【導讀】種攻擊手段層出不窮。其中拒絕服務(wù)攻擊以其攻擊范圍廣、隱蔽性強、簡單有效、破壞性大和難以防御等特點成為最常見的網(wǎng)絡(luò)攻擊技術(shù)之一。尤其分布式拒絕服。為其建立有效的防御機制是當前維護網(wǎng)絡(luò)安全的重要目標之一。究分析拒絕服務(wù)攻擊，并對其防御策略進行研究。主要研究成果如下：

　　

【正文】 執(zhí)行代碼來獲得 root 權(quán)限的 shell。為了達到這個目的，攻擊者必須達到如下兩個目標： （ 1） 在程序的地址空間里安排適當?shù)拇a 。 （ 2） 讓程序跳轉(zhuǎn)到入侵者安排的地址空間執(zhí)行。 1. 在程序地址空間中安排適當代碼的方法有兩種： （ 1） 植入法：攻擊者向被攻擊的程序輸入一個字符串，程序會把這個字符串放到緩沖區(qū)里。這個字符串包含的資料是可以在這個被攻擊的硬件平臺上運行的指令序列。在這里，攻擊者用被攻擊程序的緩沖區(qū)來存放攻擊代碼。緩沖區(qū)可以設(shè)在任何地方：堆棧、堆和靜態(tài)資料區(qū)。 （ 2） 利用已經(jīng)存在的代碼：有時，攻擊者想要的代碼已經(jīng)在被攻擊的程序中了，攻擊者所要做的只是對代碼傳遞一些參數(shù)。比如，攻擊代碼要求執(zhí)行“ exec（“ /bin/sh”）” ，而在 libc 庫中的代碼執(zhí)行“ exec（ arg）”，其中 arg 是一個指向一個字符串的指針參數(shù)，那么攻擊者只要把傳入的參數(shù)指針改向指向“ /bin/sh”即可。 2. 控制程序轉(zhuǎn)移到攻擊代碼的方法 （ 1） 最基本的思想就是溢 出一個沒有邊界檢查或者具有其它弱點的緩沖區(qū)，這樣就擾亂了程序的正常的執(zhí)行順序。通過溢出一個緩沖區(qū)，攻擊者可以強行改寫相鄰的程序空間而直接跳過系統(tǒng)的檢查。 （ 2） 控制程序轉(zhuǎn)移到攻擊代碼的方法主要有以下三種： a） 活動記錄（ Activation Records）：活動記錄包含了函數(shù)結(jié)束時返 回的地址。這類的緩沖區(qū)溢出被稱為堆棧溢出攻擊（ Stack Smashing Attack）。 b） 函數(shù)指針（ Function Pointers）：函數(shù)指針可以用來定位任何地址空間。（ susperprobe 程序） c） 長跳轉(zhuǎn)緩沖區(qū)（ Longjmp buffers）：在 C 語言中包含了一個簡單的檢驗點設(shè)定 /恢復(fù)系統(tǒng)，稱為 setjmp/longjmp。用“ longjmp(buffer)”來恢復(fù)檢驗點。 防范措施 目前有四種基本的方法保護主機免受緩沖區(qū)溢出的攻擊和影響。 1. 非執(zhí)行緩沖區(qū) 通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行已植入到攻擊程序輸入緩沖區(qū)的代碼，這種技術(shù)被稱為非執(zhí)行的緩沖區(qū)技術(shù)。但 西安工程大學學士學位論文 24 是近來的 Unix 和 MS Windows 系統(tǒng)由于要實現(xiàn)更好的性能和功能，往往在數(shù)據(jù)段中動態(tài)地放入可執(zhí)行的代碼，這也是緩沖區(qū)溢出的根源。為了保持程序的兼容性，不可能使得所有程序的數(shù)據(jù)段不可執(zhí)行。但是可以設(shè)定堆棧數(shù)據(jù)段不可執(zhí)行，這樣可以保證程序的兼容性。 2. 編寫正確的代碼 編寫正確的代碼是一件非常有意義的工作，特別象編寫 C 語言那種風格自由而容易出錯的程序，這種風格是由于追 求自由而容易出錯的程序，這種風格是由于追求性能而忽視正確性的傳統(tǒng)引起的，人們開發(fā)了一些工具和技術(shù)來幫助經(jīng)驗不足的程序員編寫安全正確的程序。 （ 1） 用 grep 來搜索源代碼中容易產(chǎn)生漏洞的庫調(diào)用，如對 strcpy 的調(diào)用。 （ 2） 開發(fā)了一些高級的查錯工具，如 fault injection 等。這些工具的目的在于通過人為隨機地產(chǎn)生 一些緩沖區(qū)溢出來尋找代碼的安全漏洞。還有一些靜態(tài)分析工具用于偵查 緩沖區(qū)溢出的存在。 偵查技術(shù)只能用來減少緩沖區(qū)溢出的可能，并不能完全地消除它的存在。 3. 數(shù)組邊界檢查 數(shù)組邊界檢查能防止所有的緩沖區(qū)溢出的產(chǎn)生和攻擊。這是因為只要數(shù)組不能被溢出，溢出攻擊也就無從談起。為了實現(xiàn)數(shù)組邊界檢查， 則所有的對數(shù)組的讀寫操作都應(yīng)當被檢查以確保對數(shù)組的操作在正確的范圍內(nèi)。最直接的方法是檢查所有的數(shù)組操作，但是通常可以采用一些優(yōu)化的技術(shù)來減少檢查的次數(shù)。目前的幾種檢查方法： （ 1） Jonesamp。Kelly： C的數(shù)組邊界檢查。 Compaq C 編譯器： Compaq 公司為 Alpha CPU 開發(fā)的 C編譯器支持有限的邊界檢查。 （ 2） Purify：內(nèi)存存取檢查 （ 3）類型 安全語言 4. 程 序指針完整性檢查 程序指針完整性檢查和邊界檢查有略微的不同，程序指針完整性檢查在程序指針被引用之前檢測它的改變。因此，即使一個攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測到了指針的改變，因此這個指針將不會被使用。 與數(shù)組邊界檢查相比，這種方法不能解決所有的緩沖區(qū)溢出問題，采用有些緩沖區(qū)溢出攻擊方法可以避開這種檢測。但是這種方法在性能上有很大的優(yōu)勢。 西安工程大學學士學位論文 25 地址欺騙 IP 地址欺騙 TCP/IP 網(wǎng)絡(luò)中的每一個數(shù)據(jù)包都包含源主機和目的主機的 IP 地址，攻擊者可以使用其他主機的 IP 地址，并假裝自己 來自該主機，以獲得自己未被授權(quán)訪問的信息。這種類型的攻擊稱為 IP欺騙，它是最常見的一種欺騙攻擊方式。 IP 地址欺 騙包括 源地址欺騙和序列號欺騙，是最常見的攻擊 TCP/IP 協(xié)議弱點的方法之一。 攻擊原理 1．信任關(guān)系 在 UNIX 系統(tǒng)中，信任關(guān)系能夠很容易得到。假設(shè)在主機 A 和 B上各有一個賬戶，在使用主機 A時，需要輸入主機 A上的賬戶及密碼，使用主機 B 時，同樣也必須輸入在主機 B上的賬戶及密碼，主機 A和 B把你當作兩個互不相關(guān)的用戶，顯然這有些不便。為了減少這種不便，可以在主機 A 和主機 B 中建立 起兩個賬戶的相互信任關(guān)系。有了這種信任關(guān)系，就可以方便地使用任何以 r 開頭的遠程調(diào)用命令，如 rlogin， rcall， rsh 等，而無口令驗證的煩惱。這些命令將提供以地址為基礎(chǔ)的驗證，根據(jù)訪問者 IP 地址，決定允許或拒絕存取服務(wù)。即信任關(guān)系是基于 IP地址的。 2． TCP 序列號猜測 TCP 連接的建立包括一個三次握手的過程，如圖 31 所示。由于在某些系統(tǒng)中序列號 y的產(chǎn)生規(guī)律相對簡單，就為今后的安全留下了隱患。 圖 31 TCP連接建立的三次握手 如果攻擊者了解主機 A和主機 B之間建立了信任關(guān)系，在 A不能正常工作時，假冒主機 A的 IP地址，向主機 B 發(fā)送建立 TCP 連接的請求包，這時如果攻擊者能夠猜出主機 B確認包中的序列號 y，就可以假冒主機 A 和主機 B建立 TCP連接。然后通過傳送可執(zhí)行的命令數(shù)據(jù)，侵入主機 B中。 攻擊過程 IP 地址欺騙攻擊有若干步驟組成： 主機 A 服務(wù)器主機 B SYN,SEQ=x SYN,SEQ=y， ACK=x+1 ACK=y+1 西安工程大學學士學位論文 26 1. 選定目標主機，發(fā)現(xiàn)信任模式，并找到一個被目標主機信任的主機。 2. 一旦發(fā)現(xiàn)被信任的主機，為了偽裝成它，首先使其喪失工作能力。由于攻擊者將要代替真正的被信任 主機，他 必須確保真正被信任的主機接收到任何有效的網(wǎng)路數(shù)據(jù)，否則將會被揭穿。有許多方法可以實現(xiàn)這一點，如 SYNFlood 攻擊。 3. 采樣目標主機發(fā)出的 TCP 序列號，猜測出它的數(shù)據(jù)序列號。為了知道 目標主機使用的數(shù)據(jù)包序列號，攻擊者往往先與被攻擊主機的一個端口建立起正常的連接。通常，這個過程被重復(fù)若干次，并將目標主機最后所發(fā)送的序列 號存儲起來。攻擊者還需要估計他 的主機與目標主機之間的包往返時間，它對于估計下一個數(shù)據(jù)序列號是非常重要的。 4. 攻擊者將使用被信任主機的 IP 地址，偽裝成被信任的主機，向目標主機的 513 端口（ rlogin 的端口號）發(fā)送連接請求。之后，目標主機對連接請求作出反應(yīng)，發(fā)送 SYN/ACK 數(shù)據(jù)包給被信任主機（如果被信任主機處于正常工作狀態(tài)，那么會認為是錯誤并立即向目標主機返回 RST數(shù)據(jù)包，但此時它處于停頓狀態(tài)）。按照計劃，被信任主機會拋棄該 SYN/ACK 數(shù)據(jù)包（當然攻擊者也得不到該包，否則就不用猜了）。在協(xié)議要求的時間內(nèi)，攻擊者向目標主機發(fā)送 ACK 數(shù)據(jù)包，該ACK 使用前面估計的序列號加 ，目標主機將會接受該ACK。至此，同時建立其余目標主機基于地址驗證的應(yīng)用連接。 5. 如果成功，攻擊者將開始向目標主機傳輸數(shù)據(jù)，黑客可以使用一種 簡單的命令放置一個系統(tǒng)后門，以進行非授權(quán)操作。 防范措施 防止此類 IP地址欺騙攻擊的要點在于，初始序列號變量在系統(tǒng)中的改變速度和時間間隔，通過合理地設(shè)置，可以使攻擊者無法準確地預(yù)測數(shù)據(jù)序列號。另外，還有一些其他的方法可以采用： 1．拋棄基于地址的信任策略 阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎(chǔ)的驗證。不允許 R 類遠程調(diào)用命令的使用；刪除 .rhosts 文件；清空 /etc/ 文件。這將迫使所有用戶使用其它遠程通 信手段。 2．進行包過濾 如果網(wǎng)絡(luò)是通過路由器接入 Inter 的，那么可以利用路由器來進行包過濾。只信任內(nèi)部 LAN。 3．使用加密方法 阻止 IP 欺騙的另一種明顯的方法是在通信時要求加密傳輸和驗證。當有多種手段可以使用時，可能加密方法最為適用。 西安工程大學學士學位論文 27 4．使用隨機化的初始序列號 黑客攻擊得以成功實現(xiàn)的一個很重要的因素就是，序列號不是隨機選擇的或者隨機增加的。一種彌補 TCP 不足的方法就是分割序列號空間。序列號將仍然按照以前的方式增加，但是在這些序列號空間中沒有明顯的關(guān)系。 IP 地址欺騙中兩種常見攻擊方式 1. IP 地址欺騙 Smurf 攻擊 （ 1） 攻擊者向具有很大因特網(wǎng)連接帶寬并具有很多臺主機的網(wǎng)絡(luò)廣播地址發(fā)送一個偽造地址的 Ping 分組，這種做法稱為使用反彈站點（ bounce site）。這個 Ping 分組的源地址是攻擊者想要攻擊的系統(tǒng)地址。 （ 2） 這種攻擊的前提是路由器接收到發(fā)送給 IP 廣播地址的分組后，會認為這是一份網(wǎng)絡(luò)廣播信息，并且把它映射為以太網(wǎng)廣播地址 。 （ 3） 這樣當路由器因特網(wǎng)上接收到該分組時，它就會向本網(wǎng)段中的所有 主機廣播。 （ 4） 接下來，網(wǎng)段內(nèi)的所有主機都會向偽造的 IP 地址發(fā)送回復(fù)信息，目標將很快被回復(fù)信息阻塞。 防止措施：阻塞所有入站的 Ping 包；停止路由器為具有網(wǎng)絡(luò)廣播地址的分組映射 LAN 廣播地址的活動。 2. IP 地址欺騙 Land 攻擊 Land 攻擊的報文分組具有如下特點： （ 1） 源 IP 地址：被攻擊系統(tǒng)的 IP 地址。 （ 2） 目的 IP地址：被攻擊系統(tǒng)的 IP地址。 （ 3） 傳輸方式： TCP （ 4） 源端口號： 135 （ 5） 目的端口號： 135 （ 6） 標志設(shè)置： SYN=1 （ 7） 也可以使用其他的端口和設(shè)置。攻擊者會使 系統(tǒng)錯誤地認為自己正在與自己交談，這樣可以造成死循環(huán)，最終使系統(tǒng)掛起或死鎖。 防止措施：在路由器或防火墻的 WAN 端口禁止地址為本網(wǎng)段地址的 IP 包通過。 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽又叫做網(wǎng)絡(luò)嗅探 ，顧名思義，這是一種在他方未察覺的情況下捕獲 西安工程大學學士學位論文 28 其通信報文或通信內(nèi)容的技術(shù)。 網(wǎng)絡(luò)監(jiān)聽 ，在網(wǎng)絡(luò)安全上一直是一個比較敏感的話題，作為一種發(fā)展比較成熟的技術(shù)，監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡(luò)管理員的青睞。然而，在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò) 安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)路監(jiān)聽行為，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。 網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個位置實施，如局域網(wǎng)中的一臺主機、網(wǎng)關(guān)上或遠程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。在網(wǎng)絡(luò)上 ，監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由 網(wǎng)絡(luò)管理員來操作。使用最方便的是在一個以太網(wǎng)中的任何一臺上網(wǎng)的主機上，這是大多數(shù)黑客的做法。 攻擊原理 1. 網(wǎng)絡(luò)監(jiān)聽的原理十分簡單： （ 1） 對于共享介質(zhì)類型的網(wǎng)絡(luò)，只要改變低層數(shù)據(jù)鏈路 層的工作模式，將所有收到的數(shù)據(jù)包（不論目的地址是誰）統(tǒng)統(tǒng)收下并存儲進行分析即可。 （ 2） 對于點到點的網(wǎng)絡(luò)連接，則需要搭線才能實現(xiàn)竊聽。 2. 網(wǎng)絡(luò)監(jiān)聽的目的 （ 1） 截獲通信內(nèi)容 網(wǎng) 上的監(jiān)聽工具對網(wǎng)絡(luò)上主機間的通信，能給出一個詳細的統(tǒng)計信息。這類工具，常?？梢栽O(shè)置詳細的過濾條件，可以針對信息的源主機、目的主機、使用的協(xié)議、使用的端口以及包的長度來設(shè)置過濾條件，也可以是這些條件的邏輯組合。 對于入侵者來說，最感興趣的是用戶的口令。在大多數(shù)情況下，用戶的口令是明文形式。而且口令往往是在一次通信的最開始的幾個數(shù)據(jù)包 中。 （ 2） 對協(xié)議進行分析 所有的監(jiān)聽軟件都可以對數(shù)據(jù)包進行詳細的分析，直到每一個字段的含義。是學習協(xié)議的好方法。 3. 常用的監(jiān)聽工具 （ 1） 微軟平臺的監(jiān)聽工具 ： Windump： Windump 最經(jīng)典的 UNIX 平臺上的 tcpdump 監(jiān)聽工具的 window 移植版。