馬之力 智勇 張馴 閆曉斌 黨倩 袁暉 朱小琴

【 摘 要 】 近年來，網(wǎng)絡(luò)攻擊手段愈加豐富、隱蔽性更強(qiáng)，入侵檢測、態(tài)勢感知等安全防護(hù)技術(shù)雖能發(fā)揮重要作用，但針對有些攻擊方式則難以監(jiān)測其攻擊行為，在排查診斷攻擊時也收效有限。論文研究提出通過捕獲數(shù)據(jù)包并對其進(jìn)行分析，將網(wǎng)絡(luò)從原來封閉的黑盒子，變?yōu)榭芍庇^展現(xiàn)的詳細(xì)數(shù)據(jù)，進(jìn)而診斷定位網(wǎng)絡(luò)攻擊的方法，并列舉了相應(yīng)的實例。該方法能夠快速診斷定位網(wǎng)絡(luò)攻擊源及攻擊手段，并且解決常規(guī)分析手段難以分析的疑難攻擊問題。

【 關(guān)鍵詞 】 數(shù)據(jù)包分析；數(shù)據(jù)包捕獲；網(wǎng)絡(luò)攻擊；攻擊診斷

【 Abstract 】 Recent years， the means of network attacks are increasingly rich， and more concealed. Meanwhile， Intrusion detection， situational awareness and other security technology can play an important role， but for some attacks it is difficult to monitor its aggressive behavior， and is also limited success when troubleshooting diagnosis attack. The paper proposes a method for the diagnosis of attacks targeting network by capturing and analyzing data packets. So， the detailed data of network can be visually show. Additionally， the paper lists the corresponding instance. This method can quickly diagnose and locate the source and means of network attacks，and solve difficult problems of the conventional methods difficult to analyze.

【 Keywords 】 packet analysis； packet capture； network attack； attack the diagnosis

1 引言

隨著企業(yè)信息化建設(shè)的快速發(fā)展，網(wǎng)絡(luò)規(guī)模愈加龐大，應(yīng)用系統(tǒng)、數(shù)據(jù)庫、中間件等軟件產(chǎn)品和主機(jī)、網(wǎng)絡(luò)、安全等硬件設(shè)備更為復(fù)雜，惡意攻擊和安全威脅的排查難度難度明顯增大[1]。通常，網(wǎng)絡(luò)管理者監(jiān)測的重點在于網(wǎng)絡(luò)是否可用、負(fù)載是否正常、關(guān)鍵應(yīng)用是否訪問正常。但當(dāng)前很多網(wǎng)絡(luò)攻擊可在不影響應(yīng)用或影響不大的的情況下獲取內(nèi)部數(shù)據(jù)信息，造成敏感信息泄密。例如，SQL注入攻擊。另外，有些攻擊方式隱蔽性很強(qiáng)，入侵檢測系統(tǒng)等常規(guī)安全設(shè)備很難監(jiān)測其攻擊行為[1] [2]。

針對以上問題，本文研究提出通過捕獲數(shù)據(jù)包并對其進(jìn)行分析，進(jìn)而診斷定位網(wǎng)絡(luò)攻擊的方法。

2 數(shù)據(jù)包捕獲

數(shù)據(jù)包的捕獲是對其進(jìn)行分析的基礎(chǔ)，根據(jù)數(shù)據(jù)包傳輸方式的不同分共享式和交換式兩大類。共享式捕獲即：將數(shù)據(jù)包捕獲程序接入到集線器（Hub），則任何一個端口傳輸?shù)臄?shù)據(jù)都可被捕獲，無需對集線器進(jìn)行任何設(shè)置[3]。交換式捕獲涉及多種方法。

（1）端口鏡像：把交換機(jī)某個或多個端口（Vlan）的數(shù)據(jù)鏡像到其他端口的方法，即通過對交換機(jī)進(jìn)行配置，實現(xiàn)將某個端口的數(shù)據(jù)包拷貝一份到其他端口上。

（2）測試入口點（Test Access Point，TAP）捕獲：通過分路器、分光器直接獲取網(wǎng)絡(luò)鏈路上的物理信號而獲取流量，可復(fù)制到多個端口、匯聚到個別端口，也可根據(jù)一定規(guī)則過濾出需要的數(shù)據(jù)。

（3）MAC洪泛捕獲：通過向交換機(jī)發(fā)送大量Mac地址，造成交換機(jī)內(nèi)容尋址存儲器（Content Addressable Memory， CAM）表溢出，此時交換機(jī)會將數(shù)據(jù)包在廣播域中泛洪，從而捕獲數(shù)據(jù)包。該方法會造成網(wǎng)絡(luò)堵塞，導(dǎo)致網(wǎng)絡(luò)性能下降。

（4）ARP欺騙捕獲：地址解析協(xié)議（Address Resolution Protocol， ARP）欺騙通過向目標(biāo)主機(jī)發(fā)送偽造的ARP應(yīng)答包，將目標(biāo)主機(jī)網(wǎng)關(guān)的MAC地址修改為攻擊者的主機(jī)MAC地址，同時向目標(biāo)主機(jī)網(wǎng)關(guān)發(fā)送偽造的ARP應(yīng)答包[4]。攻擊者作為“中間人”， 目標(biāo)主機(jī)的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)，如此，竊取到目標(biāo)主機(jī)的通信數(shù)據(jù)。

3 數(shù)據(jù)包分析技術(shù)的應(yīng)用

數(shù)據(jù)包分析是指通過解析網(wǎng)絡(luò)中最小人工可讀數(shù)據(jù)，以全面掌握網(wǎng)絡(luò)及應(yīng)用的運行規(guī)律與狀態(tài)的一種技術(shù)。通過數(shù)據(jù)包分析，能夠有效識別并快速診斷定位網(wǎng)絡(luò)中的惡意攻擊行為，以及不安全和濫用網(wǎng)絡(luò)的應(yīng)用。

3.1 掃描攻擊診斷及定位

網(wǎng)絡(luò)掃描通常利用TCP、UDP等方式檢測操作系統(tǒng)類型及開放的服務(wù)，為進(jìn)一步攻擊做好準(zhǔn)備[2] [5]。常見的網(wǎng)絡(luò)掃描方式有TCP SYN掃描、UDP掃描、NULL掃描、ACK掃描、FIN＼ACK掃描以及ICMP掃描等[2] [5]。

該類攻擊的數(shù)據(jù)包具有幾項特征：（1）小包數(shù)量多，128字節(jié)以內(nèi)的數(shù)據(jù)包較多；（2）TCP同部位（SYN）置1，TCP重置位（RST）置1的數(shù)據(jù)包較多；（3）產(chǎn)生大量的TCP或UDP會話，且這些會話的特征非常相似；（4）掃描主機(jī)會采用連續(xù)端口或固定端口嘗試與目標(biāo)主機(jī)連接；（5）會出現(xiàn)大量ICMP端口不達(dá)消息。

3.2 拒絕服務(wù)攻擊診斷及定位

拒絕服務(wù)攻擊是黑客常用的攻擊手段之一，目的是使目標(biāo)主機(jī)停止提供服務(wù)。通常，拒絕服務(wù)攻擊分為針對網(wǎng)絡(luò)帶寬的消耗、連接的消耗、資源的消耗三種[6]，攻擊過程中數(shù)據(jù)包的特征有幾種。

（1）帶寬消耗型——網(wǎng)絡(luò)流量會明顯變大，通過消耗網(wǎng)絡(luò)帶寬達(dá)到拒絕服務(wù)的效果。

（2）連接消耗型——通常會產(chǎn)生大量的TCP會話連接，通過占滿網(wǎng)絡(luò)會話數(shù)量達(dá)到拒絕服務(wù)的目的。

（3）資源消耗型——通常網(wǎng)絡(luò)流量變化不明顯，通過發(fā)送異常數(shù)據(jù)對服務(wù)器進(jìn)行高級攻擊，以消耗服務(wù)器資源，達(dá)到拒絕服務(wù)攻擊的效果。

3.3 木馬攻擊診斷及定位

木馬多采用反彈方式由內(nèi)向外進(jìn)行連接，以繞開防火墻等傳統(tǒng)安全設(shè)備和技術(shù)的檢測，隱蔽性更強(qiáng)[7]。該類攻擊的數(shù)據(jù)包具有幾個特征。

（1）解析惡意動態(tài)域名。木馬在進(jìn)行連接時首先通過查詢動態(tài)域名、Blog等形式，找到控制端的IP地址與服務(wù)端口[7]。

（2）長連接會話。通常木馬連接以TCP長連接的方式進(jìn)行通訊，客戶端或主控端定時發(fā)送心跳包，保持TCP會話。

（3）高端口連接。通常木馬通過高端口的方式與主控端進(jìn)行連接。

（4）客戶端主動發(fā)起連接。為躲避安全設(shè)備檢測，木馬主要通過反彈上線方式，由客戶端主動發(fā)送TCP同步包（SYN）建立會話。

4 網(wǎng)絡(luò)攻擊診斷定位實例

4.1 HTTP慢速拒絕服務(wù)攻擊

4.1.1 故障現(xiàn)象

網(wǎng)站業(yè)務(wù)對互聯(lián)網(wǎng)提供Web服務(wù)，在沒有任何征兆的情況下所有用戶突然不能訪問Web應(yīng)用。

4.1.2 攻擊診斷及定位

a） 通過重啟服務(wù)器及Web服務(wù)，能夠恢復(fù)正常，但幾分鐘后網(wǎng)站依然不能訪問。

b） 懷疑防火墻等安全設(shè)備攔截了用戶訪問，但查詢所有策略并未發(fā)現(xiàn)異常，可能不是安全設(shè)備造成的影響。

c） 通過網(wǎng)絡(luò)管理軟件等手段進(jìn)行監(jiān)測，未發(fā)現(xiàn)大規(guī)模流量突發(fā)。

d） 通過端口鏡像方式接入數(shù)據(jù)包分析設(shè)備，發(fā)現(xiàn)存在外部地址針對網(wǎng)站的慢速拒絕服務(wù)攻擊。

e） 通過分析數(shù)據(jù)包，發(fā)現(xiàn)攻擊者通過HTTP POST方法向網(wǎng)站目錄上傳文件，HTTP請求頭部Content-Length字段宣告要上傳10000字節(jié)數(shù)據(jù)，但攻擊者每間隔幾秒才向服務(wù)器發(fā)送1個或幾個字節(jié)有效數(shù)據(jù)；如此，無論網(wǎng)站是否支持向根目錄POST上傳數(shù)據(jù)，服務(wù)器都需先占用10000字節(jié)資源用于接收攻擊上傳的數(shù)據(jù)，大量類似的會話導(dǎo)致服務(wù)器無法正常訪問，形成應(yīng)用層拒絕服務(wù)攻擊。

4.1.3 問題解決

通過攔截攻擊者IP地址的方式，同時通過Web應(yīng)用防火墻和其他防護(hù)設(shè)備阻斷所有向網(wǎng)站“POST /”的HTTP請求，阻止類似特征的攻擊行為。

4.1.4 慢速拒絕服務(wù)攻擊數(shù)據(jù)包特征分析

HTTP慢速拒絕服務(wù)攻擊有別于帶寬消耗類攻擊，難以通過常規(guī)手段診斷定位。分析該類攻擊，其數(shù)據(jù)包具有幾個特征。

a） 攻擊主機(jī)會短時間內(nèi)與網(wǎng)站建立了幾百個甚至更多的TCP會話，連接會話數(shù)量明顯高于正常訪問，但不足以造成服務(wù)器連接耗盡。

b） 攻擊主機(jī)基于HTTP請求使用POST方法，聲稱要向網(wǎng)站的目錄上傳數(shù)據(jù)。

c） 在請求頭部Content-Length字段聲稱需要傳輸大量數(shù)據(jù)，如10000字節(jié)。

d） 建立連接后每隔幾秒才向服務(wù)器發(fā)送1個或幾個字節(jié)有效數(shù)據(jù)。

4.2 DOS木馬攻擊

4.2.1 故障現(xiàn)象

網(wǎng)絡(luò)經(jīng)常不定時出現(xiàn)訪問互聯(lián)網(wǎng)緩慢的情況，嚴(yán)重時不能訪問網(wǎng)絡(luò)。

4.2.2 攻擊診斷及定位

a） 此類情況通常是網(wǎng)絡(luò)內(nèi)主機(jī)與互聯(lián)網(wǎng)主機(jī)存在大流量的數(shù)據(jù)傳輸，擁塞互聯(lián)網(wǎng)出口帶寬導(dǎo)致。

b） 通過數(shù)據(jù)包分析發(fā)現(xiàn)，問題發(fā)生時段互聯(lián)網(wǎng)出口上行帶寬利用率達(dá)到100%，初步判斷流量突發(fā)的原因是內(nèi)部服務(wù)器與互聯(lián)網(wǎng)的一個地址產(chǎn)生了大流量數(shù)據(jù)傳輸。

c） 深入分析數(shù)據(jù)包，發(fā)現(xiàn)該服務(wù)器在對互聯(lián)網(wǎng)地址發(fā)送大量TCP同步包（SYN），頻率非常高，并且TCP同步包（SYN）中帶有填充數(shù)據(jù)，由于TCP同步包（SYN）是TCP/IP建立連接時使用的握手同步數(shù)據(jù)包，不應(yīng)包含任何應(yīng)用層數(shù)據(jù)，但分析發(fā)現(xiàn)該數(shù)據(jù)包中含有HTTP數(shù)據(jù)，且填充內(nèi)容全為0，說明這些數(shù)據(jù)包為明顯的偽造數(shù)據(jù)包。

d） 再對流量突增之前時段的可疑TCP會話進(jìn)行深入分析，發(fā)現(xiàn)木馬主控端地址；該服務(wù)器會主動向主控端地址的TCP801、803、888等多個端口發(fā)起TCP請求，建立TCP連接后長時間保持會話，該服務(wù)器會定期發(fā)送1字節(jié)的數(shù)據(jù)保持連接，并且該服務(wù)器主動向主控端發(fā)送本機(jī)的系統(tǒng)信息、內(nèi)存、CPU及網(wǎng)卡信息。

e） 經(jīng)過一段時間的保持會話，主控端向該服務(wù)器發(fā)送了84字節(jié)的數(shù)據(jù)，通過數(shù)據(jù)流還原可以看到內(nèi)容為隨后被DOS攻擊的IP地址，說明這個數(shù)據(jù)包是攻擊者向該服務(wù)器發(fā)送的攻擊指令，服務(wù)器收到指令后會向目標(biāo)發(fā)送大量偽造數(shù)據(jù)包進(jìn)行DOS攻擊。訪問互聯(lián)網(wǎng)緩慢正是由于大規(guī)模流量造成互聯(lián)網(wǎng)出口帶寬被占滿而導(dǎo)致。

4.2.3 問題解決

根據(jù)數(shù)據(jù)包分析結(jié)果，定位該服務(wù)器，對其進(jìn)行斷網(wǎng)隔離、查殺惡意程序處理，網(wǎng)絡(luò)隨即恢復(fù)正常。

4.2.4 DOS木馬攻擊數(shù)據(jù)包特征分析

分析該類攻擊，其數(shù)據(jù)包具有幾個特征。

a） 感染DOS木馬主機(jī)在工作時會產(chǎn)生大量數(shù)據(jù)傳輸。

b） 傳輸?shù)臄?shù)據(jù)包為偽造的TCP同步包（SYN）。

c） 傳輸頻率非常高。

在主控端沒有發(fā)送攻擊指令時，目標(biāo)主機(jī)不會占用太多帶寬，此時分析難度較大，可通過幾個特征判斷。

a） 目標(biāo)主機(jī)會通過TCP不知名端口主動發(fā)起TCP會話請求。

b） 目標(biāo)主機(jī)與主控端保持長連接會話。

c） 目標(biāo)主機(jī)會向主控端發(fā)送本機(jī)信息。

d） 主控端需要發(fā)起攻擊時會通過傳輸攻擊指令數(shù)據(jù)包，控制目標(biāo)主機(jī)發(fā)起攻擊。

4.3 網(wǎng)站SQL注入攻擊

4.3.1 問題描述

網(wǎng)站發(fā)生內(nèi)部信息泄漏，造成敏感數(shù)據(jù)流出，懷疑存在網(wǎng)絡(luò)攻擊。

4.3.2 攻擊診斷及定位

a） 通過網(wǎng)絡(luò)管理軟件監(jiān)測服務(wù)及服務(wù)器運行狀態(tài)，發(fā)現(xiàn)流量趨勢平穩(wěn)，運行狀態(tài)良好，不存在大規(guī)模拒絕服務(wù)攻擊及其他攻擊行為。

b） 通過數(shù)據(jù)包分析發(fā)現(xiàn)某互聯(lián)網(wǎng)主機(jī)頻繁訪問網(wǎng)站，根據(jù)訪問速率判斷明顯不是人工手動操作。再對數(shù)據(jù)包進(jìn)行深入分析，發(fā)現(xiàn)該互聯(lián)網(wǎng)主機(jī)頻繁通過POST方法向網(wǎng)站的一個URL地址發(fā)送數(shù)據(jù)，該URL下某參數(shù)存在通用型注入漏洞，攻擊者可通過該參數(shù)對網(wǎng)站進(jìn)行SQL注入。

c） 對數(shù)據(jù)包解碼，發(fā)現(xiàn)服務(wù)器對此URL的回應(yīng)多為代碼為500的HTTP 錯誤，說明網(wǎng)站確實存在。

d） 詳細(xì)解碼數(shù)據(jù)包，發(fā)現(xiàn)攻擊者通過該參數(shù)成功注入，連接了網(wǎng)站數(shù)據(jù)庫，且下載了數(shù)據(jù)庫的關(guān)鍵數(shù)據(jù)。

4.3.3 問題解決

通過對攻擊主機(jī)的IP進(jìn)行攔截，修復(fù)網(wǎng)站應(yīng)用漏洞，增加對異常SQL語句的過濾，成功解決了SQL注入攻擊問題。

4.3.4 POST類型SQL注入攻擊數(shù)據(jù)包特征分析

該類攻擊將注入數(shù)據(jù)放置在HTML HEADER內(nèi)提交，數(shù)據(jù)在URL中看不到，并且POST傳輸數(shù)據(jù)較多，通過常規(guī)的URL分析手段難以診斷問題。分析該類攻擊，其數(shù)據(jù)包具有幾個特征。

a） 大量以POST方式訪問網(wǎng)站的某一（或多個）URL。

b） 攻擊主機(jī)與網(wǎng)站短時間內(nèi)會建立大量TCP會話連接。

c） 解碼數(shù)據(jù)包，查看POST內(nèi)容，發(fā)現(xiàn)每個數(shù)據(jù)包提交內(nèi)容的某一（或多個）參數(shù)值不停變化，并且內(nèi)容帶有明顯的SQL注入特征。

d） 存在大量數(shù)據(jù)庫報錯及HTTP 500錯誤響應(yīng)。

e） 通過數(shù)據(jù)包分析，檢測數(shù)據(jù)包內(nèi)容中是否包含數(shù)據(jù)庫名、表名等關(guān)鍵信息，說明攻擊者已通過SQL注入方式竊取了網(wǎng)站的數(shù)據(jù)。

5 結(jié)束語

本文通過理論結(jié)合實際的方式詳細(xì)介紹了網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)在網(wǎng)絡(luò)攻擊診斷定位中的實際作用。該方法通過捕獲數(shù)據(jù)包并對其進(jìn)行分析，以診斷定位網(wǎng)絡(luò)攻擊。基于該方法，可幫助網(wǎng)絡(luò)管理者快速發(fā)現(xiàn)各種網(wǎng)絡(luò)攻擊，快速定位網(wǎng)絡(luò)攻擊源及攻擊手段，并且能夠解決常規(guī)分析手段難以分析的疑難攻擊問題，對一些隱藏深、危害大的網(wǎng)絡(luò)攻擊取得很好的實際效果，更好的保障網(wǎng)絡(luò)及應(yīng)用的安全。

參考文獻(xiàn)

[1] 張玉清.網(wǎng)絡(luò)攻擊與防御技術(shù)[M].北京： 清華大學(xué)出版社，2011.

[2] 呂雪峰，彭文波，宋澤宇. 網(wǎng)絡(luò)分析技術(shù)揭秘[M].北京：機(jī)械工業(yè)出版社，2012.

[3] 趙新輝，李祥.捕獲網(wǎng)絡(luò)數(shù)據(jù)包的方法[J].計算機(jī)應(yīng)用研究，2004，（8）： 242-255.

[4] W.Richard Stevens.TCP/IP ILLustrated Volume 1： The Protocols[M].Beijing： Mechanical Industry Press，2000.

[5] 張鴻久.網(wǎng)絡(luò)分析在電力企業(yè)的應(yīng)用研究 [D].河北：網(wǎng)絡(luò)分析在電力企業(yè)的應(yīng)用研究，2007.

[6] 鮑旭華. 破壞之王-DDoS攻擊與防范深度剖析[M]. 北京：機(jī)械工業(yè)出版社，2014.

[7] 科來軟件.疑難網(wǎng)絡(luò)故障分析案例集2012[EB/OL].北京：百度文庫，2012 [2016-03-02].http：//wenku.baidu.com.

作者簡介：

馬之力（1983-），男，甘肅武山人，工程師，從事電力信息化建設(shè)及安全技術(shù)工作。

智勇（1972-），男，陜西大荔人，高級工程師，從事電力系統(tǒng)自動化及繼電保護(hù)管理與技術(shù)研究工作。

張馴（1982-），男，江蘇揚州人，工程師，從事電力信息通信管理及安全技術(shù)工作。

閆曉斌（1976-），男，甘肅平?jīng)鋈?，高級工程師，從事電力信息化建設(shè)及管理工作。

黨倩（1981-），女，陜西韓城人，工程師，從事電力信息化管理與運維工作。

袁暉（1989-），男，甘肅蘭州人，助理工程師，從事電力信息通信建設(shè)及安全技術(shù)工作。

朱小琴（1990-），女，甘肅臨洮人，工程師，從事電力信息通信運維檢測技術(shù)工作。