基于校园网安全威胁的态势感知系统
摘要:以校园网安全态势感知所要解决的问题为切入点,详细介绍了影响校园网正常运行的两大攻击,arp攻击和syn洪水攻击。采用核心层网络封包截获、嗅探抓包和cookie等技术检测并防御这两大攻击。最后指出网络安全态势感知的未来的研究方向。
关键词:校园网安全威胁;态势感知;arp攻击;syn洪水攻击;安全防御
中图分类号:tp393 文献标识码:a 文章编号:1009-3044(2013)14-3261-04
态势感知这一概念源于航天飞行的人因研究,此后在军事战场、核反应控制、空中交通监管以及医疗应急调度等领域被广泛地研究[1]。态势感知越来越成为一项热门研究课题,是因为在动态复杂的环境中,决策者需要借助态势感知工具显示当前环境的连续变化状况,以做出准确决策。网络安全态势感知(network security situation awareness, nssa)是指在大规模网络环境中[2],对能够引起网络态势发生变化的安全要素进行获取、理解、评估、显示及预测未来的发展趋势。网络态势感知源于空中监管态势感知,是一个比较新的概念。开展校园网态势感知研究旨在对校园网络态势状况进行实时监控,对潜在的、恶意的网络行为及攻击变得无法控制
之前进行识别及防御,给出相应的应对策略,将态势感知的成熟理论和技术应用于网络安全管理,加强管理员对网络安全的理解能力,提高校园网的安全可靠性[3]。
由于arp协议在设计上的缺陷,使攻击者能够利用它的不足对校园网进行攻击,严重影响校园网的正常运行[4]。arp欺骗病毒传播迅速,容易泛滥;某些局域网工具软件也具备扰乱arp表的功能;arp网关欺骗往往会造成整个网段用户无法正常上网,故障面积大,极大地增加了网络管理难度[5]。因此,校园网管理中,如何准确及时地检测到arp攻击并有效地防御,显得十分重要。
随着网络入侵和类似攻击行为正向着分布化、规模化、复杂化、间接化等趋势发展,势必对安全产品技术提出更高的要求。因此迫切需要研究一项新技术来实现大规模网络的安全态势监控[6]。针对校园网中syn flood攻击和arp攻击等威胁,我们提出一种新的安全态势感知系统。拟采用cookie技术防御syn flood攻击;嗅探抓包、核心层网络封包截获等技术有效拦截ip冲突,实现与网关的可信任通信,快速有效地定位攻击源防御arp攻击[7]。
1 系统总体设计
首先通过讨论我们决定系统中包括下面的几大部分:
1)应用层过滤模块
2)拦截局域网arp攻击模块
3)配合服务器管理局域网模块
4)arp反攻击模块
5)防御syn flood攻击模块
2 校园网的态势感知系统
2.1 arp攻击原理及防御方法
arp攻击,是针对以太网地址解析协议(arp)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。arp攻击通过伪造ip地址和mac地址实现arp欺骗,能够在网络中产生大量的arp通信量使网络阻塞,攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目,造成网络中断或中间人攻击[8]。
采用核心层网络封包截获、内核模式下的网络数据过滤、网络扫描与智能检测等技术,通过windows平台实现在内核层对数据包的智能拦截过滤,有效拦截ip冲突,实现与网关的可信任通信,有效快速地定位攻击源。若有arp欺骗,则比较先前发往网关的request后的response与欺骗者的response,若有源mac不同的response,则一个是网关,一个是欺骗者。
本系统可以实现:
1)通过监测arp缓存表,防止mac地址恶意篡改,保持数据的正确流向,不经过网关外的第三者。实现自动保护网关,若发现存在网关欺骗,则开启一个线程每隔一段时间发送数据包询问网关真实mac,放入缓存表,有效防止arp攻击引起的挂马、掉线等问题。
2)提供本机arp木马病毒准确追踪和及时查杀,保证网络畅通及通讯安全。
3)与以往的防御方式不同,在系统内核层直接拦截本机和外部的全部受到arp攻击arp攻击,而本机运行速度不受明显影响。
4)支持服务器端管理,可显示当前连接到服务器的客户端数量,保存连接端口及信息。服
务器端采用java编程,非阻塞模式编写,可以显示有多少客户端链接到服务器。保存链接端口和信息,方便局域网管理员管理。
2.2 syn攻击原理及防御方法
syn攻击属于dos攻击的一种,它利用tcp协议缺陷,通过发送大量的半连接请求,耗费cpu和内存资源[9]。syn攻击除了能影响主机外,还可以危害路由器、防火墙等网络系统,事实上syn攻击并不管目标是什么系统,只要这些系统打开tcp服务就可以实施,可见其危害范围之广。
检测syn攻击比较简单,当在服务器上看到大量的半连接状态时,特别是源ip地址是随机的,基本可以断定这是一次syn攻击。也可以通过系统自带的netstat工具来检测syn攻击。
tcp协议开辟了一个比较大的内存空间backlog队列来存储半连接条目,当syn请求不断增加,致使系统丢失syn连接。采用syn-cookie技术使得半连接队列被塞满的情况下,服务器仍能处理新到的syn请求。在tcp实现中,当受到客户端的syn请求时,服务器需要回复syn+ack包给客户端,客户端也要发送确认包给服务器。通常,服务器的初试序列号由服务器按照一定的
规律计算得到或采用随机数,但在syn-cookie中,服务器的初试序列号是通过对客户端ip地址、客户端端口、服务器ip地址和服务器端口以及其他一些安全数值等要素进行hash运算,加密得到的,称为cookie。当服务器遭受syn攻击使得backlog队列满时,服务器并不拒绝新的syn请求,而是回复cookie给客户端,如果收到客户端的ack包,服务器将客户端的ack序列号减1得到cookie比较值,并将上述要素进行一次hash运算,看看是否等于比cookie。如果相等则完成了三次握手[10]。对于校园网,一般对方的ip地址是真实的,所以采用这种方法更加有效。
3 系统的测试环境
1)硬件设备
① 方正科技台式机两台(intel(r) pentium(r) 4 3.00ghz cpu,2.99ghz,1gb内存),一台用于搭建数据库,一台用于客户端。
② 路由器。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论