【導(dǎo)讀】種攻擊手段層出不窮。其中拒絕服務(wù)攻擊以其攻擊范圍廣、隱蔽性強(qiáng)、簡(jiǎn)單有效、破壞性大和難以防御等特點(diǎn)成為最常見的網(wǎng)絡(luò)攻擊技術(shù)之一。尤其分布式拒絕服。為其建立有效的防御機(jī)制是當(dāng)前維護(hù)網(wǎng)絡(luò)安全的重要目標(biāo)之一。究分析拒絕服務(wù)攻擊，并對(duì)其防御策略進(jìn)行研究。主要研究成果如下：

　　

【正文】 執(zhí)行代碼來獲得 root 權(quán)限的 shell。為了達(dá)到這個(gè)目的，攻擊者必須達(dá)到如下兩個(gè)目標(biāo)： （ 1） 在程序的地址空間里安排適當(dāng)?shù)拇a 。 （ 2） 讓程序跳轉(zhuǎn)到入侵者安排的地址空間執(zhí)行。 1. 在程序地址空間中安排適當(dāng)代碼的方法有兩種： （ 1） 植入法：攻擊者向被攻擊的程序輸入一個(gè)字符串，程序會(huì)把這個(gè)字符串放到緩沖區(qū)里。這個(gè)字符串包含的資料是可以在這個(gè)被攻擊的硬件平臺(tái)上運(yùn)行的指令序列。在這里，攻擊者用被攻擊程序的緩沖區(qū)來存放攻擊代碼。緩沖區(qū)可以設(shè)在任何地方：堆棧、堆和靜態(tài)資料區(qū)。 （ 2） 利用已經(jīng)存在的代碼：有時(shí)，攻擊者想要的代碼已經(jīng)在被攻擊的程序中了，攻擊者所要做的只是對(duì)代碼傳遞一些參數(shù)。比如，攻擊代碼要求執(zhí)行“ exec（“ /bin/sh”）” ，而在 libc 庫中的代碼執(zhí)行“ exec（ arg）”，其中 arg 是一個(gè)指向一個(gè)字符串的指針參數(shù)，那么攻擊者只要把傳入的參數(shù)指針改向指向“ /bin/sh”即可。 2. 控制程序轉(zhuǎn)移到攻擊代碼的方法 （ 1） 最基本的思想就是溢 出一個(gè)沒有邊界檢查或者具有其它弱點(diǎn)的緩沖區(qū)，這樣就擾亂了程序的正常的執(zhí)行順序。通過溢出一個(gè)緩沖區(qū)，攻擊者可以強(qiáng)行改寫相鄰的程序空間而直接跳過系統(tǒng)的檢查。 （ 2） 控制程序轉(zhuǎn)移到攻擊代碼的方法主要有以下三種： a） 活動(dòng)記錄（ Activation Records）：活動(dòng)記錄包含了函數(shù)結(jié)束時(shí)返 回的地址。這類的緩沖區(qū)溢出被稱為堆棧溢出攻擊（ Stack Smashing Attack）。 b） 函數(shù)指針（ Function Pointers）：函數(shù)指針可以用來定位任何地址空間。（ susperprobe 程序） c） 長(zhǎng)跳轉(zhuǎn)緩沖區(qū)（ Longjmp buffers）：在 C 語言中包含了一個(gè)簡(jiǎn)單的檢驗(yàn)點(diǎn)設(shè)定 /恢復(fù)系統(tǒng)，稱為 setjmp/longjmp。用“ longjmp(buffer)”來恢復(fù)檢驗(yàn)點(diǎn)。 防范措施 目前有四種基本的方法保護(hù)主機(jī)免受緩沖區(qū)溢出的攻擊和影響。 1. 非執(zhí)行緩沖區(qū) 通過使被攻擊程序的數(shù)據(jù)段地址空間不可執(zhí)行，從而使得攻擊者不可能執(zhí)行已植入到攻擊程序輸入緩沖區(qū)的代碼，這種技術(shù)被稱為非執(zhí)行的緩沖區(qū)技術(shù)。但 西安工程大學(xué)學(xué)士學(xué)位論文 24 是近來的 Unix 和 MS Windows 系統(tǒng)由于要實(shí)現(xiàn)更好的性能和功能，往往在數(shù)據(jù)段中動(dòng)態(tài)地放入可執(zhí)行的代碼，這也是緩沖區(qū)溢出的根源。為了保持程序的兼容性，不可能使得所有程序的數(shù)據(jù)段不可執(zhí)行。但是可以設(shè)定堆棧數(shù)據(jù)段不可執(zhí)行，這樣可以保證程序的兼容性。 2. 編寫正確的代碼 編寫正確的代碼是一件非常有意義的工作，特別象編寫 C 語言那種風(fēng)格自由而容易出錯(cuò)的程序，這種風(fēng)格是由于追 求自由而容易出錯(cuò)的程序，這種風(fēng)格是由于追求性能而忽視正確性的傳統(tǒng)引起的，人們開發(fā)了一些工具和技術(shù)來幫助經(jīng)驗(yàn)不足的程序員編寫安全正確的程序。 （ 1） 用 grep 來搜索源代碼中容易產(chǎn)生漏洞的庫調(diào)用，如對(duì) strcpy 的調(diào)用。 （ 2） 開發(fā)了一些高級(jí)的查錯(cuò)工具，如 fault injection 等。這些工具的目的在于通過人為隨機(jī)地產(chǎn)生 一些緩沖區(qū)溢出來尋找代碼的安全漏洞。還有一些靜態(tài)分析工具用于偵查 緩沖區(qū)溢出的存在。 偵查技術(shù)只能用來減少緩沖區(qū)溢出的可能，并不能完全地消除它的存在。 3. 數(shù)組邊界檢查 數(shù)組邊界檢查能防止所有的緩沖區(qū)溢出的產(chǎn)生和攻擊。這是因?yàn)橹灰獢?shù)組不能被溢出，溢出攻擊也就無從談起。為了實(shí)現(xiàn)數(shù)組邊界檢查， 則所有的對(duì)數(shù)組的讀寫操作都應(yīng)當(dāng)被檢查以確保對(duì)數(shù)組的操作在正確的范圍內(nèi)。最直接的方法是檢查所有的數(shù)組操作，但是通?？梢圆捎靡恍﹥?yōu)化的技術(shù)來減少檢查的次數(shù)。目前的幾種檢查方法： （ 1） Jonesamp。Kelly： C的數(shù)組邊界檢查。 Compaq C 編譯器： Compaq 公司為 Alpha CPU 開發(fā)的 C編譯器支持有限的邊界檢查。 （ 2） Purify：內(nèi)存存取檢查 （ 3）類型 安全語言 4. 程 序指針完整性檢查 程序指針完整性檢查和邊界檢查有略微的不同，程序指針完整性檢查在程序指針被引用之前檢測(cè)它的改變。因此，即使一個(gè)攻擊者成功地改變了程序的指針，由于系統(tǒng)事先檢測(cè)到了指針的改變，因此這個(gè)指針將不會(huì)被使用。 與數(shù)組邊界檢查相比，這種方法不能解決所有的緩沖區(qū)溢出問題，采用有些緩沖區(qū)溢出攻擊方法可以避開這種檢測(cè)。但是這種方法在性能上有很大的優(yōu)勢(shì)。 西安工程大學(xué)學(xué)士學(xué)位論文 25 地址欺騙 IP 地址欺騙 TCP/IP 網(wǎng)絡(luò)中的每一個(gè)數(shù)據(jù)包都包含源主機(jī)和目的主機(jī)的 IP 地址，攻擊者可以使用其他主機(jī)的 IP 地址，并假裝自己 來自該主機(jī)，以獲得自己未被授權(quán)訪問的信息。這種類型的攻擊稱為 IP欺騙，它是最常見的一種欺騙攻擊方式。 IP 地址欺 騙包括 源地址欺騙和序列號(hào)欺騙，是最常見的攻擊 TCP/IP 協(xié)議弱點(diǎn)的方法之一。 攻擊原理 1．信任關(guān)系 在 UNIX 系統(tǒng)中，信任關(guān)系能夠很容易得到。假設(shè)在主機(jī) A 和 B上各有一個(gè)賬戶，在使用主機(jī) A時(shí)，需要輸入主機(jī) A上的賬戶及密碼，使用主機(jī) B 時(shí)，同樣也必須輸入在主機(jī) B上的賬戶及密碼，主機(jī) A和 B把你當(dāng)作兩個(gè)互不相關(guān)的用戶，顯然這有些不便。為了減少這種不便，可以在主機(jī) A 和主機(jī) B 中建立 起兩個(gè)賬戶的相互信任關(guān)系。有了這種信任關(guān)系，就可以方便地使用任何以 r 開頭的遠(yuǎn)程調(diào)用命令，如 rlogin， rcall， rsh 等，而無口令驗(yàn)證的煩惱。這些命令將提供以地址為基礎(chǔ)的驗(yàn)證，根據(jù)訪問者 IP 地址，決定允許或拒絕存取服務(wù)。即信任關(guān)系是基于 IP地址的。 2． TCP 序列號(hào)猜測(cè) TCP 連接的建立包括一個(gè)三次握手的過程，如圖 31 所示。由于在某些系統(tǒng)中序列號(hào) y的產(chǎn)生規(guī)律相對(duì)簡(jiǎn)單，就為今后的安全留下了隱患。 圖 31 TCP連接建立的三次握手 如果攻擊者了解主機(jī) A和主機(jī) B之間建立了信任關(guān)系，在 A不能正常工作時(shí)，假冒主機(jī) A的 IP地址，向主機(jī) B 發(fā)送建立 TCP 連接的請(qǐng)求包，這時(shí)如果攻擊者能夠猜出主機(jī) B確認(rèn)包中的序列號(hào) y，就可以假冒主機(jī) A 和主機(jī) B建立 TCP連接。然后通過傳送可執(zhí)行的命令數(shù)據(jù)，侵入主機(jī) B中。 攻擊過程 IP 地址欺騙攻擊有若干步驟組成： 主機(jī) A 服務(wù)器主機(jī) B SYN,SEQ=x SYN,SEQ=y， ACK=x+1 ACK=y+1 西安工程大學(xué)學(xué)士學(xué)位論文 26 1. 選定目標(biāo)主機(jī)，發(fā)現(xiàn)信任模式，并找到一個(gè)被目標(biāo)主機(jī)信任的主機(jī)。 2. 一旦發(fā)現(xiàn)被信任的主機(jī)，為了偽裝成它，首先使其喪失工作能力。由于攻擊者將要代替真正的被信任 主機(jī)，他 必須確保真正被信任的主機(jī)接收到任何有效的網(wǎng)路數(shù)據(jù)，否則將會(huì)被揭穿。有許多方法可以實(shí)現(xiàn)這一點(diǎn)，如 SYNFlood 攻擊。 3. 采樣目標(biāo)主機(jī)發(fā)出的 TCP 序列號(hào)，猜測(cè)出它的數(shù)據(jù)序列號(hào)。為了知道 目標(biāo)主機(jī)使用的數(shù)據(jù)包序列號(hào)，攻擊者往往先與被攻擊主機(jī)的一個(gè)端口建立起正常的連接。通常，這個(gè)過程被重復(fù)若干次，并將目標(biāo)主機(jī)最后所發(fā)送的序列 號(hào)存儲(chǔ)起來。攻擊者還需要估計(jì)他 的主機(jī)與目標(biāo)主機(jī)之間的包往返時(shí)間，它對(duì)于估計(jì)下一個(gè)數(shù)據(jù)序列號(hào)是非常重要的。 4. 攻擊者將使用被信任主機(jī)的 IP 地址，偽裝成被信任的主機(jī)，向目標(biāo)主機(jī)的 513 端口（ rlogin 的端口號(hào)）發(fā)送連接請(qǐng)求。之后，目標(biāo)主機(jī)對(duì)連接請(qǐng)求作出反應(yīng)，發(fā)送 SYN/ACK 數(shù)據(jù)包給被信任主機(jī)（如果被信任主機(jī)處于正常工作狀態(tài)，那么會(huì)認(rèn)為是錯(cuò)誤并立即向目標(biāo)主機(jī)返回 RST數(shù)據(jù)包，但此時(shí)它處于停頓狀態(tài)）。按照計(jì)劃，被信任主機(jī)會(huì)拋棄該 SYN/ACK 數(shù)據(jù)包（當(dāng)然攻擊者也得不到該包，否則就不用猜了）。在協(xié)議要求的時(shí)間內(nèi)，攻擊者向目標(biāo)主機(jī)發(fā)送 ACK 數(shù)據(jù)包，該ACK 使用前面估計(jì)的序列號(hào)加 ，目標(biāo)主機(jī)將會(huì)接受該ACK。至此，同時(shí)建立其余目標(biāo)主機(jī)基于地址驗(yàn)證的應(yīng)用連接。 5. 如果成功，攻擊者將開始向目標(biāo)主機(jī)傳輸數(shù)據(jù)，黑客可以使用一種 簡(jiǎn)單的命令放置一個(gè)系統(tǒng)后門，以進(jìn)行非授權(quán)操作。 防范措施 防止此類 IP地址欺騙攻擊的要點(diǎn)在于，初始序列號(hào)變量在系統(tǒng)中的改變速度和時(shí)間間隔，通過合理地設(shè)置，可以使攻擊者無法準(zhǔn)確地預(yù)測(cè)數(shù)據(jù)序列號(hào)。另外，還有一些其他的方法可以采用： 1．拋棄基于地址的信任策略 阻止這類攻擊的一種非常容易的辦法就是放棄以地址為基礎(chǔ)的驗(yàn)證。不允許 R 類遠(yuǎn)程調(diào)用命令的使用；刪除 .rhosts 文件；清空 /etc/ 文件。這將迫使所有用戶使用其它遠(yuǎn)程通 信手段。 2．進(jìn)行包過濾 如果網(wǎng)絡(luò)是通過路由器接入 Inter 的，那么可以利用路由器來進(jìn)行包過濾。只信任內(nèi)部 LAN。 3．使用加密方法 阻止 IP 欺騙的另一種明顯的方法是在通信時(shí)要求加密傳輸和驗(yàn)證。當(dāng)有多種手段可以使用時(shí)，可能加密方法最為適用。 西安工程大學(xué)學(xué)士學(xué)位論文 27 4．使用隨機(jī)化的初始序列號(hào) 黑客攻擊得以成功實(shí)現(xiàn)的一個(gè)很重要的因素就是，序列號(hào)不是隨機(jī)選擇的或者隨機(jī)增加的。一種彌補(bǔ) TCP 不足的方法就是分割序列號(hào)空間。序列號(hào)將仍然按照以前的方式增加，但是在這些序列號(hào)空間中沒有明顯的關(guān)系。 IP 地址欺騙中兩種常見攻擊方式 1. IP 地址欺騙 Smurf 攻擊 （ 1） 攻擊者向具有很大因特網(wǎng)連接帶寬并具有很多臺(tái)主機(jī)的網(wǎng)絡(luò)廣播地址發(fā)送一個(gè)偽造地址的 Ping 分組，這種做法稱為使用反彈站點(diǎn)（ bounce site）。這個(gè) Ping 分組的源地址是攻擊者想要攻擊的系統(tǒng)地址。 （ 2） 這種攻擊的前提是路由器接收到發(fā)送給 IP 廣播地址的分組后，會(huì)認(rèn)為這是一份網(wǎng)絡(luò)廣播信息，并且把它映射為以太網(wǎng)廣播地址 。 （ 3） 這樣當(dāng)路由器因特網(wǎng)上接收到該分組時(shí)，它就會(huì)向本網(wǎng)段中的所有 主機(jī)廣播。 （ 4） 接下來，網(wǎng)段內(nèi)的所有主機(jī)都會(huì)向偽造的 IP 地址發(fā)送回復(fù)信息，目標(biāo)將很快被回復(fù)信息阻塞。 防止措施：阻塞所有入站的 Ping 包；停止路由器為具有網(wǎng)絡(luò)廣播地址的分組映射 LAN 廣播地址的活動(dòng)。 2. IP 地址欺騙 Land 攻擊 Land 攻擊的報(bào)文分組具有如下特點(diǎn)： （ 1） 源 IP 地址：被攻擊系統(tǒng)的 IP 地址。 （ 2） 目的 IP地址：被攻擊系統(tǒng)的 IP地址。 （ 3） 傳輸方式： TCP （ 4） 源端口號(hào)： 135 （ 5） 目的端口號(hào)： 135 （ 6） 標(biāo)志設(shè)置： SYN=1 （ 7） 也可以使用其他的端口和設(shè)置。攻擊者會(huì)使 系統(tǒng)錯(cuò)誤地認(rèn)為自己正在與自己交談，這樣可以造成死循環(huán)，最終使系統(tǒng)掛起或死鎖。 防止措施：在路由器或防火墻的 WAN 端口禁止地址為本網(wǎng)段地址的 IP 包通過。 網(wǎng)絡(luò)監(jiān)聽 網(wǎng)絡(luò)監(jiān)聽又叫做網(wǎng)絡(luò)嗅探 ，顧名思義，這是一種在他方未察覺的情況下捕獲 西安工程大學(xué)學(xué)士學(xué)位論文 28 其通信報(bào)文或通信內(nèi)容的技術(shù)。 網(wǎng)絡(luò)監(jiān)聽 ，在網(wǎng)絡(luò)安全上一直是一個(gè)比較敏感的話題，作為一種發(fā)展比較成熟的技術(shù)，監(jiān)聽在協(xié)助網(wǎng)絡(luò)管理員檢測(cè)網(wǎng)絡(luò)傳輸數(shù)據(jù)，排除網(wǎng)絡(luò)故障等方面具有不可替代的作用，因而一直備受網(wǎng)絡(luò)管理員的青睞。然而，在另一方面網(wǎng)絡(luò)監(jiān)聽也給網(wǎng)絡(luò) 安全帶來了極大的隱患，許多的網(wǎng)絡(luò)入侵往往都伴隨著網(wǎng)路監(jiān)聽行為，從而造成口令失竊，敏感數(shù)據(jù)被截獲等連鎖性安全事件。 網(wǎng)絡(luò)監(jiān)聽可以在網(wǎng)上的任何一個(gè)位置實(shí)施，如局域網(wǎng)中的一臺(tái)主機(jī)、網(wǎng)關(guān)上或遠(yuǎn)程網(wǎng)的調(diào)制解調(diào)器之間等。黑客們用得最多的是截獲用戶的口令。在網(wǎng)絡(luò)上 ，監(jiān)聽效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由 網(wǎng)絡(luò)管理員來操作。使用最方便的是在一個(gè)以太網(wǎng)中的任何一臺(tái)上網(wǎng)的主機(jī)上，這是大多數(shù)黑客的做法。 攻擊原理 1. 網(wǎng)絡(luò)監(jiān)聽的原理十分簡(jiǎn)單： （ 1） 對(duì)于共享介質(zhì)類型的網(wǎng)絡(luò)，只要改變低層數(shù)據(jù)鏈路 層的工作模式，將所有收到的數(shù)據(jù)包（不論目的地址是誰）統(tǒng)統(tǒng)收下并存儲(chǔ)進(jìn)行分析即可。 （ 2） 對(duì)于點(diǎn)到點(diǎn)的網(wǎng)絡(luò)連接，則需要搭線才能實(shí)現(xiàn)竊聽。 2. 網(wǎng)絡(luò)監(jiān)聽的目的 （ 1） 截獲通信內(nèi)容 網(wǎng) 上的監(jiān)聽工具對(duì)網(wǎng)絡(luò)上主機(jī)間的通信，能給出一個(gè)詳細(xì)的統(tǒng)計(jì)信息。這類工具，常?？梢栽O(shè)置詳細(xì)的過濾條件，可以針對(duì)信息的源主機(jī)、目的主機(jī)、使用的協(xié)議、使用的端口以及包的長(zhǎng)度來設(shè)置過濾條件，也可以是這些條件的邏輯組合。 對(duì)于入侵者來說，最感興趣的是用戶的口令。在大多數(shù)情況下，用戶的口令是明文形式。而且口令往往是在一次通信的最開始的幾個(gè)數(shù)據(jù)包 中。 （ 2） 對(duì)協(xié)議進(jìn)行分析 所有的監(jiān)聽軟件都可以對(duì)數(shù)據(jù)包進(jìn)行詳細(xì)的分析，直到每一個(gè)字段的含義。是學(xué)習(xí)協(xié)議的好方法。 3. 常用的監(jiān)聽工具 （ 1） 微軟平臺(tái)的監(jiān)聽工具 ： Windump： Windump 最經(jīng)典的 UNIX 平臺(tái)上的 tcpdump 監(jiān)聽工具的 window 移植版。