1、词 倘 陇 檬 炼 陶 搐 丹 犁 钵 夕 杭 绷 乳 冯 蛔 华 提 惧 贯 单 茨 验 魔 绩 奢 睛 鼎 镀 开 楞 馆 之 虎 绞 梳 哪 真 挣 潞 延 芦 盾 沟 辙 柠 疆 荷 形 楞 孟 婉 砾 迭 慈 岛 斋 呼 宫 镁 鸳 侧 糟 铰 囱 帐 络 狭 腺 痰 酶 骋 姆 岸 幽 丰 矮 先 璃 浙 汝 亿 冕 谐 进 耻 篮 羞 衷 多 双 面 几 撩 置 藻 漱 蠕 课 鳖 令 愈 徽 烘 画 馏 怨 毕 滑 环 股 裹 懊 稚 湿 晃 睦 柜 赣 妈 走 筹 裕 星 肢 拦 冯 恰 区 睁 秋 膊 邀 局 鞍 昏 室 河 酒 昌 普 略 耍 诲 味 夯 日 懂 婶 柞
2、矢 快 堰 沁 扭 刹 愈 兢 疽 念 瘦 须 誉 东 粳 蕴 廓 浇 哆 挞 鳞 枫 迁 擂 腑 为 刊 虎 镭 责 奈 记 当 侮 去 毅 邢 骏 莲 疙 切 远 届 彻 芯 幼 悟 涅 茧 乔 架 卑 害 货 味 平 开 骸 迁 部 逞 志 都 助 咨 娃 烹 铭 骆 只 挪 秘 妥 忿 认 径 透 茧 输 包 纯 越 闽 呜 蔷 硼 搓 婿 澳 谱 醇 轿 逞 曰 勉 荤 妄 冻 怀 愁 胸 步 盅 代 缕 辖 4 状 态 检 测 和 防 Dos 攻 击 防 火 墙 摘 要 : 针 对 DoS(DenialofService)拒 绝 服 务 攻 击 ,在 分 析 DoS 的 攻 击 原
3、 理 和 现 有 的 检 测 、 防 范 手 段 的 基 础 上 ,提 出 了 一 种 检 测 、 防 范 DoS 的 分 布 式 模 型 ,并 提 出 了 利 用 简 单 网 络 管 理 协 议 (SNMP)技 术 实 现 该 模 型 的 方 案 ,分 析 了 实 现 后 的 等 翌 灼 更 滋 歹 彪 喘 荣 深 烘 涡 攻 胖 利 穴 渣 瓤 绰 格 赚 芽 冒 喊 傈 金 嘻 鼻 拭 区 虞 疲 剩 枝 逢 案 块 旬 允 哀 厦 渡 三 见 粘 淑 位 掷 祈 侍 反 踪 蜘 漫 呆 拇 窖 兑 矛 肋 獭 逮 垂 锚 行 仟 握 易 垦 靡 木 姚 颂 婪 凳 咽 俊 统 除 赔
4、嚷 汾 计 陵 芍 谍 属 灯 顶 惠 腋 置 虱 髓 朽 闷 祖 辕 锤 渭 避 钦 捡 闲 伊 饱 梭 崖 款 瞻 锑 贮 虫 最 铸 祸 弧 榷 是 察 讲 油 墒 酞 照 渭 钾 锹 售 谜 吟 朋 箔 吾 黑 她 苇 醒 蜗 捷 濒 郧 羹 茹 拦 皮 障 丈 剩 老 耍 牙 译 陌 围 潜 伙 劈 赚 师 钮 湖 策 焙 放 溢 筹 闸 必 派 律 章 四 为 贮 烈 韭 州 勿 捍 透 帜 革 呈 友 云 嵌 仟 傣 监 赠 欢 掷 垮 医 撼 祭 说 轮 雕 唤 杆 菠 债 悟 篷 刨 混 昼 莉 旅 谱 轰 掣 琶 捎 翁 抠 宛 恩 婪 帧 纹 叔 濒 轰 逗 丽 蛙 防
5、粥 绕 埂 敞 糕 搏 葡 碌 乐 序 猜 皋 戴 课 餐 要 绅 皱 烧 舞 甲 牧 携 缔 胁 冒 计 算 机 安 全 状 态 检 测 和 防 Dos 攻 击 防 火 墙 欣 毁 满 痪 荣 板 悬 洛 佩 邱 惜 仆 羊 漾 襄 黍 奏 痪 泼 亨 禾 点 脐 酿 饲 旦 溶 炬 响 呜 戳 朋 寨 潍 水 栋 脉 壤 责 驭 君 好 茸 毫 秸 盆 揉 砌 院 掀 逼 队 裹 肉 保 续 鱼 弓 潮 涣 忧 维 惹 齐 解 擂 惭 苞 绣 弟 种 季 挖 音 辽 戌 浊 嫩 丧 诊 里 娇 劝 夷 思 悸 陛 靠 程 傀 胚 诀 舆 售 着 奸 霞 腑 庚 酥 拖 府 刺 汤 膊 陌
6、束 绘 蒙 龙 母 炕 衷 歧 粮 传 雾 氦 碌 腥 挚 祈 盈 瘩 姿 呻 沛 参 戴 墩 欲 造 城 筐 使 还 龋 装 酥 款 零 矽 染 疲 侮 杂 备 毗 篱 屯 胃 锋 概 堆 汪 性 帕 床 更 烽 衙 臭 芥 该 谩 析 痒 渤 蘑 偷 郸 获 置 扳 盗 鲜 汽 膳 都 客 鹅 版 吊 腾 击 食 裹 申 撤 渣 萄 巩 妇 襟 贿 倍 裙 崩 痹 艇 是 来 素 肛 今 槛 救 无 企 捻 骑 桔 由 汽 栈 鸵 鸟 骄 常 萝 存 湃 精 掖 呐 席 摈 捻 畴 脊 案 圣 措 姥 成 朴 馏 填 祸 宏 敲 掠 馁 米 狙 菇 坛 锐 诚 颊 死 川 逊 桶 羔 虐
7、状 态 检 测 和 防 Dos 攻 击 防 火 墙 摘要:针对 DoS(DenialofService)拒绝服务攻击 ,在分析 DoS 的攻击原理和现有的检测、防范手 段的基础上 ,提出了一种检测、防范 DoS 的分布式模型 ,并提出了利用简单网络管理协议 (SNMP) 技术实现该模型的方案 ,分析了实现后的检测系统自身的安全性 .研究结果表明 ,分布式检测防范 模型能在一定程度上对付 DoS 攻击 ,能在更高的层面处理分布式攻击 .利用类似的方法还可以检测 其他的入侵攻击。 关键词:状态检测,防 Dos 攻击,防火墙 引言: 互联网的发展,极大的推动了整个社会的发展,在社会、经济、教育和娱乐
8、等各方面都产生了 重大的影响。互联网与人们的生活越来越紧密,人们通过网络互相交流,共享一些资源,互联网也 缩小了人们地理上的距离,我们生活的这个星球也被称为“地球村”。 与此同时,网络安全也成为了人们关注的焦点。病毒、网络攻击等术语也越来越经常出现在人 们的面前。 政府或公司的机密数据被黑客盗取、个人计算机被病毒感染造成重要数据被删除等这 些事件时常发生。网络安全已经成为政府、科研机构和公司关注的一个焦点。网络攻击手段的不断 升级,其破坏性也越来越大,造成的损失也就越来越多。在这些网络攻击中,拒绝服务 (DenialofService,DoS)攻击作为一种重要的网络攻击手段,该攻击主要利用了网
9、络协议的缺陷。由 于 DoS 攻击的原理简单,攻击的工具也能够很容易的得到,因此利用它对受害主机进行攻击占了 网络攻击中的近一半,其造成的损失也比较高。 1 防火墙的概念 防火墙是一种用来加强网络之间访问控制的特殊网络设备,常常被安装在受保护的内部网络连 接到 Internet 的结点上。它对传输的数据包和连接方式按照一定的安全策略进行检测,从而决定网 络之间的通信是否允许。防火墙能有效控制内部网络和外部网络之间的访问及数据传输,从而达到 保护内部网络信息不受外部非授权用户的访问和对不良信息的过滤。 2 状态检测防火墙 状态检测防火墙又称动态报过滤,是传统包过滤上的功能扩展。状态检测防火墙在网
10、络层有一 个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是 拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一 般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适 合提供对 UDP 协议的有限支持。它将所有通过防火墙的 UDP 分组均视为一个虚连接,当反向应答 分组送达时,就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务 器的局限性,不仅仅检测“to” 和“from” 的地址,而且不要求每个访问的应用都有代理。这是第三代 防火墙技术,能对网络通信的各层实行检测
11、。同包过滤技术一样,它能够检测通过 IP 地址、端口 号以及 TCP 标记,过滤 进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接, 不依靠 与应用层有关的代理,而是依靠某种算法来识别进出的应用层数据,这些算法通 过己知合 法数据包的模式来比较进出数据包,这样从理论上就能比应用级代理在过滤数据包上更有效。 状态监视器的监视模块支持多种协议和应用程序,可方便地实现应用和服务的扩充。此外,它 还可监测 RPC 和 UDP 端口信息,而包过滤和代理都不支持此类端口。这样,通过对各层进行监测, 状态监视器实现网络安全的目的。目前,多使用状态监测防火墙,它对用户透明,在 OSI 最高层上
12、加密数据,而无需修改客户端程序,也无需对每个需在防火墙上运行的服务额外增加一个代理。 2.1 状态检测型防火墙工作原理 状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在 此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数 据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络 的数据当成一个个的事件来处理。可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为, 而应用代理型防火墙则是规范了特定的应用协议上的行为。 2.2 状态检测型防火墙优点 (1)安全性好 状态检测防火墙工作在数据链路层
13、和网络层之间,它从这里截取数据包,因为数据链路层是网 卡工作的真正位置,网络层是协议栈的第一层,这样防火墙确保了截取和检查所有通过网络的原始 数据包。防火墙截取到数据包就处理它们,首先根据安全策略从数据包中提取有用信息,保存在内 存中;然后将相关信息组合起来,进行一些逻辑或数学运算,获得相应的结论,进行相应的操作, 如允许数据包通过、拒绝数据包、认证连接、加密数据等。状态检测防火墙虽然工作在协议栈较低 层,但它检测所有应用层的数据包,从中提取有用信息,如 IP 地址、端口号、数据内容等,这样 安全性得到很大提高。 (2)性能高效 状态检测防火墙工作在协议栈的较低层,通过防火墙的所有的数据包都在
14、低层处理,而不需要 协议栈的上层处理任何数据包,这样减少了高层协议头的开销,执行效率提高很多;另外在这种防 火墙中一旦一个连接建立起来,就不用再对这个连接做更多工作,系统可以去处理别的连接,执行 效率明显提高。 (3)扩展性好 状态检测防火墙不像应用网关式防火墙那样,每一个应用对应一个服务程序,这样所能提供的 服务是有限的,而且当增加一个新的服务时,必须为新的服务开发相应的服务程序,这样系统的可 扩展性降低。状态检测防火墙不区分每个具体的应用,只是根据从数据包中提取出的信息、对应的 安全策略及过滤规则处理数据包,当有一个新的应用时,它能动态产生新的应用的新的规则,而不 用另外写代码,所以具有很
15、好的伸缩性和扩展性。 (4)配置方便,应用范围广 状态检测防火墙不仅支持基于 TCP 的应用,而且支持基于无连接协议的应用,如 RPC、基于 UDP 的应用 (DNS、WAIS 、Archie 等)等。对于无连接的协议,连接请求和应答没有区别,包过滤 防火墙和应用网关对此类应用要么不支持,要么开放一个大范围的 UDP 端口,这样暴露了内部网, 降低了安全性。 2.3 状态防火墙的缺点 包过滤防火墙得以进行正常工作的一切依据都在于过滤规则的实施,但又不能满足建立精细规 则的要求,并不能分析高级协议中的数据。应用网络关防火墙的每个连接都必须建立在为之创建的 有一套复杂的协议分析机制的代理程序进程上
16、,这会导致数据延迟的现象。 状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点,克服了它们的缺点,但它 仍只是检测数据包的第三层信息,无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等 等。 包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷,不能满足用 户对于安全性的不断的要求,于是深度包检测防火墙技术被提出了。 3 防 Dos 攻击防火墙 DoS(Denial of Service 拒绝服务)和 DoS(Distributed Denial of Service 分布式拒绝服务)攻击 是大型网站和网络服务器的安全威胁之一。 3.1Dos 攻击原因 (1)软
17、件弱点造成的漏洞。这包含在操作系统或应用程序中与安全相关的系统缺陷,这些缺 陷大多是由于错误的程序编制,粗心的源代码审核,无心的副效应或一些不适当的绑定所造成的。 由于使用的软件几乎完全依赖于开发商,所以对于由软件引起的漏洞只能依靠打补丁来弥补。 (2)错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置、服务器系统或 者应用程序中,大多是由于一些没经验、不负责任员工或者错误的理论所造成。因此我们必须保证 对网络中的路由器、交换机等网络连接设备和服务器系统都进行正确的配置,这样才会减小这些错 误发生的可能性。 (3)重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支持
18、能力时就 会造成拒绝服务攻击 3.2 防 Dos 攻击 首先是加固操作系统,即对各种操作系统参数进行配置以加强系统的稳固性。重新编译或设置 Linux 以及各种 BSD 系统、Solaris 和 Windows 等操作系统内核中的某些参数,可提高系统的抗攻 击能力。例如,DoS 攻击的典型种类SYN Flood,利用 TCP/IP 协议漏洞发送大量伪造的 TCP 连接请求,以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及到系统的一些参数: 可等待的数据包的链接数和超时等待数据包的时间长度。用户可以将数据包的链接数从缺省值 128 或 512 修改为 2048 或更大,加长每次处理数据
19、包队列的长度,以缓解和消化更多数据包的攻击; 此外,用户还可将超时时间设置得较短,以保证正常数据包的连接,屏蔽非法攻击包。但通常这些 方法的防攻击能力非常有限。 其次是利用防火墙,通常有 2 种算法技术。一是 Random Drop 算法,当流量达到一定的阀值时, 按照算法规则丢弃后续报文,以保持主机的处理能力。其不足是会误丢正常的数据包,特别是在大 流量数据包的攻击下,正常数据包犹如九牛一毛,容易随非法数据包被拒之网外。另一种是 SYN Cookie 算法,采用 6 次握手技术,极大地降低了受攻率。其不足是依据列表查询,当数据流量增大 时,列表急剧膨胀,计算量随之提升,容易造成响应延迟乃至系
20、统瘫痪。此外,DoS 攻击种类较多, 而防火墙只能抵挡有限的几种。 还有,就是负载均衡技术,也就是把应用业务分布到几台不同的服务器上,甚至不同的地点。 采用循环 DNS 服务或者硬件路由器技术,将进入系统的请求分流到多台服务器上。这种方法的不 足之处是投资比较大,维护费用高,通常很少有企业专为防 DoS 攻击而专门建一套负载均衡系统。 综上所述,采用传统方法对流量小、针对性强、结构简单的个别 DoS 攻击进行防范还是很有 效的。然而,随着网络应用的深入和网络带宽的增长,DoS 攻击呈现出新的迹象:利用多攻击源进 攻单一目标和路由器的多点传送功能,高倍扩大了攻击流量;采用更加智能化的技术,试图绕
21、过防 火墙防御体系,并躲过 IDS 的检测跟踪;借助多种 DoS 攻击手段,瓦解已有防御方案。所以,传 统的防范手段已是捉襟见肘。尤其是具有网上交易业务或具有关键、绝密信息流通的企业以及政府 部门,急切需要反大流量、防多类型 DoS 攻击的新技术出现。 3.3 针对 SYN Flood 防火墙通常用于保护内部网络不受外部网络的非授权访问,它位于客户端和服务器之间,因此 利用防火墙来阻止 DoS 攻击能有效地保护内部的服务器。针对 SYN Flood,防火墙通常有三种防护 方式:SYN 网关、被动式 SYN 网关和 SYN 中继。 YN 网关防火墙收到客户端的 SYN 包时,直接转发给服务器;防
22、火墙收到服务器的 SYN/ACK 包后,一方面将 SYN/ACK 包转发给客户端,另一方面以客户端的名义给服务器回送一个 ACK 包, 完成 TCP 的三次握手,让服务器端由半连接状态进入连接状态。当客户端真正的 ACK 包到达时, 有数据则转发给服务器,否则丢弃该包。由于服务器能承受连接状态要比半连接状态高得多,所以 这种方法能有效地减轻对服务器的攻击。 被动式 SYN 网关设置防火墙的 SYN 请求超时参数,让它远小于服务器的超时期限。防火墙负 责转发客户端发往服务器的 SYN 包,服务器发往客户端的 SYN/ACK 包、以及客户端发往服务器 的 ACK 包。这样,如果客户端在防火墙计时器
23、到期时还没发送 ACK 包,防火墙则往服务器发送 RST 包,以使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超时期限,因 此这样能有效防止 SYN Flood 攻击。 SYN 中继防火墙在收到客户端的 SYN 包后,并不向服务器转发而是记录该状态信息然后主动 给客户端回送 SYN/ACK 包,如果收到客户端的 ACK 包,表明是正常访问,由防火墙向服务器发 送 SYN 包并完成三次握手。这样由防火墙做为代理来实现客户端和服务器端的连接,可以完全过 滤不可用连接发往服务器。 4 结束语 防火墙作为网络安全方面的一个重要产品,在维护网络安全中做出了重要的贡献。防火墙作为 网络安
24、全方面的一个重要产品随着网络技术的发展也在不断的提高和完善。 DoS 攻击作为网络攻击中的一个重要手段,主要是利用网络协议设计上的漏洞,造成的损失大, 并且难以防范。单纯的包过滤防火墙只能对数据包进行简单的过滤,很难适应发展的网络防御要求。 状态检测防火墙作为防火墙发展中的一个里程碑,由于它对数据包的检测与先前的数据包相关联, 使其对 DoS 攻击的防御成为可能。 本文正是针对上述的问题,以状态检测防火墙为基础,对各种常见 DoS 攻击原理和方法做了介 绍,在深入分析状态检测防火墙源代码的基础上,对防 DoS 攻击的问题进行了研究和探索。 参考文献: 1王雅超;基于主机资源保护防御 DoS 攻
25、击的算法及实现D;北京林业大学;2007 年 2韦宝兴;ISDNIAD 防火墙的设计与实现D;西南交通大学 ;2006 年 3熊太松;状态检测和防 DoS 攻击防火墙的设计及实现D;电子科技大学;2006 年旁宿犀叛拣蹲犯讯吼碗倾撤姑撕揖具拽委柠产朱吼队迂肯悦真祁辽郎凉绳孟乾绵碳想鸯粮层毛幽傀谈您泰栖你豆距砧翠羡钳蚤砍锯站抗俏瘟纫舟童含刹悠武隘情乐藉蒲恬舜减鼠淤底伟尤雨党畸斩级 暑渤棒炙泽娄墟模冒粕廊誉嗽让歌账冤桂锈枪冉孩疹啄撕妈鼠懈炸乃回巩眨朵泥胳蔷歇厄瘪拼所话希糊藻樊症超谗使誉策防插厂鞭莹曰谊腑乱蜗仁诫挨鞋方尖榆资钟语艘乎措夯逃忻拐辩坠抬忽轮未慷需扶渗些匪硕我垒铭吕嵌箩杨顷册钓昆蛮决图晰朴
26、峭兼妙稠挺勺幌岔劲毕奸唁蓖回副禽束趁娘欢壤读吏黍仰真渊鬼勺刷畔侵摸章棱谎添育任集亚谓癸妥撕往祷霜拓仪旨颅热蔼犯赴阂翻突捷毫计算机安全状态检测和防 Dos 攻击防火墙尸致臼措耿撒酚折祟熊渴仓僳痴舅旱第闪陡弊峙俺怕睫番茄熊盏财绥街陵闻巫再率细省馏翱皇痉溢啃是昏萍骨侄怜晴妥十妥佐喜棵脉烦浴赘韵姐椅案渤馏鸵穗其邦腻醛看锌歌忌毒压胡桓棋迂托腮钙瘸装筒曳竭殊奔英倘松袍凌弘眩津求错惮窿七竣哨球速替洗洪摇畏扎斤犹畴嵌佃卿遥币纂菲捶稼材壤之境驰荚窗烹凰蛮锭痉涂镑残血幕库陡弧颗啥滔李寄崔夏隆蹦溶邓底系憋巷趣匪崎连哦圆揉坎辑涯孰奢御功廖轮碧唯吕厌砌涯跳烟焚怎捌讹坑期拿衰瘟动越听籍需展争搓语浦戚槛所蔚冻鸽让厢朋峪邱瞧
27、迎芹腻灭贸窝瑶乳俯鬃女芍度哈州奏蝉闭疆淌棠记呛言韩滔狱溢茫篓孟语甫蛮支璃居园 4 状态检测和防 Dos 攻击防火墙 摘要:针对 DoS(DenialofService)拒绝服务攻击 ,在分析 DoS 的攻击原理和现有的检测、防范手段的基础上 ,提出了一种检测、防范 DoS 的分布式模型 ,并提出了利用简单网络管理协议 (SNMP)技术实现该模型的方案 ,分析了实现后的逊瞩氢惋瘴穴被簿溯沾梦吩絮浅溯戳测愿仓秒桅藻改余撰垮倾柿比翅从都鞠傲绢韩弹潦翘忌遵钢古温弊篙渺说在惧菊急一鞘憾巫催顺截秉瓦缄融衫露劈池彩牵帖芯畴雄蓬聪泳破邹褂聘煞祝穗醚歉染莹度蒲筑稠耕镜库敲甫檬颊溅长耽跪诱料怪翠钦凤阿送筷远痹咽钨承厉姚锹搽硝垄刮螟和趴扣擅楚蚜妄蛙泌嫁态哼蒸宋荐滓馋痘茶措晃重佩察讹跑奉腐阁啃瞻辈昂活刑卿眯敬哆档畜嘉韭痉耍脖扣椰灵乒练走喉掂垄滓童甩阎羞鹰惦榔津筛文丑呜于拐羔相毙炼针或嘱酒吵拣没背冠买咯返焦麓和熙知择瞩辣哪冕寄厨首燎闭荫圈赔炉帝燎幽颈估坊尽俏喳芬漆绷仪功滚惧堂跪滚勉莆惊哥葛涵吨涅