（计算机科学与技术专业论文）以太网安全交换机技术研究与实现.pdfVIP

国防科学技术人学研究生院学何论文 摘要 随着网络应用的f 1 益广泛 网络安全问题变得更加突出 防火墙是网络安全技术的9 u 型应用成果 它能够在内部网络与外部网络之间建立一道安全防范屏障 阻止外部删络的 不安全因素蔓延到内部网络 但是 实际统计表明 网络攻击行为有7 0 以上来自于内部 网络两非外部因素 因此提供有效的内部网络安全保障措施势在必行 以太网交换机是构 建局域网的基层网络设备 也是进行内部网络安全控制的核心所在 如果能够在传统交换 机的基础上添加一定的安全功能 使之兼有防火墙的部分安全特性 那么就可以为局域网 的内部安全问题提供一种可行且有效的解决方案 本文首先从网络安全技术的研究入手 详细阐述了作者对包过滤技术 用户认证技术 和网络流量的监测与分析技术的研究过程及成果 在对包过滤技术的研究中 阐述了i i n u x i p c h a i n s 包过滤的原理 提出了嵌入内核的网络协议栈和基于状态相关性分析的t c p 包过 滤的应用方案 在对用户认证技术的研究中 阐述了8 0 2 i x 协议认证的原理 提出了结 合地址绑定和知识签名的用户认证应用方案 在网络流量的监测与分析技术研究中 阐述 了网络流量的监测方法 网络流量的特性分析和网络流量的建模方法 提出了一种基于小 波理论的网络流量模拟生成方法 然后论文叙述了作者所做的以太网安全交换机系统的设计与实现工作 给出了以太网 安全交换机系统的总体结构设计 硬件结构设计和软件结构设计 介绍了相关软件开发技 术 详细阐述了具体的软件实现方法并给出了关键数据结构 算法流程和部分源代码 论文最后总结了课题研究的情况 并提出了值得进一步研究的技术方向 关键词 包过滤 i p c h a i n s n p i i t 8 0 2 1 x 协议 网络流量 自相似 a b s t r a c t w i t ht h e d e v e l o p m e n to ft h ea p p l i c a t i o n n e t w o r ks e c u r i t yi s g e t t i n g m o r ea n dt o o l e i m p o r t a n t t h et y p i c a lp r o d u c to fs e c t t r i t yt e c h n o l o g yi sf i r e w a l l i t i sas a f ew a l lb e t w e e nt h e i n n e rn e t w o r ka n dt h eo u t e r w h i c hc a nh o l dt h ei n s e c u r i t yb a c kf r o mt h eo u t s i d e i ti si n d i c a t e d t h a tm o r et h a n7 0 o f t h ea t t a c ko nt h ei n t e r a c tc o m e sf r o mt h ei n n e rn e t w o r k s oi ti sn e c e s s a r y t of i n da ne f f e c t i v ew a yt op r o t e c tt h el o c a la r e an e t w o r k s w i t c hi st h eb a s ed e v i c et ob u i l dl o c a l a r e an e t w o r ka n di ti sa l s ot h ek e y p o i n to f t h es e c u r i t yc o n t r 0 1 d e s i g n i n gas w i t c hw i t hs e c u r i t y f u n c t i o n s p a r t l yl i k et h ef i r e w a l l s i saf e a s i b l es o l u t i o nf o rt h es e c u r i t yp r o b l e mo fl o c a la r e a n e t w o r k t h ea r t i c l e e x p a t i a t et h er e s e a r c ho ft h en e t w o r ks e c u r i t yt e c h n o l o g y i n c l u d i n gp a c k e t f i l t e r i n g u s e ra u t h e n t i c a t i o na n dn e t w o r kt r a f f i ca n a l y z i n g i nt h ep a r to f p a c k e tf i l t e r i n gi ts h o w s o u tt h et h e o r yo fl i n u xi p c h a i n sa n dg i v e so u tt h ed e s i g no fe m b e d d e dp r o t o c o ls t a c ka n d t c ps t a t ea n a l y z i n g i nt h ep a r to fu s e ra u t h e n t i c a t i o ni ts h o w so u tt h et h e o r yo f8 0 2 1xp r o t o c o l a u t h e n t i c a t i o na n dg i v e so u tt h ed e s i g no fa d d r e s sb i n d i n ga n dk n o w l e d g e s i g n i nt h ep a r to f n e t w o r kt r a f f i c a n a l y z i n gi t s h o w so u tt h es t a t i s t i c a n a l y z i n ga n dm o d e l i n go fn e t w o r kt r a f f i c a n d g i v e so u tas i m u l a t ew a y b a s e do nw a v e l e t s t h e nt h ea r t i c l es h o w so u tt h ed e s i g na n d i m p l e m e n t o ft h ee t h e m e t s e c u r i t ys w i t c h w h i c h h a v eb e e nd o n eb yt h ea u t h o r i tg i v e so u tt h ew h o l es t r u c t u r ed e s i g n t h eh a r d w a r e d e s i g na n d t h es o l w a r e d e s i g n t t h ec o r r e l a t i v es o f t w a r et e c h n o l o g yi sm e n t i o n e da n dt h ei m p l e m e n to f t h e s y s t e m i se x p a t i a t e di nd e t a i l i n c l u d i n gt h e k e y d a t as t r u c t u r e a r i t h m e t i ca n ds o u r c ec o d e i nt h ee n dt h ew h o l er e s e a r c hw o r ko ft h es u b j e c t i ss u m m a r i z e da n df u r t h e rr e s e a r c h d i r e c t i o ni sm e n t i o n e d k e yw o r d s p a c k e tf i l t e r i n g i p c h a i n s u s e ra u t h e n t i c a t i o n 8 0 2 1 xp r o t o c 0 1 n e t w o r k t r a 塌c s e l f s i m i l a r 1 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得 的研究成果 尽我所知 除了文中特别加以标注和致谢的地方外 论文中不包含 其他人已经发表和撰写过的研究成果 也不包含为获得国防科学技术大学或其它 教育机构的学位或证书而使用过的材料 与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示谢意 学位论文题目 堡叁固垒垒妻垒拉垫鲞星丑鱼墨塞边 学位论文作者签名 边照叁 i 釜日期 归3 年 月 驴日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留 使用学位论文的规定 本 授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电孑 文档 允许论文被查阅和借阅 可以将学位论文的全部或部分内容编入有关数据 库进行检索 可以采用影印 缩印或扫描等复制手段保存 汇编学位论文 保密学位论文在解密后适用本授权书 学位论文题目 鱼叁旦堡垒圭垫盘燮曼蚕丝墨塞塑 学位论文作者签名 塑蝗羔 选日期 叼 年 月 牙e 作者指导教师鲐j 犁吼如 年 二月拶e 图2 图22 图23 图24 图25 图26 图27 图2 8 图2 9 图2 0 图3 l 图3 2 图3 3 图3 4 图35 图4 1 图5 1 图5 2 图5 3 图5 4 图55 图5 6 图57 图s8 图5 9 图5 1 0 图5 1 1 闰51 2 图5 3 图51 4 图5 1 5 图6l 图目录 i n u x 系统内核的网络层次结构 4 l i n u x 系统内核的网络数据处理过程 5 l i l l u x 内核网络模块中s k b u f f 的结构 5 l h l u x i p c h a i n s 包过滤处理过程 8 l i n u xi p c h a i n s 与网络协议栈的结台 9 t c p 数据传输中s e q a e k s e q 和p a y l o a d 之间的数值关系 1 l t c p 会话劫持攻击 一1 1 用三次握手建立t c p 连接 1 4 s y n f l o o d 攻击方式 1 4 抵御s y nf l o o d 攻击的解决方案 1 6 洞穴问题 解释零知识证明技术 l8 8 0 2 l x 协议的体系结构 1 9 8 0 2 1 x 协议认证过程 1 9 8 0 21 x 协议中的e a p 类型 2 0 在8 0 2 1 x 协议认证中使用地址绑定 2 2 不同协议成分在i p 流量中所占比例 3 2 安全交换机总体结构 3 8 交换模块硬件逻辑结构 3 9 网络管理模块硬件逻辑结构 3 9 端口安全模块硬件逻辑结构 3 9 嵌入式l i n u x 内核结构 4 1 字符设备驱动程序的结构 4 3 网络设备驱动程序的结构 4 3 网络管理应用程序逻辑结构 4 4 端口安全应用程序逻辑结构 4 4 l i n u x 对t c p 客户端与服务器问典型通信过程的系统支持 4 8 网管交互进程的算法流程实现 5 3 安全交换机系统上的8 0 2l x 协议认证体系结构 5 5 以太网端口分支逻辑的内部结构 一5 6 e a p 报文格式 5 6 h a p 代理的算法流程实现 5 7 i p 报空加密格式 6 0 雨 国防科学技术人学研究生院学伉论文 表目录 表2 1l i n u x2 2 4 1 6 内核版本中s kb u f f 数据结构的定义 表2 2 使用p o s t 方法的h t t p 协议数据包的首部信息 表2 3 主机a b 之间发送的t c p 报文序列 表2 4 主机a b 发送的t c p 报文到达防火墙的顺序 表2 5t c p 状态信息表字段 表5 1 针对a r m 结构c p u 的v m l n u x 1 d s 文件 表5 2w e b 网管服务器的基本算法结构 表5 3 数据结构s t r u e th t t pc o n t e x t 的定义 表5 4h t t p s n m p 消息映射表 表5 5 基本s n m p 通信程序的算法结构 面 i v m他眨b 柏如如 国防科学技术人学研究生院学似论史 第一章绪论 1 1 研究背景 信息时代的到来给我们的生活带来了极大的便利 同时也深刻的改变了我们的7 活 网络技术应用到了我们身边的各个行业和机构 政府 余融 教育 军队无处不在 伴随 着网络的普及和应用的深入 网络信息的安全也同益显现出其重要性 我们希望网络不仪 能给我们提供方便快捷的服务 同时也希望这种服务是稳定和安全的 网络安全是保证俐 络正常运行 提高网络服务质量的基本前提 对于网络安全的需求可以分为五犬类 数掘保密 防止非授权用户截获并使用数据 数据完整性 用户使用某种方案来确认网络上的数据在传输过程中没有被篡改 身份验证 用户需要对网络上的其它用户进行验证 证实其身份的真实性 授权 用户需要控制谁能够访问网络上的信息并且能够进行何种操作 不可抵赖和不可否认 用户不能抵赖自己曾做出的行为 也不能否认曾经接到刈 方的信息 这在交易系统中十分重要 此外 保护硬件资源不被非法占有 软件资源免受病毒的侵害等都是整个信息网络上 的安全需要 集线器 网桥 路由器是工作在不同层次上的传统网络设备 它们的功能和成本各不 相同 随着计算机网络技术的不断发展 网桥逐步发展成为交换机 交换机又进一步发牛 演变 退化 出了交换式集线器 进化 出了三层交换机 前者具有交换机数据交换的 高效性 却只需付出接近集线器的成本 后者溶入了路由器的i p 路由功能 却只需付出接 近交换机的成本 由此以来 传统网络设备之间界限的划分不再清晰 而能够最大限度n 勺 提高性价比 适应不断发展的计算机网络的实际需要逐渐成为网络设备研制的最终目标 基于网络安全的迫切需求和网络技术的发展趋势 我们试图在传统交换机e 溶入 定 的安全管理和控制功能 使得传统交换机兼何防火墙的部分特性 这样不必付出额外的化 费添置软硬件的安全设备 就可以使局域网的安全控制得以简捷而有效的实现 从而为j 域网的安全提供了 种新的解决思路 1 2 研究现状 总的来说t 目前在网络安全技术相关领域人们所关注的焦点主要有以下几方面 加密理论与技术 安全协议理论与技术 安全体系结构理论与技术 信息对抗理论与技术 1 盯项 一一 国防科学技术人学研究生院宇伉沦文 网络安全产品 国际上网络安全相关技术研究起步早 力度大 积累多 应用广 以美国为例 美凼 国防部基于军事计算机系统的保密需要 在已有的基础理论研究成果 计算机保密模型 b e l l l a p a d u l a 模型 的基础上 制订了 可信计算机系统安全评价准则 t c s e c 其后又制订了关于网络系统 数据库等方面的系列安全解释 形成了安全信息系统体系结 构的最早原则 至今美国已研究出达到t c s e c 要求的安全系统产品 包括安全操作系统 安全数据库 安全网络部件 多达上百种 我国的网络安全技术研究起步晚 投入少 研究力量较为分散 与技术先进的国家榭 比有明显的差距 在学习和借鉴国外技术的基础上 国内一些部门也先后开发研制了 些 防火墙 安全路由器 安全网关 入侵检测系统 系统脆弱性扫描软件等产品 但是 这 些产品的安全技术的完善性 规范化和实用性还存在许多不足 理论基础和自主的技术手 段也需要发展和强化 网络安全技术研究的典型应用成果就是防火墙 f i r e w a l l 防火墙能够在开放的网络 环境中构造出一个相对封闭的逻辑环境来满足内部网络的安全需要 从概念上来说 防火 墙是内部封闭网络与外部开放网络之间增加的一层安全防范设备 可以避免外部网络的1 i 安全因素蔓延到内部网络 防火墙的作用主要有三个方面 一是屏蔽不安全的服务 二是 阻止非法用户的访问 三是提供对网络使用情况的记录和预警 防火墙是目前较为成熟的网络安全技术应用产品 是隔离内部网络与外部网络的有效 技术手段 但是 实际统计表明 网络攻击事件有7 0 以上来自于内部网络f 2 1 可见内部 网络自身的安全隐患也是不可忽视的因素 针对内部网络安全的技术研究与应用方案目前 尚不成熟 相关的技术成果也很少 因此通过深入研究网络安全技术 提出有效的内部网 络安全解决方案并形成一定的产品成果 将会具有积极的理论和实践意义 1 3 研究目标与内容 计算机网络最重要的资源是向用户提供的服务和信息 因此计算机网络的安全可笼统 的定义为保障服务的可用 陛 a v a i l a b i l i t y 和信息的完整性 i n t e g r i t y 前者要求向所有 用户有选择地提供应有的服务 后者则要求保障信息的完整性 可用性和准确性 网络安 全技术研究的根本目标是在保证网络实用丌放性的基础上采取相应的控制策略和技术下 段来保障系统的安全性和信息的完整性 在硕士学位论文研究期间 本人主要从网络安全技术入手进行了相关的理论研究 具 体包括包过滤技术 用户认证技术和网络流量监测与分析技术 并结合以太网安全交换机 系统的具体实际提出了相应的技术应用方案 解决了系统开发过程中的实际困难 实现了 设计的软件功能 达到了预期的研究目标 包过滤技术是网络安全系统中常用的技术 l i n u x 系统内核自带了基于包过滤技术的 i p c h a i n s 软件防火墙 本人研读了它的源代码并分析了其实现原理 在此基础上提出了 结合嵌入内核的网络协议栈和基于状态相关性分析的t c p 数据包过滤的应用方案 既保持 第2 页 国防科学技术大 学研究生院学位论文 了l i n l i xi p c h a i n s 原有的优点也弥补了其功能上的不足 在以太网安全交换机系统中进 行了实现 用户认证是以太网安全交换机系统的安全功能之一 本人研究了8 0 2 1 x 协议认证的原 理 在其基础上提出了结合地址绑定和知识签名的应用方案 并在以太网安全交换机系统 中进行了实现 使得该系统既支持通用的标准协议 又具有更完善的安全功能与特色 网络流量分析技术的研究能够为网络安全的控制与管理提供分析基础 本人研究了实 际网络流量的监测方法 网络流量的自相似性分析和建模方法 并提出了一种使用小波分 解与重构实现的网络流量模拟生成方法 为以太网安全交换机系统中流量监测功能的实现 奠定了理论基础 1 4 论文的内容安排 论文的正文分为六个章节 具体内容分别是 第一章绪论 阐述了论文的研究背景 研究现状以及研究目标与内容等 第二章包过滤技术研究 阐述了l i n u x 系统内核中的i p c h a i n s 包过滤原理 并提 出了嵌入内核的网络协议栈和基于状态相关性分析的t c p 包过滤的应用方案 第三章用户认证技术研究 阐述了8 0 2 1 x 协议认证的原理 并提出了结合地址绑 定和知识签名的用户认证应用方案 第四章网络流量的监测 分析 建模和模拟 阐述了实际网络流量的监测方法 网络流量的特性分析和网络流量的建模方法 并提出了一种基于小波理论的网络 流量模拟生成方法 第五章安全交换机系统的设计与实现 阐述了安全交换机系统的总体设计概要 硬件结构 软件结构和具体的软件技术实现方法 第六章结束语 阐述了论文期间所做的技术研究与实践工作以及关于课题的进 步技术研究方向 第3 页 国防科学技术大学研究生院学位论文 第二章包过滤技术研究 典型的防火墙可以分为包过滤 p a c k e tf i l t e r i n g 型和代理服务 p r o x ys e r v i c e 型朗 大类 包过滤型防火墙的基本原理是通过读取i p 数据包的头信息 比如源地址 目的地址 源端口和目的端口等 来判断数据包是否符合预定的安全规则 不符合安全规则的数据包 将被拒绝 包过滤型防火墙的优点是实现简单 运行效率较高 成本较低 但其缺陷也是 明显的 它工作在i p 层 只能根据i p 数据包的头信息进行判断 无法到达应用层对数捌 内容进行检验 因而无法阻止基于内容的网络入侵 如随浏览器下载的恶意脚本程序以及 电子邮件中附带的病毒等 代理服务型防火墙也称为应用网关 a p p l i c a t i o ng a t e w a y 型防火墙 位于防火墙两侧 的设备之间没有直接的数据通道 它们都无法看到防火墙另一侧的 世界 它们的一切 数据请求交给代理处理并从代理得到应答 因此任何一方恶意的入侵行为很难透过代理防 火墙伤害到另一方 代理服务型防火墙的优点是安全层次较高 对抵御应用层的入侵和病 毒十分有效 但因其作为应用程序工作在操作系统之上 所以运行效率较低 成为网络通 信的瓶颈所在 将包过滤的简单高效性与代理服务的应用层功能相结合引入到安全交换机系统中 并 改进对包头信息的简单检测为对t c p 数据包的状态检测 是我们在设计中提出的新思路 本章首先阐述l i n u x 系统内核中i p c h a i n s 包过滤的原理 而后给出我们在此基础上提出 的嵌入内核的网络协议栈以及基于状态相关性分析的t c p 数据包过滤的设计 2 1l i n u x 系统内核中的i p c h a i n s 包过滤 2 1 1 l i n u x 系统内核的网络模块 图2 1 l i n u x 系统内核的网络层次结构 国防科学技术人学研究生院学位论文 l i n u x 系统内核的网络模块沿用了传统的网络层次结构 数据从用户进程到达网络砹 备要经过四个层次 如图2 1 所示 以此层次结构为基础 l i n u x 系统内核的网络模块对数据的处理过程如图2 2 所示 图2 2 l i n u x 系统内核的网络数据处理过程 在l i n u x 系统内核网络模块的实现中 套接字缓冲区s k b u f f 是关键的数据结构 它描 述了内存中的一块数据区域 该区域存放着网络传输的数据包 s k 作为数据包的载体 buff 保证了网络数据传输过程的可靠和稳定 当操作系统内核接收到从网络硬件设备驱动传来 的数据包后 为其申请一块结构为s k b u f f 的内存区域 然后将数据包按照s kb u f f 结构的 要求存储进去 为每一个数据包创建的 s kb u f t 结构被组织成链表的形式 网络协议栈各 层处理模块只需得到链表的指针即可对s kb u f f 结构进行访问 每个s kb u f f 结构中包含 个数据块 四个数据指针以及两个长度字段 如图2 3 所示 t n e x t d r e v h e a d d a t a 男 t a i l e n d f十 r u e s i z ei e n 数据区 l i 倒2 3 l i n u x 内核网络模块中s k b u f f 的结构 国防科学技术夫学研究生院学位论文 h e a d 指针 指向数据区的起始地址 s kb u f f 和相关数据块被分配之后 该指针的址 便固定下来 d a t a 指针 指向数据的当前起始地址 该指针的值随着当前s kb u f f 所处的网络协议 层的变化而变化 t a i l 指针 指向数据的当前结尾地址 浚指针的值也随着当前s k b u f f 所处的网络卧 议层的变化而变化 e n d 指针 指向数据区的结尾地址 s kb u f f 和相关数据块被分配之后 该指针的值 固定下来 s kb u f f 中有两个重要的长度字段l e n 和t r u e s i z e 它们分别描述当前数据包的长度和数 据缓冲区的实际长度 在l i n u x2 2 4 1 6 内核版本中 对s kb u f f 数据结构的定义如表2 1 所示口 s t r u c ts kb u 行h e a df s t r u c ts kb u 甄 n e x t p p o i n t t ot h en e x tn o d e s t r u c ts kb u f f p r e v 严p o i n t t ot h ep r e v i o u sn o d e u 3 2q l e n i f c o nf gs k bc h e c k i m m a g i cd e b u gc o o k i e e n d i f s t r u c ts kb u f f s t r u c ts k b u f f n e x t p p o i n t t ot h en e x tn o d e s t r u c ts k b u f f p r e y 净p o i n t t ot h ep r e v i o u sn o d e i s t r u c ts k b u f f h e a dl i s t 净p o i n t t ot h eh e a do f t h el i s ti i fc o n f l gs k bc h e c k i n tm a g i c d e b u g c o o k i e e n d i f s t r u c ts kb u f r l i n k 3 s t r u c ts o c k s k u n s i g n e dl o n gw h e n s t r c u tt i m e v a ls t a m p s t r u c td e v i c e d e v u n i o n f l i n kf o ri pp r o t o c o ll e v e lb u f f e rc h a i n s s o c k e tw ea r eo w n e d b y 产u s e d t o c o m p u t e r t t s t i m e w ea r r i v e d p d e v i c ew ea r r i v e do n a r el e a v i n g b y s t r u c tt c p h d r t h s t r u c te t h h d r e t h s t r u c ti p h d r i p h s t r u e tu d p h d r u h u n s i g n e dc h a r r a w f o r p a s s i n gf i l eh a n d l e si na u n i xd o m a i ns o c k e t v o i d f l i p h u n i o n y e ti n c o m p l e t ep h y s i c a ll a y e rv i e w s u n s i g n e dc h a r r a w s t r u c te t h h d r e t h e r n e t m a c f o r i p p r o t or a w i n n g t ho fa c t u a ld a t a c h e c ks u m 7 j ps o u r c ea d d r e s si 产i p d e s t i n a t i o na d d r e s s 卜1 pn e x th o p a d d r e s s i 6第页 嚣一 一一一 一 坠些望鲨丝竺些丝圣 三孑 一 蔓 三 三三三 三 三三三三三 一 广 d e f i n ep a c k e th o s t 0 pt c p s e q u e n c en u m b e r s e q f i n s y n d a t a l e n 4t c p a c ks e q u e n c en u m b e r 产p r o t o c o l i e v e lp r i v a t ed a t a 件a r e w ea s k e d a r e w e i nu s e h o wt of r e et h i sb u f f e r h a si p i a r pr e s o l u t i o nf i n i s h e d p t i m e s t r i e d pa r e w e l o c k e d pl o c a lr o u t i n ga s s e r t e df o tt h i sf r a m e p a c k e tt y p e t r a c k e rf o rb r i d g i n g 严d r i v e r f e du sa n l pc h e c ks u m 卓t ou s4 d e f i n ep a c k e t b r o a d c a s t i t oa l l d e f i n ep a c k e t m u l t i c a s t 2 t og r o u p d e f i n ep a c k e to t h e r h o s t 3 t os o m e o n ee l s e u n s i g n e ds h o r tu s e r s u n s i g n e ds h o gp r o t o c o l u 3 2t r u e s i z e a t o m i ctc o u n t b s e rc o u n t p a c k e tp r o t o c o lf r o md r i v e r 章l e n g t ho f b u f f e r 平r e 南f e n c ec o u n t s t r u c ts kb u f f d a t as k b 牛1 i n kt ot h ea c t o a ld a t as k b u n s i g n e dc h a r h e a d h e a dp o i n t u n s i g n e dc h a rd a t a pd a t ap o i n t4 u n s i g n e dc h a rt a i l pt a i lp o i n t u n s i g n e dc h a re n d e n dp o i n t v o i d d e s t m c t o r s t r u e ts kb u f r pd e s t r u c tf u n c t i o n u 1 6r e d i r p o r t r e d i r e c tp o r t 表2 il i n u x2 2 4 1 6 内核版本中s k b u f f 数据f d 构的定义 2 1 2l i n u x 系统内核中的i p c h a i n s 包过滤原理 包过滤用于描述通过将每一个输入或输出数据包中发现的信息同访问控制规则相比 较来决定拒绝或通过数据包 这种策略着眼于每一个独立的数据包的首部 h e a d e r 将其 与预定的规则进行比较 若是被规则所允许的 则数据包可以顺利通过 否则 数据包将 被拒绝 l i n u xi p c h a i n s 是内核级的包过滤防火墙 它是l i n u xi p v 4 防火墙代码和i p f w a d m 的改写 作为l i n u x 内核的一个模块 它可以在编译时被动态的加载 l i n u xi p c h a i n s 中有三条系统创建的内置规则链 即输入链 i n p u tc h a i n 转发链 f o r w a r dc h a i n s 和输 出链 o u t p u tc h a i n 它们分别对应接收检测 转发检测和发送检测 每一条链包含一系列 过滤规则及链的缺省策略 这三条链的规则匹配过程分别由函数i py c v o i pf o r w a r d j k i i po u t p u t 0 具体实现 l i n u xi p c h a i n s 同时向用户提供访问接口函数i p c h a i n s 0 利用该函 数可实现对过滤规则的添加 删除 设置和更改 在对包过滤规则进行设置的同时 还可 以指定对数据包进行i p 伪装 l i n u xi p c h a i n s 对数掘包的过滤步骤如下 1 在不同检测点进入相应规则链 2 顺序检查每一条过滤规则 找出与之匹配的规则 一咄毗咄一峨毗 一一一 嚣盟 妇 滚瓣 一 叽 里型墼堕娑竺型塑鲨圣 一 3 当遇到第一条匹配规则时 采取以下行动 a 将规则应用于此数据包 a c c e p t r e j e c t d e n y m a s q r e d i e t 战r e t o n j b 每条规则都有p a c k e t 和b y t e 计数器 当规则匹配时 计数器加1 c 如果设置了日志功能 则进行日志记录 4 当没有规则匹配时 采取规则链的缺省策略 这一处理过程可以用图2 4 来描述 图2 4l i n u xi p c h a i n s 包过滤处理过程 其中各环节的内容解释如下 c h e c k s u m 检查数据包的校验和 如果校验和不对 则此包被拒绝 s a n i t y 检验不符合规范的数据包 如果数据包被s a n i t y 拒绝 则在s y s l o g 文件中有 相应的记录 i n p u tc h a i n 数据包进入输入链 寻找匹配的规则 并采取相应的策略 d e m a s q e r a d e 如果数据包是此前发出的伪装包的回复 则数据包被恢复并跳过输出 链的检查 若用户不使用伪装 此步骤可以从包过滤过程中取消 r o u t i n gd e c i s i o n 通过路由机制检查数据包的目的地址 进而决定是发送给本地还 是需要转发给其它远程机器 l o c a lp r o c e s s 如果数据包的目的地址是本机 则直接送到输出链 l oi n t e r f a c e 如果数据包是从l o c a lp r o c e s s 传来的 则它从输出链出来后沿1 0i n t e r f a c e 路径被重新送到输入链 以接口是 1 0 的身份再次通过各规则链 f o r w a r dc h a i n 如果是需要转发的数据包 则进入转发链 转发链对那些需要转发 的数据包进行详细的检查 符合规则的将被转发 o u t p u tc h a i n 检查即将发出的数据包信息 符合规则的包可以通过 2 2 嵌入内核的网络协议栈 5 l i n u xi p c h a i n s 始终运行于系统的内核态 工作在网络的i p 层 运行效率很高 但 是它对应用层上数据包内容的检测却无能为力 因此 我们考虑在l i n u xi p c h a i n s 原有 的基础上加入网络协议栈 仍作为内核模块嵌入系统内核中 这样 既弥补了原有l i n u x i p c h a i n s 无法完成对数据包内容的检测 又将应用层数据内容检测的功能放到了操作系 统内核的层次来实现 在功能与性能上都得到了改善和提高 l i n u x i p c h a i n s 与嵌入内核的网络协议栈结合后的软件结构如图2 5 所示 1 f r 矛 一 国防科学技术大学研究生院学何论文 h t ipf t ps t pt e l n e tr p ct f t ps n m pp i n g 麻r i m 用应用应用麻川应用应丌 脚用 榆删椅删榆测榆捌榆测检测榆测榆测 t c p 应用分支u d p 应用分支i c m p f i 用分支 t c v i p 协 义栈 i p c h a i n s 包过滤 网络设备驱动 图2 5 l i n u xi p c h a i n s 与网络协议栈的结合 数据包经出嘲络设备驱动进入i p c h a i n s 处理环节 这一步将根据i p c h a i n s 的预定 规则滤掉一部分非法的数据包 而合法的数据包则被提交给t c p i p 协议栈进行上层协议 的分支检测 应用分支检测模块面向具体的应用层协议设计 因此处理过程不尽相同 在i c m p i n t e r n e t c o n t r o l m e s s a g e p r o t o c 0 1 应用分支的p i n g 应用检测中 主要防范 p i n g o f d e a t h 攻击 6 1 p i n g o f d e a t h 是利用i c m p 协议的一种碎片攻击 攻击者发送一个 长度超过6 5 5 3 5 字节的e c h o r e q u e s t 数据包 目标主机在重组分片的时候会造成事先分配 的6 5 5 3 5 字节缓冲区溢出 系统就会挂起 甚至崩溃 5 1 我们在p i n g 应用检测模块中通过 检查i c m p 数据包头中的f r a g m e n t o f f s e t 值便可以发现这种攻击企图 因此制定下面的过 滤规则 可以有效的防范p i n g o f d e a t h 攻击 i f i e p r o t o c o l i c m p i c m p c o d e e c h o r e q u e s t i p f r a g m e n t o f f s e t 0 拒绝数据包 e l s e 通过数据包 在t c p 应用分支的h t t p 应用检测中 主要防范h t t p 协议c o n t e n tl e n g t h 限制漏洞 导致的d o s d e n i a l o f s e r v i c e 攻击 在h 1 v r p 协议中 当使用p o s t 方法时 可以设置 c o n t e n t l e n g t h 来定义需要传送的数据长度 但是h t t p 协议中并没有对c o n t e n tl e n g t h 的 大小进行限制 这可能导致d o s 攻击的产生 在i i s 服务器中 用户p o s t 数掘时 系统 先将用户上传的数据存放在内存中 当用户数据传送完成时 数据的长度达到c o n t e n l e n g t h 时 服务器再将这块内存交给特定的c g i 处理 在传送完成前 内存不会被释放 如果用户将c o n t e n t l e n g t h 设置为很大的值且连续多次向w e b 服务器发送大量的数据 那 么w e b 服务器的资源摄终将被耗尽 更严重的是 i i s 闩志记录是在数据传送完成后才进 行的 所以只要c o n t e n tl e n g t h 足够大而使得服务器瘫痪 同志根本无法对此次攻击作出 记录 因此攻击者的行为没有留下任何痕迹 另一方面 由于攻击者进行的是正常的p o s t 操作 而且数据是通过多次发送缓慢送入w e b 服务器的 因此通常的防火墙不会认为它是 一种恶意的攻击行为 而且这种行为对于攻击者的主机来说几乎没有任何负荷 既不会消 国防科学技术火学研究生院学何论文 t p o s t d e f a u l t a s ph t t p 1 1 nh o s t x x x n e t nc o n t e n t t y p e t e x t h t m l k nc o n t e n t l e n g t h 1 0 2 4 n r i 表2 2 使用p o s t 方法的h r 冲协议数据包的首部信息 因此 只要在h t t p 应用检测模块中提墩c o n t e n t l e n g t h 字段 设定一个阀值与其进 行比较 大于阊值则认为是恶意的c o n t e n tl e n g t h 攻击 进而拒绝该数据包 阀值的设置 根据具体的w e b 服务器而定 应当避免对正常h t t p 数据包的误报 2 3 基于状态相关性分析的t c p 数据包过滤 l i n u xi p c h a i n s 只能完成基于源地址 目的地址 源端口以及目的端口等简单报文 首部信息的过滤 且对各个数据包的检测是独立的 即不考虑先后到达的数据包之剧的逻 辑相关性 在通常的网络通信中 基于t c p 协议的通信几乎占到了9 0 t c p 通信是面 向连接的服务 在一次通信过程中 先后到达的数据包之间具有紧密的相关性 这种相天 性在t c p 报文首部信息中通过发送序号 s e q 确认序号 a c k s e q 和窗口大小 w i n 等 字段得到了详细的描述 因此 我们考虑记录t c p 报文首部中这些能够体现数据包状态相 关性的信息 加以纵向分析 从而实现基于状态相关性分析的t c p 数据包过滤 这样做的 意义在于 弥补了通常包过滤防火墙不能实现数据包纵向相关性分析的不足 为有效的抵 御t c p 会话劫持和s y nf l o o d 攻击奠定了基础 2 3 1 抵御t c p 会话劫持攻击的包过滤 7 j t c p 协议使用可变滑动窗口机制进行流量控制 在t c p 报文首部留有窗口大小字段 窗口值的大小在t c p 连接建立时由双方商定 在通信过程中 接收方可以根据自己的资源 情况动态调整接收窗e l 的大小 并在t c p 报文首部的窗口字段中标识出来及时通知发送 方 通信双方以此为依据控制自己的报文流量 既不会使对方无法承受也不会使对方长时 间空闲 同时 t c p 协议还具有可靠的传输控制机制 由于网络物理构造的原因 t c p 报 文到达接收方的顺序与从发送方发出的顺序并不完全一致 t c p 协议通过报文的发送序号 和确认序号来完成报文的排序和重组 为了不浪费网络资源 对于乱序到达的t c p 报义 接收方 般都采用缓存的方式将数据暂存在缓冲区中 待所缺序号的报文收齐后再一起 交应用层 发送序号指出了本报文中传送的数据在发送主机所要传送的整个数据流中的顺 序号 而确认序号指出了发送本报文的主机希望接收的对方主机中下一个报文的顺序号 因此 对于一台主机来说 其收发的两个相临t c p 报文之间的序号和确认序号的关系必须 满足如下条件 它所要发出的报文中的发送序号值应等于它刚收到的报文中的确认序号的 值 而它所要发送报文中确认序号的值应为它所收到报文中发送序号的值加上该报文中所 姨带的数据净荷 p a y l o a d 的值 图2 6 给出了两台主机进行一次t c p 数据传输时发送 序号 确认序号以及数据净荷之间的数值关系 国防科学技术人学研究