（计算机应用技术专业论文）基于网络体系结构的入侵检测系统的研究与设计.pdf

长存t 业人学硕f 。学位论文 摘要 中国现已有1 个多亿的上网用户。越来越多的公司看准了这个数字所代表的巨大 的经济效益，逐渐将其核心业务向互联网转移，服务成为当前i t 业另一个生长点，与 此同时，网络安全作为一个无法回避的问题呈现在人们面前。随着计算机网络知识的 普及，攻击者越来越多，知识日趋成熟，攻击工具与手法日趋复杂多样，单纯的防火 墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、 多样的手段。网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、 补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大 隐患。于是，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的 关注，而且已经开始在各种不同的环境中发挥其作用。 现在的入侵检测系统大多存在系统可扩展性差、入侵检测技术单一、缺乏对入侵 事件有效的响应机制等问题，难以满足政府机关，行政单位这种在安全要求上相对较 高的部门对入侵检测系统在规模、有效性及节约国家行政支出等几方面的需求。因此 人们迫切需要各种入侵检测系统能够协同工作，优势共享，缺陷互补，组成一种全新 的分布式，从而能够组合各种检测攻击的信息，更精确的识别和定位攻击行为。这种 需要在系统中综合运用多种入侵检测方法和响应机制，使整个系统具有好的规模扩展 性、高的入侵检测性能和有效的响应机制的大规模分布式入侵检测系统的研究对满足 政府机关，行政单位这种在安全要求上相对较高的部门的需求有着重大的意义。 本文首先对网络安全现状进行了一定的研究；阐述了入侵检测系统对于维护信息 系统和计算机网络系统的重要性，提出了本文要完成的工作研究基于政府专网网 络体系结构的分布式入侵检测系统。随后简要的介绍了入侵方法，从而引出了入侵检 测系统的概念，通用入侵检测的模型，并根据入侵检测不同的着眼点，对入侵检测系 统进行了详细的分类，其中详细的介绍了基于不同体系结构入侵检测系统的优缺点并 提出了各自未来的发展方向。文章的主体是剖析政府网络的总体特点及其网络架构特 点，研究与设计该系统的整体结构并分析各个模块的功能，基于结构功能分析部署入 侵检测系统，设计与实现系统的核心部分事件分析引擎的数据挖掘算法，通过测试分 析表明事件分析引擎有着良好的性能，分布式入侵检测系统设计方法的正确性。 作为网络安全的一个重要研究领域，分布式入侵检测仍然存在着众多的问题和技 术难点，本文的最后给出了针对该领域进一步的研究方向。 关键字：网络安全计算机网络入侵检测分布式入侵检测数据融合算法分类匹配 长存t 业人学母! f ：学位论文 a b s t r a c t n o wt h e r ei sa l r e a d ym o r et h a n1h u n d r e dm i l l i o np e o p l et og e tt ob et h e i n t e r n e tc u s t o m e r m o r ea n dm o r ec o m p a n i e s s p o t t e d t h e h u g e e c o n o m i c p e r f o r m a n c er e p r e s e n t e db yt h i sn u m e r a l ，t r a n s f e r r i n gi t sc o r eb u s i n e s st o w a r d t h ei n t e r n e tg r a d u a l l y s e r v i n gt ob e c o m ec u r r e n ti ti n d u s t r ya n o t h e rg r o w t h p o i n t ，b u tn e t w o r ks a f e t yi sap r o b l e mt h a tc a n tg e ta r o u n dp r e s e n t i n gi n p e o p l e si nf r o n t a l o n gw i t ht h eu n i v e r s a l i t yo ft h ec a l c u l a t o rn e t w o r k k n o w l e d g e ，t h ea g g r e s s o ri sm o r ea n dm o r e ，t h ek n o w l e d g ei sg r a d u a l l ym a t u r i n g ， a t t a c k i n gt o o la n ds k i l la r ed i v e r s eg r a d u a l l yc o m p l i c a t e d ，p u r eo ft h ef i r e w a l ls t r a t e g yh a sa l r e a d yc a n ts a t i s f i e di m p r e s s i o n a b l et ot h es a f eh e i g h t o ft h ed e m a n do fs e c t i o n ，t h en e t w o r kp r o t e c t i n gh a st oa d o p tak i n do fm e t h o d w h i c hi sd e e pa n dd i v e r s e t h en e t w o r ke n v i r o n m e n ta l s ob e c o m e sm o r ea n dm o r e c o m p l i c a t e d ，v a r i o u sc o m p l i c a t e de q u i p m e n t s ，t h es y s t e mw h i c hn e e d st ou p d a t e ， f i n da n dm e n db u gc o n t i n u o u s l ym a k e st h en e t w o r km a n a g i n gp e r s o n sw o r k a g g r a v a t ec o n t i n u o u s l y ，p a y i n gn oa t t e n t i o no ft h en e g l i g e n c em a yr e s u l ti n t h eh u g eh i d d e nt r o u b l ef o rs a f e t y ，i n t r u s i o nd e t e c t i o ns y s t e mi sb e c o m es a f e t h en e wh e a to r d e r so nt h em a r k e t ，n o to n l yb e i n gs u b j e c t e dt op e o p l e sc o n c e r n m o r ea n dm o r e ，b u ta l s oh a v i n ga l r e a d ys t a r t e di nv a r i o u sd i f f e r e n te n v i r o n m e n t s e x e r t i v ei t sf u n c t i o n t h ep r e s e n ti n t r u s i o nd e t e c t i o ns y s t e mm o s t l yh a sd i s a d v a n t a g ew h i c hm u s t b et h es y s t e mt ob ep o s s i b l et h ee x t e n s i o nb a d ，t h ei n v a s i o ne x a m i n a t i o n t e c h n o l o g yt ob eu n i t a r y ，t ol a c kt oi n t r u s i o nq u e s t i o na n ds o o ne v e n te f f e c t i v e r e s p o n s em e c h a n i s m ，s a t i s f i e st h eg o v e r n m e n t a la g e n c yw i t hd i f f i c u l t y ， a d m i n i s t r a t i v eu n i tt h i sk i n di sp h o t o g e n i ct h ec o r r e l a t i o nh i g hd e p a r t m e n t i nt h es a f er e q u e s tt oi n v a d et h ee x a m i n a t i o ns y s t e mi nt h es c a l e ，t h ev a l i d i t y a n ds a v e st h en a t i o n a la d m i n i s t r a t i o nd i s b u r s e m e n ta n ds oo ns e v e r a la s p e c t s t h ed e m a n d t h e r e f o r et h ep e o p l eu r g e n tn e e de a c hk i n do fi n v a s i o ne x a m i n a t i o n s y s t e mc a nt h ej o i n to p e r a t i o n ，s u p e r i o r i t ys h a r i n g ，t h ef l a ws u p p l e m e n t a r y ， c o m p o s e so n ek i n dt ob eb r a n d n e wd i s t r i b u t i o n a l ，t h u sc a nc o m b i n ee a c hk i n d o fe x a m i n a t i o na t t a c kt h ei n f o r m a t i o n ，m o r ep r e c i s er e c o g n i t i o na n d l o c a l i z a t i o na t t a c kb e h a v i o r t h i sk i n dn e e d st os y n t h e s i z et h eu t i l i z a t i o n m a n yk i n d so fi n v a s i o n se x a m i n a t i o nm e t h o da n dt h er e s p o n s em e c h a n i s mi nt h e s y s t e m ，e n a b l et h eo v e r a l ls y s t e mt oh a v et h eg o o ds c a l ee x t e n s i o n ，t h eh i g h 2 长备t 业大学硕卜擎位论文 i n v a s i o ne x a m i n a t i o np e r f o r m a n c ea n d t h ee f f e c t i v er e s p o n s em e c h a n i s m l a r g e s c a l ed i s t r i b u t i o n a li n v a s i o ne x a m i n a t i o ns y s t e mr e s e a r c ht os a t i s f i e s t h eg o v e r n m e n t a la g e n c y ，a d m i n i s t r a t i v eu n i tt h i sk i n di sp h o t o g e n i ct h e c o r r e l a t i o nh i g hd e p a r t m e n t sd e m a n di nt h es a f er e q u e s tt oh a v et h es i g n i f i c a n t s i g n i f i c a n c e t h i st e x tc a r r i e do nac e r t a i nr e s e a r c ht ot h en e t w o r ks a f ep r e s e n t c o n d i t i o nf i r s t ：t h ew o r ke l a b o r a t e dt oi n v a d ee x a m i n a t i o ns y s t e m si m p o r t a n c e f o rs y s t e ma n dc a l c u l a t o rn e t w o r ko ft h em a i n t e n a n c ei n f o r m a t i o ns y s t e m ，p u t f o r w a r dt h i st e x ta n dc o m p l e t e dl a t e ro n - r e s e a r c ha c c o r d i n gt og o v e r n m e n t p a r t i c u l a r l yn e tn e t w o r ks y s t e ms t r u c t u r e o ft h ed i s t r i b u t e t y p ei n v a d e e x a m i n a t i o ns y s t e m - t h es y n o p s i si n t r o d u c e dt oi n v a d eam e t h o dl a t e ro n ，t h u s d e r i v a t i o ni n v a d ec o n c e p to fe x a m i n i n gt h es y s t e m , i ng e n e r a lu s ei n v a d et h e m o d e lo fe x a m i n a t i o n ，a n da c c o r d i n gt oi n v a d et h ee x a m i n a t i o nd i f f e r e n tp o i n t t ob e a t t e n d e dt o c a r r i e do nad e t a i l e dc l a s s i f i c a t i o nt o w a r d si n v a d i n g e x a m i n a t i o ns y s t e m ，i n t r o d u c e di nd e t a i la m o n gt h e mt oi n v a d em e r i ta n d s h o r t c o m i n go fe x a m i n i n gt h es y s t e ma c c o r d i n gt ot h ed i f f e r e n ts y s t e ms t r u c t u r e a n dp u tf o r w a r dar e s p e c t i v e l yf u t u r ed e v e l o p m e n td i r e c t i o n t h ec o r p u so f a r t i c l ei st o t a lc h a r a c t e r i s t i c sa n di t sn e t w o r kw h i c ha n a l y z e sag o v e r n m e n t an e t w o r ks t r u c t u r ec h a r a c t e r i s t i c s ，r e s e a r c ha n dd e s i g nt h ew h o l es t r u c t u r e o ft h a ts y s t e ma n a l y z e se a c hf u n c t i o no f m o l dp i e c ea l s o ，a c c o r d i n gt os t r u c t u r e f u n c t i o na n a l y s i st h ed e p l o y m e n ti n t r u s i o nd e t e c t i o ns y s t e m ，d e s i g na n dc a r r y o u tt h ec o r eo fs y s t e mp a r t so ft h ee v e n ta n a l y s i se n g i n eo fd a t as c o o po u t c a c u l a t ew a y ，h a v eg o o df u n c t i o nt h r o u g ht h ea n a l y s i se n g i n eo ft h ee n u n c i a t i o n a f f a i r so ft h et e s ta n a ly s i s ，t h ed i s t r i b u t et y p ei n t r u s i o nd e t e c t i o ns y s t e m t od e s i g nt h ea c c u r a c yo fm e t h o d b e i n ga ni m p o r t a n tr e s e a r c hf i e l do fn e t w o r ks e c u r i t y ，d i s t r i b u t e d i n t r u s i o nd e t e c t i o nh a sm a n yp r o b l e ma n dt e c h n i q u ed i f f i c u l t y a tt h ee n do f t h ep a p e r ，w e p r e s e n ts e v e r a lf u t u r ed i r e c t i o n so fo u rr e s e a r c hw o r k k e y w o r d s ：n e t w o r k s e c u r i t y ；c o m p u t e rn e t w o r k ；i n t r u s i o n d e t e c t i o n d i s t r i b u t e di n t r u s i o nd e t e c t i o n ：d a t af u s i o na r i t h m e t i cs o r tm a t c h ： 原创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及 取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论 文中不包含其他人已经发表或撰写过的研究成果。特此声明。 学位论文作者签名：! 胡例 签字帆叼年乒月a 日 长备丁业人学硕l 。学位论文 第一章绪论 1 1 网络发展现状及安全问题 2 0 0 6 年1 月1 7 日，中国互联网络信息中心( c n n i c ) 在北京市发布了“第十七次 中国互联网络发展状况统计报告”。报告显示：我国互联网继续保持持续、稳定的 增长态势，其中网民数、上网计算机数分别达到了1 1 0 0 0 万人、4 9 5 0 万台，与上年同 期相比分别增长了1 8 1 和1 9 0 9 6 ；我国网站总数达到了6 9 4 2 0 0 个；我国域名总数为 2 ，5 9 2 ，4 1 0 个，其中c n 下注册的域名首次突破百万大关，达到1 ，0 9 6 ，9 2 4 个，与上年 同期相比，增长了1 5 3 9 7 6 ，成为国内用户注册域名的首选。目前c n 域名注册量在所有 国家顶级域名中，稳居亚洲第一，在世界排名也从年初的第1 3 位上升到目前的第6 位。 从报告中可以看出，中国互联网经过了十多年的快速发展，已经逐渐形成规模。但是， i n t e r n e t 在方便大众的同时，其本身所具有的开放性和共享性也对信息安全问题提出 了严峻的挑战。针对商业网站的系列恶性攻击已经打击了消费者对网络的信心“1 。 网络安全专家指出，大量迹象表明网络黑客行为逐渐趋于攫取利益，如对银行的袭击 等。d e l o i t et o u c h e 的一份调查报告显示，1 0 0 家顶级金融机构中8 3 的机构遭受过 黑客袭击，而前一年这一比例仅为3 9 。其中遭到黑客攻击的机构中有4 0 蒙受了经济 损失。网络安全公司c y o t a 说：“网络用户对网上交易日趋警惕。”针对6 5 0 个网上银 行用户的一项最新调查显示，7 4 的用户担心被欺骗而不愿进行网上购物。c y o t a 营销 副总裁阿米尔一奥拉德( t z n i r o r a d ) 说：“最大的损失不是金钱，而是顾客对网络的信 心。”由以上情况可见，用户迫切需要更加完善的安全保障措施的出现。 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或 者恶意的原因而遭到破坏，更改、泄露，系统能连续可靠正常地运行，网络服务不中 断。计算机网络的安全性包括： 机密性( c o n f i d e n t i a l i t y ) ：机密性是指数据不会泄漏给非授权的用户、实体， 也不会被非授权用户使用。 完整性( i n t e g r i t y ) ：完整性是指数据未经授权不能被改变。也就是说，完整 性要求保持系统中数据的正确性和一致性。 可用性( a v a i l a b i l i t y ) ：计算机资源和系统中的数据信息在系统合法用户需 要使用是。必须是可用的。 信息的高度聚集性。到信息分离的小块出现时，方可显示出其重要价值。网络 中聚集了大量的信息，特别是i n t e r n e t 中，它们很容易遭到分析性攻击。 另外，协议漏洞、操作系统的安全性和应用程序的b u g 等因素也是造成网络安全 问题的原因。按其产生的原因大致可分为以下几类。1 i 长奋t 业j 、学坝i 学位论丘 ( 1 ) 操作系统的安全漏洞。目前所使用的计算机系统在结构和代码设计时偏重于 考虑系统使用的方便性，至于它的安全性则很少顾及，所以易导致系统的安全机制不 健全，存在很多安全漏洞。如当今最为流行的w i n d o w s 操作系统就存在很多的漏洞， w i n 9 8 基本没有安全机制，而w i nn t 2 0 0 0 x p 2 0 0 3 的安全性也是很不可靠的。 ( 2 ) 通信线路和网络本身固有的弱点。网络通信线路可能被人搭线窃听：通过未 受保护的线路，可以从外界访问系统内部的数据。 ( 3 ) 网络协议安全的脆弱性。当前计算机网络系统都是基于t c p i p 协议，其缺 陷是不能适应现代网络通信技术安全性的需求，所能提供的是不可靠的数据传输，另 外在安全方面还容易导致伪造和欺骗。 ( 4 ) 数据库管理系统安全的脆弱性。由于数据库管理系统对数据库管理建立在分 级管理的概念上，而且数据库管理系统的安全也取决于操作系统的安全性，所以随之 而来就带来了一系列的问题。 ( 5 ) 人为因素的安全性。大多数网络系统缺少合格的安全管理员，特别使高素质 的网络管理员。另外，也缺少安全管理的技术规范，缺少定期的安全测试与检查以及 缺少安全的监控。甚至有的网络管理员和用户的注册、口令等至今还处于缺省状态。 网络之所以产生各种安全问题，除了网络和系统方面的原因之外，各种安全威胁 形式的存在也是原因之一。网络信息系统的安全威胁是指对网络构成威胁的用户、事 物、软件等。网络威胁利用计算机网络或系统暴露的要害或弱点进行入侵、滥用和攻 击，导致网络信息的保密性、完整性和可用性程度下降，造成不可估量的经济和政治 上的损失。因此，安全威胁的存在也是产生网络安全问题的要素之一。 1 2 论文选题的来源及其研究意义 正是由于中国现已有1 个多亿的上网用户。越来越多的公司看准了这个数字所代 表的巨大的经济效益，逐渐将其核心业务向互联网转移，服务成为当前i t 业另一个生 长点，但网络安全作为一个无法回避的问题呈现在人们面前。随着计算机网络知识的 普及，攻击者越来越多，知识日趋成熟，攻击工具与手法日趋复杂多样，单纯的防火 墙策略已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、 多样的手段。网络环境也变得越来越复杂，各式各样的复杂的设备，需要不断升级、 补漏的系统使得网络管理员的工作不断加重，不经意的疏忽便有可能造成安全的重大 隐患。于是，入侵检测系统成为了安全市场上新的热点，不仅愈来愈多的受到人们的 关注，而且已经开始在各种不同的环境中发挥其作用。 现在的入侵检测系统大多存在系统可扩展性差、入侵检测技术单一、缺乏对入侵 事件有效的响应机制等问题，难以满足政府机关，行政单位这种在安全要求上相对较 高的部门对入侵检测系统在规模、有效性及节约国家行政支出等几方面的需求。因此 人们迫切需要各种入侵检测系统能够协同工作，优势共享，缺陷互补，组成一种全新 k 眷丁业人学坝i 学位论立 的分布式，从而能够组合各种检测攻击的信息，更精确的识别和定位攻击行为。这种 需要在系统中综合运用多种入侵检测方法和响应机制，使整个系统具有好的规模扩展 性、高的入侵检测性能和有效的响应机制。 因此，这种大规模分布式入侵检测系统的研究对满足政府机关，行政单位这种在 安全要求上相对较高的部门的需求有着重大的意义。 1 3 国内外发展现状 1 3 1 国外现状： 1 9 8 8 年的莫里斯蠕虫事件发生之后，网络安全真正引起了军方、学术界和企业的 高度重视。美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗 摩尔国家实验室、加州大学戴维斯分校、h a y s t a c k 实验室，开展对分布式入侵检测系 统( d i d s ) 的研究，将基于主机和基于网络的检测方法集成到一起。 从2 0 世纪9 0 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并 在智能化和分布式两个方向取得了长足的进展。 目前，s r i c s l 、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥 伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。 1 3 2 国内现状： 由于入侵检测系统的市场在近几年中飞速发展，许多公司投入到这一领域上来。 除了国外的i s s 、a x e n t 、n f r 、c i s c o 等公司外，国内也有数家公司( 如华为、中联绿 盟、中科网威等) 推出了自己相应的产品。但是关于分布式入侵检测系统的研究还大 多数处在理论研究的阶段，实际推出在应用领域的不多。 1 - 4 本文的研究内容 综上所述，目前对分布式系统安全性的研究十分必要。分布式系统的特点是资源分 布化，用户分布化，计算分布化，管理分布化，系统的结构和功能都非常复杂，这对 系统的设计、实现、评估、维护和操作都带来了许多不利因素。尤其是在考虑系统的 安全性和可靠性时，如果不能采取有效的方法对系统模型进行简化，面l 临的困难是可 想而知的。采取结构化的安全系统设计和分析思想，可以有效地降低系统的复杂度， 提高设计和分析效率，对系统安全性和可靠性的实现提供保证。 入侵检测主要分为基于主机的检测和基于网络的检测两种形式，由于基于主机的 检测受具体操作平台的限制：而基于网络的入侵检测通过收集网络上的信息，判断和 分析是否有入侵发生、属于哪一类入侵，产生报警并采取有效的措施进行阻截，成为 防止黑客攻击与保护信息安全的有效手段，随着网络的飞速发展，基于网络的检测方 k 备t 业大学硕f 坞 位论文 法已经成为入侵检测研究与开发的主流。本文中设计的入侵检测系统的检测方法采用 基于网络的入侵检测方法。 本文的主要研究内容为以下五个方面： 1 剖析政府网络的总体特点及其网络架构特点； 2 研究与设计该系统的整体结构并分析各个模块的功能，基于结构功能分析部署本系 统：， 3 研究该系统探测代理的实现方案； 4 研究该系统核心部分事件分析引擎的实现方案； 5 根据统计特征，构建分类模型，设计实现事件分析引擎的数据挖掘算法。 1 5 本文的组织结构 本文共分成六个章节，以下是各个章节阐述的核心问题： 第一章对网络安全现状进行了一定的研究；阐述了入侵检测系统对于维护信息系 统和计算机网络系统的重要性，随后提出了本文要完成的工作研究基于政府专网 网络体系结构的分布式入侵检测系统。 第二章简要介绍了入侵方法，从而引出了入侵检测系统的概念，通用入侵检测的 模型。 第三章根据入侵检测不同的着眼点，对入侵检测系统进行了详细的分类，其中详 细的介绍了基于不同体系结构入侵检测系统的优缺点并提出了各自未来的发展方向。 第四章剖析政府网络的总体特点及其网络架构特点，研究与设计该系统的整体结 构并分析各个模块的功能，基于结构功能分析部署分布式入侵检测系统。 第五章设计与实现系统的核心部分事件分析引擎的数据挖掘算法，并给出测试数 据及结果分析。 第六章对本系统的整个研究设计过程进行总结，并提出了进一步的发展研究方 向。 4 长存t 业人学硕 + 学位论文 2 1 入侵概述 第二章入侵检测系统概述 2 1 1 入侵行为的基础扫描 s c a n ，是一切入侵的基础，扫描探测一台主机包括确定主机是否活动、主机系统 正在使用哪些端口、提供了哪些服务、相关服务的软件版本等等，对这些内容的探测 就是为了“对症下药”。对主机的探测工具非常多，比如大名鼎鼎的n m a p 、n e t c a t 、 s u p e r s c a n ，以及国内的x s c a n n e r 等等。 1 高级的i c m p 扫描技术 p i n g 就是利用i c m p 协议实现的，高级的i c m p 扫描技术，主要是利用i c m p 协议 最基本的用途：报错。根据网络协议，如果按照协议出现了错误，那么接收端将产生 一个i c m p 的错误报文。这些错误报文并不是主动发送的，而是由于错误，根据协议自 动产生。向目标主机发送一个i p 数据报，但是协议项是错误的，比如协议项不可用， 那么目标将返回d e s t i n a t i o nu n r e a c h a b l e 的i c i p 报文，但是如果是在目标主机前有 一个防火墙或者一个其他的过滤装置，可能过滤掉提出的要求，从而接收不到任何回 应。可以使用一个非常大的协议数字作为i p 头部的协议内容，而且这个协议数字至少 在今天还没有被使用，应该主机一定会返回u n r e a c h a b l e ，如果没有u n r e a c h a b l e 的 i c m p 数据报返回错误提示，那么就说明被防火墙或者其他设备过滤了，我们也可以用 这个办法来探测是否有防火墙或者其他过滤设备存在。 2 高级t c p 扫描技术 最基本的利用t c p 扫描就是使用c o n n e c t0 ，这个很容易实现，如果目标主机能够 c o n n e c t ，就说明一个相应的端口打开。不过，这也是最原始和最先被防护工具拒绝的 一种。在高级的t c p 扫描技术中主要利用t c p 连接的三次握手特性和t c p 数据头中的标 志位来进行，也就是所谓的半开扫描。 首先我们需要认识一下t c p 数据报头的这六个标志位。 u r g ：( u r g e n tp o i n t e rf i e l ds i g n i f i c a n t ) 紧急指针。用到的时候值为1 ，用 来处理避免t c p 数据流中断 a c k ： ( a c k n o w l e d g m e n tf i e l ds i g n i f i c a n t ) 置1 时表示确认号 ( a c k n o w l e d g m e n tn u m b e r ) 为合法，为0 的时候表示数据段不包含确认信息，确 认号被忽略。 p s h ：( p u s hf u n c t i o n ) ，p u s h 标志的数据，置1 时请求的数据段在接收方得到 后就可直接送到应用程序，而不必等到缓冲区满时才传送。 r s t ：( r e s e tt h ec o n n e c t i o n ) 用于复位因某种原因引起出现的错误连接，也用 来拒绝非法数据和请求。如果接收到r s t 位时候，通常发生了某些错误。 长备t 业人学钡i 学位论史 s y n ：( s y n c h r o n i z es e q u e n c en u m b e r s ) 用来建立连接，在连接请求中，s = l ， a c k = o ，连接响应时，s y n = i ，a c k = i 。即，s y n 和a c k 来区分c o n n e c t i o nr e q u e s t 和c o n n e c t i o na c c e p t e d 。 f i n = ( n om o r ed a t af r o ms e n d e r ) 用来释放连接，表明发送方已经没有数据发 送了。 t c p 协议连接的三次握手过程： 首先客户端( 请求方) 在连接请求中，发送s y n = i ，a c k = o 的t c p 数据包给服务器 端( 接收请求端) ，表示要求同服务器端建立一个连接；然后如果服务器端响应这个 连接，就返回一个s y n = i ，a c k = i 的数据报给客户端，表示服务器端同意这个连接，并 要求客户端确认；最后客户端就再发送s y n = o ，a c k = i 的数据包给服务器端，表示确认 建立连接。 我们就利用这些标志位和t c p 协议连接的三次握手特性来进行扫描探测。 s y n 扫描 这种扫描方式也被称为“半打开”扫描，因为利用了t c p 协议连接的第一步，并 且没有建立一个完整的t c p 连接。 实现办法是向远端主机某端口发送一个只有s y n 标志位的t c p 数据报，如果主机 反馈一个s y na c k 数据包，那么，这个主机正在监听该端口，如果反馈的是r s t 数 据包，说明，主机没有监听该端口。在x s c a n n e r 上就有s y n 的选择项。 a c k 扫描 发送一个只有a c k 标志的t c p 数据报给主机，如果主机反馈一个t c p r s t 数据报 来，那么这个主机是存在的。也可以通过这种技术来确定对方防火墙是否是简单的分 组过滤，还是一个基于状态的防火墙。 f i n 扫描 对某端口发送个t c pf i n 数据报给远端主机。如果主机没有任何反馈，那么这 个主机是存在的，而且正在监听这个端口；主机反馈一个t c p r s t 回来，那么说明该主 机是存在的，但是没有监听这个端口。n u l l 即发送一个没有任何标志位的t c p 包，根 据r f c 7 9 3 ，如果目标主机的相应端口是关闭的话，应该发送回一个r s t 数据包。 f i n + u r g + p u s h 扫描 向目标主机发送一个f i n 、u r g 和p u s h 分组，根据r f c 7 9 3 ，如果目标主机的相应 端口是关闭的，那么应该返回一个r s t 标志。上面这些办法可以绕过一些防火墙，从 而得到防火墙后面的主机信息，当然，是在不被欺骗的情况下的。这些方法还有一个 好处就是比较难于被记录，有的办法即使在用n e t s t a t 命令上也根本显示不出来，而 且一般的安全防护设备也根本不记录这些内容，这样能够更好地隐藏自己。 3 高级u d p 扫描技术 在u d p 实现的扫描中，多是了利用和i c m p 进行的组合进行，这在i c m p 中以及提 6 k 备t 业j 、学形! i 学位论上 及了。还有一些特殊的就是u d p 回馈，l l 自q s q ls e r v e r ，对其1 4 3 4 端口发送x 0 2 或者x 0 3 就能够探测得到其连接端口。 2 1 2 拒绝服务攻击 1 拒绝服务攻击的基本原理 拒绝服务( d e n i a lo fs e r v i c e ，d o s ) 是一种简单但很有效的进攻方式。其基本 原理是利用合理的请求占用过多的服务资源，致使服务超载，无法响应其他的请求， 从而使合法用户无法得到服务。 d o s 的攻击方式有很多种。最基本的d o s 攻击就是利用合理的服务请求来占用过 多的服务资源，致使服务超载，无法响应其他的请求。这些服务资源包括网络带宽， 文件系统空间容量，开放的进程或者内部的连接。这种攻击会导致资源的匮乏，无论 计算机的处理速度多么快，内存容量多么大，互连网的速度多么快都无法避免这种攻 击带来的后果。因为任何事都有一个极限，所以，总能找到一个方法使请求的值大于 该极限值，使所提供的服务资源匮乏，从造成而无法满足需求的假象。千万不要自认 为自己拥有了足够宽的带宽就会有一个高效率的网站，拒绝服务攻击会使所有的资源 变得非常渺小。 最常见的d o s 攻击有计算机网络带宽攻击和连通性攻击。 带宽攻击：指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最 后导致合法的用户请求就无法通过； 连通性攻击：指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被 消耗殆尽，最终计算机无法再处理合法用户的请求。 2 典型的拒绝服务攻击 p i n go fd e a t h 根据t c p i p 的规范，一个包的长度最大为6 5 5 3 6 字节。尽管一个包的长度不能超 过6 5 5 3 6 字节，但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度 大于6 5 5 3 6 字节的包时，就是受至l j t p i n go fd e a t h 攻击，该攻击会造成主机的当机。 t e a r d r o p i p 数据包在网络传递时，数据包可以分成更小的片段。攻击者可以通过发送两段 ( 或者更多) 数据包来实现t e a r d r o p 攻击。第一个包的偏移量为0 ，长度为n ，第二个包 的偏移量小于n 。为了合并这些数据段，t c p i p 堆栈会分配超乎寻常的巨大资源，从而 造成系统资源的缺乏甚至机器的重新启动。 l a n d 攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过 i p 欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接 而陷入死循环，从而很大程度地降低了系统性能。 长春t 业人学坝_ j 学位论文 s y nf l o o d s y nf l o o d 攻击也是一种常用的拒绝服务攻击。它的工作原理是，正常的一个t c p 连接需要连接双方进行三个动作，即“三次握手”，其过程如下：请求连接的客户机 首先将一个带s y n 标志位的包发给服务器；服务器收到这个包后产生一个自己的s y n 标志，并把收到包的s y n + i 作为a c k 标志返回给客户机；客户机收到该包后，再发一个 a c k = s y n + i 的包给服务器。经过这三次握手，连接才正式建立。在服务器向客户机发 返回包时，它会等待客户机的a c k 确认包，这时这个连接被加到未完成连接队列中， 直到收到a c k 应答后或超时才从队列中删除。这个队列是有限的，一些t c p i p 堆栈 的实现只能等待有限数量的计算机发来的h c k 消息，因为他们只有有限的内存缓冲区 用于创建连接，如果这些缓冲区内充满了虚假连接的初始信息，该服务器就会对接下 来的连接停止响应，直到缓冲区里的连接企图超时。如果客户机伪装大量s y n 包进行 连接请求并且不进行第三次握手，则服务器的未完成连接队列就会被塞满，正常的连 接请求就会被拒绝，这样就造成了拒绝服务。 u d pf l o o d 类t 以s y nf l o o d 攻击，这种方式的假冒攻击利用简单的t c p i p 服务。如c h a r g e n 和e c h o 来传送毫无用处的数据来占用所有的带宽。通过伪造与某一主机的c h a r g e n 服 务之间的次的u d p 连接，回复地址指向开着e c h o 服务的一台主机，这样就生成在两 台主机之间的足够多的无用数据流，如果足够多的数据流就会导致带宽的服务攻击。 s m u r f s m u r f 攻击是这种攻击的早期形式，是一种在局域网中的攻击手段。它的作用原 理是基于广播地址与回应请求的。一台计算机向另一台计算机发送一些特殊的数据包 如p i n g 请求时，会接到它的回应；如果向本网络的广播地址发送请求包，实际上会到 达网络上所有的计算机，这时就会得到所有计算机的回应。这些回应是需要被接收的 计算机处理的，每处理一个就要占用一份系统资源，如果同时接到网络上所有计算机 的回应，接收方的系统是有可能吃不消的，就好像遭到了分布式拒绝服务攻击一样。 大家可能会质疑：谁会无聊得去向网络地址发包而招来所有计算机的攻击呢? 当然作为一个正常的操作者是不会这么做的，但是当黑客要利用这个原理进行 s m u r f 攻击的时候，他会代替受害者来做这件事。黑客向广播地址发送请求包，所有 的计算机得到请求后，却不会把回应发到黑客那里，而是被攻击的计算机处。这是因 为黑客冒充了被攻击主机。黑客发包所用的软件是可以伪造源地址的，接到伪造数据 包的主机会根据源地址把回应发出去，这当然就是被攻击目标的地址。黑客同时还会 把发包的间隔减到几毫秒，这样在单位时间能发出数以千计的请求，使受害者接到被 欺骗计算机那里传来的洪水般的回应。就好像遭到其他类型的