网络攻击与防御技术的研究20种攻击源的特征与对应的防御方法论文 网络空间安全导论 北大软微 沈晴霓.docx

1、网络攻击与防御技术的研究20种攻击源的特征与对应的防御方法论文 网络空间安全导论 北大软微 沈晴霓网络攻击与防御技术的研究摘 要: 本文在结合国内外网络安全现状的前提下，介绍了20种攻击源的特征与对应的防御方法。基于现有的技术条件，分析常见的网络攻击，研究攻击的流量特征。根据各种攻击的不同特点，研究有效的防御手段和快速处理手段，针对网络不同层次和不同能力的设备制定安全策略。关键词: 网络攻击；防御技术；安全策略Research on Network attack and Defense TechnologyAbstract: Based on the present situation of

2、network security at home and abroad, this paper introduces the characteristics of 21 attack sources and corresponding defense methods. Based on the existing technical conditions, common network attacks are analyzed, and the traffic characteristics of attacks are studied. According to the different c

3、haracteristics of various attacks, the effective defense measures and fast processing methods are studied, and the security policies are formulated for the equipment of different levels and capabilities of the network.Key words: network attack; defense technology; security strategy 一、 题目背景随着互联网的不断发展

4、，网络新技术不断涌现，网络所面临的网络安全形势也越来越严峻。网络上各类攻击大量涌现(如DOS、DDOS、蠕虫)，给网络带来了严重的威胁。由于网络规模庞大，设备类型众多，由此而带来的软、硬件漏洞也给网络的正常运行带来了更大的挑战。没有完善的攻击快速处理手段，使得维护人员在处理安全事件时无据可查，增加了维护难度，也延长了处理时长，从而不能给用户提供更加优质的服务保证。没有有效的攻击源查找方法，无法尽快阻止攻击或病毒行为的快速漫延。针对网络所面临的各项威胁，应该为其制定相应的网络安全策略和快速处理手段。二、 国内外网络安全现状网络与信息的安全关系到国家的基础设施安全，因此为保障经济建设顺利进行，在信

5、息网络中必须具有安全设施和安全技术。由于TCP/IP协议缺乏相应的安全机制，而且互联网最初设计基本没有考虑安全问题，互联网的共享性和开放性，使信息网络的安全存在先天不足。几乎所有的信息网络在当初建设及其发展过程中，都忽略了最不该忽略的安全性问题，给信息网络的安全埋下了隐患。黑客们的篡改信息、盗取企业信息、发送垃圾邮件、病毒炸弹等攻击，造成网络瘫痪，甚至无法恢复，损失巨大。据调查数据显示，垃圾邮件和垃圾短信已经成为信息网上的一大祸害，它在全球造成的经济损失每年超过205亿美元，仅美国在2016年因为垃圾邮件消耗的总费用达到110亿美元。中国的网络安全技术在近几年得到快速的发展，这一方面得益于从中

6、央到地方政府的广泛重视，另一方面因为网络安全问题日益突出，网络安全企业不断跟进最新安全技术，不断推出满足用户需求、具有时代特色的安全产品，进一步促进了网络安全技术的发展。随着中国信息产业的持续快速发展，国内互联网公司在对网络进行建设和扩容的同时，还需提升抵御网络攻击的能力以保证用户的隐私安全。三、 各类攻击源的特征1. TCP SYN拒绝服务攻击一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：发起者向目标计算机发送一个TCP SYN报文；目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块(TCB)，然后向发起者回送一个TCP ACK报文，等待发起者的回应；发起者收到TCP

7、 ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：攻击者向目标计算机发送一个TCP SYN报文；目标计算机收到这个报文后，建立TCP连接控制结构(TCB)，并回应一个ACK，等待发起者的回应：而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待。处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源耗尽，而不能响应正常的TCP连接请求。2. ICMP flood正常情况下为了对网络

8、进行诊断，一些诊断程序如PING等会发出ICMP响应请求报文(ICMP ECHO)；接收计算机接收到ICMP ECHO后，会回应一个ICMP ECHO Reply报文。而这个过程是需要CPU处理的，有的情况下还可能消耗掉大量的资源，比如处理分片的时候。如果攻击者向目标计算机发送大量的ICMP ECHO报文(产生ICMP洪水)，则目标计算机会忙于处理这些ECHO报文，而无法继续处理其它的网络数据报文，这是一种拒绝服务攻击(DOS)。3. UDP flood原理与ICMP洪水类似，攻击者通过发送大量的UDP报文给目标计算机，导致目标计算机忙于处理这些UDP报文而无法继续处理正常的报文。4. 端口扫

9、描根据TCP协议规范，当一台计算机收到一个TCP连接建立请求报文(TCP SYN)的时候，做这样的处理：如果请求的TCP端口是开放的，则回应一个TCPACK报文，并建立TCP连接控制结构(TCB)；如果请求的TCP端口没有开放，则回应一个TCP RST报文，告诉发起计算机，该端口没有开放。相应地，如果IP协议栈收到一个UDP报文，做如下处理：如果该报文的目标端口开放，则把该UDP报文送上层协议(UDP)处理，不回应任何报文(上层协议根据处理结果而回应的报文例外)；如果该报文的目标端口没有开放，则向发起者回应一个ICMP不可达报文，告诉发起者计算机该UDP报文的端口不可达。利用这个原理，攻击者计

10、算机便可以通过发送合适的报文，判断目标计算机哪些TCP或UDP端口是开放的，过程如下：发出端口号从0开始依次递增的TCP SYN或UDP报文(端口号是一个16比特的数字，这样最大为65535，数量很有限)；如果收到了针对这个TCP报文的RST报文，或针对这个UDP报文的ICMP不可达报文，则说明这个端口没有开放；相反，如果收到了针对这个TCP SYN报文的ACK报文，或者没有接收到任何针对该UDP报文的ICMP报文，则说明该TCP端口是开放的，UDP端口可能开放(因为有的实现中可能不回应ICMP不可达报文，即使该UDP端口没有开放)。这样继续下去，便可以很容易的判断出目标计算机开放了哪些TCP

11、或UDP端口，然后针对端口的具体数字，进行下一步攻击。5. 分片IP报文攻击为了传送一个大的IP报文，IP协议栈需要根据链路接口的MTU对该IP报文进行分片，通过填充适当的IP头中的分片指示字段，接收计算机可以很容易的把这些IP分片报文组装起来。目标计算机在处理这些分片报文的时候，会把先到的分片报文缓存起来，然后一直等待后续的分片报文，这个过程会消耗掉一部分内存，以及一些IP协议栈的数据结构。如果攻击者给目标计算机只发送一片分片报文，而不发送所有的分片报文，这样攻击者计算机便会一直等待(直到一个内部计时器到时)，如果攻击者发送了大量的分片报文，就会消耗掉目标计算机的资源，而导致不能响应正常的I

12、P报文，这也是一种DOS攻击。6. SYN比特和FIN比特同时设置在TCP报文的报头中，有几个标志字段：SYN：连接建立标志，TCP SYN报文就是把这个标志设置为1，来请求建立连接；ACK：回应标志，在一个TCP连接中，除了第一个报文(TCP SYN)外，所有报文都设置该字段，作为对上一个报文的相应；FIN：结束标志，当一台计算机接收到一个设置了FIN标志的TCP报文后，会拆除这个TCP连接；RST：复位标志，当IP协议栈接收到一个目标端口不存在的TCP报文的时候，会回应一个RST标志设置的报文；PSH：通知协议栈尽快把TCP数据提交给上层程序处理。正常情况下，SYN标志(连接请求标志)和F

13、IN标志(连接拆除标志)是不能同时出现在一个TCP报文中的。而且RFC也没有规定IP协议栈如何处理这样的畸形报文。因此，各个操作系统的协议栈在收到这样的报文后的处理方式不同，攻击者可以利用这个特征，通过发送SYN和FIN同时设置的报文，来判断操作系统的类型，然后针对该操作系统，进行进一步的攻击。7. 没有设置任何标志的TCP报文攻击正常情况下，任何TCP报文都会设置SYN，FIN，ACK，RST，PSH五个标志中的至少一个标志，第一个TCP报文(TCP连接请求报文)设置SYN标志，后续报文都设置ACK标志。有的协议栈基于这样的假设，没有针对不设置任何标志的TCP报文的处理过程，因此这样的协议栈

14、如果收到了这样的报文，可能会崩溃。攻击者利用了这个特点，对目标计算机进行攻击。8. 设置了FIN标志却没有设置ACK标志的TCP攻击正常情况下，ACK标志在除了第一个报文(SYN报文)外，所有的报文都设置，包括TCP连接拆除报文(FIN标志设置的报文)。但有的攻击者却可能向目标计算机发送设置了FIN标志却没有设置ACK标志的TCP报文，这样可能导致目标计算机崩溃。9. Ping of DeathTCP/IP规范要求IP报文的长度在一定范围内(比如，064K)，但有的攻击计算机可能向目标计算机发出大于64K长度的PING报文，导致目标计算机IP协议栈崩溃。10. 地址猜测攻击跟端口扫描攻击类似，

15、攻击者通过发送目标地址变化的大量的ICMP ECHO报文，来判断目标计算机是否存在。如果收到了对应的ECMP ECHO REPLY报文，则说明目标计算机是存在的，便可以针对该计算机进行下一步的攻击。11. 泪滴攻击对于一些大的IP包，需要对其进行分片传送，这是为了迎合链路层的MTU(最大传输单元)的要求。比如，一个4500字节的IP包，在MTU为1500的链路上传输的时候，就需要分成三个IP包。在IP报头中有一个偏移字段和一个分片标志(MF)，如果MF标志设置为1，则表面这个IP包是一个大IP包的片断，其中偏移字段指出了这个片断在整个IP包中的位置。例如，对一个4500字节的IP包进行分片(M

16、TU为1500)，则三个片断中偏移字段的值依次为：0，1500，3000。这样接收端就可以根据这些信息成功的组装该IP包。如果一个攻击者打破这种正常情况，把偏移字段设置成不正确的值，即可能出现重合或断开的情况，导致目标操作系统崩溃。比如把上述偏移设置为0，1300，3000，这就是所谓的泪滴攻击。12. 带源路由选项的lP报文为了实现一些附加功能，IP协议规范在IP报头中增加了选项字段，这个字段可以有选择的携带一些数据，以指明中间设备(路由器)或最终目标计算机对这些IP报文进行额外的处理。源路由选项的目的，是指导中间设备(路由器)如何转发该数据报文，即指明了报文的传输路径。比如，让一个IP报文明确的经过三台路由器R1，R2，R3，则可以在源路由选项中明确指明这三个路由器的接口地址，这样不论三台路由器上的路由表如何，这个IP报文就会依次经过R1，R2，R3。而且这些带源路由选项的IP报文在传输的过程中，其源地址不断改变，