长度为l e n g t h 2 ，使第二片 的段偏移量位于第一片数据内部，且小于第一片： ( 3 ) 目标主机收到分片数据包后的重组过程中，首先计算第二个分片的结束地 址为o f f s e t 2 + 1 e n g t h 2 ，用( o f f s e t 2 + l e n g t h 2 ) 一l e n g t h l ，计算出需要拷贝的第二个 数据包长度为负数，但是数据包氏度是按照无符号整数处理的，因此系统将拷贝很 长的数据包，导致缓冲区溢出，严重时系统崩溃。 ，e a r d r o p 已经没有生命力，因为操作系统i p 包重组的代码已修改，添加了对这 种情况的处理代码： i f ( ( f p 一 1 e n 】e n ) s k b 一 1 e n ) ) g o t oo u t i n v a d ； o u t - i n v a l i d 的具体工作就是输出内核调试信息，释放数据包占用的s kb u f f ) 结 构，并将简单网络管理协议( s n m p ，s 椭p l en e t w o r km a n a g e m e n tp r o t o c 0 1 ) 的管理 信息库( m i b ，m a n a g e m e n ti n f o r m a t i o nb a s e ) 中的记录i p 报文丢弃的字段加l 。 1 2 2 2s y nf 1 0 0 d l 、原理 s y nf 1 0 0 d 利用t c p 的三次握手”3 进行攻击。建立一个t c p 连接要经过三次握手， 在此期间服务器端维持两个缓冲区队列：一个是未完成连接队列，也称半连接队列。 另一个是已完成连接队列。三次握手过程如下： h o p 完整性协议及雒实现技术的研究 第一步，客户端发送一个包含s y n ( s y n c h r o n i z e ) 标志的t c p 同步报文，该同步 报文指明客户端使用的端口号以及t c p 连接的初始序列号； 第二步，服务器端在收到客户端的s y n 报文后，首先在半连接队列中添加一个表 项，记录与此连接请求相关的信息，然后向客户端返回一个s y n + a c 时艮文，同时t c p 序列号加l ，服务器进入s y n r e c e i v e d 状态。a c k 即a c k n o w le d g e m e n t ，表示客户端的 请求被接受； 第三步，客户端返回一个确认报文a c k 给服务器端，同样代p 序列号加1 ，服务器 端收到该a c k 报文后，将此连接对应的表项从半连接队列中移到已完成连接队列中， 服务器进入e s t a b l i s h e d 状态。 在发动s y nf 1 0 0 d 攻击时，攻击者持续不断地发送s y n 数据包，其源地址每次都 不同，目的地址为被攻击主机，被攻击主机向每个数据包中的源地址主机发送 s y n a c k 数据包，但是由于这些主机不可达，无法向被攻击主机回复a c k ，所以被攻 击主机本次连接状态将一直是s y n r e c e i v e d ，维护大量的半连接，当半连接队列满 后，被攻击主机将无法接受新的网络连接请求，从而造成拒绝服务。 2 、重要代码分析 创建套接字$ 木因为需要伪造数据包的源i p 地址，所以使用原始套接字来发送：指定套接字 的协议类型为o ，表明这个原始套接字可以接收内核传递的任何类型的t p 数据包。 s o c k f d = s o c k e t ( a f j n e t ，s o c k r a w ，0 ) ： v jc t i m = g e t h o s t b y n a m e ( a r g v 1 ) ： a d d r s i n a d d r = 丰( s t r u c ti n a d d r 术) ( 木v i c t i m 一 h a d d r l i s t ) 0 ： $ 指定目的地址为被攻击主机，目的端口为指定端口十 a d d r s i n p o r t = h t o n s ( a t o i ( a r g v 2 ) ) ： t c p 一 t h _ f l a g s = n l s y n ： $ 设置标志域为t h s y n ( 值为o x 0 2 ) ，表示这个数据段为s y n 数据包 f o r ( ：) i p 一 i ps r c s a d d r = r a n d o mo ： 序设定数据包的源i p 地址为随机数$ m e m c p y ( s e n d b l l f ，i p ，s i z e o f ( i p ) ) ： m e m c p y ( s e n d b u 什s iz e o f ( i p ) ，t c p ，s iz e o f ( t c p ) ) ： s e n d t o ( s o c k f d ，s e n d b u f ，1 e n ，0 ，a d d r ，s i z e o f ( s t r u c ts o c k a d d r i n ) ) ： a 将i p 首部和t c p 首部复制到同一缓冲区s e n d b u f 后发送数据包十 ) 河海大学硕二l 学位论义 1 2 2 3s u r fa t t a c k 1 、原理 s m u r fa t t a c k 通过发送p i n g 数据包进行攻击。 p i n g 程序由m i k em u u s s 编写，目的是为了测试另一台主机的可达性。p i n g 使用 i c m p “垮文。i c m p 经常被认为是i p 层的一个组成部分，用以传递差错报文和其它的 控制信息，i c m p 共有1 5 种类型的报文，由一个类型码和一个或多个不同代码共同表 示。p in g 程序发送i c m p 回显请求报文给主机，并等待回显应答报文。回显请求报文 代码为o ，类型码为8 ，回显应答报文代码为o ，类型码为0 。 s n l u r f 攻击主要由3 部分组成：攻击者、中间媒介和被攻击者。中间媒介可以是主 机、路由器和其它网络设备，也称为放大网络或者反射网络。进行s m u l l f 攻击时，攻 击者维护一个广播地址列表，在发送伪造的i c m p 回显请求时，攻击者将数据包的源 地址设置为被攻击主机，目的地址设置为广播地址列表中的广播地址，当中间媒介 收到一个指向其所在网络的广播地址后，中间媒介将向源l p 地址( 被攻击者的地址) 发送一个i c m p 应答包。当一个网络的机器均对i c m p 回显请求做出响应时，将会导致网 络拥塞甚至崩溃，而被攻击主机也会因为来不及处理这么多的回显响应导致系统性 能下降甚至系统崩溃，从而拒绝正常的服务请求。 2 、重要代码分析 术创建原始套接字$ s o c k = s ( ) c k e t ( a f j n e t ，s o c k r a w ，i p p r o t o - r a w ) ； $ 需要伪造数据包的源i p 地址，所以使用原始套接字来发送 b c a s t f i l e = f o p e n ( a r g v 2 ，”r ”) ： w h j e ( ! f e o f ( b c a s t f i l e ) ) s t r c p y ( b c a s l ，a d d r x ， b u f ) )木读广播地址列表文件并将文件中广播地址存入数组中$ f o r ( ：) i d 一 p r o t o c 0 1 = i p p r o t oi c m p ： 设置协议字段为1 p p r o t oi c m p 木 i p 一 s a d d r 2 s i n s i n a d d r s a d d r ： $ 设置源地址为被攻击主机地址$ i p 一 d a d d r = i n 吼一a d d r ( b c a s t a d d r c y c l e ) ： $ 设置日的地址为地址列表中的某一地址$ c 兀1 p 一 1 j p e 二8 ： h o 口完整性协议及其实现技术的研究 = o ： 设置类型字段为8 ，代码字段为o ，说明发送的为i c m p 回 显请求报文 s e n d t o ( s o c k ， p a c k e t ， s i z e o f ( s t r u c ti d h d r ) + s i z e o f ( s t r u c t i c m p h d r )+ p s i z e ， o ，( s t r u c ts o c k a d d r 丰) s i n ，s i z e o f ( s t r u c t s o c k a d d r ) ) ： 木发送数据包$ ) 1 2 2 4u d pf l o o d u d pf 1 0 0 d 通过伪造与某一台主机的c h a r g e n “3 服务之间的u d p 连接( 主机a ) ， 回复地址指向开着e c h o 服务的一台主机( 主机b ) ，主机a 接收这个数据包后，将 产生一个随机大小的回应包给主机b ，而主机b 由于开通了e c h o 服务，所以它将收 到的数据包中的负载原样发给主机a ，这就能在两台主机之间产生无用的数据流， 当数据流足够多时将导致拒绝服务攻击。 1 2 2 5f r a g g l e 攻击 f r a g g l e 攻击将s m u r f 攻击和u d pf 1 0 0 d 攻击的特点相结合，将目的地址设为广 播地址，源地址设为受害主机，源端口设为e c h o 端口7 ，这样，同一广播网络上所 有开通c h ； g e n 服务的主机将向受害主机发送一个随机大小的回复信息，而受害主 机将又向这些主机发送e c h o 信息，这样在每对端口问不断发送消息，形成循环，从 而耗尽主机以及网络资源。 对f r a 9 9 1e 的防御，在防御s m u r f 的基础上，还要给系统打上相关补丁。 1 3 分布式拒绝服务攻击 分布式拒绝服务攻击( d d o s ，d i s t r i b u t e dd e n i a lo fs e r v i c e ) 是一种基于d o s 的特殊形式的拒绝服务攻击，是d o s 攻击的集群攻击方式。攻击者控制大量的分布在 各处的主机，组成d d o s 攻击网络，集中地同时向目标发出d o s 攻击“。d d o s 是一种分 布、协作的大规模攻击方式，主要瞄准比较大的站点，如商业公司，搜索引擎和政 府部门的站点，来势迅猛、难以防备，因此具有较大的破坏性。 1 3 1 分布式拒绝服务攻击原理 d d o s 攻击分为三部分：攻击者、主控端和代理端。攻击者操纵整个攻击过程， 向主控端发送攻击命令，是攻击主控台：主控端是攻击者非法侵入并控制的主机， 分别还控制大量代理主机，主控端接受攻击者发出的攻击命令并将命令发送给代理 河海大学砸：l 学位论文 主机：代理主机也是被攻击者非法侵入并控制的一些主机，攻击程序运行在代理主 机上，一旦接收命令后代理主机将向被攻击目标发动攻击。 图1 1 图示了分布式拒绝服务攻击的网络图： 图11 分布式拒绝服务攻击网络结构幽 1 3 2 分布式拒绝服务攻击分类 1 3 2 1 系统资源消耗型 系统资源消耗型的拒绝服务攻击通过耗尽系统资源达到拒绝服务攻击的目的。 系统资源消耗型的d d o s 攻击主要有如下几种：从s y nf 1o o d 发展而来的t c ps y n 攻击、t c pp s h + a c k 攻击、以及错误报文攻击。 t c ps y n ：其攻击原理与s y nf 1 0 0 d 相同，只是t c ps y n 使用了更多的主机作为 傀儡主机向目标主机发动攻击。 t c pp s h + a c k ：t c p 报文中控制字段有两个特殊位，分别是a c k 和p s h 。a c k 表示 此报文是确认报文，p s h 位则要求在处理本报文时将数据推向前，以使系统尽快接 收缓冲区中的数据转发给应用程序。t c pp s h 十a c k 攻击通过代理向目标主机发送p s h 和a c k 均为1 的t c p 报义，目的主机将清除所有，i c p 缓冲区的数据并向代理发送确 认信息。当代理较多时，目标主机将无法处理大量的流入报文，其所处网络的通信 也将受到影响。 错误报文攻击：常见的错误报文攻击是【p 地址攻击，攻击者向目的主机发送源 i p 地址和目的i p 地址都等于目的主机i p 地址，目的主机将由于这些数据包陷入死 循环处理，最终导致系统崩溃。 1 3 2 2 带宽消耗型 与系统资源消耗型相对应的是带宽消耗型，带宽消耗型可以分为直接洪流攻击 和反射攻击。 h 叩完整性协议及其实玑技术的研究 l 、直接洪流攻击 直接洪流攻击包括t c p 洪流攻击、i c m p 洪流攻击、阱及u d p 洪流攻击等。 t c p 洪流攻击中，攻击者利用大量中间位置的代理主机同时发送t c ps y n 、a c k 、 f i n r s t 报文，代理主机向最终目标发送攻击的原理与s y nf 1 0 0 d 一样。这种攻击 在消耗目标主机的系统资源的同时，还可能导致目标主机的网络阻塞。由于很多服 务器都支持t c p 协议，所以t c p 洪流攻击可以对大多数服务器造成致命的影h 向。为 了掩护攻击者身份，攻击者往往伪造i p 地址。 i c m p 洪流攻击与s m u r f 攻击一样都是使用p i n g 命令进行的。不同的是，t c m p 洪流攻击是利用代理直接向目标主机发送大量的i c m p 回显请求报文，目标主机要处 理这些回显请求并发出回显应答，从而耗尽系统资源，并阻塞其所在网络。同上， 为了掩护攻击者身份，i c m p 回显请求报文中的源地址都是伪造的i p 地址。 u d p 洪流攻击利用u d p 通信的无连接特性，攻击者使用伪造的源i p 地址通过代 理向目标主机发送大量u d p 数据包，目标主机被迫耗费大量资源处理这些数据包， 并且由于这些u d p 数据包，目标网络也将被拥塞。 攻击软件t r jn o o 支持u d p 洪流攻击，而德国黑客m i x t e r 编写的攻击工具t f n 同时 支持以上三种攻击方式。 2 、反射攻击 反射攻击从传统d o s 的s m u r f 攻击发展而来。攻击者向反射者发送t c ps y n 、u d p 、 i c m pe c h o 等报文，利用这些报文需要回应消息的特点，将报文的目的地址设为某 网络广播地址，源地址设为被攻击主机，反射者在收到这些报文后会向被攻击主机 发送回应报文，被攻击主机将被迫处理这些报文，从而导致系统性能下降甚至崩溃， 而被攻击主机所处网络也将受流量的影响甚至被阻塞。 s t a c h e l d r a h t 攻击软件同时支持上述四种攻击方式。 1 4 蠕虫病毒 蠕虫病毒也是造成拒绝服务攻击的手段之一。 蠕虫病毒是一种通过网络传播的恶性病毒。它具有病毒的一些共性，如传播性、 隐蔽性、破坏性等，同时也具有自己的一些特征，如不利用文件寄生，有的只存在 于内存中，刘网络造成拒绝服务，以及和黑客技术相结合等等。因此，蠕虫病毒的 破坏性也比普通病毒大，网络的发展使得蠕虫可以在短时间内蔓延整个网络，造成 网络瘫痪。 蠕虫的基本程序结构分为三块，分别是传播模块、隐藏模块和目的功能模块。 传播模块负责蠕虫的传播，实现了病毒的自动入侵功能：隐藏模块则在入侵主 机后，隐藏蠕虫程序，防止被用户发现；日的功能模块具体实现对计算机的控制、 河海大学硕士学位论文 监视或破坏等功能。 冲击波病毒是最著名的蠕虫病毒之。它利用w i n d o w s 系统的r p c ( 远程过程调 用) 一个缓冲区溢出漏洞进行传播，攻击端口为4 4 5 。病毒可能导致w i n d o w s 系统 的s v c h o s t ，e x e 进程崩溃，表现为出现1 分钟后重新启动的倒计时对话框，造成了 主机的拒绝服务。 对冲击波病毒，微软已经发布了补丁包，解决这个问题。 本文只讨论通过伪造、篡改、重放数据包等手段造成的拒绝服务攻击，而由蠕 虫产生的拒绝服务攻击不在本文讨论范围，因此请查阅相关参考文献，此处不予赘 述。 1 5 发展趋势 随着时间的推移，拒绝服务攻击也在不断发展。 首先，自动化的程度越来越高。攻击的第一阶段将自动大范围扫描以确定受害 者：第二阶段则是扫描较弱的系统并自动攻击这些系统，然后记录被攻破的系统以 备今后使用，这一步自动攻击脆弱的系统提高了攻击全过程的自动化程度；第三阶 段则是自动或手动地往这些系统中安装d d o s 攻击的工具。 其次，路由器和其他的网络基础设旖也逐渐成为受攻击的目标。路由裂对攻击 者很有吸引力，因为路由器与计算机系统相比，更多地起到网络基础设施的作用， 被攻击后的破坏力更大。并且，一般认为路由器不容易攻破，所以路由器常常更少 受到监控，如果攻击者“占领”路由器，通常很难被发现。 再次，有些d d o s 工具如s t a c h e l d r a h t 还在通信中采用加密技术以掩盖d d o s 攻 击网络。 最后，从攻击的影响来看，攻击涉及的范围更大，并且高度自动化的攻击工具 从一开始安装上就能立即对i nc e r n e t 范围内的多个目标展开攻击。 1 6 拒绝服务攻击常见防御方法 从上文对拒绝服务攻击以及分布式拒绝服务攻击的原理分析中可以看出，无论 是传统的d o s 还是d d o s ，都有一个共同的特征：伪造或修改数据包。因此，为了减小 拒绝服务攻击带来的危害，就要防止数据包被伪造或者修改，为此人们设计了很多 方法，但这些方法并没有被广泛使用。本节将分析几种现有的防御方式，并分析各 自的优缺点。 r e q u i r e m e n t sf o ri pv e r s i o n4r o u t e r s ”。一文中提出了一种防止伪源地址数 据包的方式，这种方式要求路由器检查每个数据包的源地址，看返回数据包经过的 接口与收到该数据包的接口是否相同，如果不相同，则丢弃。但在因特网上存在很 h o p 完整性协议及其实现技术的研究 多非对称路由器，这使得这种方法不能使用。下面我们将介绍另外几种常见的防御 方式：i d s 、i n g r e s sf i l t e r i n g 【8 1 、t r a c e b a c k 。1 和i p s e c 。“。 1 6 1 入侵检测 1 6 1 1 概念及其分类方式 l 、概念 入侵是任何试图破坏计算机和网络系统的完整性、机密性和可用性的行为3 。 入侵检测( i n t r u s i o nd e t e c t i o n ) ，是指发现、跟踪并记录计算机系统或者计算 机网络中的非授权行为，或发现并调查系统中可能为试图入侵或病毒感染带来的异 常活动“4 “1 。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) ，是一个能够对网络或计算机系 统的活动进行实时检测的系统，它能够发现并报告网络或系统中存在的可疑迹象， 为网络安全管理员及时采用对策提供有价值的信息“。 2 、入侵检测系统的分类 入侵检测系统的分类有多种分类标准，根据检测数据的来源可以分为二大类： ( 1 ) 基于主机的入侵检测系统h o s ti n t r u s i o nd e t e c t i o ns y s t e m l 】i d s 是根据主机的审计数据和系统日志发现可疑事件，检测目标是主机系统和 系统本地用户。通常运行在被检测的主机或服务器上，检测系统日志文件、审核日 志文件以及应用程序日志文件等。 h i d s 的优点是检测效率较高，代价小，分析速度较快；缺点是分析时要占用主 机资源，带来系统开销。 ( 2 ) 基于网络的入侵检测系统，n e t w o r ki n t r u s i o nd e t e c t i o ns y s t e i n n i d s 通常采用网络嗅探器搜集网络上传输的数据包，做为数据源。n i d s 通常部 署在企业内部网络与外部网络的访问出口上，能够倚控范围较广的网络攻击行为， 对监控网络外部用户的入侵和侦察行为非常理想1 。 n i d s 的优点是一个网段只需安装一个或少数几个n i d s 就可以检测整个网段的 情况，而不会给其他主机带来系统负担；缺点是安装n i d s 的负责检测的主机在网络 繁忙的情况下监控量大，很可能导致丢包率太高，电不能结合操作系统的特征对网 络行为进行正确的判断。 1 _ 6 1 2 入侵检测系统与拒绝服务攻击 在利用入侵检测系统检测拒绝服务攻击时，可以根据发生拒绝服务攻击时的异 常现象进行检测。拒绝服务攻击的异常现象有网络流量明显超出网络正常工作时的 极限通讯流量的现象、特大型的i c m p 和u d p 数据包、检测到大量的i c m p 目标不可达 消息、大量不平衡的t c ps y n 或者s y n a c k 数据包，以上特征都可加入到入侵检测系 统，由入侵检测系统来检测d d o s 攻击。 河海大学碗十学位论文 例如可以通过网络型入侵检测系统s n o r t 检测t c ps y n 攻击。s n o n 是一个轻量级、 源码开放的n i d s ，通过对规则的检测来检测攻击，其主要工作是捕捉流经网络的数 据包，发现与非法入侵组合一致时，便向管理员发出警告。它允许用户以插件模块 的形式添加针对特定应用的检测模块。在s n o r t ，可以设置规则，对每个数据包进行 统计，如果是t c ps y n 数据包，则更新s y n 数据包的比例，当这个比例达到一定阈值 时可以判断为发生了t c ps y n 攻击。 这种方式检测拒绝服务攻击的准确度基于添加的这些特征的准确性。t c ps y n 数 据包在正常流量中的比例闽值设置太高，将会导致误报，设置的太低又可能导致漏 报。 1 6 1 3 不足 i d s 具有监视及检测入侵的能力，也可以对企业或组织的安全提供协助。使用 i d s ，也能够检测出拒绝服务攻击，如判断s y n 数据包在整个数据包的比率来确定是 否发生了s y nf 1 0 0 d 攻击等。但是i d s 仍然存在一些不足之处： l 、误漏报率高。 t d s 常用的检测方法有特征检测、异常检测、状态检测、协议分析等，这些检测 方式都存在缺陷。比如异常检测通常采用统计方法进行检测，而统计方法中的阈值 难以确定，值太小会产生大量误报，值太大会产生大量漏报。在协议分析的检测方 式中，一般的i d s 只简单地处理了常用的如h t t p 、f t p 、s m t p 等，其余大量的防议 报文完全可能造成i d s 漏报，但是如果考虑支持尽量多的协议类型分析，网络的成 本将无法承受。 2 、没有主动防御能力。 i d s 技术采用了一种预设置式、特征分析式工作原理，所以检测规则的更新总是 落后于攻击手段的更新。 3 缺乏准确定位和处理机制。 i d s 仅能识别i p 地址，无法定位i p 地址，不能识别数据来源。i d s 系统在发现 攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时会影响 其他正常用户的使用。i d s 缺乏更有效的响应处理机制。 4 性能普遍不足。 同前i d s 产品大多采用特征检测技术，这种i d s 产品己不能适应交换技术和高带 宽环境的发展，i d s 成为网络带宽的一道瓶颈。在大流量、多i p 分片情况下，这种i d s 产品本身就可能造成i d s 的瘫痪或丢包，形成d o s 攻击。 1 6 2 输入过滤 1 6 2 1 原理 在网络中每台边界路由器上部署输入过滤( i n g r e s sf i l t e r i n 9 1 ) ，边界路由器 l n h o d 完整性悱议及其实现技术的研究 将检测数据包中的源地址是否合法，如数据包中的源地址是否与本边界路由器的网 络地址相符，如果合法，边界路由器接受并转发数据包，否则丢弃。网络管理员可 以记录数据包丢弃情况的日志信息，从而为监视系统异常行为提供依据。这样，在 网络边界被窜改、伪造的数据包，或者是网络内部的攻击者使用的伪造源地址与 i n g r e s sf 儿t e r i n g 的规则不符合的数据包会被检测出并丢弃。 1 6 2 2 特点分析 1 、优点 首先，使用i n g r e s sf i t e r jn g ，在网络边界被窜改或者伪造的、源地址非法的 数据包将能够被检测出并丢弃。 其次，i n g r e s sf i l t e r i n g 可以迫使攻击者使用有效的、合法的i p 地址进行攻击， 从而方便另一种被动防御方式t r a c e b a c k 追踪攻击源。 2 、不足 这种方法并不能完全防御拒绝服务攻击。 ( 1 ) 在相邻路由器间被窜改的数据包无法被检测出； ( 2 ) 当攻击者使用合法i p 地址进行攻击的时候，i n g r e s sf i l t e r i n g 无能为力； ( 3 ) i n g r e s sf i l t e r i n g 与移动i p 不兼容。移动主机发送的数据包是被直接进行 路由的，其过程如下：移动主机将数据包发送给该主机所在的当前网络的 路由器上，由当前网络的路由器将数据包传递给真正的目的地。如果在这 个路由器上部署jn g r e s sf i l t e r i n g ，则浚路由器将会检查数据包的源地址， 发现数据包的源地址不属于自己管辖的网络范围，将丢弃该数据包。因此， 在移动i p 网络中，不能部署i n g r e s sf i l t e r i n g 。 同时，使用n a t ( 网络地址转抉) 的网络中，也不能部署i n g r e s sf i l t e “n g 。 1 6 3 回溯追踪 1 6 3 1 原理 回溯追踪( c r a c e b a c k ) 使得被攻击主机能够根据攻击信息重新构建出攻击路径， 从而定位攻击源。t r a c e b a c k 有两种模式，分别是消息标记模式( m e s s a g em a r k i n g s c h e m e ) “和哈希模式( h a s h _ b a s e ds c h e m e ) 。 l 、消息标记模式 最初的消息标记模式称为节点添加“。“，每个路由器在通过的数据包中添加自己 的地址信息，一旦发现攻击，可以根据数据包中路由器的地址信息重构攻击路径。 随机消息标记模式从节点添加发展来，它随机的使用部分路径信息标识数据包，由 于在拒绝服务攻击中，攻击者一般都会发送大量的攻击包，受害者可以根据这些被 标识的数据包中的路径信息重构攻击路径，从而找出攻击源。而由s t e f a ns a v a g e 等人于2 0 0 0 年提出的压缩边缘取样算法。“，使得基于消息标汜模式的回溯追踪的正 河海大学硕士学缸论文 确率和效率都得到了很大的提高。消息标记模式只需要在路由器上运行包标识进程， 在主机上运行路径重构进程，不需要i s p 等的合作，因此在部署上节约了定的费用。 节点添加方式在实际应用中是很困难的，数据包将因路由器添加的地址信息变 的很大，可能导致大量网络碎片。随机路径信息标识虽然能部分解决这个问题，但 其给数据包带来的额外开销仍较大，并且当网络结构不稳定时，路径重构将变的困 难。 2 、哈希模式 哈希模式通过保存在路由器上的数据包的审计信息，在发现攻击时，追溯攻击 源。由b b n 技术删的i n t e r n e t w o r kr e s e a r c h 2 1 1 小组的s o u r c ep a t hi s 0 1 a t i o n e n g i n e “2 1 项目组开发的s p i e 。“，就是利用这种模式对数据包进行审计并重构路径 的。s p i e 有三个主要部件，分别是d g a ( d a t ag e n e r a t i o na g e n t ) 、s c a r ( s p i e c o l l e c t i o na n dr e d u c t i o n ) 和s t m ( s