在Linux平臺(tái)建立DoS攻擊檢測系統(tǒng)

鐘九洲

（四川達(dá)州職業(yè)技術(shù)學(xué)院，四川.達(dá)州 635000)

在Linux平臺(tái)建立DoS攻擊檢測系統(tǒng)

鐘九洲

（四川達(dá)州職業(yè)技術(shù)學(xué)院，四川.達(dá)州 635000)

在總結(jié)傳統(tǒng)檢測DoS攻擊系統(tǒng)的優(yōu)勢和劣勢的基礎(chǔ)上，結(jié)合Linux系統(tǒng)的特點(diǎn)設(shè)計(jì)出基于Linux平臺(tái)的DoS攻擊檢測系統(tǒng)。本系統(tǒng)中的網(wǎng)絡(luò)安全模塊可以迅速地檢測出網(wǎng)內(nèi)基于DoS的攻擊狀態(tài)，行為控制模塊可以控制網(wǎng)內(nèi)用戶對可疑網(wǎng)站的瀏覽、連接，網(wǎng)絡(luò)日志模塊可以自動(dòng)記錄網(wǎng)內(nèi)用戶使用網(wǎng)絡(luò)的實(shí)際情況。經(jīng)過測試，本系統(tǒng)可以有效地檢測出DoS攻擊，同時(shí)還可以對用戶瀏覽行為進(jìn)行控制并查看網(wǎng)絡(luò)使用情況。

DoS攻擊；Linux系統(tǒng)；攻擊檢測

1 引言

在網(wǎng)絡(luò)技術(shù)高速發(fā)展的今天，各種各樣的網(wǎng)絡(luò)應(yīng)用改變和影響著我們的生活，在利用網(wǎng)絡(luò)帶來便利的同時(shí)，在安全方面也出現(xiàn)了許多問題。本系統(tǒng)主要利用Linux系統(tǒng)從網(wǎng)絡(luò)安全檢測出發(fā)，結(jié)合對用戶上網(wǎng)行為的控制和日志的記錄，可以最大限度地防御DoS攻擊。

傳統(tǒng)的DoS攻擊檢測系統(tǒng)，其主要功能有內(nèi)網(wǎng)攻擊檢測、外網(wǎng)動(dòng)態(tài)檢測、實(shí)時(shí)保護(hù)等功能，但傳統(tǒng)的檢測系統(tǒng)針對性不強(qiáng)，根據(jù)分析主要存在以下幾個(gè)方面的問題。

(1)其功能主要是檢測網(wǎng)絡(luò)是否受到DoS攻擊，只能夠發(fā)現(xiàn)攻擊行為，而不能有效地解決攻擊的問題。

(2)通常是通過抓包工具把網(wǎng)絡(luò)數(shù)據(jù)提取到應(yīng)用層，然后進(jìn)行規(guī)程比對，在這個(gè)過程中增加了系統(tǒng)的負(fù)擔(dān)，容易降低網(wǎng)絡(luò)使用率，成為網(wǎng)絡(luò)出口新的瓶頸。

(3)一些DoS攻擊使用IP欺騙的方法，主要是利用TCP協(xié)議棧的RST位來實(shí)現(xiàn)，讓用戶服務(wù)器把合法用戶的連接復(fù)位，造成合法用戶無法連接。目前傳統(tǒng)的DoS攻擊檢測系統(tǒng)其功能主要是識(shí)別IP地址，無法定位IP，因此不能辨別數(shù)據(jù)來源，最終不能高效地解決DoS攻擊。

(4)忽略了對內(nèi)網(wǎng)用戶攻擊的防范，對內(nèi)網(wǎng)攻擊不能使用合理的方法進(jìn)行防范和處理。

在此，我們利用Linux平臺(tái)，結(jié)合網(wǎng)絡(luò)安全和行為控制模塊的DoS攻擊檢測系統(tǒng)，本系統(tǒng)不僅可以檢測出外網(wǎng)與內(nèi)網(wǎng)DoS攻擊，還可以對內(nèi)網(wǎng)用戶網(wǎng)絡(luò)行為進(jìn)行控制，產(chǎn)生相應(yīng)的網(wǎng)絡(luò)日志。

2 系統(tǒng)相應(yīng)模塊

2.1 系統(tǒng)平臺(tái)

本系統(tǒng)使用Linux系統(tǒng)作為系統(tǒng)平臺(tái)，Linux是單片集成的內(nèi)核，同時(shí)可以通過接口動(dòng)態(tài)的加載內(nèi)核模塊。主要是通過insmod命令將用戶自定義的功能模塊加載到內(nèi)核空間運(yùn)行，加載后的用戶模塊將成為內(nèi)核的一部分，并且具有同內(nèi)核代碼相同的權(quán)限和功能。根據(jù)Linux可以加載用戶模塊的特點(diǎn)，本系統(tǒng)將各個(gè)模塊以Linux內(nèi)核模塊的形式來實(shí)現(xiàn)，包括網(wǎng)絡(luò)安全模塊、行為控制模塊、網(wǎng)絡(luò)日志模塊。Linux內(nèi)核中通用可擴(kuò)展的netfilter架構(gòu)功能十分強(qiáng)大，數(shù)據(jù)包在netfilter中運(yùn)行的路徑如圖1所示。netfilter架構(gòu)將數(shù)據(jù)包引入到IP層中出處理。netfilter架構(gòu)提供了網(wǎng)絡(luò)協(xié)議中的鉤子函數(shù)，鉤子函數(shù)是系統(tǒng)內(nèi)核為驅(qū)動(dòng)程序提供的一些特定的函數(shù)，在驅(qū)動(dòng)程序中某個(gè)變量的狀態(tài)發(fā)生改變或?qū)⒁淖兓蚋淖兺瓿蓵r(shí)，都會(huì)自動(dòng)調(diào)用該回調(diào)函數(shù)，在netfilter中的狀態(tài)就有五個(gè)：

圖1 數(shù)據(jù)包在netfilter中運(yùn)行的路徑

數(shù)據(jù)包從框架的左邊進(jìn)入系統(tǒng)，經(jīng)過IP驗(yàn)證后，進(jìn)入第一個(gè)鉤子函數(shù)HOCK1處理；然后進(jìn)入路由代碼，路由代碼判斷該數(shù)據(jù)包是轉(zhuǎn)發(fā)還是發(fā)送到本機(jī)數(shù)據(jù)包；如果數(shù)據(jù)包是轉(zhuǎn)發(fā)，將經(jīng)過函數(shù)HOCK3處理；如果發(fā)送本機(jī)數(shù)據(jù)包，將經(jīng)過鉤子函數(shù)HOCK2處理后交給上層協(xié)議；轉(zhuǎn)發(fā)的數(shù)據(jù)包經(jīng)過鉤子函數(shù)HOCK4之后傳輸?shù)骄W(wǎng)絡(luò)上；本地的數(shù)據(jù)包經(jīng)過鉤子函數(shù)HOCK5處理后在進(jìn)行路由選擇處理，最后經(jīng)過鉤子函數(shù)HOCK4發(fā)送到網(wǎng)絡(luò)上。

結(jié)合Linux和netfilter架構(gòu)的特點(diǎn)，提出系統(tǒng)的結(jié)構(gòu)模型圖，如圖2所示。

圖2 系統(tǒng)模型圖

系統(tǒng)結(jié)構(gòu)模塊由網(wǎng)絡(luò)安全模塊、行為控制模塊、網(wǎng)絡(luò)日志模塊以及WEB UI管理模塊。網(wǎng)絡(luò)安全模塊可以迅速地檢測出網(wǎng)內(nèi)DoS攻擊，行為控制模塊可以控制網(wǎng)內(nèi)用戶對可疑網(wǎng)站的瀏覽、連接，網(wǎng)絡(luò)日志模塊可以自動(dòng)記錄網(wǎng)內(nèi)用戶的使用網(wǎng)絡(luò)的實(shí)際情況，WEB UI管理模塊是系統(tǒng)管理界面以及分配用戶和查看用戶使用系統(tǒng)的情況。

模塊中接口可以分成一個(gè)連接公網(wǎng)，一個(gè)鏈接教育科研網(wǎng)，一個(gè)鏈接內(nèi)網(wǎng)。當(dāng)網(wǎng)絡(luò)接口收到數(shù)據(jù)包時(shí)，驅(qū)動(dòng)程序?qū)?shù)據(jù)包上傳給內(nèi)核，內(nèi)核中的netif_receive_skb函數(shù)將數(shù)據(jù)轉(zhuǎn)給netfilter架構(gòu)模塊，netfilter架構(gòu)模塊查看數(shù)據(jù)包中目的MAC地址來判斷數(shù)據(jù)包是需要轉(zhuǎn)發(fā)的數(shù)據(jù)還是到netfilter架構(gòu)模塊的數(shù)據(jù)，還是一個(gè)廣播的數(shù)據(jù)包。如果是轉(zhuǎn)發(fā)的數(shù)據(jù)包，會(huì)在netfilter架構(gòu)鉤子函數(shù)NF_BR_FORWARD上掛載網(wǎng)絡(luò)安全模塊和行為控制模塊。數(shù)據(jù)包首先會(huì)進(jìn)行安全檢測，當(dāng)網(wǎng)絡(luò)安全模塊發(fā)現(xiàn)安全事件將丟棄數(shù)據(jù)包，同時(shí)網(wǎng)絡(luò)安全模塊會(huì)給后臺(tái)程序一條拒絕記錄，由后臺(tái)數(shù)據(jù)庫完成拒絕操作。數(shù)據(jù)包如果經(jīng)過網(wǎng)絡(luò)安全模塊檢測沒有問題，將流經(jīng)行為控制模塊的過濾，如果違反了行為模塊中的規(guī)則，也會(huì)被丟棄同時(shí)把記錄發(fā)給后臺(tái)數(shù)據(jù)庫。最后數(shù)據(jù)如果沒有被丟棄，那么安全的數(shù)據(jù)包將轉(zhuǎn)發(fā)到網(wǎng)絡(luò)接口。

58例CT診斷肋骨骨折116處，其中背段、腋段、前段和軟骨段骨折分別為37、60、14和5處，發(fā)生率分別為31.9%、51.7%、12.1%和4.3%（表1）。

2.2 網(wǎng)絡(luò)安全模塊

網(wǎng)絡(luò)安全模塊主要是檢測由內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)進(jìn)行的DoS攻擊，主要有ICMP、TCP、UDP以及SYN攻擊。故意的攻擊網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)的缺陷或惡意地耗盡被攻擊對象的資源，目的是讓目標(biāo)計(jì)算機(jī)或網(wǎng)絡(luò)無法提供正常的服務(wù)或資源訪問，使目標(biāo)系統(tǒng)服務(wù)停止響應(yīng)甚至崩潰。根據(jù)DOS攻擊的特點(diǎn)，我們通過計(jì)算獨(dú)立主機(jī)在一定時(shí)間內(nèi)發(fā)送ICMP、TCP、UDP數(shù)據(jù)包的個(gè)數(shù)和同目標(biāo)主機(jī)特定端口建立的最大TCP鏈接數(shù)來判斷DOS攻擊。

2.2.1 數(shù)據(jù)包攻擊

網(wǎng)絡(luò)安全模塊利用哈希表快速的插入操作和查找操作來計(jì)算單位時(shí)間內(nèi)發(fā)送ICMP、TCP、UDP數(shù)據(jù)包的個(gè)數(shù)，數(shù)據(jù)包從內(nèi)外流經(jīng)過來，把源IP作為散列關(guān)鍵字在哈希表中查找統(tǒng)計(jì)該IP發(fā)送數(shù)據(jù)包數(shù)目的統(tǒng)計(jì)結(jié)點(diǎn)，從而對比即時(shí)時(shí)間和結(jié)點(diǎn)中記錄的時(shí)間是否超過規(guī)定的時(shí)間。如果超過規(guī)定的時(shí)間則將該IP的發(fā)包值記錄下來，如果發(fā)包值達(dá)到一定的閥值（例如1000），系統(tǒng)自動(dòng)把該結(jié)點(diǎn)鏈接的IP標(biāo)記為DOS攻擊結(jié)點(diǎn)，該IP地址發(fā)送的數(shù)據(jù)包將被丟棄，丟包記錄將由網(wǎng)絡(luò)日志模塊記錄和審計(jì)。如果沒有超過規(guī)定的時(shí)間則只是增加該IP的發(fā)包計(jì)數(shù)。

2.2.2 泛洪攻擊檢測

DOS泛洪攻擊有兩種狀態(tài)，一種是UDPflood攻擊：如今在Internet上UDP的應(yīng)用比較廣泛，UDPflood假冒攻擊通過偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開著Echo服務(wù)的一臺(tái)主機(jī)，通過將Chargen和Echo服務(wù)互指，在兩臺(tái)主機(jī)之間生成足夠多的無用數(shù)據(jù)流，這一拒絕服務(wù)攻擊快速地導(dǎo)致網(wǎng)絡(luò)可用帶寬耗盡。

另一種是SYNflood攻擊：TCP連接時(shí)，會(huì)有一個(gè)3次握手過程。 “SYNFlooding”則專門針對TCP協(xié)議棧在兩臺(tái)主機(jī)間初始化連接握手的過程進(jìn)行DoS攻擊，當(dāng)服務(wù)方收到請求方的SYN-ACK確認(rèn)消息后，請求方由于采用源地址欺騙等手段使得服務(wù)方收不到ACK回應(yīng)，于是服務(wù)方會(huì)在一定時(shí)間處于等待接收請求方ACK消息的狀態(tài)。而對于某臺(tái)服務(wù)器來說，可用的TCP連接是有限的，因?yàn)樗麄冎挥杏邢薜膬?nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會(huì)對接下來的連接停止響應(yīng)，直至緩沖區(qū)里的連接企圖超時(shí)。如果惡意攻擊方快速連續(xù)地發(fā)送此類連接請求，該服務(wù)器可用的TCP連接隊(duì)列將很快被阻塞，系統(tǒng)可用資源急劇減少，網(wǎng)絡(luò)可用帶寬迅速縮小，長期下去，服務(wù)器將無法向用戶提供正常的合法服務(wù)。

網(wǎng)絡(luò)安全檢測系統(tǒng)針對泛洪攻擊同樣采用統(tǒng)計(jì)的方法，當(dāng)網(wǎng)外的數(shù)據(jù)包流經(jīng)系統(tǒng)時(shí)，在散列的哈希表中對比當(dāng)前數(shù)據(jù)具有相同源IP、目標(biāo)IP和目的端口的結(jié)點(diǎn)，然后進(jìn)行計(jì)數(shù)。假如在單位時(shí)間內(nèi)IP和目標(biāo)IP主機(jī)特定的端口建立的SYN連接數(shù)超過了規(guī)定的閥值，則將該結(jié)點(diǎn)標(biāo)記為DoS攻擊結(jié)點(diǎn)，最后把數(shù)據(jù)包丟棄，并將丟棄的記錄發(fā)給網(wǎng)絡(luò)日志模塊記錄和審計(jì)。

2.3 行為控制模塊

行為控制模塊通過系統(tǒng)管理員收集建立一個(gè)過濾IP的數(shù)據(jù)庫，來限制內(nèi)外用戶訪問不良網(wǎng)站。在本模塊中建立一個(gè)黑名單網(wǎng)站的數(shù)據(jù)庫，例如傳播暴力黃色的網(wǎng)站。如何判斷網(wǎng)站是否在黑名單中，第一先計(jì)算黑名單網(wǎng)站的MD5值，第二將全部MD5值更新到一個(gè)遞增數(shù)組中。最后，用戶訪問網(wǎng)站時(shí)，先計(jì)算該網(wǎng)站的MD5值，然后用計(jì)算的值同黑名單數(shù)組中進(jìn)行二分查找。假如匹配將該數(shù)據(jù)包丟棄，在將丟包記錄將有網(wǎng)絡(luò)日志模塊記錄和審計(jì)。

2.4 網(wǎng)絡(luò)日志模塊

系統(tǒng)中網(wǎng)絡(luò)安全模塊和行為控制模塊產(chǎn)生記錄時(shí)，網(wǎng)絡(luò)日志模塊會(huì)將數(shù)據(jù)按照源IP、目的IP、丟棄的原因等進(jìn)行格式化并保存。模塊通過MD5數(shù)字摘要來驗(yàn)證收到的文件，從而保證日志文件完整性和一致性。日志模塊中通過分析發(fā)現(xiàn)一些明顯的安全事件，一方面進(jìn)行分離、記錄，另一方面通過管理界面向系統(tǒng)管理員報(bào)警，如圖3所示。

圖3 網(wǎng)絡(luò)日志模塊工作流程

3 系統(tǒng)應(yīng)用測試

在內(nèi)網(wǎng)中使用192.168.10.0的網(wǎng)段進(jìn)行測試，網(wǎng)段10通過系統(tǒng)與外網(wǎng)連接，結(jié)構(gòu)圖如圖4所示。本文主要以泛洪攻擊為例。

圖4 外網(wǎng)測試

在內(nèi)網(wǎng)主機(jī)A上使用工具向目標(biāo)主機(jī)61.139.55.4循環(huán)發(fā)送SYN數(shù)據(jù)包，循環(huán)一定時(shí)間后，通過用戶管理界面查詢主機(jī)A的網(wǎng)絡(luò)行為，會(huì)發(fā)現(xiàn)主機(jī)A對外網(wǎng)的泛洪行為，如圖5所示。

圖5 內(nèi)網(wǎng)測試

4 總結(jié)

經(jīng)過測試證明，本系統(tǒng)部署在網(wǎng)絡(luò)出口位置，可以對違反網(wǎng)絡(luò)行為數(shù)據(jù)直接進(jìn)行丟棄，可以方便地管理網(wǎng)絡(luò)，提高網(wǎng)絡(luò)使用率，并對丟棄的數(shù)據(jù)包進(jìn)行記錄，對內(nèi)網(wǎng)用戶產(chǎn)生非法的網(wǎng)絡(luò)行為可以進(jìn)行有效的查詢。

[1]雷 澍，譚洪湘，馬艾巖.Linux?內(nèi)核與編程[M].北京：機(jī)械電子工業(yè)出版社，2000.

[2]許振文.Linux下基于Nertfilter的網(wǎng)絡(luò)監(jiān)聽的設(shè)計(jì)和實(shí)現(xiàn)[J].西安郵電學(xué)院學(xué)報(bào)，2009,(2).

[3]林果園，曹天杰.入侵檢測系統(tǒng)研究綜述[J].計(jì)算機(jī)應(yīng)用于軟件，2009，（5）.

[4]鄭小軍，趙軼群.構(gòu)建集成的Linux內(nèi)核防火墻[J].計(jì)算機(jī)應(yīng)用，2003，（3）.

Building DoS Attacking Detection System on the Linux Terrace

ZHONG Jiuzhou
(Sichuan Dazhou Professional Technology College,Dazhou Sichuan 635000,China)

This paper analyzes the advantage and disadvantage of the traditional DoS Detection System,and builds the DoS Attacking Detection System on the Linux Terrace which is collected with the features of Linux System.The network security module of this system can detect quickly the network situation;the behavior control module can control the users’browsing and collection of the suspicious websites;the weblog module can record automatically the usage situation.After detection,the system can effectively detect the DoS Attacking,and control the users’browsing check the usage situation.

DoS attacking;Linux system;attacking detection

TP39;G621

A

1674－5787（2011）04－0158－03

2011-08-22

鐘九洲，男，四川達(dá)州職業(yè)技術(shù)學(xué)院教師。

責(zé)任編輯 王榮輝