（信号与信息处理专业论文）ip网络异常流量检测技术的研究与实现.pdf

北京邮f 乜大掌f 弧l 学位论文摘要 i p 网络异常流量检测技术的研究与实现 摘要 随着i p 网络越来越多的承载各种关键业务，如语音业务、电子 商务、电子政务等，它们对于运营商网络的承载能力，业务质量保证 以及网络安全保证提出了更高的要求。运营商网络上的各种d o s d d o s 攻击流量，蠕虫病毒流量直接威胁着构成网络的各种基础设施和客户 可获得的网络服务。对网络上的各种异常流量进行监视、分析与控制 已经成为运营商日常网络运维的一项重要工作。本文探讨了i p 网络 异常流量检测技术以及防御、控制策略，用以保护运营商网络基础设 施及其客户。 目前的异常流量检测技术主要分为特征检测和异常检测两个大 的类别。其中特征检测的方式，根据异常流量的数据报文中的特征字 进行检测，主要采用模式匹配的算法，b - m 算法和基于此算法的各种 改进算法使用最为广泛，效率较高，为了更加合理的进行模式匹配， 采用报文重组技术对i p 分片进行重组一种通用手段。本文对模式匹 配检测方式的实现原理进行了分析。 异常检测方式本意是通过流量建模的方式，对网络正常流量采用 组特征参数进行描述，建立正常的流量模式，然后对网络流量进行 实时测量，提取当前特征参数，通过比较当前状态与正常状态的偏离 程度来进行异常流预警检测。虽然对于异常检测技术的研究已经发展 了很对年，一直没有特别有效的方式来建立网络的流量模式，特征参 数的选取也是多种多样，本文在这方面进行了些总结与简化的尝 试。 本文首先介绍了d o s d d o s 、蠕虫病毒等常见的网络异常流量产 生的原理、流量特征及其可能带来的各种危害；接着介绍了各种网络 异常流量监视与检测技术；然后介绍了笔者在网络流量监视与分析系 统研发中对异常流量检测技术的应用与实践；最后对于网络异常流量 的防御与控制策略进行总结。 关键词：异常流量网络攻击拒绝服务分布式拒绝服务 流量监视流量分析入侵检测 北京邮f 乜大学珂 卜学位论文 i 乇e s e a r c ha n di m 口l e m 暖n t a i o no fa n o m a l y t r a f f i cd e t e c t i o no ni pn e t w o r k a b s t r a c t t o d a y m o r ea n dm o r et r a d i t i o n a lc r i t i c a ls e r v i c e sh a v eb e e n p r o v i d e do n t h ei pn e t w o r k ，s u c ha sv o i p ，e l e c t r o n i cb u s i n e s s ，e l e c t r o n i c g o v e r n m e n ta n de t c t h e r e q u i r e m e n t s o fq u a l i t yo fs e r v i c e ( q o s ) 、 b a n d w i d t ha b i l i t y 、s e c u r i t yi s s u e sf o ri pn e t w o r kb e c o m e e m e r g e n t a l l k i n d so fd o s d d o st r a f f i ca n dw o r l t i st r a f f i co nt h ei s pn e t w o r kh a v e g r e a tt h r e a t sa n di m p a c t so nt h en e t w o r ki n f r a s t r u c t u r ea n dt h ep r o v i d e d s e r v i c e s a n o m a l y t r a f f i cd e t e c t i o n ，a n a l y z i n ga n dc o n t r o li sa n i m p o r t a n t a n dd i f f i c u k j o bi nt h ei s pd a l l yn e t w o r ko p e r a t i o n c o m m o n l ys p e a k i n g , t h e r ea r et w oc l a s s e sk i n do fa n o m a l yt r a f f i c d e t e c t i o nt e c h n o l o g i e s o n ei sp a t t e mm a t c h i n ga n dt h eo t h e ri sa n o m a l y d e t e c t i o n p a t t e mm a t c h i n gi sm o r e p r e c i s ew h i l ei tc a no n l yp r o c e s st h e t r a f f i cw h i c hs p e c i a lk e ys t r i n gh a v eb e e nd e t e c t e d a n o m a l yd e t e c t i o n m e t h o dc a nd e a lw i t ht h eu n k n o w na n o m a l yt r a f f i cw h i l ei ti sn o ts o p r e c i s ey e t p a a e mm a t c h i n gd e t e c t i o nh a sb e e nw i d e l yu s e ds i n c e i t s i m p l e t o i m p l e m e n ta n dd e p l o y m e n t a n o m a l y d e t e c t i o nh a sb e e n s t u d i e ds e v e r a ly e a r sa n dl e s s w i d e l yu s e db e c a u s e ：i t i sd i f f i c u l tt o c o n s t r u c tt h en o r m a lt r a f f i cp a a e m w eh a v ed i s c u s sa n da n a l y s i sb o t h c l a s s e so f m e t h o d s i nt h i sp a p e r ，w ed i s c u s st h ea n o m a l yt r a f f i cd e t e c t i o n ，p r e v e n t i o n a n dc o n t r o lt e c h n o l o g i e st op r o t e c tt h ei s pn e t w o r ka n dt h e i rc u s t o m e r a n dt h ei m p l e m e n t a t i o no ft h et e c h n o l o g i e si nat r a f f i cm o n i t o r i n ga n d a n a l y z i n gs y s t e m o u rf u r t h e rw o r ki n c l u d ec o n s t r u c t i n gn o r m a lt r a f f i c p a t t e r nf o rs u b n e t sa n dh o s t s ，a n o m a l y t r a f f i cd e t e c t i o nb yt r a f f i cp a t t e r n ， c o r r e l a t i o na n a l y z i n gf l o wi n f o r m a t i o nf r o md i s t r i b u t e dp r o b e s k e yw o r d s a n o m a l yt r a f f i c ，n e t w o r ka t t a c k , d o s d d o s ， t r a f f i cm o n i t o r i n g ，t r a f f i c a n a l y s i s ，i d s 声明 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：盗日期：丛。；尘 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位论文不属于保密范围，适用本授权书。 本人签名 导师签名： 司竞一隰塑! 垫 日期泣誓竺竺： 北京曲【也大学硕j 一学位论文第一章爿i 论 第一章绪论 所疆异常漉量，从字面意思季，就是菲正常流量。也就是说。不属于网络殿 务正常范围内的流量，都可以称为异常流量。比如说：网络攻击流量、网络病毒 流量、垃圾邮件流量、非法的服务流量( 例如非法进行v o i p 运营) 等。不同的异 常流量有不同的检测方法和分析方法，本文后面的异常流量暂时指笔者所研究过 的网络攻击流量和网络病毒流量，主要是与网络安全状况相关的异常流量。 据风险管理公司m i 2 9 目前公布的调查结果显示，在剧刚过去的2 0 0 4 年，病 毒、蠕虫和特洛伊木马等恶意程序共给全球造成了1 6 9 0 亿美元的经济损失，为 2 0 0 3 年2 倍，全球2 0 0 多个国家的w i n d o w s 系统均遭到恶意程序攻击，其中排 在前十位的恶意程序分别为m y d o o m 、n e t s k y 、s o n g 、k 1 e z 、s a s s e r 、m i m i a l 、 y a h a 、s w e n 、l o v e b u g 和b a g l e 。 2 0 0 5 年】月2 1 日1 8 点8 8 4 8 网站发现首页糟到攻击，经技术人员分析发现， 此i 女击行为为d d o s 攻击几千万个百度搜索联盟成员的i p 地址短时间内同时 访问8 8 4 8 网站，造成堵塞，正常用户无法访问网站。据8 8 4 8 相关人员提供数据， 每天损失3 0 0 5 0 0 万营业额。 从以上实例可以看出网络攻击和病毒流对网络用户造成的损失是巨大的。 另一方面对于网络运营商来说蠕虫病毒爆发时，网络极度拥塞，带宽资源被 病毒流占用，弼络设施不堪重荷，局韶几迓瘫痪，无法为客户提供正鬻静溺络业 务。 因此，对于异常流量检测技术及防御控制策略的研究日益紧迫。 过去的几年，各种网络安全设备和路由器等基础设备不同程度的提供了部分 异常流量检测的功能，但不够完善，主要体现在对于未知特征异常流量的防御和 检测链力弱，网络对流量导常的承受耗力弱，缺乏统一的流量安全管理。 国外的研究机构和厂商在异常流量检测上提出了一些方法，国内相对滞后。 基于以上诸点考虑，对各种异常流量检测技术资料进行学习与分析，总结成文， 利于借鉴。 利用对开源软件中异常流量检测功能实现原理的分析，搭建简单的实验平台 对其功能进行验证，掌握了部分设计思路。 在宽广电信流量监视与分析系统中，进行异常流量检测功能开发的尝试，遇 到了一些实际的问题，加深了对课题的理解。 在学习与研究网络异常流量检测的各种技术和在网络流量监视与分析系统 北京邮【u 大学硕士学位论文第二章d o s d d o s 攻击异常流量 项目实践的基础上完成本文，着重介绍各种检测技术并进行对比，同时对异常流 量的防御与控制策略进行总结，并指出后续还应该深入研究的问题。 论文后续展开如下：第二章介绍了d o s d d o s 攻击的常见类型、攻击原理、 流量特点及检测技术；第三章论述了蠕虫病毒的传播、攻击原理、流量特点及检 测技术；第四章介绍了笔者在研究网络异常流量检测技术时使用与分析的一个升 源网络入侵检测系统s n o r t 及其异常流量检测功能实现原理；第五章论述了异常 流量检测技术在网络流量监视与分析系统中的应用与软件实现；第六章对网络异 常流量的防御与控制策略进行总结；第七章作为论文的结束部分提出了后续还应 开展的工作。 北京邮i n 大学硕士学位论文第二章d o s d d o s 攻击异常流量 第二章d o s d d o s 攻击流量 拒绝服务攻击( d e n i a lo fs e r v i c e ) 广义上讲就是让目标机或者是整个网 络停止提供服务或者资源访问。它可以是攻击的手段也可以是攻击的目的，当黑 客想控制一台机器时前奏往往就是拒绝服务攻击。随着人们对网络的依赖越来越 大，耗尽网络资源、攻破服务器、使别人无法正常使用网络，已经成为拒绝服务 攻击的主要目的。 网络上各种d o s d d o $ 攻击形式多种多样，按攻击的目标可以将攻击分为列操 作系统的攻击、对应用软件的攻击以及对某个网络的攻击。从攻击的手段来分大 体上可以分为逻辑性攻击和资源消耗型攻击两类。逻辑性攻击通常是通过网络协 议本身的漏洞，或者实现网络协议软件的漏洞来进行攻击，这种攻击通常非常隐 蔽，而且不容易实施，需要网络高手进行精心的设计。资源消耗型攻击是以消耗 网络服务器资源或者网络本身的资源为手段，使得网络服务不可获取，或服务性 能急剧下降的攻击方式。从攻击的步骤来讲又分为目标探测和信息攫取、初始探 访、特权升级和掩盖行踪。一次成功的攻击往往是多种攻击方式联合实施的结果。 d o s d d o s 攻击的种类有上千种，网络上各种攻击工具可以随意下载，门槛 极低，攻击活动更是时有发生。本章着重介绍了各种d o s 叻o s 攻击类型和攻击方 式，着重介绍了攻击流量的检测技术。 2 1d o s d d o s 攻击类型 t c p i p 一类的网络互联协议最初是按照在开放和彼此信任的群体中使用来 设计的，在当前现实环境中表现出内在的缺陷。许多操作系统和网络设备的网络 协议栈软件在实现时方式各异，存在一些内在的漏洞。利用这些弱点，常见的 d o s 攻击主要有以下几种类型： ( 1 ) 带宽耗用型( b a n d w i d t h c o n s u m p t i o n ) 其本质就是攻击者消耗掉通达某个网络的所有可用带宽。这种攻击有两种基 本情形： 攻击者因为有更多的可用带宽而造成受害者网络的拥塞。例如用t 1 ( 1 5 4 4 m b p s ) 或更快网络连接造成5 6 k b p s 或1 2 8 k b p s 网络链路的拥塞。 攻击者通过征用多个站点集中拥塞受害者的网络连接来放大他们的d o s 攻 击效果。中美红客大战就是这样的一个例子。 北隶郝电火学硕二 ：学位论盅= 第二章d o s d d o s 攻击异常流量 ( 2 ) 资源衰竭型 资源衰竭( r e s o u r c e s t a r v a t i o n ) 攻击与带宽耗用攻击的差异在于前者集中于 系统资源而不是网络资源的消耗。一般地说，它涉及诸如c p u 莉用率、内存、 文件系统限额和系统进程总数之类系统资源的消耗。攻击者往往拥有一定数量系 统资源的合法访问权。然而他们会滥用这种访问权消耗额外的资源。这么一来， 系统或合法用户被剥夺了原来享有的资源份额。资源衰竭d o s 攻击通常会造成 系统崩溃、文件系统变满或进程被挂起等后果。 ( 3 ) 编程缺陷 编程缺陷( p r o g r a m m i n gf l a w ) 是应用程序、操作系统或嵌入式逻辑芯片在 处理异常事件上的失败。这些异常事件通常在用户向脆弱的元素发送非期望的数 据时发生。攻击者经常向目标系统发送离奇的、非r f c 相容的分组来确定其网 络协议栈是否会处理这种异常。对于依赖用户输入的特定应用程序来说，攻击者 可能发送数千行长度的大数据串，如果该程序使用了固定长度的缓冲区( 譬如说 1 2 8 字节) ，攻击者就有可能创建一个缓冲区溢出条件而导致其崩溃。嵌入式逻 辑芯片中的编程缺陷实例也比较常见。恶名远扬的p e n t i u m f 0 0 f d o s 攻击允许用 户模式的进程通过执行无效指令0 x f 0 0 f e 7 c 8 导致关键应用程序和敏感系统的崩 溃。 ( 4 ) 路由和d n s 攻击 基于路由的d o s 攻击涉及攻击者操纵路由表项以拒绝对合法系统或网络提 供服务。诸如路由信息协议( r i p ) v l 和边界网关协议( b g p ) v 4 之类较早版本 的路由协议没有或只有很弱的认证机制。这给攻击者交换合法路径提供了良好的 前提，它们往往通过假冒源i p 地址就能创建d o s 条件。这种攻击的后果是本应 去往受害者网络的分组被改为经由攻击者的网络路由。 基于域名系统( d n s ) 的攻击跟基于路由的攻击一样让人烦恼。大多数d n s 攻击涉及劝服受害者域名服务器将虚假的地址信息存到高速缓存。这样当合法用 户请求某台d n s 服务器执行查找请求时，攻击者把它们重定向到自己喜欢的站 点上。 2 2d o s d d o s 攻击手段 2 2 1 通用d o s 攻击手段 有些d o s 攻击有能力影响许多不同类型的系统，我们称它们为通用的d o s 攻击。一般地说，这些攻击归属于带宽耗用和资源衰竭类型。下面分几种类型介 绍 北京邮j 乜人学硕士学位论文第二章d o s d d o s 攻击异常流盘 1 直接f ! o o d i n g 攻击 最简单的拒绝服务攻击形式就是直接泛洪攻击。该种情况下攻击者直接向受 害者机器发送数据包。攻击晌，数据报文的源地址可以是伪造的。已经有很多种 工具可以用来发起这种攻击，它们采用不同协议的数据报文进行攻击。这些工具 有s t r e a m 2 、s y n h o s e ，s y n k 7 、s y n s e n d 和h p i n 9 2 。这种攻击的原理和流量特点可以 从下图看出，攻击者每发送一个报文，受攻者将会接收和处理一个报文，因此欲 使攻击生效，通常攻击者都会在短时间发送大量报文，网络流量上呈现突发增长 的特点。 a l 【a c k e r 2 0 0 x x 1 图2 1 直接f l o o d i n g 攻击 2 反射式泛洪攻击 反射式攻击通常都是攻击者伪造一个数据包，该数据包的源i p 地址为受害 者的i p 地址，然后将报文发送给一个中间节点。当中间节点回复数据包( 一个或 者多个) 时，回复的数据包就被发送给受攻主机了，通过这种方式对受攻者进行 攻击。根据攻击使用的协议不同以及攻击工具的不同，反射的放大因子的值从三 到上百或者更多。这样攻击方式有如下的特点： 隐蔽性高受攻者收到的攻击报文不是直接从攻击者发出的，丙是由中间结点发 出的，因此普通的反向追踪方式很难发现实际的攻击者。很多时候这些中间结点 都是一些知名或公共的服务器，如w w w a m a z o n c o r l a ，w w w c r t n c o r c ，管理员不 可能封掉对这些服务器地址的访问来避免受攻，而只能封掉受攻的主机，不管采 用哪种方式都会造成服务不可获得。 强度大通过反射方式通常可以达到轻松产生大量攻击报文的效果。 该攻击方式的原理示意如图2 - 2 所示 北京邮电大学硕士学位论文第二章d o s , d d o s 攻击异常流蚕 a t i a c k e f 2 0 0 xx 1 a t a c k e r 2 0 0 xx2 图2 2 反射式t c ps y n 泛洪攻击 3 分布式拒绝服务攻击( d d o s ) d d o s 的英文全称为d i s t r i b u t e dd e n i a lo fs e r v i c e ，它是一种基于d o s 的特殊 形式的拒绝服务攻击，是一静分布、协作的大规模攻击方式，利用很多傀儡机来 发起进攻，以比从前更大的规模来进攻受害者，并主要瞄准比较大的站点：像商 业公司、搜索引擎和政府部门的站点。d d o s 的攻击运行原理如图2 - 3 所示： 图2 - 3d d o s 的攻击运行原理 如图2 3 所示一个比较完善的d d o s 攻击体系分成四大部分。最重要的是第 2 和第3 部分，它们分别用做控制和实际发起攻击。对第4 部分的受害者来说， d d o s 的实际攻击包是从第3 部分攻击傀儡机上发出的，第2 部分的控制机只发 布命令而不参与实际的攻击。对第2 和第3 部分的计算机，黑客有控制权或者是 部分的控制权，并把相应的d d o s 程序上传到这些平台上。这些程序与正常的程 1 0 北京邮电大学硕l 学位论文第二章d o s d d o s 攻击异常流量 序一样运行并等待来自黑客的指令，通常它还会利用各种手段隐藏自己不被别人 发现。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控 制，并发出指令的时候，傀儡机就成为害人者去发起攻击了。 攻击者最常用的分布式拒绝服务攻击工具有t r i n 0 0 ，t f n ，t f n 2 k ， s t a c h e l d r a h t 四种。分布式攻击系统基于c l i e n t s e r v e r 模型体系。在典型的分布攻 击系统中，一般由一个攻击者控制一个或几个m a s t e r ，再由其控制大量分布的 d a e m o n ，d a e m o n 直接向受害节点发洪水包或实施其他攻击。 t f n 有客户端和服务器端组件，允许攻击者安装服务器程序至远程的被攻陷的 系统上，然后在客户端上使用简单的命令，就可以发起完整的分布式拒绝 服务攻击。可用的t f n 攻击的类型有i c m p 、s m u r f 、u d p 、s y nf l o o d 。 除了攻击组件外，t f n 还允许将一个r o o ts h e l l 和t c p 端口绑定。 t f n 2 k 是t f n 的后续版本。它向目的主机上随机的端口发送报文，以绕过边界 路由器上端口阻挡的防护措施。还可以进行加密，以绕过i d s 软件的保护。 t r i n 0 0 的工作方式也是通过一个远程控制程序( 客户端) 和主控( m a s t e r ) 通信， 指挥守护进程( 服务器程序) 发动攻击。它可以在很多节点对受害节点发 动协同的u d p 洪水攻击。在守护进程编译时，m a s t e r 的i p 地址编入程序。 守护进程一旦安装运行，将向m a s t e r 的3 1 3 3 5 端口发送包含数据* h e l l o * 的u d p 包注册自己。攻击者通过t e l n e t 或n e t c a t 等程序连接m a s t e r 的2 7 6 6 5 端口，指令m a s t e r 向某一个或多个i p 地址节点发动攻击；m a s t e r 将以u d p 包的形式向守护进程的2 7 4 4 4 端口发送命令，由守护进程实施直接的攻击。 s t a c h e l d r a h t 汇集了t r i n 0 0 与t f n 之功能，并在主控与被控之间的t e l n e t 会话 进行加密，从而骗过入侵检测系统。和t f n 类似，s t a c h e l d r a h t 攻击也与 i c m p 、s m u r f 、u d p 、s y nf l o o d 之类的攻击联系在一起，其服务器与客户 端之间的通信是t c p 和i c m p 分组的组合。 分布式拒绝服务攻击发生时，流量上呈现多台主机向一台主机发送大量报文 的特点，通常报文具有相同的格式，固定长度，采用相同的协议，这也是对其进 行发现、过滤的依据之一。 22 2 利用协议漏洞攻击 目前大多数d o s 条件与i p 协议栈和特定厂家实现中的编程缺陷相关联。 远程d o s 攻击中大多数背后的原理就是向目标系统发送一个特定的分组或分组 序列，以此发掘相应的编程缺陷。目标系统接收这些分组的后果可以从不正确地 处理这些分组到造成整个系统的崩溃之间变动。 t e a r d r o p 攻击( 常用工具t e a r d m p cb o i n k cb o n k c ) ，l a n d 攻击，i g m p 碎片 北京邮屯大学硕士学位论文 第二章d o s d d o s 攻击异常流蓝 包攻击，j o l t 攻击，c i s c o2 6 0 0 路由器l o s v e r s i o n1 2 o ( 1 0 ) 远程拒绝服务攻击等等， 都是利用了被攻击软件实现上的缺陷完成d o s 攻击的。这些攻击工具向被攻击 系统发送特定类型的一个或多个报文，攻击通常都是致命的，很多攻击伪造源地 址，所以即使通过i d s 或者别的s n i f f e r 软件记录到攻击报文也很难找到攻击的 发动者。下面举例说明： 1 利用带有u n i c o d e 转换功能i i s 服务器存在的漏洞进行攻击 g e t s c r i p t s c o a f w i n n t s y s t e m 3 2 c m d e x e ? c + d i r g e t s c r i p t s c 1 9 c w i n n t s y s t e m 3 2 c m d e x e ? c + d i r n s n 务器错误的翻译上面的u r j ( u n i f o r m r e s o u r c e i d e n t i f i e r s ) ，将高亮的u t f 8 编 码字符串翻译为”，矛口“n 实际上这里的u t f 8 字符串是超过规定长度的，如果 处理程序处理的u t f 8 字串过长，则会产生异常，攻击者将获得远程使用c m d e x e 的权限。 2 ，t i n yf r a g m e n tt c p 的分段攻击 该攻击是指通过恶意操作，发送极小的分片来绕过包过滤系统或者入侵检测 系统。攻击者通过恶意操作，可将t c p 报头( 通常为2 0 字节) 分布在2 个分片中， 这样来，目的端口号可以包含在第二个分片中。对于包过滤设备或者入侵检测 系统来说，首先通过判断目的端口号来采取允许禁止措施，但是由于通过恶意 分片使目的端口号位于第二个分片中，因此包过滤设备通过判断第一个分片，决 定后续的分片是否允许通过。但是这些分片在目标主机上进行重组之后将形成各 种攻击，通过这种方法可以迂回一些入侵检测系统及一些安全过滤系统。目前一 些智能的包过滤设备直接丢掉报头中未包含端口信息的分片，或者采取对分片进 行重组的方式进行检测。 2 3 对运营商网络基础设施的攻击 对于运营商网络基础结构的攻击通常会造成极大的危害，它可能够导致个 区域或者整个网络的不可运营，或者服务质量严重下降。例如，对于i n t e m e t 根 域名服务器的攻击将会影响到几乎所有需要通过顶级域名服务器进行主机名到 i p 地址转换的应用与服务。 网络上的流量基本上可以分为三个平面的流量：数据平面、控制平面、管理 平面。数据平面包括通过路由器转发的正常的业务数据报文。控制平面包括使路 由器正常工作的路由协议。管理平面对各网元进行管理的各种协议。 北京邮l 乜人学硕i 学位论文第二章d o s d d o s 攻击异常流篮 其中控制平面和管理平面的报文直接交送给路由器或其它网元的处理器进 行处理，数据平面的报文由路由器直接转发。由于路由器的处理资源有限，因此 能够处理的数据有限，这就为网络攻击提供了机客。 1 控制平面的攻击 控制平面的攻击直接对网络控制平面各网元进行，如路由器、交换机。 动态路由协议b g p 、o s p f 和e i g r p 是常见的攻击对象。这些源于t c p i p 的协议设计指出没有考虑过安全方面的因素，因而存在的漏洞较多，容易受到攻 击。 对于使用n a t n a p t 设备的企业或者运营商来说，大量的伪造i p 地址的 d o s d d o s 攻击使得设备的地址资源很快耗尽无法对正常用户提供服务。 ! 管理平面的攻击 管理平面为网络管理员提供设景与管理各种网络单元的手段。网络远程管理 时可能用到如t e l n e t 、h t t p 、s n m p 、t f t p 的协议，这些协议是很容易被攻 击的，一旦被攻破，攻击者获得对所有网元的操作管理权，后果严重。 3 对网络基础服务的攻击 由运营商提供的基础服务包括d n s 域名服务，r a d i u s 认证与计费服务， 对这些服务的攻击将会导致网络基础服务不可获得。 随着网络融合的发展，传统的语音业务由i p 网络进行承载。话音网络中的 各种信令在开放的l p 网络上也逐渐成为人们攻击的对象，为提供v o l p 而增加的 各种网元如v o i p 的网关、网守，各种网络接入服务器( n a s ) ，都应该进行安全方 面的设计，以保证网络服务的正常提供。 24i ) o s d d o s 攻击流量的检测技术 1 基于特征的d o s d d o s 异常流量检测技术 所谓基于特征的异常流量检测就是对于已知的各种异常流量特征建立 一个数据中心。当新的流量到来时，将新的流量与这些特征进行匹配，如果 发现新的流量中含有已知的异常特征，则判定为异常流。具体说来，就是对 数据包的内容进行检查，与已知的特征字符串进行比较，检查数据包内容中 是否含有特征字符串，从而判断流量是否异常。 2 流量监视与分析技术进行d o s d d o s 流量的检测 1 3 北京邮电大学硕士学位论文第二章d o s d d o s 攻击异常流量 在这里我们以c i s c o 的n e t f l o w 流量监视工具和其合作厂商a r b o r n e t w o r k 的p e a k f l o w 流量分析工具为例介绍流量监视分析技术对d o s d d o s 流量的检测。 n c t f l o w 是c i s c o 公司一部分路由器设备提供的流量数据采集与上报工具。它 用如下的源i p 地址、目的i p 地址、源端口号、目的端口号、三层协议类型、t o s 、 流的输入接口七个参数来唯一的标识个数据流。路由器对每一个流的相关数据 进行统计，如该流的包数、字节数、持续时间等。路由器各个端口上的流信息采 用定时或其它机制上报给一个中心的流数据集中器。这样流数据集中器端，存储 了来自各个路由器的数据流信息。通过第三方的流数据分析器，对这些流数据进 行相关性分析、异常检测从而识别出其中的d o s 1 3 d o s 数据流。这些第三方的分 析软件通常首先对其关注的子网或主机进行正常的流量模式建模，通过一段时间 的学习过程得到正常的流量模式，然后根据当前采集到流量信息与正常的流量模 式进行比较，如果偏离较大，则判定为某种异常。根据偏离的参数的不同，采取 跟踪技术进行分析，找到异常流量产生的源，然后根据内部已有的经验( 专家系 统) 提供参考的流量控制策略。a r b o rn e t w o r k 公司的产品就是通过c i s c o 的n e t f l o w 进行流信息采集并分析，然后进行异常检测的。 3 u r p f 技术 在些攻击模式下d o s ，d d o s 攻击为了隐蔽性采用伪造i p 地址的方式进行 攻击，采用反射攻击的方式中伪造地址可能是实际的受攻击者。因此，如果能够 对伪造i p 地址的流量进行检测与过滤，能够有效的防范减少可能发生的攻击行 为。c i s c o 公司提出了种u r p f ( u n i c a s tr e v e r s ep a 幽f o r w a r d i n g ) 的技术对伪造 】p 地址的流量进行检测，下面简单介绍其原理： 在一些攻击模式下d o s d d o s 攻击为了隐蔽性采用伪造i p 地址的方式进行 攻击，采用反射攻击的方式中伪造地址还可能实际的受攻击者。因此，如果能够 对伪造i p 地址的流量进行检测与过滤，能够有效的防范减少可能发生的攻击行 为。c i s c o 公司提出了一种u r p f ( u n i c a s tr e v e r s ep a t hf o r w a r d i n g ) 的技术对伪造 i p 的流量进行检测，下面简单介绍其原理： 在路由器的输入方向上进行源i p 地址的过滤，对数据包的源i p 地址的前缀 p r e f i x 进行检查，如果该前缀不在路由器的数据包进入的那个接口的前向信息数 据库中( f i b ) 则对其进行丢弃。更严格的审查方式是，在前一步的检查完成后， 检查该地址对应的路由是否在路由器的接口邻接关系表中，如果不在，也进行丢 弃处理。通过这样方式的检查，用伪造i p 地址的数据包文就容易被检查出来。 当然也有些例外的情况，比如说向d h c p 或者b o o t p 的包本身源i p 地址就不 北康邮电大学坝士学位论文第二章d o s d d o s 攻击异常流量 会在f i b 中，那么该报文将无法通过。解决的办法就是过滤掉的报文再次进行过 滤如果是d h c p 或b o o t p 包，则将其按正常报文处理。 4 基于会话状态检测的异常流量检测技术 基于状态的异常流量检测技术是针对很多的d o s d d o s 攻击不按正常 t c p i p 协议进行数据报文交互，利用协议本身存在的一些不安全的设计进行攻 击从而导致服务停止。下面举例说明： i n t e m a i c l l e n tp c 6 0 5 5 3 3 1 2 2 e s t a b l i s h 1 c o n n e c t i o n 3 t c p s y n s e g m e n t f r o m ：6 0 5 5 3 3 12 ：6 2 6 0 0 1 111 垫：! 堕兰竺重三垂孑 n o t e ：o u t g o i n g c o n n e c t i o n s a l l o w e db y d e f a u l t s t a t e r u i f l r e w a l i c o n n e c t i o nt a b l e t c ps y n s e g m e n t f r o m ：6 0 5 5 3 3 1 2 五2 6 0 0 t o ：1 2 3 8 0 5 3 4 - ：8 0 e x t a r n a i w e b s e r v e r 1 2 3 8 0 5 3 4 it y p e i n t e r n a li n t e r n a ie x t e r n a ie 对e m 剐 s l a t u s l pp o r ti pp o r t l t c p6 0 5 5 3 3 1 26 2 6 0 0 2 3 5 3 46 0o k 图2 4t c p 连接建立状态记录 如图2 - - 4 所示：网内客户端向往外服务器发送t c p 连接请求，防火墙将该连接 汇录到连接状态表。 i ! 璺! ! ! ! ! 里查堂婴主兰竺丝苎 苎三兰里! ! 竺旦! ! 鉴壹茎堡鎏里 i n t e m a l c l i e n fp c 6 0 5 5 3 3 1 2 6 s t a t e f u i t c ps y n a c k s e g m e n t f i r e w a l l f r o m ：1 2 3 8 0 5 3 4 ：8 0 t o ：6 0 5 5 3 3 1 2 ：6 2 6 0 0 c o n n e c t i o nt a b l e 4 t c ps y n a c k s e g m e n te x l e m a l f r o m ：1 2 3 , 8 0 5 3 4 ：6 0 w e b s e r v e r t o ：6 0 5 5 3 3 1 2 ：6 2 6 0 0 1 2 3 ，8 0 。5 3 4 5 c h e c kc o n n e c t i o n o k lt y ，e i n t e r n a ii n l e m a l e x t e r n a le ) ( i e r n a i i pp o r ti p p o d s t a t u s t c p6 0 5 5 3 3 1 26 2 6 0 012 3 5 3 4 8 0o k 图2 5t c p 数据包连接状态检查合法 如图2 5 所示根据连接状态表检查得知为合法连接回应报文。 i r d e m a l c l i e n tp c 6 0 5 5 3 3 1 2 c o n n e c t i o nt a b l e s r a t e f u i 苣蛰1 2 c h e c k c o n n e c t i o nt a b l e n oc o g r e c t i o n m a t c h ：d r o p s p o o r e d t c ps y n a c k s e g m e n t f r o m ：10 5 3 4 ：8 0 t o ：6 0 5 5 3 3 1 2 ：6 4 6 4 0 a t t a c k e r s p o o f i n g e x t e r r l a i w e b s e r v e r 10 5 ，3 4 i n t e r n a ii n t e r n a lb c i e m a ie x t e m a i t y p e l pp o r ti pp o r t s t a t u s t c p6 0 5 5 3 3 1 26 2 6 0 01 2 3 5 3 48 0o k u d p6 0 5 5 3 3 1 26 3 2 0 62 2 2 8 3 3 - 46 9o k 图2 6t c p 数据包连接状态检查非法 如图2 6 根据连接状态表检查为非法连接回应报文，该报文可能为t c p 端口扫 描报文。 从以上例子可以看出状态检测机制的核心是状态表的建立与更新，根据当 前报文对状态表进行实时更新，根据协议本身的要求和当前的状态确定下一个 报文是否为合法报文，进行异常检测。l i n u x 的i p t a b e 防火墙中根据t c p 协议 对一个t c p 的连接定义了多种状态，并对个状态之间的转换关系和相应的超时 机制建立相应t a b e ，从而实现一个复杂的基于状态t c p 流异常检测。 1 6 北京邮电大学硕士学位论文 第二章d o s ，d d o s 攻击异常流量 2 。5 本章小结 本章首先介绍了d o s d d o s 的分类和攻击方式，并对各种典型的方式通过举 例的方式阐述其攻击原理，流量特性，然后介绍了d o s d d o s 对运营商网络设施 的攻击。d o s d d o s 对于终端用户的攻击，将导致用户服务停止，而对运营商设 备和网络的攻击将导致整个网络服务性能下降，甚至服务停止。本章最后也是重 点部分介绍了各种d o s d d o s 攻击流量的检测方法，上述的各种方法有些适合于 在路由器上应用，有些适合于专用的异常流量检测设备中应用。 北京邮电火学颂一l 学位论文第四章s n o n 中的异常流检测 第三章蠕虫病毒流量 19 8 8 年一个由美国c o r n e l l 大学研究生莫里斯编写的蠕虫病毒蔓延造成 了数千台计算机停机，蠕虫病毒开始现身网络：而后来的红色代码，尼姆达病毒 疯狂的时候，造成几十亿美元的损失。北京时间2 0 0 3 年1 月2 6 日，一种名为 “2 0 0 3 蠕虫王”的电脑病毒迅速传播并袭击了全球，致使互联网网路严重堵塞， 作为互联网主要基础的域名服务器( d n s ) 的瘫痪造成网民浏览互联网网页及 收发电子邮件的速度大幅减缓，同时银行自动提款机的运作中断，机票网络预订 系统的运作中龋，信用卡等收付款系统出现故障。专家估计，此病毒造成的直接 经济损失至少在1 2 亿美元以上。目前蠕虫爆发的频率越来越快，尤其是近两年 来，越来越多的蠕虫( 如冲击波、振荡波等) 出现。 蠕虫病毒爆发时通常都会造成网络极度拥塞，运营商无法为用户提供正常的 网络服务，应此对蠕虫病毒进行深入研究，为网络运营商提供可操作性的蠕虫病 毒流量监视与防御方案，对于运营商的网络运营维护尤为重要。 3 1 蠕虫的定义 对于蠕虫病毒现在还没有一个特别标准的技术定义。i n t e r n e t 蠕虫是无须计 算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算 机上的部分或全部控制权来进行传播。蠕虫与病毒的最大不周在于它不需要人为 干预，且能够自主不断地复制和传播。 3 1 1 蠕虫的结构 一位蠕虫病毒专家n a z a r i oe ta 1 将蠕虫病毒的内部结构分为五个部分来进行 分析。任何一个蠕虫病毒都无一例外的由这五各功能组件中的若干个部分组合而 成，其中攻击部分是必须的。 一侦察组件：一个蠕虫病毒必须能够在网络上搜索其它的可攻对象，侦察组件 就是用来完成该项功能的。 _ 攻击组件：该组件用来对侦察组件发现的可攻击对象进行攻击。这包括包括 常用缓冲区溢出攻击、堆溢