亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        Chargen反射DDoS攻擊檢測(cè)

        2014-08-21 01:35:04趙煜夏震楊望丁偉
        中國(guó)教育網(wǎng)絡(luò) 2014年6期
        關(guān)鍵詞:分片字節(jié)攻擊者

        文 /趙煜 夏震 楊望 丁偉

        分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊是指在傳統(tǒng)的拒絕服務(wù)(Denial of Service,DoS)攻擊基礎(chǔ)上產(chǎn)生的分布式大規(guī)模攻擊方式。

        UDP數(shù)據(jù)風(fēng)暴(UDP Storm)是DDoS攻擊手段的一種。攻擊者通過向被攻擊主機(jī)發(fā)送大量帶有無用數(shù)據(jù)的UDP報(bào)文,使信道資源的利用率下降,從而達(dá)到拒絕服務(wù)的目的。UDP Storm攻擊的實(shí)現(xiàn)手法可分為直接攻擊和反射攻擊。在直接攻擊方式下,攻擊者控制僵尸主機(jī)上通過后門等非法手段安裝的僵尸進(jìn)程向被攻擊服務(wù)器發(fā)送UDP報(bào)文;而反射攻擊則是攻擊者通過偽造被攻擊主機(jī)地址向大量有漏洞的主機(jī)發(fā)送某些基于UDP服務(wù)的特殊請(qǐng)求報(bào)文,這些請(qǐng)求的回復(fù)會(huì)被放大數(shù)倍后發(fā)送到被攻擊主機(jī)從而達(dá)到攻擊目的。反射式DDoS攻擊不需要控制僵尸進(jìn)程,實(shí)現(xiàn)起來更方便且不容易被追蹤,因此它已經(jīng)成了一種最近非?;钴S的DDoS攻擊手段。一些較常見的被用于反射攻擊的服務(wù)有Chargen服務(wù)、NTP服務(wù)和DNS服務(wù)等。

        Chargen反射DDoS攻擊

        Chargen字符發(fā)生器協(xié)議(Character Generator Protocol)是一種簡(jiǎn)單網(wǎng)絡(luò)協(xié)議,設(shè)計(jì)的目的是用來調(diào)試TCP或UDP協(xié)議程序、測(cè)量連接的帶寬或進(jìn)行QoS的微調(diào)等。它的默認(rèn)端口為19,分為基于TCP和UDP兩種方式,TCP方式下建立連接后,服務(wù)器會(huì)不斷傳送任意字符到客戶端,直到客戶端關(guān)閉連接。UDP方式下每當(dāng)服務(wù)器收到客戶端的一個(gè)UDP數(shù)據(jù)包后向客戶端返回一個(gè)數(shù)據(jù)包,長(zhǎng)度為0~512字節(jié)之間隨機(jī)值,數(shù)據(jù)包的負(fù)載可以是任意字符。

        Chargen協(xié)議的設(shè)計(jì)初衷是為了網(wǎng)絡(luò)測(cè)試,并沒有嚴(yán)格的訪問控制和流量控制機(jī)制,在UDP模式下任何人都可以向開放該服務(wù)的主機(jī)請(qǐng)求服務(wù),這種簡(jiǎn)單的請(qǐng)求-回復(fù)模式便為DDoS攻擊者提供了便利。圖1給出了這個(gè)攻擊的示意。圖中攻擊者的地址是IP A,三元組(src=0:S,dst=1:19,proto=UDP )表示A偽造被攻擊對(duì)象地址IP 0和端口S,向被利用主機(jī)IP1的19端口發(fā)送的Chargen請(qǐng)求報(bào)文,對(duì)應(yīng)被利用主機(jī)放大后的回復(fù)報(bào)文流向了被攻擊主機(jī)IP 0。這個(gè)漏洞早在1996年就被發(fā)現(xiàn)(CVE-1999-0103),該漏洞被利用最主要的原因是實(shí)現(xiàn)過程沒有設(shè)計(jì)必要的訪問控制。

        雖然RFC 864對(duì)Chargen協(xié)議標(biāo)準(zhǔn)作出了說明,但不同操作系統(tǒng)在實(shí)現(xiàn)上并不一致,許多系統(tǒng)的UDP回復(fù)報(bào)文超過了512字節(jié)的字符,這種機(jī)制恰恰滿足DDoS攻擊對(duì)于流量放大的需求。流量放大程度在不同的操作系統(tǒng)上有所不同,有些可以達(dá)到幾十倍。為此我們進(jìn)行了簡(jiǎn)單的實(shí)驗(yàn),在Linux系統(tǒng)下,對(duì)于64字節(jié)的無負(fù)載UDP Chargen請(qǐng)求,系統(tǒng)回復(fù)一個(gè)1066字節(jié)的UDP應(yīng)答報(bào)文,而在Windows系統(tǒng)下使用同樣的請(qǐng)求,回復(fù)的UDP應(yīng)答報(bào)文長(zhǎng)度達(dá)3259字節(jié),并產(chǎn)生了分片,流量被放大了50倍。

        圖1 Chargen反射攻擊模式

        基于流記錄的檢測(cè)方法

        檢測(cè)算法

        由于Chargen不是常用協(xié)議,因此對(duì)于這類DDoS可以使用基于端口匹配的方法進(jìn)行檢測(cè)。這種檢測(cè)方法適用于部署在網(wǎng)絡(luò)邊界,用于對(duì)網(wǎng)內(nèi)主機(jī)參與Chargen攻擊的情況進(jìn)行監(jiān)測(cè),即只有當(dāng)攻擊流量穿越網(wǎng)絡(luò)邊界,即被攻擊者位于網(wǎng)外時(shí)能被檢測(cè)到,無法感知攻擊和受害主機(jī)都在網(wǎng)絡(luò)內(nèi)部的情況。

        算法實(shí)現(xiàn)

        我們將上述Chargen攻擊檢測(cè)算法成功地實(shí)現(xiàn)在NBOS系統(tǒng)平臺(tái)上,完成了對(duì)CERNET網(wǎng)內(nèi)參與Chargen攻擊的主機(jī)的檢測(cè)。

        NBOS(Network Behavior Observation System)是CERNET華東北地區(qū)網(wǎng)絡(luò)中心在國(guó)家科技支撐計(jì)劃課題“新一代可信任互聯(lián)網(wǎng)安全和網(wǎng)絡(luò)服務(wù)”支持下開發(fā)的用于監(jiān)控和管理CERNET網(wǎng)絡(luò)服務(wù)質(zhì)量和網(wǎng)絡(luò)安全狀態(tài)的新型網(wǎng)絡(luò)管理系統(tǒng),它基于流記錄工作,以不同的時(shí)空尺度提供網(wǎng)絡(luò)的基礎(chǔ)運(yùn)行數(shù)據(jù)。2013年8月,NBOS完成了在CERNET全國(guó)38個(gè)主節(jié)點(diǎn)的部署,并穩(wěn)定運(yùn)行到現(xiàn)在。

        在實(shí)現(xiàn)過程中,為了不影響NBOS的正常運(yùn)行我們只選擇檢測(cè)了向國(guó)外主機(jī)發(fā)起Chargen攻擊的流量,因?yàn)橹恍枰獧z測(cè)到一次攻擊行為就可以定位發(fā)起Chargen攻擊主機(jī),因此這個(gè)方法不會(huì)影響對(duì)事件主機(jī)的查準(zhǔn)率。

        檢測(cè)結(jié)果

        實(shí)際檢測(cè)時(shí)算法使用的閥值是在一個(gè)5分鐘的NBOS時(shí)間粒度中,UDP:19平均流量超過1Mbps。圖2給出了檢測(cè)結(jié)果的實(shí)例,從2個(gè)角度進(jìn)行了展示。(a)給出了一個(gè)CERNET主節(jié)點(diǎn)所管理的網(wǎng)絡(luò)在某個(gè)時(shí)間段參與過Chargen攻擊的主機(jī)列表;(b)是某個(gè)主節(jié)點(diǎn)參與一次特定Chargen攻擊的主機(jī)列表。

        在CERNET的38個(gè)主節(jié)點(diǎn)中,NBOS目前可以獲取完整分析源數(shù)據(jù)(流記錄)的主節(jié)點(diǎn)有28個(gè),還有2個(gè)主節(jié)點(diǎn)只能獲得部分分析源數(shù)據(jù)。根據(jù)上述檢測(cè)程序在這些主節(jié)點(diǎn)上的運(yùn)行觀測(cè)發(fā)現(xiàn)2013年這些主節(jié)點(diǎn)的被管網(wǎng)絡(luò)中普遍存在著Chargen反射式UDP Storm攻擊,大量校園網(wǎng)主機(jī)被用作攻擊主機(jī),到2014年的情況沒有明顯改善,仍有超過500臺(tái)主機(jī)存在這個(gè)漏洞并有持續(xù)參與攻擊的行為發(fā)生。有關(guān)結(jié)果在圖3中給出,其中(a)為2014年3月10日~23日這14天中按天統(tǒng)計(jì)的全網(wǎng)Chargen攻擊活躍主機(jī)情況,(b)為該時(shí)間段內(nèi)CERNET各節(jié)點(diǎn)平均主機(jī)和事件數(shù)的分布情況,圖中節(jié)點(diǎn)1-2為獲取部分分析源數(shù)據(jù)的節(jié)點(diǎn),3-30為28個(gè)獲取全部分析源數(shù)據(jù)的節(jié)點(diǎn)。

        圖2 CERNET上的Chargen攻擊檢測(cè)結(jié)果

        圖3 (a)2014年3月中旬Chargen攻擊活躍主機(jī)數(shù)

        圖3 (b) CERNET全網(wǎng)2014年Chargen攻擊活躍主機(jī)數(shù)及事件數(shù)分布

        圖4 2014年1月12日14:03~14:13時(shí)段某攻擊主機(jī)通信的流量

        數(shù)據(jù)源缺陷分析

        Chargen反射攻擊理論上應(yīng)該是純凈的19端口的UDP流量,然而在實(shí)際的檢測(cè)結(jié)果中卻發(fā)現(xiàn)攻擊流量里伴隨著大量固定高端端口流量,這個(gè)現(xiàn)象在所有主節(jié)點(diǎn)的檢測(cè)結(jié)果中普遍存在。為此,我們?cè)诮K省網(wǎng)邊界與流記錄同一接口位置上采集了面向有Chargen反射行為主機(jī)的全部原始報(bào)文與同一時(shí)間段獲取的流記錄進(jìn)行對(duì)比分析,發(fā)現(xiàn)這是由于NBOS所使用的由某個(gè)品牌路由器提供的流記錄未能正確處理UDP分片報(bào)文導(dǎo)致的,流記錄將Chargen反射中的分片報(bào)文作為普通報(bào)文進(jìn)行處理。

        圖4給出了一個(gè)具體的實(shí)例來說明這個(gè)問題。圖中(a)是路由器給出的原始流記錄數(shù)據(jù),顯示源IP為202.*.200.91的地址使用30070端口與185.*.104.70的30464端口通信,而在同一時(shí)間段采集的原始報(bào)文序列中沒有發(fā)現(xiàn)任何202.*.200.91使用30070端口與185.*.104.70通信的報(bào)文,但報(bào)文序列中該地址發(fā)送過大量的UDP分片報(bào)文,這些分片報(bào)文是202.*.200.91的19端口回應(yīng)Chargen請(qǐng)求產(chǎn)生的。進(jìn)一步分析其中的一個(gè)分片報(bào)文的內(nèi)容(圖4(b))發(fā)現(xiàn),若以普通UDP報(bào)文結(jié)構(gòu)來解析,在UDP分片報(bào)文源端口號(hào)位置的數(shù)據(jù)是0x7576,而這個(gè)16進(jìn)制數(shù)所對(duì)應(yīng)的十進(jìn)制值就是30070。用相似方法對(duì)其他分片報(bào)文進(jìn)行解析可以獲得另外幾個(gè)端口。這個(gè)實(shí)驗(yàn)的結(jié)果說明為NBOS提供流記錄的路由器,在流記錄的輸出過程中,把UDP分片報(bào)文錯(cuò)誤地處理成了正常的UDP報(bào)文。

        由于只有Windows系統(tǒng)的UDP Chargen回復(fù)會(huì)產(chǎn)生報(bào)文分片,因此利用數(shù)據(jù)源的這個(gè)缺陷,我們可以判定參與Chargen攻擊主機(jī)的操作系統(tǒng)類型。

        本文分析了一個(gè)在NBOS平臺(tái)上實(shí)現(xiàn)的Chargen反射DDoS檢測(cè)算法,并用其對(duì)CERNET中的Chargen攻擊現(xiàn)象進(jìn)行了觀測(cè)和統(tǒng)計(jì)。從實(shí)際的觀測(cè)結(jié)果來看,這類攻擊在CERNET中相對(duì)多發(fā)。網(wǎng)絡(luò)上的服務(wù)器對(duì)類似Chargen協(xié)議管理松懈是這個(gè)現(xiàn)象的主要原因。實(shí)際上,對(duì)這個(gè)攻擊的防范還是比較簡(jiǎn)單的,只要關(guān)閉19端口就可以了。即使這個(gè)服務(wù)一定要開放,至少應(yīng)該增加一個(gè)訪問控制機(jī)制。

        本文的另一個(gè)貢獻(xiàn)是發(fā)現(xiàn)了某品牌路由器的流記錄對(duì)UDP報(bào)文分片的處理存在缺陷。

        猜你喜歡
        分片字節(jié)攻擊者
        上下分片與詞的時(shí)空佈局
        詞學(xué)(2022年1期)2022-10-27 08:06:12
        No.8 字節(jié)跳動(dòng)將推出獨(dú)立出口電商APP
        基于微分博弈的追逃問題最優(yōu)策略設(shè)計(jì)
        分片光滑邊值問題的再生核方法
        CDN存量MP4視頻播放優(yōu)化方法
        No.10 “字節(jié)跳動(dòng)手機(jī)”要來了?
        基于模糊二分查找的幀分片算法設(shè)計(jì)與實(shí)現(xiàn)
        正面迎接批判
        愛你(2018年16期)2018-06-21 03:28:44
        簡(jiǎn)談MC7字節(jié)碼
        有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
        极品 在线 视频 大陆 国产| 国产一区二区三区四区在线视频| 蜜桃视频一区二区三区| 少妇精品揄拍高潮少妇桃花岛| 久久精品99国产精品日本| 内射合集对白在线| 97伦伦午夜电影理伦片| 91久久精品无码人妻系列| 国产无套粉嫩白浆内精| 中文无码av一区二区三区| 久久人与动人物a级毛片| 97人妻熟女成人免费视频| 尤物AV无码色AV无码麻豆 | 中文字幕日韩人妻高清在线| 国产一区二区三区精品成人爱| 国产精品视频亚洲二区| 人妻暴雨中被强制侵犯在线| 免费国产交换配乱淫| 一区二区三区福利在线视频| 久久国产精品免费一区二区三区| 小雪好紧好滑好湿好爽视频| 国产成人综合在线视频| 五月婷婷激情小说| 久久五月精品中文字幕| 2021国产精品视频网站| 性欧美暴力猛交69hd| 99精品视频69v精品视频免费| 国产三级av大全在线爽| 国产福利视频一区二区| 四虎永久免费影院在线| 少妇人妻偷人中文字幕| 国产精品无码一区二区三区在| www国产亚洲精品久久网站| 国产婷婷丁香五月麻豆| 亚洲一级天堂作爱av| 免费在线黄色电影| 久久精品夜夜夜夜夜久久 | 欧美视频第一页| 在线女同免费观看网站| 极品粉嫩小仙女高潮喷水网站| a级毛片免费观看在线|