（管理科学与工程专业论文）基于ndis的入侵检测系统研究.pdf

摘要 随着信息时代的到来，科学技术飞速发展。计算机技术尤其是网络技术已经深 入到杜会的各个领域，无所不在地影响着社会的政治、经济、文化、军事和社会生 活等各个方面，人类社会各种活动对计算机网络的依赖程度已经越来越大，网络安 全已经成为世界各国共同关注的焦点。 入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 是一种新型的网络安全技术，作 为信息安全保障中的一个重要环节，很好的弥补了访问控制，身份认证，防火墙等 传统机制所不能解决的问题，它作为一种主动的网络防御手段，近几年也得到了飞 速的发展。 本文首先对入侵检测系统进行了简单的介绍，讨论了入侵检测系统的功能、原 理及分类，并分析了传统入侵检测系统存在的局限性。其次，对常见的网络攻击手 段的原理进行了分析并给出了一般的防御方法。 针对高速网络环境的特点，在分析了传统入侵检测系统存在的局限性的基础上， 得出了其性能低下的主要原因有两个，其一是，包捕获引擎不能高效全面的捕获包， 其二是，分析引擎所采用的分析算法速度不高，不能适应高速网络环境的要求。为 了解决这一问题，本文在第四章中提出了一个基于n d i s 的包捕获引擎的设计与实 现，在第五章中提出了一个改进的多模式匹配算法，使分析引擎可以获得更高的效 率。经过试验证明该方法可以明显地提高入侵检测系统的性能。 硕士研究生荆守波( 管理科学与工程) 指导教师高鹏翔教授 关键词：入侵检测，n d i s ，多模式匹配算法 a b s t r a c t w i t ht h ea r r i v a lo fi n f o r m a t i o na g e ，s c i e n c ea n dt e c h n o l o g yi sd e v e l o p e da tf u l l s p e e d t h et e c h n o l o g yo ft h ec o m p u t e r , e s p e c i a l l y n e t w o r kt e c h n o l o g yh a v ea l r e a d yg o t d e e p l yt oe a c h f i e l do ft h es o c i e t y , i n f l u e n c i n g p o l i t i c s ，e c o n o m y , c u l t u r a l ，m i l i t a r y , a n da u r e s p e c t so ft h es o c i e t yl i v e ，e t c v a r i o u sk i n d so fa c t i v i t yo fh u m a ns o c i e t yh a v eh e a v y d e g r e eo fd e p e n d e n c et oc o m p u t e rn e t w o r k ，a n dt h en e t w o r ks e c u r i t yh a sa l r e a d yb e c o m e t h ef o c u st h a tc o u n t r i e sa l lo v e rt h ew o r l dh a v ep a i dc l o s ea t t e n t i o nt o i m m s i o nd e t e c t i o ns y s t e mi sak i n do fn e w t y p en e t w o r ks e c u r i t y ，a sa ni m p o r t a n t l i n ki nt h ei n f o r m a t i o ns e c u r i t y , i tc a ns o l v et h ep r o b l e mt h a ta c c e s sa n dc o n t r o l ，i d e n t i t y a u t h e n t i c a t i o na n df i r e w o r k sc a nn o ts o l v e i tg o tt h ed e v e l o p m e n ta tf u l ls p e e da sa i n i t i a t i v em e a no fd e f e n s eo fn e t w o r k a tf i r s tt h i sd i s s e r t a t i o ni n t r o d u c et h ei n t r u s i o nd e t e c t i o ns y s t e m 、h a sd i s c u s s e dt h e f u n c t i o n ，p r i n c i p l ea n dc l a s s i f i c a t i o no ft h ei n t r u s i o nd e t e c t i o ns y s t e m ，a n d h a sa n a l y z e d t h el i m i t a t i o no ft r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m ，s e c o n d l y , h a v ea n a l y z e dt h e p r i n c i p l eo fc o m m o n n e t w o r ka t t a c k sa n d p r o v i d e dt h eg e n e r a lm o t h o d s o f d e f e n d i n g f o rt h ec h a r a c t e r i s t i co ft h ee n v i r o n m e n to ft h eh i g h - s p e e dn e t w o r k ，i ti sa n a l y z e d m a tt h el i m i t a t i o no ft h e 订a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e m t h e r ea l et w om a i n r e a s o n st h a ti t s p e r f o r m a n c ei s l o w , t h ef i r s ti s ，c a t c he n g i n ec a nn o tc a t c hp a c k a g e h i g h - e f f i c i e n t i ya n da c r o s s t h e - a b o a r d t h es e c o n di s t h ea n a l y s i sa l g o r i t h ma d o p t e db y a n a l y s i se n s i n ei s n o th i g hi ns p e e d ，c a nn o tm e e tt h ee n v i r o n m e n to ft h eh i g h s p e e d n e t w o r k i no r d e rt os o l v et h ep r o b l e m ，a m o n gc h a p t e rf o u rap a c k a g ec a t c he n g i n eb a s e d n d i si sd e s i g n e da n di m p l e m e n t e d ，a m o n gc h a p t e rf i v e ，a ni m p r o v e dm u l t i p l ep a t t e r n m a t c ha l g o r i t h mi sg i v e n s ot h ea n a l y s i se n # h ec a no b t a i nh i g he f f i c i e n c y t h r o u g ht h e t e s t ，t h e s em e t h o d s c a ni m p r o v et h ep e r f o r m a n c eo ft h ei n t r u s i o nd e t e c t i o ns y s t e m g r a d u a t es t u d e n t ：s h o u b oj i n g ( m a n a g e m e n ts c i e n c ea n d e n g i n e e r i n g ) d i r e c t e db yp r o f e s s o r p e n g x i a n gg a o k e y w o r d ：i n t r u s i o nd e t e c t i o ns y s t e m ，n d i s ，m u l t i p l ep a t t e r nm a t c ha l g o r i t h m 第一章引言 1 1 研究背景 第一章引言 可以说当今世界是一个网络的世界，同时也是一个喧嚣的数字战场，计算机为 我们提供了更加便捷、更加高效的生活方式。在过去二十年来，计算桃行业经历了 从“封闭的”基于大型机的网络向使用i n t e r n e t 的“开放的”网络的巨大转变。各 个公司郝逐渐开始开展电子化经营以保持竞争力，能够快速地与供应链上的合作伙 伴联系，为远方员工提供远程访问，并开始从事电子商务和其他业务。当然在从 i n t e r n e t 经济获利的同时也要承担风险，各个公司都要为此作好准备。由于网络组 织结构中内在的缺陷，系统与应用软件中的漏洞，以及网络管理员的技术水平的局 限性和疏忽都可能使网络攻击者有机可乘。恶意的入侵者会干扰正常业务，销毁或 篡改重要数据，甚至使服务器失去控制，造成一系列严重后果。所以能否成功阻止 网络黑客的入侵，保障计算机和网络系统的安全和正常运行，已经成为各机构和单 位能否正常运作的关键性问题之一。入侵检测系统( 即i d s ) 是近年出现的新型网络安 全技术，它能弥补防火墙的不足，为受保护网络提供有效的检测及采取相应的防护 手段。入侵检测已成为网络安全中极为重要的课题之一，并己在网络攻防实饲中初 步展现出其重要价值。 在现阶段入侵检测系统的实现主要以模式匹配技术为主，即通过监听方式来获 得网络上的通信数据，并用从各种入侵行为中抽取出来的模式或特征去匹配采集到 的数据，发现可能存在的攻击。现在采用的入侵检测系统分为基于主机的入侵检测 系统和基于网络的入侵检测系统这两类。其中使用较多的是基于网络的入侵检测系 统。随着科学技术的发展网络带宽不断增加，娶在短时间内捕获并及时的处理捕获 到的数据包，传统的入侵检测系统已显得力不从心。所以在高速网络环境下，高速 网络入侵检测系统已成为当前研究的热点问题。 1 2 本研究的现实意义 如今的网络速度越来越快，入侵检测系统的发展速度已经跟不上网络速度的发 展。为了解决这一问题，本文采用了鼹种方法来提高入侵检测系统的效率，其一是： 提出了一个基于n d i s 的包捕获引擎的设计及实现；其二是：提出了一个改进的多模 式匹配算法并采用位并行技术，以提高分析引擎的性能。包捕获引擎和分析引擎是 影响入侵检测系统性能的主要因素。经试验证明，本方案可以明显的提高入侵检测 青岛大学硕士学位论文 系统的效率。 1 3 论文的组织安排 本文的第二章对入侵检测系统进行了简单的系统性的介绍，其中包括入侵检测 的功能及原理，入侵检测的分类及传统入侵检测系统存在的局限性。 第三章对常见的网络入侵的原理进行了分析，并且提出了一般的防御方法。 第四章采用n d i s 实现了一个包捕获引擎，并给出了部分核心源代码的实现。 第五章提出了一种改进的多模式匹配算法，以提高分析引擎的效率。首先分析 了c h a n g m a r r 算法，然后在其基础上提出了一个改进的算法。试验证明该算法具有 更好的性能，能够适应高速网络环境的要求。 第六章是结束语，对本文进行了总结。 2 第二章入侵检测系统简介 第二章入侵检测系统简介 入侵( i n t r u s i o n ) 指的就是试图破坏计算机保密性，完整性，可用性或可控性的 一系列活动。入侵活动包括非授权用户试图存取数据，处理数据，或者妨碍计算机 的正常运行。 入侵检测( i n t r u s i o nd e t e c t i o n ) ，顾名思义，是指对入侵行为的发觉。它通过 在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析， 从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。 完成入侵检测功能的软件、硬件组合便是入侵检测系统( i n t r u s i o nd e t e c t i o n s y s t e m ，简称i d s ) 。入侵检测系统包括三个功能部件：提供事件记录流的信息源，即 包捕获引擎：发现入侵迹象的分析引擎：基于分析引擎的结果产生反应的晌应部件。 2 1 入侵检测的功能及原理 一个入侵检测系统至少应该能够完成以下五个功能： 监控、分析用户和系统的活动 检查系统配置和漏洞 评估系统关键资源和数据文件的完整性 发现入侵企图或异常现象 记录、报警和主动响应 因此，入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。 入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力( 包括 安全审计、监视、入侵识别和响应) ，提高了信息安全基础结构的完整性。它能够从 计算机网络系统中的若干关键点收集信息，并分析这些信息、看看网络中是否有违 反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全 防线，它在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外 部攻击和误操作的实时保护。 对一个成功的入侵检测系统而言，它不但可使系统管理员时刻了解网络系统( 包 括程序、文件和硬件设备等) 的任何变更，还能为网络安全策略的制定提供指南。更 为重要的一点是，它便于管理、配置简单，从而使非专业人员也能非常容易地对网 络实施安全保护。入侵检测的规模还能够根据网络威胁、系统构造和安全需求的改 变而改变。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记 录事件和报警等。 3 青岛大学硕士学位论文 所以，入侵检测系统的原理就是通过收集网络中的有关信息和数据，对其进行 分柝发现隐藏在其中的攻击者的足迹，并获取攻击证据和制止攻击者的行为，然后 进行数据恢复。从而达到保护用户网络资源的目的。 2 2 入侵检测分类 从技术上分，入侵检测系统可分成两大类型：异常检测型和误用检测型。 异常入侵检测 异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。 异常检测试图用定量方式描述可接受的行为特征，以区分非正常的、潜在的入侵性 行为。 误用入侵检测 误用入侵检测是指利用己知系统和应用软件的弱点攻击模式来检测入侵。与异 常入侵检测相反，误用入侵检测能直接检测不利的或不可接受的行为，而异常入侵 检测是检查出同正常行为相违背的行为。 从同步技术上分，入侵检测系统可分为实时入侵检测和事后入侵检测 实时入侵检测 实时入侵检测在网络连接过程中进行。系统根据存储在计算机中的专家知识对 用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵肴与主机的连接，并收 集证据和实施数据恢复。这个检测过程是不断循环进行的。 事后入侵检测 事后入侵检测是由网络管理人员进行，他们具有网络安全的专业知识，根据计 算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断 开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进 行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。 从系统结构上分，入侵检测系统大致可以分为三大类型：基于主机型、基于网络 型和基于主体型。 基于主机型 基予主枫入侵检测系统为早期的入侵检测系统结构。其检测的目标主要是主机 系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件， 检测系统可以运行在被检测的主机或单独的主机上。这种类型系统的依赖于审计数 据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避审计或进行 合作入侵，则基于主机检测系统就暴露出其弱点，特别是在现在的网络环境下。单 独地依靠主机审计信息进行入侵检测难以适应网络安全的需求。这主要表现：一是主 4 第二章入侵检测系统简介 机的审计信息本身的弱点，如易受攻击，入侵者可通过使用某些系统特权或调用比 审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻 击( 域名欺骗、端口扫描等) 。因此，基于网络入侵检测系统对网络安全是必要的。 基于网络型 基于网络型的入侵检测系统根据网络流量、协议分析、简单网络管理协议信息 等数据检测入侵。该技术通过连接网络捕获网络包，并分析其是否具有已知的攻击 模式，以此来判别是否为入侵者。 基于主体型 随着网络系统结构复杂化和大型化，系统的弱点或漏洞将趋向于分布式。入侵 行为也不再是单一的行为，而是表现出相互协作入侵特点。入侵检测系统要求可适 应性、可训练性、高效性、容错性，可扩展性等要求。不同i d s 之间也需要共享信 息，协同检测。于是美国普度大学安全研究小组提出的基于主体入侵检测系统。其 主要的方法是采用相互独立运行的进程组( 称为自治主体) 分别负责检测，通过训练 这些主体，并观察系统行为，然后将这些主体认为是异常的行为标记出来，并将检 测结果传送到检测中心。 2 3 传统入侵检测系统存在的局限性 入侵检测系统从网络上捕获数据包并进行安全分析。网络不断增长的速度和吞 吐量给入侵检测系统带来了新的挑战。当前的这些入侵检浏系统很难在流量饱和的 快速以太网上进行实时的流量分析。随着网络技术不停地往前发展，千兆网络已经 成为大型网络建设中实际的标准。千兆以太网指的是网络主干的带宽，目前光纤信 道技术的数据运行速率为1 0 6 3 g b p s ，将来会提高到2 5 0 g b p s ，使数据速率达到完整 的1 0 0 0 m b p s 。为了保护这些网络建设，必须有一个新的办法来处理这不断增长的数 据流量。 用户的网络环境以及对入侵检测的安全需求发生了很大的变化，人们迫切需要 速度更快、功e 2 更好、性能更强的入侵检测系统，从两提高在高速环境下的网络安 全防护水平。表现在以下几个方面： l 、用户的网络设备向高速化方向发展，如千兆网络交换设备、千兆网络服务器、千 兆级网络防火墙等等，传统的百兆网络入侵检测产品无法适应现有的网络结构。 2 、用户希望对入侵事件的发现越早越好，因此需要在主干网络上布置入侵检测系统。 在网络主干的高速流量环境下，现有的网络信息包捕获能力对入侵检测系统成为一 个瓶颈。 3 、在高速的流量环境下，用户对网络入侵识别的确定性提出了更高的要求，既不能 5 青岛大学硕士学位论文 漏过重要的攻击事件，也不能出现大量纷繁复杂的报警而使管理员要花费大量时间 来从中寻找与重点防护资产有关的问题。对入侵检测系统的信患分析能力和策略控 制能力又是一个重要的挑战。 如何实现高速网络下的高效入侵检测已经成为现实面临的问题。目前，入侵检 测产品的处理带宽不超过l o o m b i t s ，由于网络协议分析和模式匹配特别消耗c p u 资 源，在速率超过l o o m b i t s 的网络环境下，系统对数据报处理不过来，就开始出现丢 包现象。那些可以处理百兆带宽的分析器不能与多步攻击的不同状态保持同步，有 的只是局限于分析数据包的头部。这样的处理速度和处理程度对于目前的宽带信息 网络的安全需求是远远不够的。两千e i d s 产品的性能指标与实际要求就相差更远 了。 一个基本的网络入侵检测系统需要解决两个问题：一是如何高速的获取网络数 据包；二是如何根据捕获的数据包，高效并准确的判定入侵行为是否发生。本文正 是对这两个方面提出了解决的方法。 一6 第三章常见网络攻击手段原理分析及防御方法 第三章常见网络攻击手段原理分析及防御方法 当前的入侵方法、攻击手段多种多样。有的是寻找并利用操作系统的漏洞，有 的是利用应用程序的实现上的漏洞，有的是针对网络协议漏洞进行的攻击，有的是 寻找加密算法的弱点进行密码破解，有的是利用网络协议在特定的操作系统上的实 现的漏洞进行入侵，等等。为了检测入侵，必须首先知道常见的网络攻击手段及其原 理，只有这样才能做到知己知彼。本章对常见的网络入侵手段的攻击原理进行了分 析，并给出了一般的防御方法。 3 。1 服务拒绝型攻击 服务拒绝型攻击企图通过使你的服务计算机崩溃或把它压跨来阻止提供服务，服 务拒绝攻击是最容易实施的攻击行为，主要包括： ( 1 ) 死亡之p i n g 由于在早期的阶段，路由器对包的最大尺寸都有限制，许多操作系统对t c p i p 栈的实现在i c m p 包上都是靓定6 4 k b ，并且在对包的标题头进行读取之后，要根据 该标题头里包含的信息来为有效载荷生成缓冲区。当产生畸形的，声称自己的尺寸 超过i c m p 上限的包也就是加载的尺寸超过6 4 k 上限时，就会出现内存分配错误，导 致t c p i p 堆栈崩溃，致使接收方当机。 防御方法：现在所有的标准t c p i p 实现都已实现对付超大尺寸的包，并且大多 数防火墙能够自动过滤这些攻击，包括：从w i n d o w s 9 b 之后的w i n d o w sn t ( s e r v i c e p a c k3 之后) ，l i n u x 、s o l a r i s 、和m a co s 都具有抵抗一般死亡之p i n g 攻击的能 力。此外，对防火墙进行配置，阻断i c m p 以及任何未知协议，都能防止此类攻击。 ( 2 ) 泪滴攻击 对于一些大的i p 包，需要对其进行分片传送，这是为了迎合链路层的m t u ( 最 大传输单元) 的要求。比如，一个4 5 0 0 字节的i p 包，在m t u 为1 5 0 0 的链路上传输 的时候，就需要分成三个i p 包。 在i p 报头中有一个偏移字段和一个分片标志( 抨) ，如果孵标志设置为1 ，受 j 表面这个i p 包是一个大i p 包的片断，其中偏移字段指出了这个片断在整个i p 包中 的位置。例如，对一个4 5 0 0 字节的i p 包进行分片( m t u 为1 5 0 0 ) ，则三个片断中偏 移字段的值依次为：0 ，1 5 0 0 ，3 0 0 0 。这样接收端就可以根据这些信息成功的组装该 i p 包。 青岛大学硕士学位论文 如果一个攻击者打破这种正常情况，把偏移字段设嚣成不正确的值，即可能出 现重合或断开的情况，就可能导致目标操作系统崩溃。比如，把上述偏移设鼍为o ， 1 3 0 0 ，3 0 0 0 。这就是所谓的泪滴攻击。 防御方法：服务器应用最新的服务包，或者在设嚣防火墙时对分段进行重组， 而不是转发它们。 ( 3 ) u d p 洪水 各种各样的假冒攻击利用简单的t c p i p 服务，如c h a r g e n 和e c h o 来传送毫无 用处的占满带宽的数据。通过伪造与某一主机的c h a r g e n 服务之间的一次的u d p 连 接，回复地址指向开着e c h o 服务的一台主机，这样就生成在两台主机之间的足够多 的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。 防御方法：关掉不必要的t c p i p 服务，或者对防火墙迸行配置阻断来自 i n t e r n e t 的请求这些服务的u d p 请求。 ( 4 ) s y n 洪水 一些t c p i p 栈的实现只能等待从有限数量的计算机发来的a c k 消息，因为它们 只有有限的内存缓冲区用于创建连接，如果这缓冲区充满了虚假连接的初始信患， 该服务器就会对接下来的连接停止响应，直到缓冲区里的连接企图超时。在一些创 建连接不受限制的实现里，s y n 洪水具有类似的影响。 防御方法：在防火墙上过滤来自同一主机的后续连接。但是，未来的s y n 洪水 令人担忧，由于释放洪水并不寻求响应，所以无法从一个简单高容量的传输中鉴别 出来。 ( 5 ) l a n d 攻击 l a n d 攻击利用了t c p 连接建立的三次握手过程，通过向一个目标计算机发送 个t c ps y n 报文( 连接建立请求报文) 而完成对目标计算机的攻击。与正常的t c ps y n 报文不同的是，l a n d 攻击报文的源i p 地址和目的i p 地址是相同的，都是目标计算 枫的i p 地址。这样目标计算机接收到这个s y n 报文后，就会向该报文的源地址发送 一个a c k 报文，并建立一个t c p 连接控制结构( t c b ) ，而该报文的源地址就是自己， 因此，这个a c k 报文就发给了自己。这样如果攻击者发送了足够多的s y n 报文，则 目标计算机的t c b 可能会耗尽，最终不能正常服务。这也是一种d o s 攻击。 防御方法：打最新的补丁，或者在防火墙进行配置，将那些在外部接口上入站 的含有内部源地址滤掉。( 包括1 0 域、1 2 7 域、1 9 2 1 6 8 域、1 7 2 1 6 到1 7 2 3 1 域) ( 6 ) s m u r f 攻击 i c m pe c h o 请求包用来对网络进行诊断，当一台计算机接收到这样一个报文后， 会向报文的源地址回应个i c m pe c h or e p l y 。一般情况下，计算机是不检查该e c h o 请求的源地址的，因此，如果一个恶意的攻击者把e c h o 的源地址设置为一个广播地 一8 第三章常见网络攻击手段原理分析及防御方法 址，这样计算机在回复r e p l y 的时候，就会以广播地址为目的地址，这样本地网络 上所有的计算机都必须处理这些广播报文。如果攻击者发送的e c h o 请求报文足够 多，产生的r e p l y 广播报文就可能把整个网络淹没。这就是所谓的s m u r f 攻击。 除了把e c h o 报文的源地址设置为广播地址外，攻击者还可能把源地址设黄为一 个子网广播地址，这样，该子网所在的计算机就可能受影响。 防御方法：为了防止黑客利用你的网络攻击他人，关闭外部路由器或防火墙的 广播地址特性。为防止被攻击，在防火墙上设置规则，丢弃掉i c m p 包。 ( 7 ) f r a g g l e 攻击 f r a g g l e 攻击是对s m u r f 攻击作了简单的修改，使用的是u d p 应答消息而非 i c m p 。 防御方法：在防火墙上过滤掉u d p 应答消息。 ( 8 ) 电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一，通过设置台机器不断的大量的向同 一地址发送电子邮件，攻击者能够耗尽接受者网络的带宽。 防御方法：对邮件地址进行配置，自动删除来自同一主机的过量或重复的消息。 ( 9 ) 畸形消息攻击 各类操作系统上的许多服务都存在此类问题，由于这些服务在处理信息之前没有 进行适当正确的错误校验，在收到畸形的信息可能会崩溃。 防御方法：打上最新的服务补丁。 3 2 利用型攻击 利用型攻击是一类试图直接对你的机器进行控制的攻击，最常见的有三釉： ( 1 ) 口令猜测 一旦入侵者识别了一台主机而且发现了基于n e t b l o s 、t e l n e t 或n f s 这样的服 务的可利用的用户帐号，成功的口令猜测能提供对机器的控制。 防御方法：要选用难以猜测的口令，比如词和标点符号的组合。确保像n f s 、 n e t b i o s 和t e l n e t 这样可利用的服务不暴露在公共范围。如果该服务支持锁定策略， 就进行锁定。 n b u f l e n ) r e t u r nf a l s e k n d is b u f f e r ：a d d r e s s p v o i da d d r e s s ( ) g e t st h ev i r t u a la d d r e s s v i r t u a la d d r e s so ft h ef i r s tb y t eo ft h eb u f f e r ， o rn u l lifa ne r r o rh a s o c c u r r e d p e t h e r n e t h e a d e rp e t h h d r = ( p e t h e r n e t _ h e a d e r ) b u f a d d r e s s0 r e t u r nf a ls eife t h e r n e t p a c k e t isn o ti pp r o t o c o l jf ( p e t h h d r 一 e t h t y p e ! = e t h _ t y p e _ i p ) r e t u r nf a l s e ： r e t u r nf a l s ei fn o tt c pp r o t o c o l p i p _ h e a d e rp i p h d r 2 ( p i p _ h e a d e r ) ( ( p c h a r ) p e t h h d r + s i z e o f ( e t h e r n e t _ h e a d e r ) ) if ( p i p h d r 一 i p h p r o t o c o l ! = i p _ p r o t o c o l t c p ) r e t u r rf a l s e ： g e tlpa d d r e s s u l o n gs r c l p = p i p h d r 一 i p h s f c ： 一q 一 青岛大学硕士学位论文 * p i p s c r a d d r = ( ( s r c i p & o x f f ) 2 4 ) + ( ( s r c l p & o x f f 0 0 ) 8 ) + ( ( s r c i p o x f f o o 0 0 0 0 ) 2 4 ) u l o n gd e s t i p = p i p h d r 一 i p h _ d e s t + p i p d e s c t a d d r = ( ( d e s t i p o x f f ) 2 4 ) + ( ( d e s t l p & o x f f 0 0 ) 8 ) + ( ( d e s t i p o x f f 0 0 0 0 0 0 ) 2 4 ) g e tt c pp o r tn u m b e ra n dt c pp a c k e th e a d e r l e n g t h p t c ph e a d e rp t c p h d r = ( p t c p _ h e a d e r ) ( ( p c h a r ) p l p h d r + s i z e o f ( i f ，_ h e a d e r ) ) u c h a rn t c p p c k h d l e n = p t c p h d r 一 g e t d a t a o f f s e t ( ) u s h o r ts c r p o r t = p t c p h d r 一 t c p h _ s r c * p t c p s c r a d d r = ( ( s c r p o r t & o x f f 0 0 ) 8 ) + ( ( s c r p o r t & o x o o f f ) 8 ) + ( ( d e s c t p o r t & o x o o f f ) i p hp r o t o c o l if ( n e t h t y p e ! = e t h _ t y p e _ i p fn p r o t o c o l ! = i pp r o t o c o l _ t c p ) t r a c e ( ”n o tt c p i p ”) u n r e f e r e n c e d _ p a r a m e t e r ( p a c k e t t o a c c e p t ) r e t u r nn d i s _ s t a t u s _ s u c c e s s u l o n gn s c r i p a d d r = p i p h d i p h s r c u l o n gn d e s t i p a d d r = p i p h d 一 i p h d e s t u s h o r tn s c r p o r t = p t c p h d 一 t c p h s r c u s h o r tn d e s t p o r t = p t c p h d 一 t c p h d e s t 3 2 第四章基于n d i s 的包捕获引擎的设计及实现 u s h o r tn t c p h d l e n = p t c p h d 一 g e t d a t a o f f s e t ( ) n s c r l p a d d r = ( ( n s c r i p a d d r 0 x f f 0 0 0 0 0 0 ) 2 4 ) + ( ( n s c r i p a d d r o x 0 0 f f 0 0 0 0 ) 8 ) + ( ( n s c r i p a d d r o x 0 0 0 0 f f 0 0 ) 8 ) 十 ( ( n s c r i p a d d r & o x o o o o o o f f ) 8 ) 十( ( n s c r p o r t 0 x 0 0 f f ) 2 心+ ( ( n d e s t i p a d d r 0 x 0 0 f f 0 0 0 0 ) 8 ) + ( ( n d e s t i p a d d r o x 0 0 0 0 f f o o ) 8 ) + ( ( n d e s t i p a d d r 0 x o 0 0 0 0 0 f f ) 8 ) + ( ( n d e s t p o r t & o x o o f f ) 2 4 ( n s c r i p a d d r o x o o f f 0 0 0 0 ) 1 6 ( n s c r i p a d d r 0 x 0 0 0 0 f f 0 0 ) 8 ( n s c r i p a d d r 0 x 0 0 0 0 0 0 f f ) ， n s c r p o r t ) t r a c e ( ”d e s t - - - - d d d d ：d ”，( n d e s t l p a d d r & o x f f 0 0 0 0 0 0 ) 2 4 ( n d e s t l p a d d r 0 x 0 0 f f 0 0 0 0 ) 1 6 ( n d e s t l p a d d r & o x o o o o f f 0 0 ) 8 ， ( n d e s t i p a d d r 0 x o 0 0 0 0 0 f f ) n d e s t p o r t ) t r a c e ( ”t c pp a k c e th e a d e r ”) u l o n gn s e q = p t c p h d 一 t c p h _ s e q n s e q = ( ( n s e q & o x f f 0 0 0 0 0 0 ) 2 4 ) + ( ( n s e q o x 0 0 f f 0 0 0 0 ) 8 ) + ( ( n s e q o x 0 0 0 0 f f o o ) 8 ) + ( ( n s e q 0 x 0 0 0 0 0 0 f f ) 2 4 ) + ( ( n a c k & o x o o f f 0 0 0 0 ) 8 ) + ( ( n a c k o x o o o o f f o o ) 8 ) + ( ( n a c k o x 0 0 0 0 0 0 f f ) t c p h w i n d o w 3 4 第四章基于n d i s 的包捕获引擎的设计及实现 t r a c e ( ”s e q = o x o x ”n s e q ) t r a c e ( ”a c k = o x o x ”，n a c k ) t r a c e ( ”f l a g s = o x o x ”，n f l a g s ) t r a c e ( ”w i n = o x o x ”，n w i n ) t r a c e f “ f | ! f i f j 、 p u c h a rp l o o k = ( p u c h a r ) l o o k a h e a d b u f f e r u s h o r tn i p a n d t c p h d l e n = s i z e o f ( i p _ h e a d e r ) + n t c p h d l e n if ( p a c k e t s i z e ( o x o x ，c ”，i ，t e s t ，t e s t ，p l o o k i ，p l o o k i ) 3 5 青岛大学硕士学位论文 u n r e f e r e n c e dp a r a m e t e r ( p a c k e t t o a c e e p t ) r e t u r nn d i ss t a t u ss u c c e s s 4 6 4o n s e n d 虚函数的实现 o n r e c e i v e 虚函数的实现相对较为简单，d r i v e r s t u d i o3 1 提供了详细例程 及说明，本文不再详细分析，仅列出自编写的原代码。 n d i s s t a t u ss e c u r i t y v i r t u a l c a r d a d a p t e r ：o n s e n d ( c o n s tk n d i s p a c k e t & o r i g i n a l ，e n d i s p a c k e t r e p a c k a g e d ) n d i ss t a t u ss t a t u s = n d i ss t a t u ss u c c e s s u l o n gi p s c r a d d r = o ，i p d e s c t a d d r = o u s h o r tt c p s c r a d d r = o 。t c p d e s c t a d d r = o u l o n gp c k h d l e n = o u l o n g * p i p s c r a d d r ， p i p d e s c t a d d r u s h o r t * p t c p s c r a d d r ，宰p t c p d e s c t a d d r u l o n g * p p c k h d l e n p l p s c r a d d r = & i p s c r h d d r p i p d e s c t a d d r = i p d e s c t a d d r d p c k h d l e n = p c k h d l e n p t c p s c r a d d r = & t c p s c r a d d r p t c p d e s c t a d d r = t c p d e s c t a d d r j f ( g e t a d d r _ o n s e n d ( o r i g i n a l 一3 6 第四章基于n d i s 的包捕获引擎的设计及实现 p i p s c r a d d r ，p i p d