摘要
当前,随着计算机和互联网技术快速融合发展,宽带普及、提速工程稳步推进,移动互联网、云计算、云存储、大数据等新技术、新产业相互促进、融合发展,互联网技术已经深入到社会生活的每一个角落。但是,互联网技术发展的两面性也表现的愈来愈突出:黑客活动日趋频繁,网站后门、移动互联网恶意程序、针对特定目标的高级可持续攻击日渐增多,信息安全问题越来越突出,国家、企业、个人的信息安全面临着严峻威胁。统计数据表明,近年来重大的信息安全事件大部分都与 DDoS 攻击有关,而且 DDoS 攻击还呈上升趋势发展。
为了应对 DDoS 攻击防御方案的迫切需求,本文从当前中小企业的实际情况出发,提出了 Linux 平台下应对 DDoS 攻击的检测过滤方法,以用于中小型企业应对轻量级 DDoS 攻击的防御。首先阐述了近些年发生的重大 DDoS 攻击事件,介绍了国内外 DDoS 攻击威胁以及针对 DDoS 攻击的研究现状。在查阅大量 DDoS 攻击相关资料的基础上,阐述了 DDoS 攻击常用的攻击方法、攻击手段,分析了 DDoS 攻击的基本原理与特点,以及当前常见的检测防御方法。在前文解析的基础上,重点分析了具有代表性且容易发生的几种 DDoS 攻击方式。
通过深入剖析各攻击方式的攻击原理与攻击表象,总结归纳出应对不同 DDoS 攻击的具体防御策略。
其次,从 Linux 平台开源特性出发,本文对 Linux 平台下 Netfilter 安全框架进行深入分析,重点剖析 Netfilter 安全框架下安全模块,并结合具体应用给出应用实例。
综合前文总结归纳出的应对 DDoS 攻击的具体防御策略与 Linux 平台下 Netfilter 安全框架分析结果,利用 Netfilter 框架下多个安全模块,将应对策略转化为可运行于生产环境的防火墙程序。经实验表明,该程序可以有效地防御轻量级 DDoS 攻击。
关键词: Linux,Netfilter,防火墙,DDoS
Abstract
With the rapid development integration of computer and Internet technology in recent years, the popularization of broadband speed engineering works steadily, mobile Internet, cloud computing, cloud storage, big data and other new technologies, new business promote each other, and developing fast.The rapid development of Internet technology has deep into every corner of society.
However, both sides of the development of the Internet is also increasingly prominent:hacking activities have become increasingly frequent, the website back portal, mobile Internet malware, targeted APT increase everyday, the problem of information security becomes more and more prominent, information security of the state, enterprises, individuals is facing serious challenges. Statistics show that in recent years, most information security incidents is involved in DDoS attacks, and DDoS attacks also showed a rising trend in development.
The urgent demand to deal with DDoS attacks defense program, based on the current actual situation of small and medium-sized enterprises, this thesis proposes the detection filter method to deal with DDoS attacks with Linux platform, for SMEs to deal with the lightweight DDoS attack defense. First, this thesis describes the major DDoS attacks in recent years, and introduces the research status of DDoS attack and DDoS attack against at home and abroad. Based on consulting a large number of relevant data of attack on DDoS, this thesis describes DDoS attack method, the common attack means, analyzes the basic principle and characteristics of DDoS attacks, as well as the common detection method. Based on the previous analysis, we focus on the analysis of several representative DDoS attack which is easy to happen. Through in-depth analysis of the attack principle and the attack surface of attack method, we summarize the specific strategies to deal with different DDoS attack defense.
With the characteristics of the open source platform Linux, this thesis analyzes the Netfilter security framework of Linux, and focuses on the analysis of the key security module of Netfilter security framework.At Last, combining with above result, we gets specific application examples.
Based on the above summarized of the linux Netfilter security framework and the specific defense strategy of DDoS attacks, this thesis implements the defense strategies into actual operational firewall program with multiple security modules of netfilter. The experiments show that, the proposed defense method can effectively defend against the lightweight DDoS attack.
Key words: Linux, Netfilter, FireWall, DDoS
当前,随着计算机和互联网技术快速融合发展,宽带普及提速工程稳步推进,移动互联网、云计算、云存储、大数据、电子商务、网络媒体、自媒体、数据挖掘等新技术新业务相互促进、快速发展,互联网在我国政治、经济、文化以及社会生活各个领域中发挥着越来越重要的作用[1],互联网技术已经深入到社会的每一个角落。但是,互联网发展的双刃剑特性也表现的越来越明显:黑客活动日趋频繁,网站后门、移动互联网恶意程序、针对特定目标的有组织高级可持续攻击(APT 攻击)日渐增多[2],特别是拒绝服务攻击事件呈大幅增长态势[3],网络使用方的权益受到直接影响,严重影响了信息产业的长足发展。国家、企业、个人的网络信息系统安全面临着严峻挑战。
据 Gartner 在 2010 年底完成的全球范围内数千位 CIO 的调查,约半数的 CIO 预计在未来五年内将会通过云计算技术来运营应用和基础设施,而信息安全则是云计算能否成功应用的关键[4]。实际上,自有关云计算的思路提出之后,有关云计算的安全问题一直是被业界关注的重点。2010 到 2011 年的很多报告显示,由于安全问题,众多的企业对云计算持谨慎态度,但对云计算安全的态度正在发生着积极的变化[5]。2013 到 2014 年,云计算、大数据时代的到来,在影响着整个 IT 领域的同时,也对信息安全领域提出了新的要求,信息安全的重要程度又一次得到了提升,如何移除安全问题的“绊脚石”,已经成为各方共同的关注点。
首先,将近年来发生的重大信息安全事件做一个统计:2009 年 5 月 19 日晚,江苏、安徽、浙江等六省互联网用户发现连接互联网速度变慢甚至连接失败。造成此次事件的起因是暴风影音公司在 dnspod 托管的域名服务器因遭受黑客的DDoS 攻击而瘫痪[6],导致安装暴风影音软件的服务受到影响,因为软件对网络的需要,使得大量安装有暴风影音的客户端不断发起域名解析请求,导致大量的 DNS Query 请求发送至运营商的本地域名服务器,使得运营商的域名服务器不堪重负而瘫痪,从而造成互联网用户无法获得正常的网络服务。
2010 年“维基解密”公布了近百万份秘密及机密文件[7],该网站一系列的发布行为使信息安全工作得到了世界各国前所未有的关注。据美国有线电视新闻网 2010 年 12 月 13 日报道,为防止军事机密泄露,美国军方已下令禁止全军使用 USB 存储器、CD 光盘等移动存储介质[8]。
2011 年 3 月,RSA 执行主席宣布 RSA 遭受高级可持续攻击(APT 攻击),SecurID 令牌身份验证有关的信息被盗,导致很多使用 RSASecureID 作为认证凭证的客户网络(如洛克希德马丁公司)遭到攻击且资料被盗。这个事故被认为是 2011 年度最大数据泄露事故[4]。
2011 年 3 月,韩国计算机遭受多层次僵尸网络攻击达 10 天之久,并且被证明该攻击是无法抵抗的顽固力量。计算机分析师称,攻击行为采用的是“分布式拒绝服务(DDoS)攻击”的方式[9],随后,僵尸网络攻击行为突然停止,恶意软件向僵尸主机发出自杀命令,破坏了文件,使机器无法启动。2012 年 3 月,黑客组织 Anonymous 将诺顿反病毒软件 2006 版源代码的一份拷贝发布在文件共享网站海盗湾上[10],随后赛门铁克公司确认,在 2006 年的一次第三方泄密事件中公司的安全和非安全工具产品源代码遭到大范围泄漏。
2012 年 4 月底 VMware 已经确定关于 ESX Hypervisor 的源代码已经泄露。据查是一位自称是"Hardcore Charlie"的黑客在 4 月 8 日偷取的[11]。
2012 年 10 月,曾隶属于 UGNazi 黑客组织的 15 岁少年黑客 Cosmo 因信用卡欺诈、身份盗窃、炸弹威胁和网络假冒等罪名被判缓刑至 21 岁。在此期间,如未获假释官批准,他将不得使用互联网。UGNazi 组织曾在短期内利用 DDoS 手段攻击了大量的政府和金融网站,还迫使纳斯达克、加州政府和 CIA 网站下线数小时;用社交工程技术攻入一个结算公司,泄露出50 万个信用卡号码;还将纽约市长 Micheal Bloomberg 的住址和社保号码泄露到网上[12]。
2012 年 5 月,一种构造十分复杂、传播非常迅速的蠕虫病毒“火焰”(Flame)在中东地区出现,感染“火焰”病毒的电脑将自动分析本机的网络流量规律,自动录音,记录用户密码和键盘敲击规律,并将结果和其它重要文件发送给远程操控病毒的服务器。2012年8月,类似Flame病毒的 Gauss 病毒在中东地区出现,也可以将该病毒称为网络间谍软件,该软件可以窃取浏览器保存的密码、网银账户、Cookies 和系统配置信息等敏感数据。此外,Guass 似乎和 Stuxnet病毒来自同一个国家,而 Stuxnet 病毒和 Flame 病毒关联紧密[13]。
2012 年 8 月,维基解密表示,维基解密主站遭受到了持续的 DDoS(拒绝服务)黑客攻击,每秒钟都有来自数千个不同网址的大于 10GB 虚假流量涌入该网站,导致网站在一周多的时间里反应迟缓或根本无法登录。维基解密在一份声明中表示,此次黑客攻击在 8 月初开始增强,之后扩大到对其附属网站的攻击。
2013 年 6 月代号为“棱镜”(PRISM)的绝密电子监听计划被曝光,美国重要的国际互联网络公司皆直接参与其中。仅 2012 年,综合情报文件“总统每日简报”在 1477 个计划中使用了来自 PRISM 计划的资料,国安局至少有 1/7 的报告使用该项目数据。2014 年 5 月,互联网新闻研究中心发布《美国全球监听行动纪录》,该纪录指出“棱镜”项目监听的内容门类齐全,包括图片、邮件、个人上网习惯等;获取数据的方式多种多样,如监听通话、公司直接上报、网络抓取、主动入侵等;目标人群宽泛,如该监听行动涉及到中国政府和领导人、中资企业、科研机构、普通网民、广大手机用户等等[11]。可以想象当前不论是政府、企业,还是公民个人的信息安全保障有多么脆弱。
2013 年 7 月,韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站等遭到 DDoS 攻击(分布式拒绝服务攻击),瘫痪时间长达 4 小时[15]。
2013 年 3 月,国际反垃圾邮件组织网站 Spamhaus 遭受 DDoS 攻击,攻击流量最大值达300Gbps,成为有记录以来最大的 DDoS 攻击[16]。该次攻击造成欧洲地区的网络运行缓慢,而该攻击以互联网不可或缺的 DNS 服务作为切入点,攻击者把攻击数据包伪装为 Spamhaus发出的数据包,发送给网络上存在的 DNS 服务器,造成大量数据返回 Spamhaus 的服务器,简单地将攻击流量放大 100 倍。当前世界上有数百万台 DNS 服务器提供域名解析服务,而开放 DNS 服务器在互联网上数目庞大,远远大于 3 万台,也可以理解为针对 DNS 的攻击可以大到出乎想象。2013 年 8 月,国家域名解析节点(.cn 根域)受到有史以来最大规模的 DDoS(拒绝服务)攻击,包括.cn、.com.cn 和.gov.cn 等大量.cn 后缀的域名的解析受到影响,这是 2013 年对国内互联网影响最大的一次攻击[17]。
2014 年 3 月 BI 中文站报道,北约一位发言人表示,北约多个网站遭到严重的 DDoS(拒绝服务)攻击。此次攻击正值俄罗斯军队进驻克里米亚、克里米亚公投、乌克兰紧张局势升级之际[18]。这次攻击的是否有政治意图就不得而知了。
通过对以上信息安全事件分析,不难发现,这些事件中都聚焦到了破坏正常信息服务和敏感信息泄漏。黑客窃取信息,意在牟利,在巨大的金钱利益驱动下,非法地下交易市场也日趋繁华,黑客分工日益专业化,攻击技术也在不断升级,使得当前社会信息安全受到越来越严重的威胁。同时也应该注意到,现在的网络攻击最终目的已经不仅仅为经济利益,有着政治、军事目的的网络攻击也越来越多,而且造成的危害也非常巨大。这也不难理解,当前各国家都组建了网络战部队,而且具有大量的财力、物力支持,那么如果由该类组织发动攻击所造成的危害就很难控制了,如“棱镜”事件,它给被窃密者造成了无法用金钱衡量的损失。
从以上信息安全事件攻击方式分析统计中我们也可以看出,近些年来重大的信息安全事件大部分都与 DDoS 攻击有关,要么是直接的 DDoS 攻击,使被攻击方信息系统瘫痪、丧失服务能力,要么通过前期的 DDoS 攻击,打乱被攻击系统安全部署,趁机植入木马、开启后门等,窃取敏感信息。
DDoS 攻击已经是一个研究了很长时间的课题,但仅仅 2013 年全球的 DDoS 攻击仍然是接连不断,甚至 DDoS 攻击还变得日益猖獗,造成的危害范围也越来越大。如今,DDoS 攻击工具获取很容易,如黑市交易很频繁,攻击发起的所要求的技术门槛也降低很多,但防御却依然较艰难,同时 DDoS 攻击演化迅速,各种新型的攻击不断出现。仅仅是应用型攻击已经让网络安全专家们焦头烂额,针对移动 Apps 的 DDoS 攻击在未来还会呈暴发性增长。市场情报公司 IDC 一项新的研究发现,DDoS(分布式拒绝服务)攻击和 DoS 攻击防御解决方案市场在 2012 年到 2017 年间预计将增长 18.2%,相关开支将达到 8.7 亿美元[19]。
在云计算、大数据时代,如果遇上 DDoS 攻击,云端如何实现安全高效的互联,大数据如何能够在云端高速传输,这都是每一个期望运用云计算平台的组织或个人必须面对的问题。Gartner 预测 DDoS 攻击将占 2013 年所有的应用层攻击中的 25%左右[20],将来针对大数据的DDoS 攻击会越来越频繁、越来越猛烈。所以在云计算、大数据时代解决 DDoS 攻击将是信息安全领域面临的一个长期而艰巨的课题。
Linux平台应对DDOS攻击检测技术:
防火墙启动后 SYN Flood 攻击系统截图
HTTP Flood 攻击 LOIC 截图
慢速拒绝服务攻击攻击端 LOIC 截图
DNSqueryFlood 攻击被攻击端截图
DNSqueryFlood 攻击被攻击端 DNS 解析数量检测截图
目录
第一章 绪论
1.1 信息安全的严峻形势
1.2 DDoS 攻击的国内外研究现状
1.3 本论文的主要工作
第二章 DDoS 攻击的基本原理与主要技术
2.1 DDoS 攻击的基本原理
2.1.1 TCP/IP 协议三次握手原理解析
2.1.2 DDoS 攻击原理
2.2 DDoS 攻击的主要技术
2.2.1 SYN Flood 攻击
2.2.2 HTTP Flood
2.2.3 慢速拒绝服务攻击
2.2.4 P2P 攻击
2.2.5 DNS Query Flood
2.3 本章小结
第三章 Linux 下 Netfilter 体系结构分析
3.1 Netfilter 框架
3.1.1 钩子函数挂载点
3.1.2 钩子函数
3.2 IPtables 管理工具
3.2.1 表(table)
3.2.2 规则链(chain)
3.2.3 规则(rule)
3.3 Netfilter 框架和 IPtables 工具关联
3.4 Netfilter 框架的模块化
3.4.1 基础功能模块
3.4.2 扩展功能模块
3.5 IPTables 语法结构
3.5.1 表选项(table)
3.5.2 命令选项(command)
3.5.3 匹配选项(match)
3.5.4 动作选项(-j target/jump)
3.6 典型应用
3.6.1 连接跟踪
3.6.2 连接限制
3.6.3 重定向
3.6.4 数据包筛选
3.7 本章小结
第四章 应对 DDoS 攻击的具体策略
4.1 SYN Flood 攻击
4.2 HTTP Flood
4.3 慢速拒绝服务攻击
4.4 P2P 攻击
4.5 DNS Query Flood
4.6 本章小结
第五章 检测过滤程序具体实现
5.1 程序实现具体思路
5.2 程序实现关键技术
5.3 程序实现关键代码
5.4 实验与结果分析
5.4.1 实验环境
5.4.2 实验方法
5.4.3 实验结果分析
5.5 本章小结
第六章 总结与展望
6.1 总结
6.2 展望
参考文献
附录 1 程序清单
附录 2 IPTables 语法结构解析
致谢
(如您需要查看本篇毕业设计全文,请您联系客服索取)