IPv6的DoS_DDoS攻击及防御

网络攻击

ＣＯＭＰＵＴＩＮＧＳＥＣＵＲＩＴＹ

ＴＥＣＨＮＩＱＵＥＳ

计算机安全技术

ＩＰｖ６的ＤｏＳ／ＤＤｏＳ攻击及防御

胡江涛

（郧阳师范高等专科学校招生就业处，郧阳４４２７００）

摘要：ＩＰｖ６无疑要比ＩＰｖ４更加安全，但其本身就不是认证加密所能解决，而且就目前来看ＩＰｓｅｃ的大规模应用还有许多问题需要解决。本文详细分析了ＩＰｖ６网络的ＤｏＳ／ＤＤｏＳ攻击并针对ＩＰＶ６可能面临的各种形式的拒绝服务攻击展开了讨论。

关键词：ＩＰｖ６；网络攻击；ＤｏＳ／ＤＤｏＳ

ＤｏＳ／ＤＤｏＳＤｅｔｅｃｔｉｏｎａｎｄＡｎａｌｙｓｉｓＢａｓｅ

ＨＵＪｉｎｇｔａｏ

ｏｎ

ＩＰｖ６

（ｄｅｐａｒｔｍｅｎｔｏｆｅｎｒｏｌｌｍｅｎｔｅｍｐｌｏｙｍｅｎｔｏｆＹｕｎｙａｎｇｓｅｎｉｏｒｔｅａｃｈｅｒｓｃｏｌｅｇｅ。Ｙｕｎｙａｎｇ４４２７００）

ｈａｓｂｅｅｎｄｅｐｌｏｙｉｎｇｉｎｍａｎｙｃｏｕｎｔｒｉｅｓ．ＰｅｏｐｌｅａｒｅｕｓｅｄｔｏｂｅｌｉｅｖｅｔｈａｔＩＰｖ６ｉｓｍｏｒｅｓｅｃｕｒｅｔｈａｎＩＰｖ４．Ｉｎｔｈｉｓ

ｐａｐｅｒ，ｍａｎｙ１１％６ｓｅｃｕｒｉｔｙｐｒｏｂｌｅｍｓｗｉｌｌｂｅｄｉｓｃｕｓｓｅｄａｎｄａｎａｌｙｚｅｄｉｎｄｅｔａｉｌｓ．ＩｎｃｌｕｄｉｎｇｈｏｗｃｕｒｒｅｎｔｎｅｔｗｏｒｋａｔｔａｃｋｍｅｔｈｏｄｓｗｉｌｌｐｅｒｆｏｒｍｕｎｄｅｒＩＰｖ６ｅｎｖｉｒｏｍｅｎｔａｎｄｗｈａｔｐｏｔｅｎｔｉａｌａｔｔａｃｋｍｅａｎ８ｗｉｌｌｒｉｓｅｗｉｔｈＩＰｖ６＂ｓｎｅｗｃｈａｒａｃｔｅｒｉｓｔｉｃｓ．Ｓｐｅｃｉａｌｌｙ，ＩＰｖ６

Ａｂｓｔｒａｃｔ：ＩＰｖ６ｃｏｕｌｄｎ＇ｔ

ｒｅｓｔｏｒｅ

ＤｏＳ／ＤＤｏＳａｔｔａｃｋｓｗｅｌｌ．８０

ｗｅ

ｗｉｌｌｄｉｓｃｕｓｓｔｈｅｓｅ

ｐｒｏｂｌｅｍｓ

ａ

ｌｉｔｔｌｅｍｏＩ．ｅ．

Ｋｅｙｗｏｒｄｓ：ＩＰｖ６；ＮｅｔｗｏｒｋＡｔｔａｃｋ；ＤｏＳ／ＤＤｏＳ

ｌ特点和优势

１１％４简单、易于实现、互操作性好，在过去的应用中创造了辉煌的业绩。但是，随着互联网的爆炸性增长，ＩＰｖ４的诸多弊端逐渐暴露出来。目前的１１％４网络潜伏着两大危机：地址枯竭和路由表急剧膨胀，ＩＰｖ６的出现将从根本上解决这些问题。ＩＰｖ６的ＩＰ地址长度为１２８比特，拥有２‘１２８巨大地址空间，这样ＩＰｖ６的地址总数就大约有３．４ｘ１０‘３８个。理论上这一规模能够对地球表面的每一平方米提供６．５ｘ１０＂２３个网络地址。和ＩＰｖ４相同，因地址分层运用，实际可用的总数要小得多，但保守的估计每平方米也有１６００个ＩＰ地址。如此大的地址空间，不仅使得每个人拥有一个ＩＰ地址，就是将来的手机、电视和空调等每台通信或家电设备都Ⅱ『拥有一个ｌＰ地址。使用１２８位地址，可提供远大于１１％４的地址空间和网络前缀。ＩＰｖ６的设计者把１１％６的地址空间按照不同的地址前缀来划分，并采用了层次化的地址结构，有利于骨干网路由器对数据包的快速转发，提高路由效率。

２

２．１．１细流攻击

细流攻击主要利用了存在于协议或软件中的漏洞，通过向目标主机发送一个或少量的攻击包，使得其无法正确处理这些包而出现异常，导致目标系统崩溃。

２．２．２洪流攻击

与细流攻击不同，洪流攻击需要向目标主机发送大量的攻击包。以此来达到拒绝服务的目的。２．２反弹式ＤＤ０ｓ攻击

与直接式ＤＤｏＳ攻击相比，反弹式ＤＤｏＳ攻击增加了一个“反弹网络”。该反弹网络由多个反弹主机构成，每个反弹主机具备根据一个消息生成另一个消息的能力，常见的反弹主机有Ｗｅｂ服务器、ＤＮＳ服务器和路由器等。反弹式ＤＤｏＳ攻击是一种间接攻击。在这种攻击过程中，攻击傀儡击并不直接往受害主机发送攻击包，而是向反弹网络中的反弹主机发送特定的数据包（这些数据包的源地址被伪造成受害主机的ＩＰ地址），然后反弹主机在接收到这些数据包后就会把与这些数据包相对应的响应包发给受害主机。当反弹网络足够大时，那些响应包就会耗尽受害主机附近的网络带宽。因此，这种攻击也是一种带宽攻击。

ＤｏＳ，ＤＤｏＳ威胁

拒绝服务攻击（ＤｏＳ）和分布式拒绝服务攻击ｆＤＤｏＳｌ以

其易实施、破坏力强和难以追踪的特点成为互联网的主要威胁。它的主要目标是在一定时间内彻底使被攻击的网络丧失正常服务功能。２．１直接式ＤＤｏＳ攻击

在直接式攻击中，攻击者通过攻击指挥台操纵多台控制傀儡机，这些控制傀儡机又控制更多的攻击傀儡机。当攻击指令由攻击指挥台发出，经过控制傀儡机，最后到达攻击傀儡机时，攻击傀儡机就会直接向受害主机发动攻击，根据攻击傀儡机向受害主机发送的攻击包数量，又可进一步把直接式ＤＤｏＳ攻击划分为细流攻击和洪流攻击。

３攻击及防御

３．１

ＳＹＮＦＩｏｏｄ入侵、攻击及防御

据一些研究数据表明，有９０％的拒绝服务攻击使用的是

ＴＣＰ协议，而ＳＹＮ洪流又是其中最常用的攻击手法之一。ＳＹＮ洪流入侵，攻击的特点是发送大量的ＳＹＮ包给服务端，却对服务端发回的ＳＹＮ＋ＡＣＫ包不做应答。

这是一种利用ＴＣＰ协议缺陷，发送大量伪造的ＴＣＰ连接请求，从而使得被攻击方资源耗尽（ＣＰＵ满负荷或内存不足）的攻击方式。ＳＹＮＦｌｏｏｄ攻击可以有２种形式，在实际攻击中，攻击者常采用地址伪造的半连接攻击。因为这样一方面

本文收稿Ｅｔ期：２００９—７—２６

可以掩盖发出攻击的真实位置，从而逃避追踪；另一方面，

万方数据　

一１１１—

网络攻击

电脑编程技巧与维护

如果攻击者不伪造地址。在未修改ＴＣＰ协议栈的情况下，其系统会自动对攻击目标发回ＳＹＮ＋ＡＣＫ做出响应。由于攻击主机并没有真实的连接建立请求，那么默认的协议栈一般会向攻击目标发送一个ＲＳＴ（即重置，Ｒｅｓｅｔ）回应取消连接，从而释放攻击目标对应的半开连接。这样做的坏处是既影响攻击主机本身的性能；而且由于默认的协议栈发出的ＲＳＴ使得攻击目标较早地释放对应的半开连接，从而减少占用半开连接的时问，降低攻击效果。如果攻击者伪造一个源ＩＰｖ６地址并不存在的数据包，则受害者必须等待连接超时才能释放相应的半开连接。理论上，对于源地址伪造的ＳＹＮ攻击（对外），利用源地址伪造检测技术就可以检测出来了。但是对于入侵（对内），由于无法保证外来的数据包的源地址的正确性，从而无法行源地址伪造检测。另外，攻击者也可能使用真实的源ＩＰｖ６地址，并通过一些技术手段使默认协议栈不回送，ＲＳＴ消息的方式进行半连接攻击。那么对这些情况均需要进一步地半连接攻击，入侵检测。３．２流量型入侵、攻击及防御

流量型攻击又称带宽型攻击。它是依靠数据包的总量来攻击的，攻击者通过发送大量的“合法”数据包使受害机所处的网络发生拥堵或使系统忙于处理这些数据包而无法提供正常服务。这样发往该主机的许多数据包就会被发生拥堵的路由器或者过载的受害机系统直接丢弃，不会得到任何的应答。从而使攻击者发出的数据包要远大于收到的数据包，而在受害机这边则收到的数据包要远多于发送出去的数据包。利用这种双向流动的数据包的比例异常现象就可以检测出某个主机是否遭到流量型入侵或正在进行流量型攻击。

有研究表明，正常情况下，网络中主机以４秒钟为统计单位，发包数与收包数的比例大部分集中在０．５至２．０，约占总数９６％以上。当然根据具体网络环境的不同会有一定的差别，比如服务器的比例要比客户端的比例大。而且统计的时间单位越长瞬时比例失衡的情况就越有可能被掩盖。这样系统就可以以一定时间为单位ｒＩｂ，分别统计本地网络上每个主机的发包数和收包数的比例，如果该比例未超出某个正常区间（ｉｎ－ｏｕｔ－ｒａｔｅ），则认为无流量型入侵或攻击发生，如果该比例超出了ｉｎ－ｏｕｔ—ｒａｔｅ的上限，则认为该主机正在用流量攻击别人，如果该比例小于下限，则认为该主机正遭到流量型入侵。另外如七面所述的４秒为单位，ｉｎ—ｏｕｔ—ｒａｔｅ为０．５到２．０是无法接受的，因为这大约会有５％的误报率。为此实际应用

中可以通过增大％的值和扩大ｉｎ－ｏｕｔ—ｒａｔｅ的区间的办法来降

低误报率。实际上也可以根据网络运行的具体情况进行更加灵活的配置。

４

ＩＰｖ６下ＤＯＳ／ＤＤＯＳ的检测

整个因特网络可以分成两部分。一部分是因特网的边缘

网络，它是传统的防火墙、ＩＤＳ和ＩＰＳ等安全设备所保护的网络部分；另外则是除了这些边缘网络之外的部分，可以称之为骨干或核心网络部分。其中网络边缘部分是ＤｏＳ／ＤＤｏＳ的检测的基本单位。

（１）根据分析，攻击者在进行ＤＤｏｓ攻击前总需要解析目标的主机名。ＢＩＮＤ域名服务器能够记录这些请求。在ＤＤｏｓ攻

一１１２一

万　

方数据击前，域名服务器会接收到大量的反向解析目标ＩＰ主机名的ＰＴＲ查询请求。当ＤＤｏｓ攻击一个网站时，会出现明显超出该网络正常工作时极限通信流量的现象。因此，可以在主干路由器建立ＡＣＬ访问控制规则，以监测和过滤这些通信数据流。

（２）检测特大型的ＩＣＭＰ和ＵＤＰ数据报。正常的ＵＤＰ会话一般都使用小的ＵＤＰ包，通常有效数据内容不超过ｌＯ字节。正常的ＩＣＭＰ消息一般为６４～１２８字节。那些明显大的数据报很有町能就是控制通信用的，主要含有加密后的目标地址和一些命令选项。一旦捕获到（没有经过伪造的）控制信息通信，ＤＤｏｓ服务器的位置就无可遁形了，因为控制信息通信数据报的目标地址是不能伪造的。

（３）检查不属于正常连接通信的ＴＣＰ和ＵＤＰ数据报。最隐秘的ＤＤｏｓ工具随机使用多种通信协议（包括基于连接的协议）通过信道发送数据。优秀的防火墙和路由规则能够发现这些数据报。另外那些连接高于１０２４而且不属于常用网络服务的目标端口也是非常值得怀疑的。

“）检测数据段内容只包含文字和数字字符的数据报。检测数据段内容只包含文字和数字字符的数据报。这往往是数据经过Ｂａｓｅ６４编码后而只会含有Ｂａｓｅ６４字符集的特征。ＴＦＮ２Ｋ发送的控制信息数据报就是此种类型的数据报。ＴＦＮ２Ｋ的特征模式是在数据段中有一种‘Ａ’

（ＡＡＡＡ…），这是经过调整数

据段大小和加密算法的结果。如果没有使用Ｂａｓｅ６４编码，对于使用了加密算法的数据报，这个连续字符就是‘、０’。

５

结语

入侵检测是对防火墙非常有益的补充，入侵检测系统能

使在入侵对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。针对目前互联网上广泛存在的ＤＯＳ／ＤＤｏＳ攻击现象进行研究，分析了ＤｏＳ攻击的危害、攻击原理、攻击类型方法和防御策略，同时对ＩＰｖ６的新特性所带来的潜在的安全问题，尤其是ＤｏＳ／ＤＤｏＳ威胁作了详细分析，并重点对ＤｏＳ／ＤＤｏＳ攻击者常利用的源地址欺骗、ＳＹＮ洪流攻击和流量型等攻击手段分别设计了检测的办法。

参考文献

［１】苏衡，鞠九滨．多管理域合作检测ＤＤｏＳ攻击的一个方法

【Ｊ】．北京航空航天大学学报，２００４，（１１）．

【２】薛晓敏．基于ｌｐｖ６的协议解析和ＤＯＳ／Ｄｄｏｓ攻击检测【Ｄ】．

暨南大学，２００７．

【３】Ｐ．Ｈｏｆｆｍａｎ：ＲＦＣ２４０６ＡｌｇｏｒｉｔｈｍｓｆｏｒＩｎｔｅｍｅｔＫｅｙ

Ｅｘｃｈａｎｇｅ

ｖｅｒｓｉｏｎ

ｌ（ＩＫＥｖｌ）。Ｍａｙ２００５．

【４】尹传勇，刘寿强，陈娇春．新型蠕虫ＤＤＯＳ攻击的分析与

防治叨．计算机安全，２００３，（０７）．作者简介

胡江涛，男（１９７１一），郧阳师范高等专科学校招生就业处，研究方向：计算机硬件、软件、计算机基础应用等。

网络攻击

IPv6的DoS/DDoS攻击及防御

作者：作者单位：刊名：英文刊名：年，卷(期)：

胡江涛， HU Jingtao

郧阳师范高等专科学校招生就业处,郧阳,442700电脑编程技巧与维护

COMPUTER PROGRAMMING SKILLS & MAINTENANCE2009(20)

参考文献(4条)

1.尹传勇;刘寿强;陈娇春 新型蠕虫DDoS攻击的分析与防治[期刊论文]-计算机安全 2003(07)2.P Hoffman RFC 2406.Algorithms for Internet Key Exchange version 1(IKEvl) 20053.薛晓敏 基于Ipv6的协议解析和DoS/Ddos攻击检测 2007

4.苏衡;鞠九滨 多管理域合作检测DDoS攻击的一个方法[期刊论文]-北京航空航天大学学报 2004(11)

本文链接：http://www.77cn.com.cn/Periodical_dnbcjqywh200920048.aspx

本文来源：https://www.bwwdw.com/article/vryj.html