（电路与系统专业论文）基于linux内核的防syn+flood系统分析与研究.pdf

浙江大学硕士学位论文y 8 7 7 2 7 摘要 t c p ，i p 协议是目前使用最广泛的网络互连协议，但是由于t c p 三次握手 中不安全性，使得i n t e m e t 具有先天性的不足。随着近几年i i l t e n l e t 得到了迅猛 的发展，随之而来的网络安全事件开始频繁发生，各种攻击手段层出不穷。以 s y nf l o o d 为代表的d d o s 攻击方式，是近年来出现的一种全新的极具破坏力的 拒绝服务攻击方式。它正是利用了t c p ，i p 这个先天性的缺陷，表现出强大的破坏 力，而且难以防范的特点，给i n t e m e t 的安全性、完整性、可用性构成了极大的 威胁。如何检钡9s y nf l o o d 攻击及怎样降低这种攻击所带来的后果引起了全社会 网络专家们广泛关注，并成为目前网络安全界研究的热点。 s y nc o o e 机制正是基于对传统t c p 协议的改进，由于它从协议的基 础上进行改进，使得它对于抵抗s y nf 1 0 0 d 攻击与减小s y nf 1 0 0 d 攻击的危害 性有着积极的作用。但是它由于c o o k i e 在建立与验证过程中的复杂性，以及 降低了t c p 连接可靠性的特点，使得它在大规模s y nf l o o d 攻击面前其性能大 大折扣。针对这一问题，本文提出了一种基于报文分拣的灵活动态的s y n c o o e 机制，根据网络流量自相似的特点，利用l i b p c a p 库实时对端口数据 包流量进行异常监测，以达到对s y nf 1 0 0 d 攻击做出快速响应。在此基础上，利 用s y nc o o e 机制对网络数据报文进行合法性验证，提取其中合法报文并将 合法报文源j p 地址信息提取出来。利用h a s h 表在快速查找中的优势，并根据 t c p 数据流自身的特点一最近访问会再次访问的特点，对传统ph a s h 建表算 法进行改进，对h a s h 表中冲突链的构建进行动态更新，加速了对i p 地址信息 的快速查找。系统主要的特点是在利用s y nc o o k i e 机制对t c p 报文进行合法 性筛选的基础上对合法报文信息进行统计并反馈给系统，以便系统能更快速的筛 选出合法的t c p 报文，避免了常规下对每个s y n ，a c k 报文实现验证的缺点。 本文最后对系统进行测试，测试说明在同等攻击强度下本系统提高了主机系统对 s y nf l o o d 攻击的防御能力。 关键词：s y nf i o o ds y nc o o e 自相似i p h a s h 塑垩查兰婴主堂竺笙苎 a b s t r a c t b e c a u s eo ft h ei n s e c u r i 母o fm et c p 恤e e - h a i l d s h a k e ，1 1 1 et c p ，i pp r o t o c o l ，w h i c h i s t 1 1 eb r o a d e s tn e t 、v o r kc o i l l l e c t i o n p r o t o c o l a t p r e s e n t ，h a s m ec o i m a t u 】r a l l i m i t a t i o n w i mt h cr a p i dd e v e l o p m e mi i l l a t t e r y e a r s ，n e t w o r ks e c 嘶够p m b l e m s h 印p e n舶q u e m l y a s a c o n s e q l l e n c e ，v 耐o u s “n d so fa 龇km e t h o d sa p p e a r c e a s d e s s l y t h es y nf l o o d ，a s 也er e p r e s e n t a t i o no fd d o sa t t a c km 砒l o d ，i san e w l y d e v e l 叩e da t t a c km e m o d o fh u g ed e s t r o y i l l gp o w e r t h es y nf l o o dw h i c hm a k eu s e o fm ec o n n 咖瑚1 i m h a t i o no ft c m pn 嘶v o r kp r o t o c 0 1 b e h a v eo n e s e l f 晰mn l i 豇t y d e s 乜m c t i o np o w e ra 1 1 di sd i f f c u l t l yd e f 醣d e d ng i v e st h eh u g et 1 1 r e a tt o 廿1 es a f 抽e s s ， i n t e g r a l i t ya n d “a i j a b i l 毋o fi n t e m e t h o wt od e t c c ta n dr c d u c em ed a m a g eo ft h e s y nf l o o da t t a 噼km e t l l o dg i v e sr i s eo fm ee x t e n s i v ef o c u sa n db e c o m e st h et o p i co f 也en e t w o r ks e c u r i 哆r e s e a r c hf o rn o w t h es y nc o o em e c h a n i s mb a s e so nt l l ei r n p r o v e m e n to nt h et r a d i t o n a l t c p i pn e t w o r kp r o t o c 0 1 b e c a u s eo fm ei m p r o v e m e n tb a s e do nt h ep r o t o c o l f o u n d a t i o n ，i tm a k e st 1 1 ea g g r e s s i v ea c t i o nt od e f e n da n dr e d u c et h ed 锄a g eo fs y n f l o o da n a c hm e t h o d b u tb e c a u s eo ft h ec o m p i e x 时o fm a k i n ga i l dv e r i f i n gt h e c o o k l ea n dt h ed e g r a d a t i o no ft h et c pc o n n e c tr e l i a b i l i 移，t h es y nc o o k i e m e c h a l l i s mg i v el 缸g ed i s c o u mw h e nf 如i n gt h eb r o a d s c a l es y nf 1 0 0 d 甜a c k a i ma t t h j sp r o b i e m ，m i sp a p e rp r o p o s eak i n do f m e t l l o dw h i c hi sb a s e dt h es e p a r a r i o no f t h e t c pp a c k e t sa n dt l l es y nc o o k i em e c h a n j s m m a k i n gu s eo f t h es e l f s i m i l 撕t yi i lt c p p a c k e tt m m ca r l dr e a l t i m em o i l i t o rt l l en e t 、v 0 r kt r a m co nl i b p c a p ，l tc a n m a k et h e r a p i dr e s p o n d e n c et om eo c c l l r r e n c eo fs y n f l o o d a n dt h e ni tm a k eu s eo ft h es y n c o o k i em e c h 姐i s mt ov e r t i f yt 1 1 e l e g a l 酊o ft 1 1 en e m o r kp a c k e t sa 1 1 de x t r a c tt l l e s o u r c ei pa d d r e s si n f 0 珊m i o n 矗d mm ei e g a lt c pp a c k e t s a c c 0 硼n gt ot 1 1 ea d v a n a g e o fh a s ht a b l ei nm er 印i ds e a r c ha n dm ec h a r a c t e r i s to fn 咖o r kp a c k e t 劬伍c ( i fa p a c k e t 矗o mo n ei pa d d r e s sv i s i t e dr e c e m l y ，w ec 缸ib e 王e i v e 也a ta n o t h e rp a c k e tf b l t l l i si pa d d r e s s d nv i s i ta g 豳o ，t 1 1 i sp 印e ro p l i m i z em et m d i d o n a li p h a s ht a b l e a l g o m 哪n eh a 工1 d l ea c c e l e r a t em es e a r c ht 0i pa d d r e s sb ym em e m o do fd y n a i i l i c 浙江大学硕士学位论文 u p d a t et ot h eh a s hc o l l i s i o nc h a i n t h ec h i e fc h a r a c t c r i s to ft h ed e f e n ds y nf l o o d s y s i e mi st l l el e g a lp a c k e ts t a t i s t i ca n df e e d b a c kt ot 1 1 es y s t e ma c c r o d i n gt ot h es y n c o o 髓em e c h a i l i s m ，i tm a 王( et h es y s t e mf i l t e ro u tt l l el e g a lp a c k e tr a p i d l i e r t h e ni t c a l la v o i dt h ed i s a d v a i 】t a g eo fv e n i 母i n ga i l ys y n ，a c k p a c k e ti nt h en o 衄a l 、v a y a t l a s tt h et e s td e c l a r ct h a tm ed e f e n ds y s t e mi n l p r o v em eh o s t sa b i l i t yt od e f e n d i n gt 王l e s y nf l o o da t t a c ka tt h ee q u a lc o n d i t i o n k e yw o r d s ：s y nf l o o ds y nc o o k i es e l f _ s i m i l a ri ph a s h 浙江大学硕士学位论文 第一章：绪论 1 1 ：研究的意义与背景 随着近几年宽带网络的高速发展，i n t e m e t 在全球范围内得到了迅猛的发展， 每天全世界都有成千上万的主机连入i n t e m e t ，其网络规模急剧膨胀。i n t e r n e t 已经成为如同铁路，公路，桥梁等社会基础设施，它已与我们平时的学习、工作与生 活紧密地联系在一起，涉及到教育、经济、政治、军事等各行各业，对国民经济 的稳定发展有着积极的作用。然而伴随着i n t e r n e t 的繁荣，网络安全事件开始频 繁发生，各种攻击手段层出不穷，计算机网络的保密性、完整性、可用性受到了 严峻考验。安全问题已经成为严重制约网络发展，特别是商业应用的主要问题， 并直接威胁着国家和社会的安全。目前1 1 1 t e m e t 安全的威胁主要来自黑客 ( h a c k e r ) 入侵攻击，计算机病毒( v i r u s ) 和拒绝服务( d e n i a jo f s e r v i c e ) 攻击 三个方面【”。与现实物理空间不同，i n t e m e t 由于具有高度自动化、接入的远程 化以及技术的易传播化三个新特性，使得网络的攻击方式更普及，传播更快，跟 踪、抓捕和证明罪犯有罪就会更加困难，而且攻击所产生的后果将更具有灾难性。 t c p i p 协议是目前使用最广泛的网络互连协议。但由于t c p i p 协议组 三次握手中不安全性，使“黑客”们易于攻击网络，网络的安全问题显得h 益突出， 尤其是以d d o s ( 分布式拒绝攻击服务) 攻击的方式，其具有攻击代码易获取， 并能丌放源代码的环境下进行开发和改进，工具的易用性使得脚本攻击者可以不 用知道技术细节就能完成一次攻击。d d o s 攻击的目标是i n t e m e t 的各种网络服 务的可用性。d d o s 工具可被用于使重要的商业、政府、公共设施、甚至军事站 点瘫痪，给经济建设与国防建设带来严重的后果【2 l 。历史上的d d o s 攻击事件也是 层出不穷 2 0 0 0 年2 月，美国的一些著名门户网站如y a l o o ! e b a y ，a m a z o n ，c n n ，e t r a d e 及等都相继被身份不明的黑客在短短几天内连续破 坏，导致各网站系统瘫痪达几f + 个小时之久。微软受访问程度极高的网站 m s n c o m 也因为多个网络服务器受到d d o s 攻击而中断服务。据不完全统计， 攻击者在这几天的时间里的造成高达1 2 亿美元的直接或间接损失。 掘从北京大学计算机研究所信息安全中心得到的消息，于2 0 0 5 年7 月1 2f 1 浙江大学硕士学位论文 下午1 4 ：0 0 ，国内各大门户网站、9 0 0 9 l e 搜索引擎以及部分专题网站( 例如中 国经济网等) 发生了大面积的网络瘫痪现象。有专家分析，这次突如其来的网络 瘫痪是由于互联网受到大规模的分布式拒绝服务攻击( d d o s 攻击) 所导致! 通 过历时1 个多小时的紧急抢修后，各大网站才得以恢复正常、继续为广大用户提 供浏览服务! 而没有被报道的，规模小的d d o s 攻击更是不计其数。 历史上发生的最大的一次d d o s 攻击造成北美，欧洲和亚洲的互联网发生大 面积的堵塞。据估计至少有2 2 万台网络服务器和2 5 万台计算机遭到攻击，受 灾最重的韩国甚至举国网络瘫痪了整整2 4 小时，造成了难以挽回的巨大损失。 以上这些具有代表性的攻击事件向我们阐述了一个事实：即使是具有雄厚技 术支持的高性能站点，在d d o s 攻击下也很难幸免。 在”i n f e r r i n gi n t e m e t d e n i a l 一o f - s e r v i c ea c t i v i t y ”【3 】中这一份报告中，作者经过随机的一周观察，竟然 观察到近1 2 0 0 0 起的d d o s 攻击，被攻击的i p 达5 0 0 0 之多。而作者观察的空间 只不过是i m e m e t 地址空间的一小部分， 全构成了巨大威胁。 由于t c p 协议自身的安全性问题、 由此可见d d o s 攻击已经对i n t e m e t 安 以及d d o s 攻击巨大危害性使得对它检 测，预防，以及降低其攻击带来的后果以及越来越引起了全社会网络专家们广泛 关注，成为大家研究的热点【4 1 。 1 2 ：研究方向的现状 由于d d o s 攻击成为了严重威胁i n t e m e t 安全因素之一，检测d d o s 攻击 及怎样降低d d o s 攻击所带来的后果已经成为亟待解决的问题，引起了全社会网 络专家们广泛关注。但是目前全球对d d o s 攻击进行防范、预测和反击的研究工 作还没有突破性的进展。甚至业界普遍看法是，d d o s 攻击已经成为1 1 1 t e m e t 基 本架构所带来的难以避免的缺陷之一 6 】。分布式的防范策略将是防范d d o s 攻击 的研究热点，但目前还没有能够准确预测d d o s 攻击发生和抑制d d o s 带来严重 后果的有效方法。 从1 9 9 9 年8 月的第一起d d o s 攻击发生以来，人们就对d d o s 攻击及 其防范展开了深入的研究。1 9 9 9 年1 1 月份由 c e r t c c 于 d i s t r i b u t e d s y s t e m si n t n j d e rt o o l sw o r k s h o p 上发表了份报告 3 】，最早对d d o s 2 浙江_ 大学硕士学位论文 原理，攻击策略，及其危害性等方面做了全面的阐述；紧接着国外几个著名的安 全组织( 如s a n s ) 和公司( 如c i s c o s y s t c m s ) 也从系统，网络架构，系统安 全性，系统管理员，i s p 服务商，及对d d o s 攻击的检测，相应给出了防御d d o s 攻击的建议【6 】。除了各大著名的安全组织对d d o s 作出了深入的研究外，许多 个人，专家组织，高校也对d d o s 展开了各方面的研究，提出了许多检测，预防 的手段【7 1 。例如：p a u lj c r i s c u 0 1 从典型的d d o s 攻击工具方面入手，深入地对 d d o s 攻击工具( t r i n o o 、矸n 、s t a c h e l d r a h t 、矸n 2 k 、s h a f t 、m s e a m ) 做了 详细的分析，基于每种攻击工具自身的特点，提出了针对性检测，预防的方案。 这些工作对d d o s 的检测防御方面有着其积极的意义，但是也使得d d o s 工具在 以上工具的基础上面层出不穷( 例如：删就是在t 血o o 基础上面变种而来) ， 因而也给d d o s 的检测防御带来了困难。 在防御研究方面，人们从多个方面对d d o s 防御措施进行了研究【8 1 ，大致 我们可以将这些措施归结为攻击前防御、攻击期间防范以及攻击后防御三个方 面。其中重点研究的方向是攻击中的检测与过滤技术以及攻击后的攻击源追踪技 术。 检测手段主要以模式匹配、流量限制与手动分析等为主，主要包括特征字匹 配检查，目的地址，端口检测，数据源检测【射。另外在这个基础上采取一些改善 性能措施，如：利用h a s h 表提高特征字匹配速度来适应高速网络等。虽然这 几种常用检测手段对于d d o s 的入侵有点的防御能力，但是这几种入侵诊测与 防范措施只是简单检测网络连接，数据源、数据内容、数据包等网络元素的异常 情况。检测准确度不高，而且由于检测的单一性，只能对特定几种类型的d d o s 入侵进行有限的防御，在网络攻击手段发展变化后就无能为力了。 对于检测中特征匹配字的形成目前阶段主要依靠网络管理员靠手动手动分 析入侵特征，依靠经验在保证最小的漏判率和最大限度的保证系统性能的基础上 建立检测规则和策略的。由于手动分析更新特征匹配字的方法工作量大、速度慢、 规则更新不全面，并且对管理员的要求非常的高，在实施的过程中很难达到满意 的捡测效果，往往漏判率与误判率都较高。 对于攻击后的攻击源追踪技术，贝尔实验室的b e l l o v i n 提议在路由中使用 i c m p t h c e b a c k m e s s a g e s 【，用于追踪真正的攻击源。该方案要求路由器额外的 3 浙江大学硕士学位论文 向报文的目的i p 地址发送i c m p n a c c b a c km e s s a g e s ，从而使接收方有机会重 建攻击流的路径。接着b a r r o s 在ap m p o s a lf o ri c m p 廿a c e b a c km e s s a g e s 中对该 方案做了改进，以适用于反射式d d o s 攻击情况。与上面的做法不同，b u r c h 和c h e s 谢c k 在2 0 0 0 年提出由报文自身来记载其路由信息。具体做法是路由器 在报文头部( 随机或确定) 写入相关地址信息，接收方可据此构建报文的路由路 径。该方案一经提出，引起了许多学者的关注，s a v a g e 等对概率性报文标记机 制做了深入的研究，提出了地址信息几种高效的标记方法，接着s o n g 和p c 玎堙 也提出了更好的报文标记算法，使得标记更加精简，路径的恢复更加高效。s n o r e n 等又提出了一种基于h a s h 的i pt m c e b a c k 技术，该方案使用了源路径提取机 s p i e 来重构攻击流路径。上述几个i pt r a c e b a c k 技术能较有效的追踪到攻击 源，但也存在着一些缺陷，特别是当d d o s 攻击有大量的攻击源时，追踪效率 会受很大的影响。 另外将现在流行的i d s 入侵检测系统与防火强技术结合起来进行研究，也是 现在d d o s 研究方向的一个热点。该技术如果能被全面部署的话，将能有效的杜 绝d d o s 攻击，然而该方案的部署成本高，难度太大【1 1 1 。 1 3 ：作者的工作 以上介绍的各种方法虽然能有效的检测和降低d d o s 攻击及其危害性， 但是所有的这些措施都是处于一种的被动的方式，因为d d o s 产生的根源是由于 t c p i p 协议先天性的缺陷，所以在此之上的各种防御方法都表现出其局限性的 特点，如某种检测方法只适应与具体的攻击方式，而对于现在层出不穷的攻击手 段则显得力不从心。作者就是从t c m p 协议的基础上入手，根据l i n u x 内核的 开源性特点，在引进s y nc 0 0 e 机制基础上，对此机制做了一定的改动，有 效的降低了d d o s 的危害性。 l ：系统分析s y nf l o o d 攻击原理与对其有很好抵抗作用的s y nc o o k i e 机制，阐述s y n c o o k i e 机制自身的优缺点 2 ：阐述网络流量自相似的特点，并根据s y nf l o o d 攻击包流量的特点，在 基于l i b p c a p 函数库基础上，对网络流量进行实时监测，采集数据并分析数据 包信息来检测s y nf l o o d 攻击的发生。 4 浙江大学硕士学位论文 3 ：根据l i n u ) 【内核的开源性特点，在内核l i n u ) 【2 4 2 7 版本的基础上，修改 l i n u x 内核，对其网络t c p ，i p 协议模块中s y nc o o 髓e 机制进行有针对性的修 改。 4 ：在以上的基础上，提出了一套检测d d o s 攻击以及检测到攻击所采取措 施的模型。运用网络数据包量的异常特性进行的s y nf 1 0 0 d 攻击检测，并根据检 测的结果，动态的调用s y nc o o k i e 机制。 5 ：在s y nc o o e 机制中，摒弃了传统的做法，取而代之的使用报文分拣 策略，即在t c ps y n 与a c k 报文中提取部分已确定合法的i p ，对这部分i p 不 使用s y nc o o e 机制，对其中未确定合法的i p 实旆s y nc 0 0 k i e 机制予以 检测。 6 ：根据网络t c p 流自身的特性一最近访问会再次访问的特点，对传统i p 地址h a s h 表建表机制进行针对性的改进，将最近访问的1 p 地址放到冲突链链头， 已加速对其口的查找。 7 ：对上面提出的系统进行s y nf l o o d 攻击测试，检测其性能 1 4 ：论文的内容和结构安排 本论文部分的内容结构安排如下：第一章概述了本论文研究的背景及其意 义，并说明了国内外对其研究的现状。第二章概述了d o s 与d d o s 攻击的基本原 理，并论述了几种具有代表性的d d o s 攻击方式与目前比较流行的几种攻击方式。 第三章在研究s y nf l o o d 攻击原理的基础与综合分析目前一般抵御s y nf l o o d 攻击的策略的基础上，提出自己一套基于报文分拣的灵活动态的s y nc 0 0 e 机制，并给出了它的系统构架和功能结构。第四，五章详细说明了基于报文分拣 的灵活动态的s y nc o o e 机制的一些关键模块的理论，设计和算法，同时给 出了本机制的测试方案和测试部署。第六章是对论文研究的总结和对本机制需要 改进地方的展望。 5 浙江大学硕士学位论文 第二章：d d o s 攻击原理分类及常见的防范方法 2 1 ：d o s 与d d o s 攻击 d o s ( d e n i a lo fs e r v i c e ) 拒绝服务，那么什么是拒绝服务呢? 拒绝服务攻击从 技术严格来说只是一种破坏网络服务的技术方式，具体的实现有许多种方式，其 攻击工具也是层出不穷。但是他们有一个根本的特点：就是使受害主机或网络失 去及时接受与处理请求的能力。 分布式拒绝服务( d d o s d i s t r i b u t e dd e l l i a lo f s e i c e ) ，是指借助于c s ( 客 户机服务器) 技术，将多个地理位置不同的终端联合起来作为攻击平台，对一 个或多个目标发动d o s 入侵，从而大大的提高了拒绝服务入侵的攻击的威力。 2 1 1 ：d o s 攻击及其原理 d o s 的英文全称是d e l l i a lo fs e i c e ，也就是“拒绝服务”的意思指故意的 利用网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源，目 的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务系统 停止响应甚至崩溃，而在此攻击中并不包括侵入目标服务器或目标网络设备。这 些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。这 种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大、网络带 宽的速度多快都无法避免这种攻击带来的后果从网络攻击的各种方法和所产生 的破坏情况来看，d o s 算是一种很简单但又很有效的进攻方式。它的目的就是拒 绝合法用户的服务访问，破坏组织的正常运行，最终它会使合法用户的部分 i n t e m e t 连接和网络系统失效。具体的攻击方式多种多样，但是他们有一个共同 的特点就是，使受害主机或网络失去及时处理外界请求的能力，或无法及时回应 外界请求的能力。d o s 攻击的原理如图2 1 所示。 6 浙江大学硕士学位论文 图2 一l ：d o s 攻击原理图 我们可以从图2 一l 看出d o s 攻击的基本过程：首先攻击者向服务器发送 众多的带有虚假地址的请求，服务器发送回复信息后等待客户端回传确认信息， 由于地址是伪造的，所以服务器一直等不到回传的消息，分配给这次请求的资源 就始终没有被释放。当服务器等待一定的时间后，连接会因超时而被切断，攻击 者会再度传送新的一批请求，在这种反复发送伪地址请求的情况下，服务器资源 最终被耗尽。 d o s ( d e n i a lo f s e n ，i c e ) 入侵的目的是使计算机或网络无法提高正常的服务。 最常见的就是计算机网络带宽入侵和连通性入侵。带宽入侵指的是以极大的通信 量冲击网络，使得所有可用的网络资源被消耗殆尽，最后导致合法的用户请求无 法通过。连通性入侵是指用大量的连接请求来冲击计算机，使得所有可用的操作 系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。 d o s 攻击由于攻击简单、容易达到目的、难于防止和追查，越来越成为常 见的攻击方式。对它的总体了解，成为有效避免、查找原因、制订对策提供有用 的帮助。 2 1 2 ：d d o s 攻击及其原理 d d o s 全称为d i s t r i b u t e dd e n i a lo fs e i c e 【1 2 】d d o s 的基础上向前发展 了大步，是一种分布、协作的大规模攻击方式，它利用分布式c s 技术通过在 已经侵入并已取得控制权的处在各个地理位置的不同的傀儡主机( 可能是数百， 7 浙江大学硕上学位论文 甚至成千上万台) 并在傀儡主机上安装大量的d o s 攻击程序通过控制端向这些 傀儡主机发送控制命令，使得这些主机在能在一个时间段内向攻击目标发送大量 的服务请求，使得被攻击的目标网站会很快失去反应而不能及时处理正常的访问 甚至系统瘫痪崩溃。由其可见d d o s 与d o s 的最大区别是一个集群与单机的关 系。d o s 是台机器攻击目标，d d o s 是被中央攻击中心控制的很多台机器利用 他们的高带宽攻击目标，主要目标是比较大的站点，如企业网站、搜索引擎和政 府部门的站点。使目标网站更容易地被攻下。另外，d d o s 攻击方式较为自动化， 攻击者可以把他的程序安装到网络中的多台机器上，所采用的这种攻击方式很难 被攻击对象察觉，直到攻击者发下统一的攻击命令，这些机器才同时发起进攻。 可以说d d o s 攻击是由黑客集中控制发动的一组d o s 攻击的集合，现在这种方 式被认为是最有效的攻击形式，并且非常难以抵挡。基本的d o s 攻击只要一台 能连接i n t e n l e t 的单机就可实现，d d o s 攻击则是利用一批受控制的机器向一台 机器发起攻击，具有较大的破坏性。d d o s 的攻击原理如图2 2 。 图2 2 d d o s 攻击原理图 从图2 2 可以看出，d d o s 攻击分为三层：攻击者、主控端、代理端，三 者在攻击中扮演着不同的角色。再加上受害者组成四个部分。 8 浙江大学硕士学位论文 1 、攻击者：它可以是连接在网络上的任何一台主机，也可以是一台活动的便 携机。在整个攻击过程中，它起到一个远程控制的作用，负责的向主控端发送攻 击命令，命令中包括被攻击目标主机地址，攻击强度等信息。在整个控制过程， 攻击者与主控端的通信一般不包括在d d o s 工具中。 2 、主控端：主控端和代理端都是攻击者非法侵入并取得控制权的一些主机， 每个主控端控制多个代理端，它通过监听指定端口来接收攻击者发来的命令，从 中获得被攻击者的信息，并将此信息直接转发给代理端。 3 、代理端：它是真正发起d d o s 攻击的机器它同样也是被攻击者入侵并取 得控制权的一些网络主机，并在这些主机上安装了各种各样的d d o s 工具，当它 接受到主控端的攻击命令与攻击信息后，并向被攻击主机发起攻击。 4 、受害者：它既可以是网络中路由器、交换机也可以是向网络中提供各 种服务如w e b 服务，f t p 服务，数据库服务等主机。在遭受攻击过程中，它们 的因为系统资源或网络带宽被恶意耗尽而不能及时提供服务。 在整个d d o s 攻击过程中，攻击者发起攻击击一般分为三个步骤。 第一步：就是利用扫描工具对连接在m t e m e t 上有漏洞的主机，通过黑客工 具入侵到主机系统中。 第二步：通过取得被入侵主机的控制权，在入侵主机上安装d d o s 攻击程序， 其中一部分主机作为主控制端，一部分主机充当攻击的代理端。 第三步：在适当的时候，攻击者向主控制端发送被攻击者的i p ，端口等攻 击信息，主控制端与代理端接受到命令后，发起攻击。 2 1 3 ：d d o s 攻击技术发展趋势 通过上面的分析，我们可以看出无论是d o s 攻击还是d d o s 攻击，都只是一 种破坏网络服务消耗攻击主机资源的攻击方式，虽然在实现过程中具体的攻击方 式与攻击手段于变万化，但它们都有一个共同点，就是其根本目的是使受害主机 或网络无法及时接收并处理外界请求，或无法及时回应外界请求。其具体表现方 式有以下几种 1 3 j ： 1 通过在同一时段向被攻击主机制造大流量无用数据，使通向被攻击主机的网 络链路产生拥塞，从而使得被攻击主机无法正常和外界通信。 9 浙江大学硕士学位论文 2 利用被攻击主机提供服务或传输协议上处理重复连接的缺陷，反复高频的发 出攻击性的重复服务请求，使被攻击主机无法及时处理其它正常的请求。 3 利用被攻击主机所提供服务程序或传输协议的本身实现缺陷，反复发送畸形 的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至死机。 2 0 0 4 年以来，d o s 在技术上变得非常多样化，而且完全向分布式和自动化 发展，能够造成的破坏也越来越大。目前d d o s 攻击从技术实现上而言有下面特 点和趋势 1 4 】： ( 1 ) 开始通过成群的受控主机进行分布式的高强度攻击； ( 2 ) 产生非常随机的源i p 地址，能够更好地保护攻击源不易被追踪到； ( 3 ) 攻击数据包结构形式随机变化，很难用统一的方法检测； ( 4 ) 利用网络协议缺陷与系统漏洞缺陷； ( 5 ) 采用混合形式的攻击，加强攻击强度，增加防御难度： ( 6 ) 更高的发包速率，攻击特征更不明显等。 2 2 ：几种d d o s 攻击方式及其预防策略 2 2 1 ：t e a r d r o p 攻击 t e a r d r o p 【1 5 】攻击利用了i p 包进行片段重组时的脆弱性的一种d o s 攻击方 式，其在从1 9 9 7 年末到1 9 9 8 年第一季度时间内是非常流行的。它是基于u d p 的病态分片数据包的攻击方法，其工作原理是向被攻击者发送多个分片的i p 包， 其中i p 分片数据包中包括该分片数据包属于哪个数据包以及在数据包中的位置 等信息。我们知道在网络中i p 报文在网络中传播过程中，网络中由于经过的路 由器链路层各个最大传输单元( m t u ) 的不同，所以必须通过对i p 包进行分片，即 将一个包分成一些片段，使每片都足够小，以便通过这个窄的链路。每个片段将 具有完整的i p 包头，同时在包头中还包含偏移量( o 忭s e t ) 字段用以区分每个 片段。随后各片段将沿各自的路径独立地转发到目的地，在目的地最终将各个片 段进行重组。这就是所谓的i p 包的分片重组技术。 早期有些操作系统在实现i p 包的分片重组技术会有疏漏，即在组装i p 包 时只检查了每段数据是否过长，而没有检查包中有效数据的长度是否过分小。因 1 0 浙江大学硕士学位论文 此攻击者可以通过发送两段( 或者更多) 有重叠的数据包来实现t e a r d r o p 攻击。 第一个包的偏移量为o ，长度为n ，第二个包的偏移量小于n 。为了合并这些 数据段，t c p i p 堆栈会分配超乎寻常的巨大资源，从而造成系统资源的缺乏甚 至机器的崩溃或重启。这种攻击方式现在多数操作系统以及增加了对i p 数据包 中有效数据数据长度的确定，这种攻击方式以及很少见了。 2 2 2 ：p i n go fd e a t h 攻击 许多操作系统对t c p i p 栈的实现在i c m p 包上都是规定6 4 k b ，并且在对包 的标题头进行读取之后，要根据该标题头里包含的信息来为有效载荷生成缓冲 区。当产生畸形的，如攻击者故意在i c m pe c h o 数据包( p i n g 包) 之后附加非 常多的冗余信息，使数据包的尺寸超过6 4 k b 个字节的上限。接收方对这种数 据包进行处理时就会出现内存分配错误，导致t c p i p 堆栈溢出，从而引起系统 崩溃，挂起或重启。p i n go f d e 抽攻击向被攻击主机发送大量的碎片包，使这些 碎片组装起来后构成一个超出最大限制的p i n g 请求包从而造成被攻击主机的缓 冲区溢出。这种攻击方式最初影响w i n d o w s 和w i n d o w s n t 3 5 1 操作系统，而 u n i x ，l i n u x ，s 0 1 a r i s ，m a co s 都具有抵抗一般p i n go f d e a t h 攻击的能力。 实际上从早先版本的w i n d o w s 上就可以运行p i n go fd e a m 。在命令行下只 需键入：“p i n g 16 5 5 5 0 攻击目标”即可。w i n d o w s 还有一个漏洞就是它不但 在收到这种无效数据时会崩溃，而且还可以在偶然的情况下生成这种数据。 w i n d o w s 的较新版本防止您发送这些数据。防止p i n go fd e a 廿1 攻击的办法现在 大部分的做法就是从防火墙上过滤掉i c m p 报文，或者在服务器上禁止p 访g ，并 且只在必要时才打开p i n g 服务 2 2 3 ：l a n d 攻击 l a n d 攻击就是一种利用i p 伪造技术的攻击方式，它对早期流行的大部分操 作系统及一部分路由器都具有相当的攻击能力。它通过将修网络数据包源地址和 目的地址都设置为被攻击主机的地址，同时将大量这样的数据包发送给目标主 机。此攻击方式造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大 程度地降低了系统性能。 浙江大学硕士学位论文 下面我们来看一个具体的l a n d 攻击过程，首先攻击者恶意伪造一个t c p s y n 数据包，并将s y n 中的源地址和目的地址都被设置成被攻击主机地址， 并将此包发送给这台主机。当被攻击主机接受到这个s y n 包时，则认为是这台 主机自己产生连接请求，所以它向自己发送回复信息s y n + a c k 消息，结果这 台主机又发回a c k 确认消息，三次握手完成并创建一个空连接，当大量的这 样的空连接产生并保留直到超时掉，则会导致系统大量的资源被浪费掉，系统 反映缓慢。对l a i l d 攻击反应不同，许多u n i x 实现将崩溃，而w i n d o w sn t 会变的极其缓慢( 大约持续五分钟) 。 2 2 4 ：s m u r f 攻击 s m 盯一坫】最大的入侵特点就是其具有强大的放大效果，因其成为了让人头疼 的d o s 攻击方式之一。s m u r f 入侵的放大效果就是向网络上多个操作系统送定向 广播( d i r c c t e db r o a d c a s t ) 的p i n g 请求，这些操作系统一般对这种请求作出响应 的结果。定向广播的p i l l g 请求既可能发送给网络地址，也可以发送给网络广播 地址。假设一个标准的c 类地址网络，其网络地址最后一个字节为“o ”，其广 播地址最后一个字节为“2 5 5 ”。定向广播一般用于诊断的，不需要逐个p i n g 子 网内的每个地址就能检查哪些地址正在使用。 s m u r f 入侵正是利用了定向广播的特点。他需要3 个角色：入侵者，放大网 络( a m p l i 旬i n g n e t w o r k ) 和受害者。入侵者向放大网络的广播地址发送源地址伪造 成受害系统的l c m p 回应请求分组，这样看起来就是像受害者系统发出的这些请 求，对于这些回应请求分组是发送给广播地址的，放大网络的所有操作系统于是 对受害者系统作出响应，如果每个入侵者给一个拥有2 5 0 个可对广播p j n g 请求 作出响应的放大网络发送担搁这样的i c m p 分组，那么从效果上来看，就是将这 个d o s 入侵放大了2 5 0 倍，这个称为响应分组和请求分组的放大率。 看下面一个例子：假设入侵者以1 2 8 k b s 的速度向一个拥有2 5 0 个系统的 放大网络的广播地址发送i c m p 包。入侵者的网络通过一个双通道的i s d n 线路 连接1 1 1 t e m e t ，放大网络通过4 5 m b i “s 的t 3 链路连接到i n t e m e t ，受害者的网络 通过个1 5 4 4 m b i 讹的t 1 链路连接到l t e m e t ，从这些数字可以推出，入侵者 能够产生3 1 2 5 m b i 讹的数据数据流量向受害者冲击，受害者的网络不可能禁得 1 2 浙江大学硕士学位论文 住这样的冲击，t 1 链路网络可用带宽很快被耗尽。 对于s 删盯f 攻击，一般采取的方式i s p 服务商在网络链路上限制i c m p 数据 分组。另外可以使用具有认证访问率( c o n 蚰i t t e da c c e s sr a t e 简称c a r ) 功能的 路由器，这样可以把i c m p 分组限制在一个合理的值如2 5 6 k b s 或5 1 2 k b s 。 2 2 5 ：目前流行的d d o s 攻击方式 d d o s 攻击手段繁多，但是由于一个攻击手段具有攻击资源易获取，加上攻击造 成得危害性大得特点，成为网络中攻击者通常选择的攻击方式 1 、s y n a c kf 1 0 0 d 攻击：这种攻击方法是经典最有效的d d o s 方法，普通 防火墙大多无法抵御此种攻击，可对各种系统的网络服务造成危害，主要是通过 向受害主机发送大量伪造源i p 和源端口的s y n 或a c k 包，导致主机的缓存资 源被耗尽或忙于发送回应包而造成拒绝服务，由于攻击包中的源地址都是通过伪 造产生的，所以向追踪起来是非常比较困难的。在服务器上用n e t s t a t n a 命令会 观察到存在大量的s y nr e c e e d 状态，大量的这种攻击会导致p i n g 失败、 t c p i p 栈失效，并会出现系统凝固现象，即不响应键盘和鼠标。 2 ：对网络数据库刷新检索攻击：这种攻击主要是针对目前许多大型的商业网站 采取动态页面，后台为m s s q l s e n ，e r 、m y s q l s e “e r 、0 r a c l e 等数据库支持的特 点。我们知道在一次数据库的检索，提交查询等过程中，需要消耗掉大量的数据 库资源。本来网站为了为大家提供更好的服务，提供数据库检索功能，但是这