[设计]计算机安全状态检测和防Dos攻击防火墙

[设计]计算机安全状态检测和防Dos攻击防火墙 状态检测和防Dos攻击防火墙 摘要:针对DoS(DenialofService)拒绝服务攻击 ,在分析DoS的攻击原理和现有的检测、防范手段的基础上 ,提出了一种检测、防范DoS的分布式模型 ,并提出了利用简单网络管理 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 (SNMP)技术实现该模型的 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ,分析了实现后的检测系统自身的安全性 .研究结果表明 ,分布式检测防范模型能在一定程度上对付DoS攻击 ,能在更高的层面处理分布式攻击 .利用类似的方法还可以检测其他的入侵攻击。 关键词:状态检测，防Dos攻击，防火墙 引言: 互联网的发展，极大的推动了整个社会的发展，在社会、经济、教育和娱乐等各方面都产生了重大的影响。互联网与人们的生活越来越紧密，人们通过网络互相交流，共享一些资源，互联网也缩小了人们地理上的距离，我们生活的这个星球也被称为“地球村”。 与此同时，网络安全也成为了人们关注的焦点。病毒、网络攻击等术语也越来越经常出现在人们的面前。 政府或公司的机密数据被黑客盗取、个人计算机被病毒感染造成重要数据被删除等这些事件时常发生。网络安全已经成为政府、科研机构和公司关注的一个焦点。网络攻击手段的不断升级，其破坏性也越来越大，造成的损失也就越来越多。在这些网络攻击中，拒绝服务(DenialofService，DoS)攻击作为一种重要的网络攻击手段，该攻击主要利用了网络协议的缺陷。由于DoS攻击的原理简单，攻击的工具也能够很容易的得到，因此利用它对受害主机进行攻击占了网络攻击中的近一半，其造成的损失也比较高。 1防火墙的概念 防火墙是一种用来加强网络之间访问控制的特殊网络设备，常常被安装在受保护的内部网络连接到Internet的结点上。它对传输的数据包和连接方式按照一定的安全策略进行检测，从而决定网络之间的通信是否允许。防火墙能有效控制内部网络和外部网络之间的访问及数据传输，从而达到保护内部网络信息不受外部非授权用户的访问和对不良信息的过滤。 2状态检测防火墙 状态检测防火墙又称动态报过滤，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和“from”的地址，而且不要求每个访问的应用都有代理。这是第三代防火墙技术，能对网络通信的各层实行检测。同包过滤技术一样，它能够检测通过IP地址、端口 号以及TCP标记，过滤 进出的数据包。它允许受信任的客户机和不受信任的主机建立直接连接，不依靠 与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通 过己知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。 状态监视器的监视模块支持多种协议和应用程序，可方便地实现应用和服务的扩充。此外，它还可监测RPC和UDP端口信息，而包过滤和代理都不支持此类端口。这样，通过对各层进行监测，状态监视器实现网络安全的目的。目前，多使用状态监测防火墙，它对用户透明，在OSI最高层上加密数据，而无需修改客户端程序，也无需对每个需在防火墙上运行的服务额外增加一个代理。 2.1状态检测型防火墙工作原理 状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。 2.2 状态检测型防火墙优点 (1)安全性好 状态检测防火墙工作在数据链路层和网络层之间，它从这里截取数据包，因为数据链路层是网卡工作的真正位置，网络层是协议栈的第一层，这样防火墙确保了截取和检查所有通过网络的原始数据包。防火墙截取到数据包就处理它们，首先根据安全策略从数据包中提取有用信息，保存在内存中;然后将相关信息组合起来，进行一些逻辑或 数学 数学高考答题卡模板高考数学答题卡模板三年级数学混合运算测试卷数学作业设计案例新人教版八年级上数学教学计划 运算，获得相应的结论，进行相应的操作，如允许数据包通过、拒绝数据包、认证连接、加密数据等。状态检测防火墙虽然工作在协议栈较低层，但它检测所有应用层的数据包，从中提取有用信息，如IP地址、端口号、数据内容等，这样安全性得到很大提高。 (2)性能高效 状态检测防火墙工作在协议栈的较低层，通过防火墙的所有的数据包都在低层处理，而不需要协议栈的上层处理任何数据包，这样减少了高层协议头的开销，执行效率提高很多;另外在这种防火墙中一旦一个连接建立起来，就不用再对这个连接做更多工作，系统可以去处理别的连接，执行效率明显提高。 (3)扩展性好 状态检测防火墙不像应用网关式防火墙那样，每一个应用对应一个服务程序，这样所能提供的服务是有限的，而且当增加一个新的服务时，必须为新的服务开发相应的服务程序，这样系统的可扩展性降低。状态检测防火墙不区分每个具体的应用，只是根据从数据包中提取出的信息、对应的安全策略及过滤规则处理数据包，当有一个新的应用时，它能动态产生新的应用的新的规则，而不用另外写代码，所以具有很好的伸缩性和扩展性。 (4)配置方便,应用范围广 状态检测防火墙不仅支持基于TCP的应用，而且支持基于无连接协议的应用，如RPC、基于UDP的应用(DNS、WAIS、Archie等)等。对于无连接的协议，连接请求和应答没有区别，包过滤防火墙和应用网关对此类应用要么不支持，要么开放一个大范围的UDP端口，这样暴露了内部网，降低了安全性。 2.3状态防火墙的缺点 包过滤防火墙得以进行正常工作的一切依据都在于过滤规则的实施，但又不能满足建立精细规则的要求，并不能分析高级协议中的数据。应用网络关防火墙的每个连接都必须建立在为之创建的有一套复杂的协议分析机制的代理程序进程上，这会导致数据延迟的现象。 状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。 包过滤防火墙和网关代理防火墙以及状态检测防火墙都有固有的无法克服的缺陷，不能满足用户对于安全性的不断的要求，于是深度包检测防火墙技术被提出了。 3防Dos攻击防火墙 DoS(Denial of Service拒绝服务)和DoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一。 3.1Dos攻击原因 (1)软件弱点造成的漏洞。这包含在操作系统或应用程序中与安全相关的系统缺陷，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。由于使用的软件几乎完全依赖于开发商，所以对于由软件引起的漏洞只能依靠打补丁来弥补。 (2)错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置、服务器系统或者应用程序中，大多是由于一些没经验、不负责任员工或者错误的理论所造成。因此我们必须保证对网络中的路由器、交换机等网络连接设备和服务器系统都进行正确的配置，这样才会减小这些错误发生的可能性。 (3)重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支持能力时就会造成拒绝服务攻击 3.2防Dos攻击 首先是加固操作系统，即对各种操作系统参数进行配置以加强系统的稳固性。重新编译或设置Linux以及各种BSD系统、Solaris和Windows等操作系统内核中的某些参数，可提高系统的抗攻击能力。例如，DoS攻击的典型种类——SYN Flood，利用TCP/IP协议漏洞发送大量伪造的TCP连接请求，以造成网络无法连接用户服务或使操作系统瘫痪。该攻击过程涉及到系统的一些参数:可等待的数据包的链接数和超时等待数据包的时间长度。用户可以将数据包的链接数从缺省值128或512修改为2048或更大，加长每次处理数据包队列的长度，以缓解和消化更多数据包的攻击; 此外，用户还可将超时时间设置得较短，以保证正常数据包的连接，屏蔽非法攻击包。但通常这些方法的防攻击能力非常有限。 其次是利用防火墙，通常有2种算法技术。一是Random Drop算法，当流量达到一定的阀值时，按照算法规则丢弃后续报文，以保持主机的处理能力。其不足是会误丢正常的数据包，特别是在大流量数据包的攻击下，正常数据包犹如九牛一毛，容易随非法数据包被拒之网外。另一种是SYN Cookie算法，采用6次握手技术，极大地降低了受攻率。其不足是依据列表查询，当数据流量增大时，列表急剧膨胀，计算量随之提升，容易造成响应延迟乃至系统瘫痪。此外，DoS攻击种类较多，而防火墙只能抵挡有限的几种。 还有，就是负载均衡技术，也就是把应用业务分布到几台不同的服务器上，甚至不同的地点。采用循环DNS服务或者硬件路由器技术，将进入系统的请求分流到多台服务器上。这种方法的不足之处是投资比较大，维护费用高，通常很少有企业专为防DoS攻击而专门建一套负载均衡系统。 综上所述，采用传统方法对流量小、针对性强、结构简单的个别DoS攻击进行防范还是很有效的。然而，随着网络应用的深入和网络带宽的增长，DoS攻击呈现出新的迹象:利用多攻击源进攻单一目标和路由器的多点传送功能，高倍扩大了攻击流量;采用更加智能化的技术，试图绕过防火墙防御体系，并躲过IDS的检测跟踪;借助多种DoS攻击手段，瓦解已有防御方案。所以，传统的防范手段已是捉襟见肘。尤其是具有网上交易业务或具有关键、绝密信息流通的企业以及政府部门，急切需要反大流量、防多类型DoS攻击的新技术出现。 3.3针对SYN Flood 防火墙通常用于保护内部网络不受外部网络的非授权访问，它位于客户端和服务器之间，因此利用防火墙来阻止DoS攻击能有效地保护内部的服务器。针对SYN Flood，防火墙通常有三种防护方式:SYN网关、被动式SYN网关和SYN中继。 YN网关防火墙收到客户端的SYN包时，直接转发给服务器;防火墙收到服务器的SYN/ACK包后，一方面将SYN/ACK包转发给客户端，另一方面以客户端的名义给服务器回送一个ACK包，完成TCP的三次握手，让服务器端由半连接状态进入连接状态。当客户端真正的ACK包到达时，有数据则转发给服务器，否则丢弃该包。由于服务器能承受连接状态要比半连接状态高得多，所以这种方法能有效地减轻对服务器的攻击。 被动式SYN网关设置防火墙的SYN请求超时参数，让它远小于服务器的超时期限。防火墙负责转发客户端发往服务器的SYN包，服务器发往客户端的SYN/ACK包、以及客户端发往服务器的ACK包。这样，如果客户端在防火墙计时器到期时还没发送ACK包，防火墙则往服务器发送RST包，以使服务器从队列中删去该半连接。由于防火墙的超时参数远小于服务器的超时期限，因此这样能有效防止SYN Flood攻击。 SYN中继防火墙在收到客户端的SYN 包后，并不向服务器转发而是记录该状态信息然后主动给客户端回送SYN/ACK包，如果收到客户端的ACK包，表明是正常访问，由防火墙向服务器发 送 SYN包并完成三次握手。这样由防火墙做为代理来实现客户端和服务器端的连接，可以完全过 滤不可用连接发往服务器。 4 结束语 防火墙作为网络安全方面的一个重要产品，在维护网络安全中做出了重要的贡献。防火墙作为网络安全方面的一个重要产品随着网络技术的发展也在不断的提高和完善。 DoS攻击作为网络攻击中的一个重要手段，主要是利用网络协议设计上的漏洞，造成的损失大，并且难以防范。单纯的包过滤防火墙只能对数据包进行简单的过滤，很难适应发展的网络防御要求。状态检测防火墙作为防火墙发展中的一个里程碑，由于它对数据包的检测与先前的数据包相关联，使其对DoS攻击的防御成为可能。 本文正是针对上述的问题，以状态检测防火墙为基础，对各种常见DoS攻击原理和方法做了介绍，在深入分析状态检测防火墙源代码的基础上，对防DoS攻击的问题进行了研究和探索。 参考文献: [1]王雅超;基于主机资源保护防御DoS攻击的算法及实现[D];北京林业大学;2007年 [2]韦宝兴;ISDNIAD防火墙的设计与实现[D];西南交通大学;2006年 [3]熊太松;状态检测和防DoS攻击防火墙的设计及实现[D];电子科技大学;2006年