介紹了SYN Flood攻擊的原理，分析了基于異常檢測的入侵檢測方法，利用信息論的相關(guān)原理，通過對到達(dá)目的IP和目的端口的SYN包的概率統(tǒng)計(jì)，計(jì)算其異常值并和門限值比較，有效地檢測出SYN Flood攻擊。以預(yù)處理插件的形式，將Anti SYN Flood的模塊加入到入侵檢測系統(tǒng)中，給出了檢測流程、主要數(shù)據(jù)結(jié)構(gòu)和程序框架，并作了相應(yīng)的測試。
關(guān) 鍵 詞 異常入侵檢測系統(tǒng); 同步洪水攻擊; 傳輸控制協(xié)議; 信息量
中圖分類號 TP309 文獻(xiàn)標(biāo)識碼 A
Implement of Anti SYN Flood
Cheng Jin Luo Kelu
(School of Computer Science and Engineering, UEST of China Chengdu 610054)
Abstract The opening of Internet offers great convenience of information sharing and exchange, accompanied with crucial challenges to network security. Security issues have evolved into the key problem of information times. SYN flood is one of deny of service attacks through sending a lot of SYN packets. Through computing probabilities of received SYN packets and comparing with normal threshold, system finds out the SYN intrusion and writes it into alert log file.
Key words anomaly-based; SYN flood; transfer control protocol; information
互聯(lián)網(wǎng)的開放性為信息的共享和交互提供了極大的便利，但同時(shí)也對網(wǎng)絡(luò)的安全性提出了嚴(yán)峻的挑戰(zhàn)。隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，網(wǎng)絡(luò)安全也向著縱深化、多樣化方向發(fā)展。與此同時(shí)，網(wǎng)絡(luò)環(huán)境也變得越來越復(fù)雜，各種復(fù)雜的設(shè)備需要不斷升級、補(bǔ)漏，使網(wǎng)絡(luò)管理員的工作不斷加重，不經(jīng)意的疏忽便有可能造成安全的重大隱患，網(wǎng)絡(luò)安全已成為信息時(shí)代的關(guān)鍵問題[1,2]。
1 SYN Flood攻擊原理
SYN Flood是當(dāng)前最流行的拒絕服務(wù)攻擊(Deny of Service, DOS)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式[3]。TCP協(xié)議是專門用在不可靠的因特網(wǎng)上提供可靠、端到端的字節(jié)流通信協(xié)議，即為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個(gè)虛擬電路。客戶端先發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，向服務(wù)器表示需要連接，然后等待服務(wù)的響應(yīng)，SYN報(bào)文會指明客戶端使用的端口以及TCP連接的初始序號(SEQ＝x)；服務(wù)器收到客戶端的SYN報(bào)文的連接請求后，查看是否在LISTEN的是指定的端口，如果不是，服務(wù)器就發(fā)送RST＝1應(yīng)答，拒絕建立連接，如果接受連接，服務(wù)器將返回一個(gè)SYN+ACK的報(bào)文，同時(shí)TCP序號被加一(SYN＝y(tǒng)，ACK＝x＋1)，表示服務(wù)器已連接好，等待客戶端對服務(wù)器SYN的確認(rèn)；客戶端也返回一個(gè)確認(rèn)報(bào)文ACK給服務(wù)器端，同樣TCP序列號被加一(SYN＝x＋1，ACK＝y(tǒng)＋1)。TCP連接完成后，雙方就可以發(fā)送數(shù)據(jù)，該過程在TCP協(xié)議中被稱為三次握手。
在惡意攻擊情況下，攻擊者大量偽造IP數(shù)據(jù)包向服務(wù)器發(fā)送，請求新的連接，導(dǎo)致服務(wù)器端為了維護(hù)一個(gè)較大的半連接列表而消耗非常多的資源。特別是攻擊者以比服務(wù)器丟棄未完成的連接更快的速度發(fā)送偽造IP的數(shù)據(jù)包，情況更為惡劣。即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器也將忙于處理攻擊者偽造的TCP連接請求而無暇滿足客戶的正常請求(該情況下客戶端的正常請求比率已非常小)，此時(shí)服務(wù)器失去響應(yīng)，即服務(wù)器端受到了SYN Flood攻擊。
2 基于異常的Anti SYN Flood實(shí)現(xiàn)
2.1 檢測原理
異常檢測是目前入侵檢測系統(tǒng)的主要研究方向，其特點(diǎn)是通過對系統(tǒng)異常行為的檢測，可以發(fā)現(xiàn)未知的攻擊模式。異常檢測的關(guān)鍵在于正常使用模式(Normal Usage Profile)的建立以及利用該模式對當(dāng)前的系統(tǒng)/用戶行為進(jìn)行比較，從而判斷出與正常模式的偏離程度。模式通常使用一組系統(tǒng)的度量來定義，每個(gè)度量都對應(yīng)于一個(gè)門限值或相關(guān)的變動范圍，例如檢查CPU利用率是否猛烈增長、內(nèi)存占用率激增、用戶登錄失敗次數(shù)增加、文件鎖定過多等。