×

基于异常的Anti SYN Flood实现

消耗积分:3 | 格式:rar | 大小:333 | 2008-11-20

417804

分享资料个

介绍了SYN Flood攻击的原理,分析了基于异常检测的入侵检测方法,利用信息论的相关原理,通过对到达目的IP和目的端口的SYN包的概率统计,计算其异常值并和门限值比较,有效地检测出SYN Flood攻击。以预处理插件的形式,将Anti SYN Flood的模块加入到入侵检测系统中,给出了检测流程、主要数据结构和程序框架,并作了相应的测试。
关 键 词 异常入侵检测系统; 同步洪水攻击; 传输控制协议; 信息量
中图分类号 TP309 文献标识码 A
Implement of Anti SYN Flood
Cheng Jin Luo Kelu
(School of Computer Science and Engineering, UEST of China Chengdu 610054)
Abstract The opening of Internet offers great convenience of information sharing and exchange, accompanied with crucial challenges to network security. Security issues have evolved into the key problem of information times. SYN flood is one of deny of service attacks through sending a lot of SYN packets. Through computing probabilities of received SYN packets and comparing with normal threshold, system finds out the SYN intrusion and writes it into alert log file.
Key words anomaly-based; SYN flood; transfer control protocol; information
互联网的开放性为信息的共享和交互提供了极大的便利,但同时也对网络的安全性提出了严峻的挑战。随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,网络安全也向着纵深化、多样化方向发展。与此同时,网络环境也变得越来越复杂,各种复杂的设备需要不断升级、补漏,使网络管理员的工作不断加重,不经意的疏忽便有可能造成安全的重大隐患,网络安全已成为信息时代的关键问题[1,2]。
1 SYN Flood攻击原理
SYN Flood是当前最流行的拒绝服务攻击(Deny of Service, DOS)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,使被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式[3]。TCP协议是专门用在不可靠的因特网上提供可靠、端到端的字节流通信协议,即为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路。客户端先发送一个包含SYN标志的TCP报文,向服务器表示需要连接,然后等待服务的响应,SYN报文会指明客户端使用的端口以及TCP连接的初始序号(SEQ=x);服务器收到客户端的SYN报文的连接请求后,查看是否在LISTEN的是指定的端口,如果不是,服务器就发送RST=1应答,拒绝建立连接,如果接受连接,服务器将返回一个SYN+ACK的报文,同时TCP序号被加一(SYN=y,ACK=x+1),表示服务器已连接好,等待客户端对服务器SYN的确认;客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一(SYN=x+1,ACK=y+1)。TCP连接完成后,双方就可以发送数据,该过程在TCP协议中被称为三次握手。
在恶意攻击情况下,攻击者大量伪造IP数据包向服务器发送,请求新的连接,导致服务器端为了维护一个较大的半连接列表而消耗非常多的资源。特别是攻击者以比服务器丢弃未完成的连接更快的速度发送伪造IP的数据包,情况更为恶劣。即使服务器端的系统足够强大,服务器也将忙于处理攻击者伪造的TCP连接请求而无暇满足客户的正常请求(该情况下客户端的正常请求比率已非常小),此时服务器失去响应,即服务器端受到了SYN Flood攻击。
2 基于异常的Anti SYN Flood实现
2.1 检测原理
异常检测是目前入侵检测系统的主要研究方向,其特点是通过对系统异常行为的检测,可以发现未知的攻击模式。异常检测的关键在于正常使用模式(Normal Usage Profile)的建立以及利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。模式通常使用一组系统的度量来定义,每个度量都对应于一个门限值或相关的变动范围,例如检查CPU利用率是否猛烈增长、内存占用率激增、用户登录失败次数增加、文件锁定过多等。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

评论(0)
发评论

下载排行榜

全部0条评论

快来发表一下你的评论吧 !