IPv6的DoS_DDoS攻击及防御

更新时间:2023-08-06 17:29:01 阅读量: 实用文档 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

网络攻击

COMPUTINGSECURITY

TECHNIQUES

计算机安全技术

IPv6的DoS/DDoS攻击及防御

胡江涛

(郧阳师范高等专科学校招生就业处,郧阳442700)

摘要:IPv6无疑要比IPv4更加安全,但其本身就不是认证加密所能解决,而且就目前来看IPsec的大规模应用还有许多问题需要解决。本文详细分析了IPv6网络的DoS/DDoS攻击并针对IPV6可能面临的各种形式的拒绝服务攻击展开了讨论。

关键词:IPv6;网络攻击;DoS/DDoS

DoS/DDoSDetectionandAnalysisBase

HUJingtao

on

IPv6

(departmentofenrollmentemploymentofYunyangseniorteacherscolege。Yunyang442700)

hasbeendeployinginmanycountries.PeopleareusedtobelievethatIPv6ismoresecurethanIPv4.Inthis

paper,many11%6securityproblemswillbediscussedandanalyzedindetails.IncludinghowcurrentnetworkattackmethodswillperformunderIPv6enviromentandwhatpotentialattackmean8willrisewithIPv6"snewcharacteristics.Specially,IPv6

Abstract:IPv6couldn't

restore

DoS/DDoSattackswell.80

we

willdiscussthese

problems

littlemoI.e.

Keywords:IPv6;NetworkAttack;DoS/DDoS

l特点和优势

11%4简单、易于实现、互操作性好,在过去的应用中创造了辉煌的业绩。但是,随着互联网的爆炸性增长,IPv4的诸多弊端逐渐暴露出来。目前的11%4网络潜伏着两大危机:地址枯竭和路由表急剧膨胀,IPv6的出现将从根本上解决这些问题。IPv6的IP地址长度为128比特,拥有2‘128巨大地址空间,这样IPv6的地址总数就大约有3.4x10‘38个。理论上这一规模能够对地球表面的每一平方米提供6.5x10"23个网络地址。和IPv4相同,因地址分层运用,实际可用的总数要小得多,但保守的估计每平方米也有1600个IP地址。如此大的地址空间,不仅使得每个人拥有一个IP地址,就是将来的手机、电视和空调等每台通信或家电设备都Ⅱ『拥有一个lP地址。使用128位地址,可提供远大于11%4的地址空间和网络前缀。IPv6的设计者把11%6的地址空间按照不同的地址前缀来划分,并采用了层次化的地址结构,有利于骨干网路由器对数据包的快速转发,提高路由效率。

2.1.1细流攻击

细流攻击主要利用了存在于协议或软件中的漏洞,通过向目标主机发送一个或少量的攻击包,使得其无法正确处理这些包而出现异常,导致目标系统崩溃。

2.2.2洪流攻击

与细流攻击不同,洪流攻击需要向目标主机发送大量的攻击包。以此来达到拒绝服务的目的。2.2反弹式DD0s攻击

与直接式DDoS攻击相比,反弹式DDoS攻击增加了一个“反弹网络”。该反弹网络由多个反弹主机构成,每个反弹主机具备根据一个消息生成另一个消息的能力,常见的反弹主机有Web服务器、DNS服务器和路由器等。反弹式DDoS攻击是一种间接攻击。在这种攻击过程中,攻击傀儡击并不直接往受害主机发送攻击包,而是向反弹网络中的反弹主机发送特定的数据包(这些数据包的源地址被伪造成受害主机的IP地址),然后反弹主机在接收到这些数据包后就会把与这些数据包相对应的响应包发给受害主机。当反弹网络足够大时,那些响应包就会耗尽受害主机附近的网络带宽。因此,这种攻击也是一种带宽攻击。

DoS,DDoS威胁

拒绝服务攻击(DoS)和分布式拒绝服务攻击fDDoSl以

其易实施、破坏力强和难以追踪的特点成为互联网的主要威胁。它的主要目标是在一定时间内彻底使被攻击的网络丧失正常服务功能。2.1直接式DDoS攻击

在直接式攻击中,攻击者通过攻击指挥台操纵多台控制傀儡机,这些控制傀儡机又控制更多的攻击傀儡机。当攻击指令由攻击指挥台发出,经过控制傀儡机,最后到达攻击傀儡机时,攻击傀儡机就会直接向受害主机发动攻击,根据攻击傀儡机向受害主机发送的攻击包数量,又可进一步把直接式DDoS攻击划分为细流攻击和洪流攻击。

3攻击及防御

3.1

SYNFIood入侵、攻击及防御

据一些研究数据表明,有90%的拒绝服务攻击使用的是

TCP协议,而SYN洪流又是其中最常用的攻击手法之一。SYN洪流入侵,攻击的特点是发送大量的SYN包给服务端,却对服务端发回的SYN+ACK包不做应答。

这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。SYNFlood攻击可以有2种形式,在实际攻击中,攻击者常采用地址伪造的半连接攻击。因为这样一方面

本文收稿Et期:2009—7—26

可以掩盖发出攻击的真实位置,从而逃避追踪;另一方面,

万方数据 

一111—

网络攻击

电脑编程技巧与维护

如果攻击者不伪造地址。在未修改TCP协议栈的情况下,其系统会自动对攻击目标发回SYN+ACK做出响应。由于攻击主机并没有真实的连接建立请求,那么默认的协议栈一般会向攻击目标发送一个RST(即重置,Reset)回应取消连接,从而释放攻击目标对应的半开连接。这样做的坏处是既影响攻击主机本身的性能;而且由于默认的协议栈发出的RST使得攻击目标较早地释放对应的半开连接,从而减少占用半开连接的时问,降低攻击效果。如果攻击者伪造一个源IPv6地址并不存在的数据包,则受害者必须等待连接超时才能释放相应的半开连接。理论上,对于源地址伪造的SYN攻击(对外),利用源地址伪造检测技术就可以检测出来了。但是对于入侵(对内),由于无法保证外来的数据包的源地址的正确性,从而无法行源地址伪造检测。另外,攻击者也可能使用真实的源IPv6地址,并通过一些技术手段使默认协议栈不回送,RST消息的方式进行半连接攻击。那么对这些情况均需要进一步地半连接攻击,入侵检测。3.2流量型入侵、攻击及防御

流量型攻击又称带宽型攻击。它是依靠数据包的总量来攻击的,攻击者通过发送大量的“合法”数据包使受害机所处的网络发生拥堵或使系统忙于处理这些数据包而无法提供正常服务。这样发往该主机的许多数据包就会被发生拥堵的路由器或者过载的受害机系统直接丢弃,不会得到任何的应答。从而使攻击者发出的数据包要远大于收到的数据包,而在受害机这边则收到的数据包要远多于发送出去的数据包。利用这种双向流动的数据包的比例异常现象就可以检测出某个主机是否遭到流量型入侵或正在进行流量型攻击。

有研究表明,正常情况下,网络中主机以4秒钟为统计单位,发包数与收包数的比例大部分集中在0.5至2.0,约占总数96%以上。当然根据具体网络环境的不同会有一定的差别,比如服务器的比例要比客户端的比例大。而且统计的时间单位越长瞬时比例失衡的情况就越有可能被掩盖。这样系统就可以以一定时间为单位rIb,分别统计本地网络上每个主机的发包数和收包数的比例,如果该比例未超出某个正常区间(in-out-rate),则认为无流量型入侵或攻击发生,如果该比例超出了in-out—rate的上限,则认为该主机正在用流量攻击别人,如果该比例小于下限,则认为该主机正遭到流量型入侵。另外如七面所述的4秒为单位,in—out—rate为0.5到2.0是无法接受的,因为这大约会有5%的误报率。为此实际应用

中可以通过增大%的值和扩大in-out—rate的区间的办法来降

低误报率。实际上也可以根据网络运行的具体情况进行更加灵活的配置。

IPv6下DOS/DDOS的检测

整个因特网络可以分成两部分。一部分是因特网的边缘

网络,它是传统的防火墙、IDS和IPS等安全设备所保护的网络部分;另外则是除了这些边缘网络之外的部分,可以称之为骨干或核心网络部分。其中网络边缘部分是DoS/DDoS的检测的基本单位。

(1)根据分析,攻击者在进行DDos攻击前总需要解析目标的主机名。BIND域名服务器能够记录这些请求。在DDos攻

一112一

万 

方数据击前,域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。当DDos攻击一个网站时,会出现明显超出该网络正常工作时极限通信流量的现象。因此,可以在主干路由器建立ACL访问控制规则,以监测和过滤这些通信数据流。

(2)检测特大型的ICMP和UDP数据报。正常的UDP会话一般都使用小的UDP包,通常有效数据内容不超过lO字节。正常的ICMP消息一般为64~128字节。那些明显大的数据报很有町能就是控制通信用的,主要含有加密后的目标地址和一些命令选项。一旦捕获到(没有经过伪造的)控制信息通信,DDos服务器的位置就无可遁形了,因为控制信息通信数据报的目标地址是不能伪造的。

(3)检查不属于正常连接通信的TCP和UDP数据报。最隐秘的DDos工具随机使用多种通信协议(包括基于连接的协议)通过信道发送数据。优秀的防火墙和路由规则能够发现这些数据报。另外那些连接高于1024而且不属于常用网络服务的目标端口也是非常值得怀疑的。

“)检测数据段内容只包含文字和数字字符的数据报。检测数据段内容只包含文字和数字字符的数据报。这往往是数据经过Base64编码后而只会含有Base64字符集的特征。TFN2K发送的控制信息数据报就是此种类型的数据报。TFN2K的特征模式是在数据段中有一种‘A’

(AAAA…),这是经过调整数

据段大小和加密算法的结果。如果没有使用Base64编码,对于使用了加密算法的数据报,这个连续字符就是‘、0’。

结语

入侵检测是对防火墙非常有益的补充,入侵检测系统能

使在入侵对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。针对目前互联网上广泛存在的DOS/DDoS攻击现象进行研究,分析了DoS攻击的危害、攻击原理、攻击类型方法和防御策略,同时对IPv6的新特性所带来的潜在的安全问题,尤其是DoS/DDoS威胁作了详细分析,并重点对DoS/DDoS攻击者常利用的源地址欺骗、SYN洪流攻击和流量型等攻击手段分别设计了检测的办法。

参考文献

[1】苏衡,鞠九滨.多管理域合作检测DDoS攻击的一个方法

【J】.北京航空航天大学学报,2004,(11).

【2】薛晓敏.基于lpv6的协议解析和DOS/Ddos攻击检测【D】.

暨南大学,2007.

【3】P.Hoffman:RFC2406AlgorithmsforIntemetKey

Exchange

version

l(IKEvl)。May2005.

【4】尹传勇,刘寿强,陈娇春.新型蠕虫DDOS攻击的分析与

防治叨.计算机安全,2003,(07).作者简介

胡江涛,男(1971一),郧阳师范高等专科学校招生就业处,研究方向:计算机硬件、软件、计算机基础应用等。

网络攻击

IPv6的DoS/DDoS攻击及防御

作者:作者单位:刊名:英文刊名:年,卷(期):

胡江涛, HU Jingtao

郧阳师范高等专科学校招生就业处,郧阳,442700电脑编程技巧与维护

COMPUTER PROGRAMMING SKILLS & MAINTENANCE2009(20)

参考文献(4条)

1.尹传勇;刘寿强;陈娇春 新型蠕虫DDoS攻击的分析与防治[期刊论文]-计算机安全 2003(07)2.P Hoffman RFC 2406.Algorithms for Internet Key Exchange version 1(IKEvl) 20053.薛晓敏 基于Ipv6的协议解析和DoS/Ddos攻击检测 2007

4.苏衡;鞠九滨 多管理域合作检测DDoS攻击的一个方法[期刊论文]-北京航空航天大学学报 2004(11)

本文链接:http://www.77cn.com.cn/Periodical_dnbcjqywh200920048.aspx

本文来源:https://www.bwwdw.com/article/vryj.html

Top