（计算机软件与理论专业论文）基于linux的包过滤防火墙研究与实现.pdf

南京邮电学院硕士研究生学位论文 摘要 随着计算机网络的全球化，电子商务和个人网络应用不断发展，随之引发的 网络安全问题越来越为企业和政府所重视。防火墙技术根据已有的规则，监测、 限制、更改通过它的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行 状况，有选择地接受外部访问，以实现网络的安全保护。入侵检测系统监视、检 查并对网络中未经授权的活动，并根据已知的攻击特征对外部入侵行为进行响 应。防火墙技术和入侵检测的有机结合有效地增加了网络的安全性，构成了目前 网络安全产品的主要框架。 随着l i n u x 的不断发展完善，p a u lr u s s e l l 在l i n u xk e r n e l2 4 内核中提出并 实现了n e t f i l t e r 框架。n e t f i l t e r 框架中使用了连线跟踪、包过滤、地址转换等技术， 并采用了动态的安全策略。目前n e t f i l t e r i p t a b l e s 经受住了大量用户广泛使用的 考验，取得了令人十分满意的效果。 本文介绍了黑客攻击手段以及相应的防范措施，并在分析l i n u x2 4 内核中 n e t f i l t e r 框架的基础上，设计并实现了一个包过滤防火墙模块。该模块实现了可 信域的判定、对常用拒绝服务攻击的入侵检测、防火墙策略的匹配等几个功能； 并使用连线跟踪技术对包过滤模块做出了改进，实现了状态检测。最后分析了系 统的不足之处，并提出了改进和发展方向。 关键词：防火墙，n e t f i l t e r ，包过滤，入侵检测系统 南京邮电学院硕士研究生学位论文 a b s t r a c t w i t ht h eg l o b a l i z a t i o no fc o m p u t e rn e t w o r k ，e - b u s i n e s sa n dp e r s o n a ln e t w o r k a p p l i c a t i o n sh a v ec o n f i n u o u s l yg r o w n t h ee n t e r p r i s e sa n dg o v e r n m e n t sh a v ep a i d m u c ha t t e n t i o nt ot h en e t w o r ks e c u r i t yp r o b l e m s f i r e w a l lt e c h n o l o g yg u a r d ，r e s t r i c t a n da l t e rt h ed a t as f f e a mp a s s e dt h r o u g hi ta c c o r d i n gt ot h ek n o w nr u l e s i tt r i e si t s b e s tt os h e l t e rt h en e t w o r ki n t e r n a li n f o r m a t i o nt ot h eo u t s i d e ，a n da c c e p to u t s i d e r s a c c o r d i n g l y i tc a l ls o l v et h en e t w o r ks e c u r i t yp r o b l e m i n t r u s i o nd e t e c t i o ns y s t e m g u a r da n dc h e c kt h eu n a u t h o r i z e da c t i v i t yi nt h en e t w o r k ，a n db a s e do nt h ek n o w n a t t a c kc h a r a c t e r i s t i c st or e s p o n s et ot h eo u t s i d ei n t r u s i o n s f u s i o n so ff i r e w a l l t e c h n o l o g ya n di n t r u s i o nd e t e c t i o ne n h a n c et h en e t w o r ks e c u r i t ye f f e c t i v e l y , a n df o r m t h em a i nf r a m e w o r ko fn e t w o r ks e c u r i t yp r o d u c t s w i t ht h ei m p r o v e m e n to ft h el i n u xo p e r a t i n gs y s t e m ，p a u lr u s s e l lp r o p o s e d a n di m p l e m e n t e dt h en e t f i l t e rf r a m e w o r ki nt h el i n u xk e r n e l2 4 i th a su s e dt h e t e c h n o l o g yo fc o n n e c t i o nt r a c k i n g ，p a c k e tf i l t e r i n ga n dn e t w o r ka d d r e s st r a n s l a t i o n ， a n di th a sa d o p t e dt h ed y n a m i cs e c u r i t yp o l i c i e s n o w a d a y sn c t f i l t e d i p t a b l e sh a s s u s t a i n e dm a n yu s e r s c r i t i c i s m s ，a n dh a sg a i n e ds a t i s f a c t o r ye f f e c t t h i sp a p e rp r e s e n t st h ea t t a c kt e c h n i q u e so fh a c k e r sa n dt h ed e f e n s em e a n s b a s e do nt h ea n a l y s i so ft h en e t f i l t e rf r a m e w o r ko fl i n u xk e r n e l2 4 ，t h i sp a p e r d e s i g n sa n di m p l e m e n t s af i r e w o r km o d u l eo fp a c k e tf i l t e r i n g t h em o d u l e i m p l e m e n t ss o m ef u n c t i o n s ，w h i c ha l et h ed e c i s i o no ft r u s tb o u n d a r y , t h ei n t r u s i o n d e t e c t i o no ft h eu s u a ld e n i a lo fs e r v i c e ，t h em a t c ho ff i r e w a l lp o l i c i e s i tu s e st h e t e c h n o l o g yo fc o n n e c t i o nt r a c k i n gt oe n h a n c et h em o d u l eo fp a c k e tf i l t e r i n ga n d i m p l e m e n t st h es t a t ec h e c k f i n a l l y , i ta n a l y z e st h ed e f i c i e n c i e sa n dp r o p o s e st h e d i r e c t i o n st oi m p r o v et h es y s t e m a b s t r u c t ：f i r e w a l l ，n e t f i l t e r ，p a c k e tf i l t e r i n g ，i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) 南京邮电学院 硕士学位论文摘要 学科、专业：工学计算机软件与理论 研究方向： 软件技术及其在通信中的应用 作 者：2 0 0 2 级研究生谢大鹏指导教师陈春玲 题目：基于l i n u x 的包过滤防火墙研究与实现 英文题目： r e s e a r c ha n di m p l e m e n t a t i o no ft h ep a c k e tf i l t e r i n g f i r e w a l lb a s e do nl i n u x 主题词：防火墙n e t f i l t e r 包过滤入侵检测系统 k e y w o r d s ： f i r e w a l ln e f f i l t e rp a c k e tf i l t e r i n g i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) 课题来源：1 华为科技基金项目“分布式防火墙模型的研究与 实现”( 编号y j c b 2 0 0 3 0 1 2 d c ) 2 江苏省教育厅自然科学研究项目“分布式防火墙 中关键技术的研究”( 编号1 0 2 9 3 0 0 ) 南京邮电学院硕士研究生学位论文 索略词 索略词英文全称译文 d o s d e n i a lo fs e r v i c e拒绝服务攻击 d d o sd i s t r i b u t e dd e n i a lo fs e r v i c e 分布式拒绝服务攻击 i d s i n t r u s i o nd e t e c t i o ns y s t e m入侵检测系统 h i d sh o s ti n t r u s i o nd e t e c t i o ns y s t e m 主机入侵检测系统 n i d sn e t w o r ki n t r u s i o nd e t e c t i o ns y s t e m 网络入侵检测系统 u d sl i n u xi n t r u s i o nd e t e c t i o ns y s t e m l i n u x 入侵检测系统 d m z d e m i l i t a r i z e dz o n e非军事区 n a tn e t w o r ka d d r e s st r a n s l a t i o n 网络地址转换 d n a t d e s t i n a t i o nn e t w o r ka d d r e s st r a n s l a t i o n目的网络地址转换 s n a ts o u r c en e t w o r ka d d r e s st r a n s l a t i o n 源网络地址转换 c t c o n n e c t i o nt r a c k i n g连线跟踪 一6 6 南京邮电学院学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签日期小酊f 砖 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名 导师签名：毫越日期：三丛 南京邮电学院硕士研究生学位论文前言 日u 面 随着计算机网络的全球化，电子商务和个人网络应用不断发展，人们日常生 活中的许多活动正逐步转移到网络上来。然而，计算机网络发展同时所引发的网 络安全问题日益成为人们所重视的研究领域。机密泄露、数据被盗和篡改、系统 因为受到攻击而瘫痪，诸如此类的事件在网络上时有发生。所以网络的进一步发 展必须解决安全问题，包括数据的保密性、完整性、可用性、可控性以及不可否 认性。防火墙正是网络安全解决措施中较为行之有效的方案之一，目前已被广泛 应用于各种网络系统。 l i n u x 防火墙由最初的i p f w a d m 经过2 2 内核的i p c h a i m ，发展到2 。4 内核的 n e t f i l t e r ，已经非常成熟完善。n e t f i l t e r 框架使用了连线跟踪、包过滤、包处理和 地址转换等多种技术，经过i p t a b l e s 的配置，可以实现多种策略，对现有的各种 黑客攻击手段都有很好的防范效果。 本文在分析了l i n u x2 4 内核n e t f i l t e r 框架的基础上，实现了自己的防火墙模 块，并将之加载入内核。该模块实现了入侵检测和在n e t f i l t e r 框架上挂载的包过 滤模块。入侵检测部分实现了对部分攻击手段的检测和报警，包过滤模块实现的 规则的匹配和日志的收集功能。最后使用连线跟踪技术对包过滤模块做出了改 进，实现了状态检测功能，提高了效率。 本文内容共分为五章，内容安排如下： 第一章对网络安全的本质需求以及不同的解决措施进行了概述。然后介绍了 和本文相关的防火墙的基本定义，根据防范的方式和侧重点的不同对防火墙进行 了分类，并重点介绍了包过滤型防火墙的工作原理。 第二章介绍了各种黑客攻击手段的理论基础和防范措施。大多数的攻击可以 通过系统补丁、系统优化、配置防火墙等方式进行防范。但是对于d o s ，特别 是d d o s 攻击，目前理论上还没有根本的解决措施，只能通过上述手段来降低 系统受到拒绝服务攻击的危害。针对黑客攻击，本章还介绍了入侵检测系统的工 作原理、系统构成和不同的分类方式。 第三章在介绍l i n u x 防火墙发展的基础上讨论了现有l i n u x 的防火墙策略和 基本技术；着重研究了i p c h a i n s 和n e t f i l t e r 两种框架的特性和工组原理；分析了 一 南京邮电学院硕士研究生学位论文前言 n e t l i l t e r 的配置工具i p t a b l e s 。 第四章在介绍l i n u x 模块编程的基础上，详细分析了防火墙模块挂载到 n e t f i l t e r 框架上的方法。先描述了l i n u x 模块编程思想、模块编程用到的主要数 据结构m o d u l el i s t 和相关系统调用、模块的安全和卸载过程。然后分析了n e t f i l t e r 框架的n f h o o k 宏、主要数据结构n f _ h o o k _ o p s 和相关函数、n e t f i l t e r 框架内 置的函数模块、防火墙模块的登记和卸载。 第五章详细介绍了防火墙模块的实现过程。首先列出了实现中用到的一些关 键数据结构i p _ a c t i o n 、s t r u c ti p _ f w p k t 、s t r u c ti p _ f w r u l e 和s t r u c ti p _ f w l o g 。然后 介绍了包处理的总体流程，其中详细介绍了可信域判定、入侵检测和防火墙规则 匹配这几个部分的实现过程。最后使用连线跟踪技术对包过滤模块做出了改进， 实现了状态检测。 第六章对本文做出总结，指出本文需要改进的地方；展望了防火墙的发展趋 势和可能用到的技术。 南京邮电学院硕士研究生学位论文第一章网络安全技术概论 第一章网络安全技术概论 1 1 网络安全的本质需求及其解决措施 1 1 1 网络安全的本质需求 计算机网络最重要的资源是它向用户提供的服务及其拥有的信息。计算机 网络安全可定义为：保障服务的可用性( a v a i l a b i l i t y ) 和信息的完整性( i m e g i t y ) 。 前者要求向所有用户有选择的提供应得到的服务，后者则要求保障信息的完整 性和准确性。 网络安全的主要威胁包括非授权访问、信息泄漏或丢失、破坏数据完整性、 破坏通信规程和协议、拒绝合法服务请求、设置陷阱和重传攻击等。要保证信 息安全就必须在一定程度上克服各种威胁，采取安全技术策略，确保信息系统 的安全。 安全需求包括五个方面，即数据的保密性、完整性、可用性、可控性以及 不可否认性。安全工作通过采用合适的安全技术与安全管理措施提供安全需求 的保证。网络安全的主要内容包括保护网络系统中的硬件、软件及其数据不受 偶然或者恶意的破坏、更改、泄漏，保障系统连续可靠地运行以及网络服务不 中断。 1 1 2 网络安全的解决措施 在不同环境和应用中，网络安全各有不同的含义和侧重点，相应的安全措 施也各不相同。常用的安全措施包括防火墙、身份认证、数据加密、数字签名、 安全监控等。 防火墙 防火墙对于网络安全是必不可少的。它是位于两个网络之间的屏障，主要 功能就是控制对受保护网络的非法访问。它通过监视、限制、更改通过网络的 数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站 点，用以防范内、外部的非法访问。 南京邮电学院硕士研究生学位论文第一章网络安全技术概论 身份认证 身份认证是实现网络安全的重要机制之一。在安全的网络通信中，涉及的 通信各方必须通过某种形式的身份认证机制来证明他们的身份，验证用户的身 份与所宣称的是否一致，然后才能实现对于不同用户的访问控制和记录。 数据加密 加密是通过对信息的重新组合使得只有收发双方才能解码还原信息的传统 方法! 数据加密技术在网络安全方案中得到广泛应用，它不需要特殊的拓扑结 构的支持，对网络服务及开放性影响较小。 数字签名 这种方法主要用于防止非法伪造、假冒并篡改信息。从概念上讲，数字签 名就是用信息发送者的专业密钥进行加密，而签名的验证就是用其公钥进行解 密，信息被验证后证明其在发送期间未被篡改，发送者被验证后表明他就是合 法的发送者。 安全监控 高效的网络安全关键性因素之一就是安全监控。监控网络安全性的方法就 是检查网络中的各个系统的文件和登录情况。 1 2 防火墙的分类及其工作原理 1 2 1 防火墙的定义 防火墙一词的原始含义是指能阻挡火蔓延的、具有隔离作用的物理实体。 在计算机中借用这一词来表示类似的含义，指能将局域网与外部网络隔离开来 的软件或硬件实体。传统上认为，防火墙是指设置在不同网络( 如可信任的企 业内部网和不可信的公共网) 或网络安全域之间的一系列部件( 包括软件和硬 件) 的组合。它处在不同网络或网络安全域之间数据传输的唯一出入口处，在 两个网络环境之间提供一个安全网关，对所有进出的数据流进行检查和过滤， 在被保护网络和外部网络之间架起一道屏障，以阻止外部用户非法使用内部网 的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被盗取。 南京邮电学院硕士研究生学位论文第一章网络安全技术概论 目前观点认为，防火墙是一个分离器、限制器，同时也是一个分析器，它 有效地监控了内部网和外部网之间的活动，从而保证了内部网络的安全。通过 制订安全策略，它可监测、限制、更改通过它的数据流，尽可能地对外部屏蔽 网络内部的信息、结构和运行状况，有选择地接受外部访问。以实现网络的安 全保护。防火墙的基本结构见图1 1 。 延堕吵匝丑 _ 恒习巫多 匦多圆丁7 l 三k 巫巫至多 1 2 2 防火墙的分类 图1 1 防火墙结构示意图 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体 来讲可分为包过滤、应用层网关和代理服务器等几大类型。 数据包过滤型防火墙 数据包过滤( p a c k e tf i l t e r i n g ) 技术是在网络层对数据包进行选择，选择的依 据是系统内设置的过滤逻辑，被称为访问控制表( a c c e s sc o n t r o lt a b l e ) 。通过检 查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素， 或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透 明性好，它通常安装在路由器上。路由器是内部网络与i n t e m e t 连接必不可少 的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络 层和传输层，与应用层无关。但其弱点也是明显的：能够用于过滤判别的只有 网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤 器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大 的影响；由于缺少上下文关联信息，不能有效地过滤如u d p 、r p c 一类的协议； 另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对 安全管理人员索质要求高，建立安全规则时，必须对协议本身及其在不同应用 南京邮电学院硕士研究生学位论文 第一章网络安全技术概论 程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共 同组成防火墙系统。 应用层网关型防火墙 应用层网关( a p p l i c a ：t i o nl e v e lg a t e w a y s ) 是在网络应用层上建立协议过滤 和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在 过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应 用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定 的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统 建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和 运行状态，容易实施非法访问和攻击。 代理服务型防火墙 代理服务( p r o x ys e r v i c e ) 也称链路层网关或t c p 通道( c i r c u i tl e v e l g a t e w a y s0 i t c pt u n n e l s ) ，也有人将它归于应用层网关一类。它是针对数据包 过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防 火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接，由代 理服务器上的链接来实现，外部计算机的网络链路只能到达代理服务器，从而 起到了隔离防火墙内外计算机系统的作用。 此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时 当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通 信流的作用。同时也常结合过滤器的功能。它工作在o s i 模型的最高层，掌握 着应用系统中可用作安全决策的全部信息。 复合型防火墙 由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法 结合起来，形成复合型防火墙产品。这种结合通常有以下两种方案。 1 、屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与i n t e m e t 相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上 过滤规则的设置，使堡垒机成为i n t e m e t 上其它节点所能到达的唯一节点， 南京邮电学院硕士研究生学位论文第章网络安全技术概论 这确保了内部网络不受未授权外部用户的攻击。 2 、屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个 分组过滤路由器放在这一子网的两端，使这子网与i n t e m e t 及内部网络分 离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了 接个防火墙的安全基础。 1 2 3 包过滤防火墙的原理 在上面介绍的几种防火墙中，最基础的是包过滤防火墙，下面介绍包过滤 防火墙的工作原理。 包类型包头的功能检查的包头字段检查该字段可以防范的攻击类型 应用层包无包头1 分析s o c k e t 连接，可获i 防范木马攻击。 取有关信息，如哪个应用程2 对本机的服务和端口进行控 序连网，源和目的端口、i p制。 地址，协议。3 对访问的时间进行控制( 双 2 分析包中的内容，可获向) 。 得网，邮箱地址，f t p 文件4 对访问的网络进行控制( 双 名等。 向) 。 t c p 包连接的可靠序列号；确认号：a c k 标拒绝服务攻击；拦截t c p 连接等 性；发送报文志位；s y n 标志位；端口等。 的顺序等。 u d p 包只提供端口端口对端口进行控制 和校验 i p 包主要用于路 协议：i p 地址；任选项；分对协议、i p 地址和路由进行控制 由 段偏移量 l c m p 包在双方之间如下几种报文类型可被黑向路由器发送错误报文来扰乱路 发送控制和 客利用。应阻止：流入的由表；探测网络 管理信息e c h o 请求和e c h o 响应；流 入的重定向报文 流出的目 的不可达报文：流出的服务 不可用报文。 链路层包局域网寻址m a c 地址对主机进行确认 表1 1 包过滤的类型与检测字段 包过滤防火墙是基于数据包的头部信息( 或数据包的内容) 来决定转发还 是丢弃的。原则上每一层的包头都可以作为检查的对象，包括数据链路层头、 i p 头、t c p a j d p 头。由于在广域网上主机的硬件地址即m a c 地址很难与i p 地址绑定，所以检查数据链路层包头没有多大意义：但在局域网内部可以将 南京邮电学院硕士研究生学位论文 第一章网络安全技术概论 m a c 地址与i p 绑定，从而可以为内部网的安全防范增加一个依据。另外，在 应用层所有的包头已全部被剥去，没有包头可以检查，但可以对包的内容进行 检查，提取有关信息作为判断是放行还是拒绝的依据。 在t c p i p 层包过滤的一般过程是：在网络层对i p 包头处理之前抢先截取 包，检查包头( 包括i p 头和t c p u d p 头) 中的有关字段是否与规则集中的规 则匹配，如果允许转发就将包交给网络层按常规往下处理，否则丢弃。 表1 1 概括总结了各层包过滤所要检查的包头字段( 或内容信息) ，要理 解为什么要检查这些字段和内容，需要对t c p i p 协议以及黑客的攻击方法有较 深入的理解。 1 3 本章小节 本章首先对网络安全的本质需求以及不同的解决措施进行了概述。然后介 绍了和本文相关的防火墙的基本定义，根据防范的方式和侧重点的不同对防火 墙进行了分类，并重点介绍了包过滤型防火墙的工作原理。 南京邮电学院硕士研究生学位论文第二章黑客攻击手段以及入侵检测 第二章黑客攻击手段以及入侵检测 2 1 黑客及其攻击手段 黑客( h a c k e r ) 的产生源予计算机网络，在诞生的早期是一个褒义词，最 初的黑客是一些以编写各种程序并且研究编程技术为乐的程序员，他们推动了 计算机技术的发展，为今天的计算机网络发展做出了不可磨灭的贡献。随着计 算机和网络的发展，出现了一批以入侵计算机系统并且进行破坏为目的的骇客 ( c r a c k e r ) ，他们只会对网络服务器进行恶意攻击，而不会对网络发展有丝毫 的贡献。由于商业利益的缘故，信息共享不会被现代商业社会所接受，以信息 共享为核心的h a c k e r 文化也逐渐被c r a c k e r 所代替，黑客一词逐渐变成网络破 坏者的代名词。 黑客攻击手段可分为非破坏性攻击和破坏性攻击两类。非破坏性攻击一般 是为了扰乱系统的运行，并不盗窃系统资料，通常采用拒绝服务攻击或信息炸 弹；破坏性攻击是以侵入他人电脑系统、盗窃系统保密信息、破坏目标系统的 数据为目的。 2 1 1 电子欺骗 电子欺骗( s p o o f i n g ) 可以定义为：通过伪造源于可信任地址的数据包以 使一个机器认证另一台机器的复杂技术。 在i n t e r n e t 上计算机之间互相进行交流是建立在认证( a u t h e n t i c a t i o n ) 和 信任( t r u s t ) 基础之上的。认证是网络上的计算机用于相互进行识别的过程， 经过认证的过程，获准相互连接的计算机之间就会建立相互信任的关系。信任 和认证是具有逆反关系的，即如果计算机之间存在高度的信任关系，则连接时 就不要求严格的认证。反之，如果计算机之间没有很好的信任关系，则会要求 进行严格的认证。当两台计算机之间建立了信任关系，第三台计算机就可能冒 充建立了相互信任的两台计算机中的一台对另一台计算机进行欺骗。发生在网 络上的计算机之间的欺骗我们就统称为电子欺骗。常见的电子欺骗方式有：i p 欺骗、t c p 欺骗、a r p 欺骗、d n s 欺骗和路由欺骗。 南京邮电学院硕士研究生学位论文第二章黑客攻击手段以及入侵检测 2 1 2 拒绝服务攻击 拒绝服务攻击( d e m a lo f s e r v i c e ，d o s ) 一般是利用系统的漏洞、协议的 漏洞和服务的漏洞对计算机发起攻击，使计算机无法正常提供服务。除了利用 系统漏洞、协议漏洞进行攻击外，d o s 也可以利用合理的服务请求来占用过多 的服务资源，致使服务过量，无法响应其他用户的正常合法请求达到攻击的目 的。这些服务资源包括网络带宽、系统文件空间、连接的进程数量等。 拒绝服务攻击从诞生起就成为黑客以及网络安全专家关注的对象。拒绝服 务攻击的目的非常简单和明确，就是使你的主机无法在网上提供正常的服务。 拒绝服务攻击一般都是恶意的，但是不会具有破坏性。 随着技术的发展，拒绝服务攻击还引入了分布式的概念，即多台主机同时 对一台主机进行拒绝服务攻击，这种攻击称为分布式拒绝服务攻击( d i s t r i b u t e d d e n i a lo f s e r v i c e ，d d o s ) 。目前，即使是拥有众多网络安全防范措施的网站和 网络主机仍然无法彻底杜绝分布式拒绝服务攻击。常见的拒绝服务攻击的方法 主要有以下几种： 1 利用传输协议上的缺陷，发送出畸形的数据包，导致目标主机无法处理而 拒绝服务。 2 利用主机上服务程序的漏洞，发送特殊格式的数据导致服务处理错误而拒 绝服务。 3 制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通信。 4 利用受害主机上服务的缺陷，提交大量的请求将主机的资源耗尽，使受害 主机无法接受新的请求。 具体来说有以下几种攻击方式：死亡之p i n g ( p i n go fd e a t h ) 、泪滴 ( t e a r d r o p ) 、u d p 洪水、s y n 洪水、l a n d 攻击、s m u r f 攻击、f r a g g l e 攻击、 电子邮件炸弹和畸形消息攻击。 随着互联网以及电子商务等应用的不断发展，拒绝服务攻击给网络经济造 成的损失将越来越严重。由于受技术上的限制，还没有很好的措旌来彻底解决 拒绝服务攻击，特别是分布式拒绝服务攻击的问题。下面这些针对拒绝服务攻 击的措旌，虽然不能完全保护系统免受拒绝服务攻击，特别是分布式拒绝服务 攻击的威胁，但是至少能降低系统受到拒绝服务攻击的危害： 一1 0 南京邮电学院硕士研究生学位论文 第二章黑客攻击手段以及入侵检测 首先一点也是最重要一点就是：关注最新的安全漏洞情况，确保每台主机 上都没有明显的系统漏洞，从而避免成为分布式拒绝服务攻击的工具，被 入侵者利用来对其他的系统发送分布式拒绝服务攻击。网络中存在的安全 漏洞的系统越少，入侵者就越难获得进行分布式拒绝服务攻击所必须的大 量主机。 优化系统，确保系统能有效提高抵御拒绝服务攻击的能力。服务器性能的 优化意味着入侵者需要更多的主机，更多的带宽才能成功地进行拒绝服务 攻击，并且在受到攻击时的损失也比较小。 抵御分布式拒绝服务攻击并不只是受到攻击的系统的事，而是需要网络中 的各部分协调合作。如果上层的路由器能帮助实现路由控制，并实现带宽 总量限制，那么对系统抵御分布式拒绝服务攻击会有较大的帮助。 在系统与互联网之间安装防火墙，并合理配置防火墙的各项功能。防火墙 能帮助系统抵御部分类型的拒绝服务攻击，并且可以在受到分布式拒绝服 务攻击时减少损失。 2 1 3 扫描技术 扫描是一种以收集被扫描系统和网络信息为目的的行为，通常是利用一些 程序或者专用的扫描器来实现。通过向目标主机发送一定的数据报文，根据返 回的结果来了解目的主机的一些状况，例如是否在线、开着什么端口、运行什 么样的服务等。其实很多管理员经常在使用这样的技术，例如p i n g 。扫描一般 是入侵者进行攻击的前奏，就如同一个企图入室行窃的盗贼在寻找可供偷窃的 目标以及收集目标所有门窗的资料。根据扫描的方式不同，主要有以下几 种类型：地址扫描、端口扫描和漏洞扫描。 对于系统管理员来说，不仅要了解并使用扫描技术对系统和网络进行维护， 还应该了解如何对抗具有攻击性的扫描，目前主要的反扫描技术有：禁止不必 要的服务、屏蔽敏感信息、合理配置防火墙和i d s 和陷阱( h o n e y p o t ) 技术。 2 1 4 缓存溢出攻击 缓存溢出漏洞是一种很普遍的漏洞，广泛存在于各种操作系统和应用软件 一i i 南京邮电学院硕士研究生学位论文 第二章黑客攻击手段以及入侵检测 中。缓存溢出攻击利用编写不够严谨的程序，通过向程序的缓存区写入超过预 定长度的数据，造成缓存溢出，从而破坏程序的堆栈，导致程序执行流程的改 变。通过攻击存在缓存漏洞的程序，入侵者可以使程序运行失败，造成系统宕 机、重启，甚至执行非授权命令，获得系统的最高权限。缓存溢出这种类型的 安全漏洞是目前最为常见的安全漏洞，缓存溢出攻击目前仍然是远程网络攻击 和本地获得权限提升的主要方法之一。缓存溢出漏洞是对系统威胁极大的安全 漏洞，如果能有效地解决缓存溢出问题，就会给系统的安全性带来本质上的改 变。 系统进程在运行期间，需要使用一定的内存空间，进程使用的内存空间被 分为3 个不同的区域：代码区、数据区和堆栈区。代码区中保存的是指令代码 和一些只读数据，这个区域通常被标记成只读的，任何对其写入的操作都会导 致段错误。数据区存放运行进程中已初始化和未初始化的数据。堆栈常用于给 函数中使用的局部变量动态分配空间，用于函数传递参数和存放函数的返回值。 有一个名为堆栈指针s p 的寄存器指向堆栈的顶部。堆栈的底部是一个固定的 地址。堆栈的大小在运行时由系统动态地调整。 由于某些函数( 例如字符串处理函数g e t s 和s t r c p y 等) 没有对数据越界加 以监视和限制，利用字符数组写越界，覆盖堆栈中的数据就可以修改返回地址 值。当堆栈溢出的时候，就能完全控制这个程序下一步的动作。如果精确地控 制跳转地址，将程序的执行流程引向预定的内存地址，c p u 就会转去执行这个 地址的指令。通常在l i n u x 操作系统中，一个新产生的s h e l l 会继承原有s h e l l 的权限。因此，如果在预定的内存地址中放置代码用于产生一个s h e l l ，当程序 溢出后入侵者就会获得一个s h e l l ，获得的s h e l l 将继承被溢出程序的权限。由 于大量服务程序都是以r o o t 或者s y s t e m 权限运行的，一旦这些程序产生溢出， 入侵者将获得对系统的完全控制权。针对缓存溢出攻击的防御措施主要有：安 全的代码编写、安全工具、安装安全补丁、堆栈保护和堆栈不可执行。 2 1 5 格式化字符串攻击 格式化字符串攻击类似于缓存溢出统计，主要利用不严谨的程序代码，通 过输入特殊字符串，修改正常的程序运行流程进行攻击。它主要利用那些需要 南京邮电学院硕士研究生学位论文 第二章黑客攻击手段以及入侵检测 指定用户输入格式的函数，例如：p d n t f , f p r i n t f 、s p d n t f , s n p r i n f f v p i n f f v f p r i n t f 、 v s p r i n t f v s n p r i n f f 等。如果被攻击的程序是带有s u i d 位的，那么入侵者就有可 能获得权限的提升。格式化字符串漏洞其实是一种比较老的漏洞，很多年之前 这个漏洞就已经被提出来，攻击方法也就很早被研究出来。只是由于种种原因， 一直没有引起人们的真正重视。直到2 0 0 0 年，由于著名的v v l l 邱d 的远程溢出 利用的就是格式化字符串漏洞进行攻击的，格式化字符串漏洞才真正引起公众 的广泛关注。 由于源代码的开放性，目前发现的格式化字符串攻击全是基于u n i x 和 l i n u x 系统的。理论上w i n d o w s 系统也会存在这样的漏洞，由于w i n d o w s 是不 开放源代码的，因此对w i n d o w s 系统实旌这一类型攻击目前也比较困难。 与缓存溢出漏洞相比较，格式化字符串漏洞具有特殊性，目前还没有什么 特别有效的防御措施。由于格式化字符串漏洞是由开发造成的，最根本的解决 办法就是检查程序代码，对于程序员来说，在编写程序时要特别注意代码书写 的规范性，对调用的一些带有参数格式的函数进行严格检查。也可以使用自动 的格式化字符串漏洞检查工具对程序代码进行检查。这样的工具有p s c a n 和 t e s o g c c ，但是这些工具并不能检查出所有的格式化字符串漏洞，也容易存在 错误。 对于网络管理员来说，关注最新的安全公告，给系统打上所有的安全补丁 是最好的应付格式化字符串漏洞的措施，这也是对付其他类型漏洞的最好安全 措施。 2 1 6 木马技术 木马一词源于希腊神话，希腊人利用木马攻陷了特洛伊城。在r f c l 2 4 4 中有一段关于木马程序的说明：特洛伊木马程序是一种程序，它能提供一些有 用的，或者仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例 如在你不知情的情况下拷贝文件或者窃取你的密码。 木马最初诞生在网络还处于以u n i x 平台为主的时期，由于u n i x 存在开源 版本，因此，木马的制造者往往是将一些特殊代码添加到正常的应用程序代码 中来实现一些特殊的功能。当被添加木马代码的程序被运行时，内嵌在程序中 南京邮电学院硕士研究生学位论文第= 章黑客攻击手段以及入侵检测 的木马代码就会悄悄执行，在这个时期木马的设计者和使用者大都是一些技术 人员，必须具备相当的网络知识和编程知识，并对u n i x 有相当程度的了解。随 着w i n d o w s 平台的日益普及，一些基于w i n d o w s 图形界面的木马程序出现了， 由于木马拥有良好的界面，即使是不懂太多专业知识的普通用户都可以熟练操 作木马，利用木马入侵的事件也不断发生。随着技术的不断发展，木马的功能 也越来越强大，隐藏性不断提高，数量不断扩大。 木马的主要类型有：远程控制类型、输出s h e l l 类型和信息窃取类型等。 木马的传播方式主要有：手工放置、利用系统漏洞安装和电子邮件传播等。 木马的发展趋势：跨平台、模块化、病毒性、无连接和隐藏进程和通信。 针对木马的防御手段主要有：检查系统进程、检查注册表、服务和i n i 文 件、检查开放端口、监视网络通信、分析可疑文件和安装杀毒软件和防火墙。 2 2 入侵检测 2 2 1 入侵检测系统概述 入侵检钡系统( i n t r u s i o nd e t e c t i o ns y s t e m ，i d s ) 是目前最流行的网络安 全防护技术，它是一种用来发现外部攻击和合法用户滥用特权的方式，是动态 安全技术中最核心的技术之一。入侵检测系统根据用户的历史行为，基于用户 的当前行为，完成对入侵的检测，并留下证据，为数据恢复和事故处理提供依 据。它通过对计算机网络或者计算机系统中的若干关键点收集信息并对其进行 分析，从中发现网络或者系统中是否有违反安全策略的行为和被攻击的迹象。 更重要的是，入侵检测系统检测并发现存在的网络攻击以及网络错误。 入侵检测系统往往和防火墙同时配合使用，管理并控制进出网络的数据。 这两种安全工具在网络中起到完全不同的作用：防火墙负责防御已知的攻击， 入侵检测系统则检查网络是否在受到未知的攻击。实际上，入侵检测系统是一 个安全系统中不可分割的部分。它不是用于保证安全，但是通过与安全策略、 风险评估、数据加密、用户审计、连接控制和防火墙配合使用，能很好地增强 网络地安全性。 南京邮电学院硕士研究生学位论文 第二章黑客攻击手段以及入侵检测 入侵检测系统监视、检查并对网络中未经授权的活动和外部入侵行为进行 响应。入侵检测系统通过策略来确定事件的性质，旦发现与定义的策略相 致的行为，入侵检测系统就会以某种形式( 例如页面、电子邮件或者s n m p ) 通知系统管理员。某些智能的入侵检测系统不仅能够检测入侵事件，也能自动 地响应事件，针对入侵检测事件执行一些操作，包括将事件涉及的用户从网络 中注销，禁用一个用户或者执行一个脚本，避免入侵对服务器造成损害。 2 2 2 入侵检测系统的原理和构成 入侵检测的基本原理如图2 1 所示。入侵检测系统是用于检测任何损害或 企图损害系统的保密性、完整性或可用行为的一种网络安全技术。它通过监视 受保护系统的状态和活动，采用误用检测( m i s u s ed e t e c t i o n ) 或异常检测 ( a n o m a l yd e t e c t i o n ) 的方式，发现非授权的或恶意的系统及网络行为，为防范 入侵行为提供有效的手段。 图2 - 1 入侵检测基本原理图 入侵检测系统就是执行误用检测或异常检测的系统。i d s 通过实时的检测， 检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或 用户的行为模式，监控与安全有关的活动。 入侵检测系统提供了用于发现入侵攻