论文部分内容阅读
【摘要】 从下一代网络谈起,研究ipv4过渡ipv6时的网络状态中的拒绝服务攻击方法,深入分析了反弹全连接拒绝服务攻击(Reflection complete connection Denial of Service attack)在ipv6环境下攻击原理并创造性的提出了防护原理以及防护的试验过程。
【关键词】 ipv4过渡;ipv6;拒绝服务攻击;防护原理
一、前言
IPv6其设计的最初目的就是为了克服传统互联网的核心协议IPv4的不足之处。拒绝服务一直是困扰IPv4网络环境下的不可解决的问题,其中最经典的攻击是synflood攻击,它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤,客户端发送SYN包给服务器端,服务器分配一定的资源给这里连接并返回SYN/ACK包,并等待连接建立的最后的ACK包,最后客户端发送ACK报文,这样两者之间的连接建立起来,并可以通过连接传送数据。攻击的过程就是疯狂发送SYN报文,不返回ACK报文,服务器占用过多资源,导致系统资源占用过多,没有能力响应别的操作,或者不能响应正常的网络请求。
二、IPv4/v6过渡防护说明
由于从IPv4向IPv6的过渡需要一个相当长的过程,在此期间,必须保证IPv4和IPv6具有互操作性,互弥补性等,SOCKS协议是可用的功能最强大、应用最灵活、安全性较高的代理协议。另外,由于预留IP地址的使用,有地址耗尽的可能,这就使得使用这种机制的主机易于遭到拒绝服务攻击。
(一)拒绝服务Denial of servic
拒绝服务攻击(Dos)是指造成被攻击服务器或系统无法提供给合法用户服务的攻击方式。其主要的攻击方式有:(1)使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接;(2)使服务器的缓冲区溢满,无法接受新的请求,其攻击手法主要有利用TCP/IP协议进行的TCP Dos攻击。分布式拒绝服务攻击(DDoS)的基木原理与DoS相同,只是这种攻击是从成百上千个不同的IP地址发送,不同于DoS的仅仅只是从某个地址发出。分布式反射拒绝服务攻击(DRDoS)则是利用网上的无辜的主机作为攻击的跳板发送攻击数据流的一种分布式DoS,这种攻击方式就称之为反射。DRDoS攻击可以将攻击数据流放大,并且会使用多种攻击方式来阻止过滤检测,而且最大的特点是他发出的攻击包是完全合法完整。反弹代理拒绝服务攻击应用在Ipv4/v6网络过渡时期,后果是相当可怕的,它不但可以发出大量的反弹syn攻击,而且还可以产生大量合法的请求攻击,可以在一瞬间摧毁网络和服务器。
(二)过渡时期的网络体系
针对目前网络的状况,对于无法建立直接的纯IPv6通信链路采用“IPv6-in-IPv4”的隧道连接,否则采用纯的IPv6连接,其中核心路由器A和核心路由器B通过100M双模光缆构成的纯IPv6链路直接相连,核心路由器C则受限于物理信道目前采用隧道方式分别和路由器A和B连接。核心路由器A、B和C构成了试验床的一个环形的主干骨架(USTC IPv6 Test Bone)。核心路由器A、B和C分别通过隧道或者直接的IPv6链路与其他各的IPv6网络相连接。目前已经连接了12个子网。核心路由器和各子网网关都采用的是Linux操作系统,其内核版本为2.4.20;主干网上采用Linux平台下的GNU Zebra软件运行动态路由协议。
(三)过渡时期问题的提出
经过详细分析,发现几个关键性的问题:(1)整个网络的核心运行完全依靠核心路由器,只要核心路由器瘫痪,就代表整个网络的瘫痪。(2)当数据包经过ipv4网络到达ipv6网络的时候,通信链路进行转换,一旦有大量的攻击包出现,不管是路由器还是主机都会被拒绝服务所攻击。(3)启用隧道IPSEC进行通讯时,可以避免所有的伪地址的攻击,但是无法对全连接的真实代理地址进行防护。见不到虚假IP见不到特别大的流量,但服务器无法进行正常连接,无法提供合法的服务,其攻击基本原理就是攻击发起主机(attacker host)多次通过网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求,造成目标主机拒绝服务,这是一种很聪明的分布式拒绝服务攻击,与典型的分布式拒绝服务攻击不同,攻击者不需要去寻找大量的傀儡机代理服务器充当了这个角色,这种攻击不仅仅是在ipv4与ipv6过渡时期出现,就是在纯ipv6环境下也无法避免。黑客利用了SOCKS5 proxy或者SOCK4 proxy。这样attacker host通过socks proxy维持大量小流量连接占满target host应用层服务的连接数,造成拒绝服务。
(四)synack包处理
对于synack包,如果它的目的ip在synack_ip_array数组中,要在队列syn_queue_head记录的信息进行比较,如果能找到它的源ip源端口、目的ip目的端口与队列元素的目的ip目的端口、源ip源端口分别匹配的记录说明该包不是攻击包接受,否则是攻击包直接丢掉。
for(l=0;l {if(iph->daddr==synack_ip_array[l])//如果该数据包的目的ip是受到攻击的syn+ack包
{if(syn_queue_head->next!=syn_queue_head)
for(point=syn_ack_queue_head->next;point!=syn_ack _queue_head;point=point->next)//遍历syn请求信息队列{if((point->dip==iph->saddr)&&(point->dport= =tcph->sou rce)&&(point->sip==iph->daddr)&&(point-> sport==tcph->dest))//找到该ip有发出的syn请求正好与这个syn ack对应 那么才接受这个synack 包否则丢掉
{ return NF_ACCEPT;}}return NF_DROP;}
三、实验
针对反弹全连接拒绝服务攻击的特点通过反复大量的试验,依靠Linux2.6内核独立开发出一套适用于Ipv4/ipv6过渡时期的防护拒绝服务的构架系统,该程序整合与Linux系统内核最底层,随内核工作而工作,真正的做到了内核级防护物理驱动接口级防护的效果。首先看一下网络拓扑:
(一)测试试验硬件配置
(1)号计算机 CPU:P4 1.5G内存:512MB DDR 266(proxy s erver);(2)号计算机 CPU:P4 1.6G 内存:1024MB DDR 266(Attack); (3)号计算机 CPU:P4 2.8G 内存:512MB DDR 400(Att ack);(4)号计算机 联想 旭日150笔记本 CPU:讯弛 1.5内存 :512MB DDR 333 (Attack);(5)号计算机 CPU:P4 1.6G内存:256MB DDR 266(正常请求);(6)号交换机 型号 TP-Link 8口 智能型 普通10/100MB交换机;(7)号交换机 型号 D-Link1218F智能型16口二层交换机10/100MB交换机; (8)号防火墙设备标配1U机箱 CPU:P4 2.4内存:512 DDR 333网卡:主板集成Intel 10/100/1000 MB (4口);(9)号交换机1U机箱CPU:P4 2.4 512 内存 DDR 400 网卡集成:Intel10/100/1000 MB(6口);(10)号计算机 CPU:P4 2.8G 内存:256MB DDR 400 (WEBSERVER);(11)所有测试环境为纯100MB以太网络结构。
(二)测试所用操作系统
1-5号计算机均为 windows2000server sp4;8号计算机为防火墙设备内核linux 2.6.11;9号计算机为IPV6/IPV4过渡交换机起内核为 linux2.4.30;10号计算机为webserver 操作系统win2003server。
(三)测试方式
(1)采用典型的Syn flood模式;(2)反弹全连接拒绝服务攻击。经过分析数据得出结论如下:采用典型的Syn flood模式攻击,2-5号计算机同时发大量的syn拒绝服务攻击包,其防火墙的使用状态剩余为87%,攻击包没有通过。采用反弹全连接拒绝服务攻击,2-5号计算机同时连接proxy后发送请求包开始攻击,其防火墙的使用状态剩余为94%,攻击包没有通过。分析ipv4/ipv6交换机查看其交换机使用率为零,从而更加确定了攻击数据包没有通过防火墙,保证了webserver服务器的安全,同时也保证了交换机和过渡网络的安全。
四、结论
本文所提出的各种攻击防护方法和论证方式都是在linux下试验,加载道系统驱动模块数据链路层中,当攻击包到达网卡就已经开始启动抗攻击模块所以起防护效果都达到了预期保护主机乃至整个过渡时期网络的目的,其目前采用独立研发的防护算法,防护效果也是较为领先,其不足之处为要受到硬件条件的约束,硬件配置越高其防护效果越好,否则效果反之。
参考文献
[1]张晓玲.《基于Linux主机IPv6防火墙的设计与实现》.天津工业大学出版社,2004
[2]《Securing IPv6 Neighbor and Router Discovery》.New York:ACM Press,2002
[3]李津生.《下一代Internet的网络技术》.人民邮电出版社,2001
[4]博嘉科技.《Linux防火墙技术探密》.国防工业出版社,2002
【关键词】 ipv4过渡;ipv6;拒绝服务攻击;防护原理
一、前言
IPv6其设计的最初目的就是为了克服传统互联网的核心协议IPv4的不足之处。拒绝服务一直是困扰IPv4网络环境下的不可解决的问题,其中最经典的攻击是synflood攻击,它利用TCP/IP协议的漏洞完成攻击。通常一次TCP连接的建立包括3个步骤,客户端发送SYN包给服务器端,服务器分配一定的资源给这里连接并返回SYN/ACK包,并等待连接建立的最后的ACK包,最后客户端发送ACK报文,这样两者之间的连接建立起来,并可以通过连接传送数据。攻击的过程就是疯狂发送SYN报文,不返回ACK报文,服务器占用过多资源,导致系统资源占用过多,没有能力响应别的操作,或者不能响应正常的网络请求。
二、IPv4/v6过渡防护说明
由于从IPv4向IPv6的过渡需要一个相当长的过程,在此期间,必须保证IPv4和IPv6具有互操作性,互弥补性等,SOCKS协议是可用的功能最强大、应用最灵活、安全性较高的代理协议。另外,由于预留IP地址的使用,有地址耗尽的可能,这就使得使用这种机制的主机易于遭到拒绝服务攻击。
(一)拒绝服务Denial of servic
拒绝服务攻击(Dos)是指造成被攻击服务器或系统无法提供给合法用户服务的攻击方式。其主要的攻击方式有:(1)使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接;(2)使服务器的缓冲区溢满,无法接受新的请求,其攻击手法主要有利用TCP/IP协议进行的TCP Dos攻击。分布式拒绝服务攻击(DDoS)的基木原理与DoS相同,只是这种攻击是从成百上千个不同的IP地址发送,不同于DoS的仅仅只是从某个地址发出。分布式反射拒绝服务攻击(DRDoS)则是利用网上的无辜的主机作为攻击的跳板发送攻击数据流的一种分布式DoS,这种攻击方式就称之为反射。DRDoS攻击可以将攻击数据流放大,并且会使用多种攻击方式来阻止过滤检测,而且最大的特点是他发出的攻击包是完全合法完整。反弹代理拒绝服务攻击应用在Ipv4/v6网络过渡时期,后果是相当可怕的,它不但可以发出大量的反弹syn攻击,而且还可以产生大量合法的请求攻击,可以在一瞬间摧毁网络和服务器。
(二)过渡时期的网络体系
针对目前网络的状况,对于无法建立直接的纯IPv6通信链路采用“IPv6-in-IPv4”的隧道连接,否则采用纯的IPv6连接,其中核心路由器A和核心路由器B通过100M双模光缆构成的纯IPv6链路直接相连,核心路由器C则受限于物理信道目前采用隧道方式分别和路由器A和B连接。核心路由器A、B和C构成了试验床的一个环形的主干骨架(USTC IPv6 Test Bone)。核心路由器A、B和C分别通过隧道或者直接的IPv6链路与其他各的IPv6网络相连接。目前已经连接了12个子网。核心路由器和各子网网关都采用的是Linux操作系统,其内核版本为2.4.20;主干网上采用Linux平台下的GNU Zebra软件运行动态路由协议。
(三)过渡时期问题的提出
经过详细分析,发现几个关键性的问题:(1)整个网络的核心运行完全依靠核心路由器,只要核心路由器瘫痪,就代表整个网络的瘫痪。(2)当数据包经过ipv4网络到达ipv6网络的时候,通信链路进行转换,一旦有大量的攻击包出现,不管是路由器还是主机都会被拒绝服务所攻击。(3)启用隧道IPSEC进行通讯时,可以避免所有的伪地址的攻击,但是无法对全连接的真实代理地址进行防护。见不到虚假IP见不到特别大的流量,但服务器无法进行正常连接,无法提供合法的服务,其攻击基本原理就是攻击发起主机(attacker host)多次通过网络中的HTTP代理服务器(HTTP proxy) 向目标主机(target host) 上开销比较大的CGI页面发起HTTP请求,造成目标主机拒绝服务,这是一种很聪明的分布式拒绝服务攻击,与典型的分布式拒绝服务攻击不同,攻击者不需要去寻找大量的傀儡机代理服务器充当了这个角色,这种攻击不仅仅是在ipv4与ipv6过渡时期出现,就是在纯ipv6环境下也无法避免。黑客利用了SOCKS5 proxy或者SOCK4 proxy。这样attacker host通过socks proxy维持大量小流量连接占满target host应用层服务的连接数,造成拒绝服务。
(四)synack包处理
对于synack包,如果它的目的ip在synack_ip_array数组中,要在队列syn_queue_head记录的信息进行比较,如果能找到它的源ip源端口、目的ip目的端口与队列元素的目的ip目的端口、源ip源端口分别匹配的记录说明该包不是攻击包接受,否则是攻击包直接丢掉。
for(l=0;l
{if(syn_queue_head->next!=syn_queue_head)
for(point=syn_ack_queue_head->next;point!=syn_ack _queue_head;point=point->next)//遍历syn请求信息队列{if((point->dip==iph->saddr)&&(point->dport= =tcph->sou rce)&&(point->sip==iph->daddr)&&(point-> sport==tcph->dest))//找到该ip有发出的syn请求正好与这个syn ack对应 那么才接受这个synack 包否则丢掉
{ return NF_ACCEPT;}}return NF_DROP;}
三、实验
针对反弹全连接拒绝服务攻击的特点通过反复大量的试验,依靠Linux2.6内核独立开发出一套适用于Ipv4/ipv6过渡时期的防护拒绝服务的构架系统,该程序整合与Linux系统内核最底层,随内核工作而工作,真正的做到了内核级防护物理驱动接口级防护的效果。首先看一下网络拓扑:
(一)测试试验硬件配置
(1)号计算机 CPU:P4 1.5G内存:512MB DDR 266(proxy s erver);(2)号计算机 CPU:P4 1.6G 内存:1024MB DDR 266(Attack); (3)号计算机 CPU:P4 2.8G 内存:512MB DDR 400(Att ack);(4)号计算机 联想 旭日150笔记本 CPU:讯弛 1.5内存 :512MB DDR 333 (Attack);(5)号计算机 CPU:P4 1.6G内存:256MB DDR 266(正常请求);(6)号交换机 型号 TP-Link 8口 智能型 普通10/100MB交换机;(7)号交换机 型号 D-Link1218F智能型16口二层交换机10/100MB交换机; (8)号防火墙设备标配1U机箱 CPU:P4 2.4内存:512 DDR 333网卡:主板集成Intel 10/100/1000 MB (4口);(9)号交换机1U机箱CPU:P4 2.4 512 内存 DDR 400 网卡集成:Intel10/100/1000 MB(6口);(10)号计算机 CPU:P4 2.8G 内存:256MB DDR 400 (WEBSERVER);(11)所有测试环境为纯100MB以太网络结构。
(二)测试所用操作系统
1-5号计算机均为 windows2000server sp4;8号计算机为防火墙设备内核linux 2.6.11;9号计算机为IPV6/IPV4过渡交换机起内核为 linux2.4.30;10号计算机为webserver 操作系统win2003server。
(三)测试方式
(1)采用典型的Syn flood模式;(2)反弹全连接拒绝服务攻击。经过分析数据得出结论如下:采用典型的Syn flood模式攻击,2-5号计算机同时发大量的syn拒绝服务攻击包,其防火墙的使用状态剩余为87%,攻击包没有通过。采用反弹全连接拒绝服务攻击,2-5号计算机同时连接proxy后发送请求包开始攻击,其防火墙的使用状态剩余为94%,攻击包没有通过。分析ipv4/ipv6交换机查看其交换机使用率为零,从而更加确定了攻击数据包没有通过防火墙,保证了webserver服务器的安全,同时也保证了交换机和过渡网络的安全。
四、结论
本文所提出的各种攻击防护方法和论证方式都是在linux下试验,加载道系统驱动模块数据链路层中,当攻击包到达网卡就已经开始启动抗攻击模块所以起防护效果都达到了预期保护主机乃至整个过渡时期网络的目的,其目前采用独立研发的防护算法,防护效果也是较为领先,其不足之处为要受到硬件条件的约束,硬件配置越高其防护效果越好,否则效果反之。
参考文献
[1]张晓玲.《基于Linux主机IPv6防火墙的设计与实现》.天津工业大学出版社,2004
[2]《Securing IPv6 Neighbor and Router Discovery》.New York:ACM Press,2002
[3]李津生.《下一代Internet的网络技术》.人民邮电出版社,2001
[4]博嘉科技.《Linux防火墙技术探密》.国防工业出版社,2002