联合攻击

关键词： 节点 广播 路由 协议

联合攻击（精选七篇）

联合攻击 篇1

AODV协议是路由协议DSR和DSDV的结合,它借用了DSR的路由发现策略以及DSDV的逐跳路由、序列号和定期广播机制,是一种按需路由协议。在AODV路由协议中,当源节点需要发送报文至某个节点,而路由表中又没有到该节点的路由存在时,它就向所有邻居节点广播路由请求报文(RREQ)来查询到目的节点的路径,RREQ报文在整个网络中以泛洪方式进行传播。当中间节点收到RREQ时,首先检查此RREQ是否是之前接收过的,若是则直接丢弃不再处理,若不是则需进行下一步处理。节点先查看自己路由表中是否有到目的节点的路由。若没有,节点就在路由表中建立一条指向源节点的反向路由,然后再向邻居节点广播这个RREQ。若有到目的节点的路由或本机就是目的节点,就发送路由响应报文(RREP)沿RREQ来时建立的反向路由到源节点,沿途转发路由响应报文(RREP)的中间节点根据回答更新路由表,设置路由的下游节点、目的序列号、有效时间等。当RREP到达源节点时,就建立了一条从源节点到目标节点的有效路由。如果源节点收到多个路由回答报文,它会根据目标节点序列号以及跳数来决定选择哪一条路由。

1 AODV路由协议的黑洞问题

1.1 黑洞攻击原理

在AODV路由协议的应答机制中,允许中间节点对收到的路由请求作出路由响应,这样可以降低寻路的时延和开销。但规定节点接收到RREQ后都必须先进行3个判断:1)该RREQ是否是之前接收过的;2)路由表中是否存在到目的节点的路由;3)节点自身是否是目的节点。恶意节点可能不遵守这些规定,接收到RREQ后根本不做任何判断,伪造路由应答报文RREP或者篡改序列号,跳数,使得源节点相信并采用它所在的路由,进而可以获取数据信息,并篡改、伪造数据包。

黑洞攻击正是利用这一机制的漏洞来实施攻击的。当恶意节点捕获到其邻居节点发出的RREQ后,不对自身的路由表做任何检查,反而立即发送一个虚假的路由响应报文RREP,通过伪造跳数或者伪造目的节点序列号(即把到目的节点的跳数设置为最小,把序列号设置为最大),宣称自己有到目的节点的最佳路由,从而使的源节点相信并选中它所在的路由,然后把经过它自己的数据包和路由分组丢弃掉,这样就形成了一个吸收数据的网络黑洞,这就是所谓的黑洞问题。通过这个方式,恶意节点可以从源节点骗得大量的网络信息及重要的数据,而真正的目的节点却接收不到来自源节点的数据。攻击流程如图1所示,图中粗线表示恶意节点不遵守协议规定,跳过判断2和3两步,发送虚假路由响应报文的攻击方式。

1.2 黑洞攻击存在的不足

从上述分析可以发现,黑洞攻击实施的前提条件是正常节点发送路由请求报文RREQ。也就是说恶意节点只有在接收到路由请求报文时,才能实施攻击,若没有节点发送路由请求报文,则恶意节点就无法实施攻击。如图2所示,源节点S要向目的节点D发送报文,假若其路由表中没有到目的节点D的路由,那么节点S势必要发送路由请求报文RREQ,而此时节点B正在向S移动但还未进入节点S的通信范围内,也就是说节点B没有捕获到RREQ,当然就无法实施攻击。这样,源节点S与目的节点D之间就建立了正常的路由,开始数据包的发送。当恶意节点进入节点S的通信范围内时,即使节点S还要再次向目的节点D发送数据包,但此时节点S的路由表中已有到目的节点的路由,这时它肯定不需要再发送路由请求报文RREQ(即不需要再进行路由建立的过程,直接进入数据传输阶段)。这样,攻击节点B无法进入其路由路径,并在相当一段时间内无法攻击到节点S与D之间的通信,因为节点S已拥有到节点D的路由,除非节点S和D之间已建立的路由发生变化,否则就无法实施黑洞攻击。

2 改进的攻击方案

针对黑洞攻击中存在的不足,本文提出一种基于多节点合谋的跨层攻击方法,攻击流程图如图3所示。该方法中,恶意节点的行为可以分为如下几步:

Step1恶意节点B首先移动到节点S附近,进入其通信范围,等待源节点S发送RREQ,若正好节点S有发送路由请求报文RREQ,则恶意节点B收到后立即发送路由响应RREP,从而实施黑洞攻击;若节点S已在发送数据包,则需合谋节点M的配合。

Step2合谋节点M进入目的节点D附近或者节点S与D通信路径上的某个节点附近,然后节点M在MAC层发起占用信道的DoS攻击,中断正在工作的路径,如图3合谋节点M向通信路径上的节点F发动Do S攻击,致使节点F无法再转发来自节点S的数据包,使得源节点S误以为这条路由路径发生错误,从而重新发送路由请求报文RREQ。

Step3这时,恶意节点B在收到路由请求报文后,就伪造应答数据包并立即发送路由响应报文RREQ,使源节点S误以为其有到目的节点的最好路由,从而选择节点B作为路由路径,这样节点B就成功进入该路由路径,实施黑洞攻击。

这样通过多节点联合攻击,恶意节点实现了对节点S的主动攻击,而不必像传统的AODV路由攻击那样,需要等待节点发起路由请求才能实施攻击。而且一旦恶意节点能够把自己加入到通信节点之间,它就可以任意处理通过自己的数据包,不只限于像黑洞攻击中那样丢弃数据包,甚至它还可以利用自己在路由中的位置作为中间人攻击的第一步,为进一步的攻击打下铺垫。

现有针对AODV的攻击更多的都是局限于恶意节点已进入路由路径中,假若节点间通信路由已经建立,则如何实施有针对性的攻击。本文提出的攻击方案正是针对当节点间路由已建立,数据包正在传输的情形实施的。这种攻击方案的主要特点有:1)相对于传统的Do S攻击,更具针对性。因为它不像传统Do S攻击那样不间断地发送攻击数据报文,只是占用和消耗节点以及网络通信资源,导致网络性能急骤下降,而本文提出的方案它是有目的性地针对某条路径进行攻击,这样可以减少节点自身的资源消耗。2)相对于黑洞攻击,更具主动性。因为黑洞攻击需要等待节点发起路由请求才能实施攻击,而本方案可以干扰正在传输的路径,迫使源节点重新发起路由请求。

3 仿真与分析

本次模拟仿真实验所使用的平台为Windows 7+Virtual Box+Ubuntu11.10+NS-2.35,选用IEEE802.11作为MAC层的协议,路由协议为AODV协议,场景大小为750m×750m的方形区域,场景及节点模型的其他参数设置如表1所示。

为了更好地模拟本文提出的攻击方案,排除其他因素带来的干扰,如节点移动导致的路由重新建立,本次仿真假定节点处于静止状态。节点1和5分别为发送节点和接收节点,节点1从1s开始向节点5发送数据包。黑洞节点0向节点2移动,并在7.5s时进入其通信范围内。节点6为合谋节点,在40s时在Mac层对节点4发动占用信道的Do S攻击。用nam截取实验的场景图如图4所示。

使用上述所搭建的仿真场景进行了Do S攻击时间分别为2s和10s两次仿真。仿真结束后利用Gawk来分析仿真结果,并用Gnuplot工具进行绘图。分析两种情况下网络的吞吐量,丢包率及路由请求发起的时间和次数,仿真结果如图5、6、7所示。

由图5可以发现在7.5s黑洞攻击节点0进入节点2的通信范围内时,节点1到节点5之间的路由已经建立,已在传输数据包,且网络的吞吐量一直保持不变,这表明黑洞攻击未能奏效。直到40s时,节点6对节点4发动Do S攻击,网络吞吐量骤增,致使节点2无法通过节点4发送数据包给节点5,于是节点2发送链路错误的信息给节点1。之后节点1重新发起路由请求,此时,所发送的路由请求报文还得不到响应,这是因为Do S攻击还在继续,攻击也干扰到节点2的传输,使得节点2也一直处于退避状态,无法处理路由请求。直到Do S攻击结束,节点1发出RREQ才在网络中广播,当节点0收到路由请求报文RREQ后,立即实施黑洞攻击。比较攻击前后吞吐量变化情况,计算可得攻击使得网络吞吐量下降了近30%,这说明Do S攻击成功中断正在传输的路径,使得源节点重新发起路由请求,进而节点0成功实施黑洞攻击。

当Do S攻击结束后,吞吐量在短时间内变为0,其持续的时间与Do S攻击的时间长短有关,这是因为IEEE 802.11MAC协议采取了避退机制,避退时长由公式(1)确定:

式中Random()返回[0,CW]内的均匀分布随机数,Slot Time是相应的物理层时隙长度。CW的取值由二进制指数退避算法确定,即若竞争信道失败,节点都将以二进制指数递增的方式增大竞争窗口直到竞争窗口大小达到CWmax。

由图6可以发现,在收到链路错误的消息后,节点0会一直重新发送路由请求,且因退避机制的缘故,两次路由请求发送的时间相隔越来越长,直到请求得到回应,成功建立路由。观察图7可以发现在0～40s之间,网络基本没有出现丢包的情形,也表明黑洞攻击未能奏效,直到发动Do S攻击后,节点0成功实施了黑洞攻击,网络才出现丢包,甚至最高到达35%。

4 结论

由于Ad hoc网络具有动态的拓扑结构,开放的媒体接入及有限的终端能源等特点,使得Ad hoc网络的安全问题越来越受到重视,路由安全更是整个网络安全的重要部分。本文通过对Ad hoc网络中AODV路由协议的研究,针对现有黑洞攻击中存在的不足,提出了一种新的基于多节点联合的跨层攻击方案,即若在黑洞节点进入网络时,网络中节点已在传输数据,此时,可利用合谋节点对正在传输的路径发动占用信道的DoS攻击,中断其传输路径,迫使源节点重新发送路由请求,从而黑洞节点可以实施黑洞攻击;同时利用NS2仿真工具进行模拟并加以分析。本文提出的攻击手段相比于传统的黑洞攻击和DoS攻击更具主动性和针对性,但模拟的环境还仅仅局限于静态的拓扑结构,下一步将研究其在动态环境中的攻击力。

参考文献

[1]任伟,金海.802.11移动Ad Hoc网络中针对MAC层的分布式拒绝服务攻击[J].计算机安全.2005.

[2]易平,钟亦平,张世永.移动ad hoc网络中DOS攻击及其防御机制[J].计算机研究与发展.2005.

[3]王忠恒,张曦煌.移动AdHoc网络AODV路由协议的改进[J].计算机应用.2010.

攻击之物理攻击的安全防护 篇2

社会工程学攻击

物理攻击

暴力攻击

利用Unicode漏洞攻击

利用缓冲区溢出漏洞进行攻击等技术，

攻击之物理攻击的安全防护

。

在今天这篇文章中我将结合实际，介绍一些常用的的攻击工具的使用以及部分工具的代码实现。希望大家在以后的工作和学习中继续支持51cto支持本人。

下面首先给大家介绍一下社会工程学攻击, 社会工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此 不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。

举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些从学生转变成的 说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。

一、社会工程学攻击

目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造E-mail

1、打电话请求密码

尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些 冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。

2、伪造E-mail

使用telnet一个 可以截取任何一个身份证发送E-mail的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实，

可以伪造这些。一个冒充系统管理员或经理的 就能较为轻松的获得大量的信息， 就能实施他们的恶意阴谋。

二、物理攻击之获取管理员密码

物理安全是保护一些比较重要的设备不被接触。物理安全比较难防，因为攻击者往往是来自能够接触到物理设备的用户。下面一案例来说明如何获得用户的管理员帐号。

如果你的电脑经常被别人接触，别人就有可能利用一些工具软件来获得你的管理员帐号，这样一来下次他就可以成功的登录你的计算机了。

一般来说我们自己使用的计算机的时候我们都是采用管理员登录的，而管理员帐号在登录后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，物理攻击者就可以利用程序将当前登录用户的密码解码出来

在这种情况下，如果你的计算机给别人使用的话，你虽然不安告诉别人你的计算机密码是多少，别人仍然可以使用软件解码出你的管理员的帐号和密码。比如说使用FindPass.exe如果是windows server 环境的话，还可以使用FindPass2003.exe等工具就可以对该进程进行解码，然后将当前用户的密码显示出来。具体使用的方法就是将FindPass.exe或者FindPass2003.exe拷贝到C盘根目录，在cmd下执行该程序，就可以获得当前用户得登录名

所以在此告诫大家如果你的计算机中有非常重要的信息的话也不要轻易给别人使用，这也是很危险的。

FindPass2003.exe

三、物理攻击之提升用户权限

有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。例如利用Hacker帐户登录系统，在系统中执行程序GetAdmin.exe，这样一来程序就会自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名

联合攻击 篇3

1 对象与方法

1.1 对象

选取2011年6月至2012年12月在我院住院的60例具有攻击行为的精神分裂症患者为研究对象。入组标准: (1) 符合《中国精神障碍分类与诊断标准》第3版 (CCMD-3) 精神分裂症诊断标准; (2) 年龄18~56岁; (3) 外显攻击行为量表 (修订版) (MOAS) 总分≥4分; (4) 排除伴严重的躯体和脑器质性疾病、活性物质滥用者。共入组60例, 随机分为研究组30例, 其中男18例, 女12例;年龄20~49岁, 平均年龄 (36.8±8.2) 岁;病程5~16年, 平均病程 (76.5±3.8) 个月。对照组30例, 其中男17例, 女13例;年龄19~49岁, 平均年龄 (37.6±7.4) 岁;病程5~14年, 平均病程 (75.8±3.6) 个月。两组间性别、年龄、总病程差异无统计学意义 (P>0.05) 。

1.2 方法

氯氮平起始剂量为50~75 mg/d, 1周内逐渐加大到300~375 mg/d, 研究组氯氮平剂量平均为 (350±3.5) mg/d, 对照组氯氮平剂量平均为 (345±5.5) mg/d, 两组氯氮平治疗剂量差异无显著性 (P>0.05) 。丙戊酸镁缓释片初始剂量0.5 g/d, 1周后根据病情需要加量到1.0 g/d, 疗程4周。

由两位精神科主治医师共同参与评定。在治疗前及治疗后的第1、2、4周末采用MOAS及药物不良反应量表 (TESS) 各评定一次, 在治疗前及治疗的第2、4周末各查一次血常规、心电图及肝肾功能。

所有数据采用SPSS 13.0软件包处理数据, 计量资料采用t检验, 计数资料采用χ2检验, P<0.05为差异有统计学意义。

2 结果

2.1 两组MOAS评定结果

见表1。治疗后两组MOAS总分均有下降, 与治疗前比较有显著性差异 (P<0.01) 。但研究组较对照组下降的更为显著, 治疗第2, 4周末, MOAS总分两组间比较差异有显著性 (P<0.01) 。

注:与治疗前比较, *P<0.01

2.2 两组不良反应比较

从表2可以看出, 两组患者均存在头晕、便秘、体质量增加、恶心、心动过速, 经对症处理后症状减轻。实验室检查结果:研究组有3 例患者肝功能异常、5例窦性心动过速, 对照组有2例患者肝功能异常、4例窦性心动过速。两组之间差异无显著性 (P>0.05) 。

3 讨论

丙戊酸盐可强化抗精神病药物治疗精神分裂症的临床效果, 对氯氮平起到“增效”作用[1,2], 本研究结果也显示, 对伴有冲动行为的精神分裂症患者, 在持续应用氯氮平治疗的基础上联合丙戊酸镁缓释片治疗后, 研究组的MOAS总分下降较对照组更为明显, 说明联用丙戊酸镁缓释片对控制精神分裂症患者的攻击行为疗效更好, 这与国内部分学者的观点一致[3,4]。

丙戊酸镁缓释片对攻击行为的控制可能与调节中枢5羟色胺 (5-HT) 功能及r氨基丁酸 (GABA) 功能相关。 (1) 许多研究提示, 中枢5HT功能低下是攻击行为的生物学基础[5,6], 丙戊酸镁缓释片增加中枢5HT, 加强神经抑制, 减少攻击行为[7]。 (2) 对伴有冲动攻击行为的精神分裂症患者的脑电图分析中发现, 精神分裂症患者的冲动攻击行为可能与大脑癫痫样放电征相关, 大脑的异常放电冲动刺激能导致患者出现伤人毁物等冲动攻击行为[8]。大脑神经元电生理异常有各种不同的学说, 一般认为与维系膜电位的离子异常有关[9], 而GABA是一种重要的抑制性神经递质, 它的两种受体GABAA与GABAB, 分别调节氯离子电位及钾、钙离子电位[10], GABAA兴奋时, 氯离子通道开放, 氯离子内流形成超极化, 从而减少去极化的神经兴奋作用[11]。丙戊酸镁减少GABA的降解、增加GABA的合成, 并加强GABA耦合的氯离子通道功能[7], 提高脑内GABA含量, 加强突触后抑制效应, 降低大脑神经元细胞膜的兴奋性, 抑制大脑神经元的异常放电, 减少攻击行为。

本研究显示:两组不良反应中在前两周内比较常见的是头晕、便秘、恶心、心动过速, 在4周内各有5例患者出现体质量增加, 两组间比较无显著性差异。

总之, 丙戊酸镁缓释片可强化氯氮平对精神分裂症攻击行为的治疗作用, 起效快, 疗效更好且安全。

摘要：目的 评价氯氮平联合丙戊酸镁缓释片治疗精神分裂症患者攻击行为的疗效。方法 将60例有攻击行为的精神分裂症住院患者随机分为研究组30例, 对照组30例。研究组在氯氮平治疗的同时加用丙戊酸镁缓释片治疗, 起始剂量0.5 g/d, 1周后增至1.0 g/d;对照组单一氯氮平治疗。疗程4周。两组于治疗前及治疗第1、2、4周末采用外显攻击行为量表、不良反应量表评定疗效与不良反应。结果 两组治疗前后外显攻击行为量表评分有显著性差异 (P<0.01) , 治疗第2、4周末两组间比较有显著性差异 (P<0.01) , 研究组评分降低更为明显。结论 氯氮平联合丙戊酸镁缓释片治疗精神分裂症攻击行为起效快, 疗效更好更安全。

联合攻击 篇4

四、怎么抵御DDOS?

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点：

、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

、尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

、充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有0M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择00M的共享带宽，最好的当然是挂在000M的主干上了。但需要注意的是，主机上的网卡是000M的并不意味着它的网络带宽就是千兆的，若把它接在00M的交换机上，它的实际带宽不会超过00M，再就是接在00M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为0M，这点一定要搞清楚。

、升级主机服务器硬件

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒0万个SYN攻击包，服务器的配置至少应该为：P.G/DDR5M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给 入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧!新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈

Win000和Win00作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约0000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧!《强化TCP/IP堆栈安全》。

也许有的人会问，那我用的是Linux和FreeD怎么办?很简单，按照这篇文章去做吧!《SYNCookies》。

7、安装专业抗DDOS防火墙

8、其他防御措施

基于攻击树的自动攻击模型研究 篇5

1 攻击树

攻击树[1]模型是1999年由Bruce Schneier提出的一种描述系统安全的方法。树的根节点表示攻击要达到的最终目标,叶节点表示攻击者可能采取的攻击手段。攻击树包含“与”和“或”两种节点。“与”节点表示所有子结点目标全部成功会后才能令父节点目标发生。“或”节点表示任一子结点目标的取得都可以令父结点目标发生。两种节点如图1所示。

在文献[2]中,作者提出了一种扩展攻击树,对每个节点都赋予三种属性:

(1)前提(Preconditions)。前提是能够使该攻击节点更有利于完成的系统环境与配置。

(2)子目标(Sub-goals)。就是攻击树的子节点。

(3)后果(Postcondition)。表示系统环境的改变。

2 攻击树建模举例

2.1 拒绝服务(DoS)攻击

拒绝服务攻击是目前黑客攻击的基本手段,其基本过程是:攻击者首先向服务器发送大量的带有虚假地址的请求,服务器发送回复信息后等待回传信息,由于地址是伪造的,所以服务器一直等不到回传的消息,分配给这次请求的资源就始终没有被释放。当服务器等待一定的时间后,连接会因超时而被切断,攻击者会再度传送新的一批请求,在这种反复发送伪地址请求的情况下,服务器资源最终会被耗尽,从而停止提供正常的网络服务。

2.2 拒绝服务攻击的文本方式的攻击树

拒绝服务攻击:

目标:使服务器瘫痪,停止服务

前提:哄骗到服务器的IP地址

OR 1 UDP Flooding

2 SYN Flooding

3 ICMP Flooding

后果:服务器瘫痪

SYN Flooding节点

目标:利用TCP三次握手协议的缺陷,使服务器堆栈溢出

前提:攻击者能够对目标主机执行特定的黑客程序以哄骗其IP地址

AND 1.获取目标主机的IP地址

OR 1.利用自动攻击工具

OR 1.利用whois域名查询

2.端口扫描

2.社交工程方法

2.向目标主机发送SYN报文

3.收到SYN/ACK报文后不发送ACK确认报文

4.继续向目标主机发送大量的半开连接

后果:服务器拒绝所有的连接请求

2.3 拒绝服务攻击的攻击树模型

DoS的攻击树模型如图2所示。

通过遍历该攻击树就可以得到拒绝服务攻击的攻击路径,从而生成攻击想定。

3 自动攻击模型

现实中的网络攻击都是由人工来发起实施的,不能够对攻击目标进行智能的自动攻击。我们提出一种网络自动攻击模型,通过建立攻击方法数据库以及漏洞分析来对目标发起自动攻击。该模型如图3所示。

(1)目标扫描模块。攻击控制模块向目标扫描模块发送攻击目标后,扫描模块开始寻找目标系统的各种信息,包括网络信息和系统配置信息等等。此模块我们可以利用一些比较成熟的扫描工具如snort,对目标系统进行IP地址以及操作系统版本信息等进行扫描,之后,扫描模块将收集到的信息发送给信息分析模块。

(2)信息分析模块。信息分析模块收到原始数据后,对其进行过滤,排除一些已知和无用的信息,将重要的信息提供给攻击控制模块。

(3)攻击控制模块。此模块是自动攻击模型的核心,其主要功能是构建攻击想定,并将生成的攻击想定存入到数据库,为以后的攻击做准备。攻击想定由攻击树和攻击行为序列组成。

(4)攻击模块。它从攻击控制模块接收攻击目标以及攻击想定后,对目标发起攻击。

4 结语

利用攻击树建立的自动攻击模型,我们可以对攻击目标进行自动攻击,通过攻击达成所利用的漏洞可以找出系统存在的安全隐患。本文提出的自动攻击模型仍有许多需要改进的地方,比如可以增加攻击想定评定模块,对生成的所有攻击路径进行评定,从而选出最优的攻击方法。

参考文献

[1]Selmeier B.Attack trees:modeling security threats.Dr.Dobb's Journal,December1999

[2]Jha S,Sheyner O,Wing J.Minimization and reliability analyses of attack graphs.Technical Report,School of Computer Science Carnegie Mellon University,February2002

[3]杨健康,张建伟.分布式拒绝服务攻击的攻击树建模.装备指挥技术学院学报.2004,(6):95~98

联合攻击 篇6

引言

最早的DDo S攻击发生在1999年8月, 攻击者采用一种典型的DDo S攻击工具Trinoo控制至少227台主机攻击位于明尼苏达大学的一台服务器, 致使该校网络严重瘫痪, 但这没有引起人们的足够重视。DDos攻击在今天看来并不新鲜, 近两年来发展态势也渐趋平缓, 直至几个月前, 欧洲反垃圾邮件组织Spamhaus突然遭受到高达300Gbps的大流量DDos攻击。这一轮被认为是史上最大的DDos攻击, 让人们警醒, 原来DDos攻击手段从未被攻击者忽略。本文将讲述DDos攻击的原理以及相应的防范方法。

DDo S攻击原理

DDo S是英文Distributed Denial of Service的缩写, 即“分布式拒绝服务”。意即"分布式拒绝服务", DDo S的中文名叫分布式拒绝服务攻击, 俗称洪水攻击。拒绝服务攻击的含义是由于攻击导致主机拒绝提供服务或者可用性降低。而DDo S攻击简单的讲是利用处于网络中的不同攻击者同时向一个目标机发起攻击, 导致目标机资源耗尽处于瘫痪。由于攻击者在网络中处于分布状态所以叫做分布式拒绝服务攻击.常见的DDo S攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Script Flood、Proxy Flood, CC攻击等。

一般而言, DDo S攻击架构为三层:攻击者 (Client) 、主控端 (Master) 、代理端 (Daemon) 和被攻击者 (Victim) 。DDo S攻击原理图如图2-1所示。

下面将具体解释DDo S攻击体系中的各个模块, 具体如下:

攻击者:它可以是网络中一台PC机, 手机, 笔记本等, 它通过DDo S攻击工具发起攻击。常见的攻击工具如Trinoo。它向攻击目标主机的随机端口发出全零的4字节UDP包, 在处理这些超出其处理能力的垃圾数据包的过程中, 被攻击主机的网络性能不断下降, 直到不能提供正常服务, 乃至崩溃。

控制傀儡机:由于受到攻击导致受到控制的主机。比如当受到Trinoo攻击的时候, 傀儡机的UDP的端口27444被打开, 负责接收攻击者的UDP包, 然后把该包发给攻击傀儡机的31335端口。

攻击傀儡机:是真正受到攻击的主机, 比如当受到Trinoo攻击的时候, 攻击傀儡机的31335端口接收大量的UDP包, 导致系统的资源耗尽而瘫痪。

目标系统:可以是交换机、路由器、网关等设备。当攻击出现时, 网络出现明显的阻塞, 网络中充斥着大量的无用的数据包, 带宽耗尽, 服务能力明显下降, 严重时还会造成系统死机。

DDo S的防御方法

由于DDo S攻击具有隐蔽性, 因此到目前为止还没有发现对DDo S攻击行之有效的解决方法。所以要加强安全防范意识, 提高网络系统的安全性。可采取的安全防御措施有以下几种:

1、及早发现系统存在的攻击漏洞, 及时安装系统补丁程序。对一些重要的信息 (例如系统配置信息) 建立和完善备份机制。对一些特权帐号 (例如管理员帐号) 的密码设置要谨慎。通过这样一系列的举措可以把攻击者的可乘之机降低到最小。

2、在网络管理方面, 要经常检查系统的物理环境, 禁止那些不必要的网络服务。建立边界安全界限, 确保输出的包受到正确限制。经常检测系统配置信息, 并注意查看每天的安全日志。

3、利用网络安全设备 (例如:防火墙) 来加固网络的安全性, 配置好它们的安全规则, 过滤掉所有的可能的伪造数据包。

4、比较好的防御措施就是和你的网络服务提供商协调工作, 让他们帮助你实现路由的访问控制和对带宽总量的限制。

5、当你发现自己正在遭受DDo S攻击时, 你应当启动您的应付策略, 尽可能快的追踪攻击包, 并且要及时联系ISP和有关应急组织, 分析受影响的系统, 确定涉及的其他节点, 从而阻挡从已知攻击节点的流量。

6、当你是潜在的DDo S攻击受害者, 你发现你的计算机被攻击者用做主控端和代理端时, 你不能因为你的系统暂时没有受到损害而掉以轻心, 攻击者已发现你系统的漏洞, 这对你的系统是一个很大的威胁。所以一旦发现系统中存在DDo S攻击的工具软件要及时把它清除, 以免留下后患。

7.确保从服务器相应的目录或文件数据库中删除未使用的服务如FTP或NFS。Wu-Ftpd等守护程序存在一些已知的漏洞, 黑客通过根攻击就能获得访问特权系统的权限, 并能访问其他系统—甚至是受防火墙保护的系统。

8.禁止内部网通过Modem连接至PSTN系统。否则, 黑客能通过电话线发现未受保护的主机, 即刻就能访问极为机密的数据。

9.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp, 以基于PKI的访问程序如SSH取代。SSH不会在网上以明文格式传送口令, 而Telnet和Rlogin则正好相反, 黑客能搜寻到这些口令, 从而立即访问网络上的重要服务器。

10.限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件, 并以特洛伊木马替换它, 文件传输功能无异将陷入瘫痪。

总结

联合攻击 篇7

近年来计算机网络安全事故已经对计算机网络系统造成极大的安全威胁,而传统的网络安全防御技术[1]功能单一,且只能根据设置被动地防御攻击事件,无法识别攻击者的攻击计划并预测攻击者的下一步攻击。在攻击意图识别领域[2],基于规划图分析的意图识别方法[3,4]无法处理复杂问题,基于概率推理的意图识别方法[5,6]在先验概率方面具有一定的局限性。

1 基于最小顶点割的攻击意图阻止算法

采取一定措施,降低发生概率高、危害程度大的攻击意图的实现概率是提高网络安全的重要途径。为使采取的补救措施最少,首先分析攻击路径图中起始节点到攻击目标节点的最小顶点割集,然后采用一定措施消除最小顶点割集的这些节点,就可以阻止该攻击意图的实现,从而实现增强网络安全的目的。

1.1 最大两两顶点不相交路径的构造

为简化最大两两顶点不相交路径问题,采用节点拆分(node-splitting)技术将问题转变为构造最大两两边不相交路径问题。将汇节点和源节点外的其他节点拆分为出点和入点,将该出节点的有向边转变为由出点引出的有向边,到该节点的有向边转变为指向该入点的有向边,以一条权值为1 的有向边连接出点和入点,节点拆分示意图如图1 所示。

从图1 可以看出,经过节点(见图1(a))的路径一定会经过节点(见图1(b))的该节点出点和入点之间的边,因此图1中最大两两顶点不相交路径等价于最大两两边不相交路径。从而构造最大两两顶点不相交路径可通过采用标准的最大流算法和网络流技术实现。

如图2 所示,按照节点拆分原则及路径转化原则,构造最大两两边不相交算法如下:

(1)将正在进行攻击的路径图作为一个流网络,把该流网络每条边的容量设为1;

(2)在当前使用的残留网络中找到所有的增广路径;

(3)在原来的流网络中添加增广路径,从而构造出新的流网络;

(4)重复步骤(2),(3),直到找出所有的增广路径;

(5)删除无流的边,余下的u-v路径就是网络图的最大两两边不相交路径。

图2(a)~图2(e)为循环迭代过程,(a)是初始网络,黑粗线代表增广路径,(b)是(a)的残留网络,(c)是(a)增加相应增广路径流量后的更新网络;(d)是(c)的残留网络,(e)是(d)增加相应增广路径流量后的更新网络。图2(f)是最后的计算结果,粗线代表网络图的最大两两边不相交路径,也就是最大两两顶点不相交路径。

1.2 最小顶点割

设PATH*为PATH的补集,PATH是Graph最大两两顶点不相交u-v的路径集合,其共有b条路径,则b为其最小顶点割的势,其中第i条路径共有di个内顶点。Min Cut是有向图Graph(VE RTEX,EDGE)的一个最小顶点割,则对于vertex∈ Min Cut,必然有路径path经过顶点vertex,且path∈PATH 。根据上述假设,则从有向图最大两两顶点不相交的u-v路径得到u-v的最小顶点割的算法如下:

(1)在各路径pathi∈PATH中,1≤i≤b,通过选取各节点依次形成具有b个元素的顶点集合共m个,记VERTEX1,…,VERTEXm,其中

(2) 取PATH*中的路径path*,然后检查全部的VERTEXj集合,如果path*不从集合VERTEXj中的任意顶点经过,则舍去VERTEXj,其中VERTEXj∈{VERTEX1,…,VERTEXm};

(3)对PATH*中所有的路径path*执行步骤(2)后,余下的m′ 个VERTEX1′,…,VERTEX′m′顶点集合就是所求的最小顶点割Min Cut。

1.3 基于最小割的攻击意图阻止

为阻止攻击者的入侵,可在攻击路径图中,通过切断通往意图的全部路径来实现网络安全防护的目标,而最经济有效的方法就是移除攻击路径图中的所有最小顶点割集。从前述最小顶点割的算法可以看出,攻击路径图Graph中意图节点v和初始节点u共有{s1,s3},{s1,s4},{s2,s3} 和{s2,s4}4 个最小顶点割。记m′ 个最小顶点割分别为VERTEX1′,…,VERTEX′m′,各个最小顶点割集均有b个顶点元素。由于有向图能够取主机级、安全域级和脆弱性级的攻击路径图,所以vertex可分为代表主机、安全和脆弱性的域节点。设最小割集VERTEXi′中的第j个顶点元素为vertexij,去掉节点vertexij的金钱成本、时间成本、人力成本以及关闭服务、主机和安全域造成的损失成本总和是f(vertexij)。最优的防护措施就是移除成本最低的最小顶点割集,具体如式(1)所示:

2 攻击意图动态识别算法图

2.1 攻击意图概率计算

脆弱性级攻击路径图中的节点趋向系数需要考虑攻击成功后的收益Gain、攻击的难易程度Difficulty*、攻击的隐蔽程度Stealths三个因素,各因素所占的权值分别用w1,w2,w3表示。将攻击者的攻击水平按由低到高分为低、中、高三个等级,其三个系数的相应权值依次为[0.8,0.0,0.2],[0.5,0.3,0.2],[0.2,0.4,0.4]。在攻击初始时刻,攻击水平较低,将相应权值作为初始值,然后依据攻击者在攻击过程中利用网络脆弱性的攻击复杂度来自动增减其攻击水平,从而实现权值的合理分配,具体如式(2):

脆弱性利用的难易程度Difficulty*的计算方法为:

若入侵者成功利用过该脆弱性,则难易程度Difficulty*为1,其他情况的难易程度Difficulty*需要进行计算。本文采用一个能实时反映脆弱性状态的信号因子描述脆弱性状态对攻击意图实现的影响程度。设脆弱性vulni在时间区域 τ 内所处状态Su的信号因子为λ(τ,vulni,Su),其中u =1,2,3,4,5。根据NTC的定义和Difficulty≠0知:NTC(ni-1,ni)≠0,NTC(n0,n1)=1,则信号因子为:

攻击者为了完成攻击意图,必须能够成功利用当前节点u出发到达攻击意图节点v的任一条路径上系统的全部脆弱性。依据脆弱性当前的状态和路径上各个脆弱性的利用概率能够计算出该条攻击路径成功完成攻击的总概率APPI。针对一条完整的攻击路径:pathk=(u,vuln1,…,vulnn,v),v是攻击意图节点,而系统的脆弱性之间利用“与”的关系。因此,通过式(5)可以计算出攻击路径pathk的APPI:

但从初始节点u到达攻击意图节点v的路径不是惟一的,设从初始节点u到达攻击意图节点v的攻击路径共有m条:{pathk,k = 1,2,…,m},具体如式(6)所示:

式中第k条路径pathk的长度为kn。在所有m条攻击路径中,只要攻击者完成任何一条攻击路径,就能够实现其攻击意图。因此,攻击意图的实现概率如式(7)所示:

2.2 基于当前状态的攻击路径预测

如图3 所示,攻击者的当前位置为v5,攻击者已经成功利用的脆弱性节点用深色节点表示,因此节点v2,v5处于状态S4,节点v8处于状态S5,余下节点处于状态S1。由于已经观察到了部分攻击行为,所以包含节点v2,v5的攻击路径{u,v2,v5,v9,v12,v} 的实现概率要比以前(节点v2,v5的状态为S1时)的实现概率高;而系统的响应行为使包含节点v8的攻击路径丧失了实现条件,所以{u,v2,v5,v8,v12,v} 的攻击路径的实现概率为零。

设攻击起点u到达攻击意图节点v的攻击路径共有m条,则在已知攻击者的攻击意图的条件下,利用式(8)可求解各个攻击路径的概率:

式中:Pr(intent)=AIP(intent),Pr(pathk)=APPI(pathk),可分别由式(5)和式(7)求得。应用式(7)可计算出各条路径实现攻击意图的概率,然后按照概率由高到低进行排列,据此针对实现概率高的攻击路径优先制定防护措施。

3 基于攻击意图分析的威胁评估

3.1 资产价值评估

针对确定网络的安全属性要求,资产的重要性和价值可通过其对完整性、机密性、可用性的敏感程度进行评估,由上述安全属性未达成时所造成的影响后果或者其达成程度来决定资产的价值。 信息安全标准ISO13335 中利用资产的各安全属性被破坏后的影响后果确定资产的价值[7],具体如式(9)所示:

其中adi(i=1,2,…,n)表示资产对各安全属性的敏感程度。本文从资产的完整性、机密性和可用性三个安全属性出发,因此资产价值的计算公式为:

完整性、机密性和可用性的敏感性等级及划分方法如表1 所示。

将完整性、机密性和可用性的敏感度等级在极高时的值设为1,在不敏感时的值设为0,故AV∈[0,1]。

3.2 威胁评估算法

网络中的关键资产集合记为ENTITY,针对其中某一关键资产entity的攻击意图设为intent,则攻击意图intent对关键资产entity的威胁值为:

式中:AIP(intent)代表攻击意图对关键资产entity的攻击成功概率;AV(entity)代表关键资产entity的价值。

当评估网络中全部关键资产的威胁值时,先将全部关键资产的价值进行归一化处理,使threat(ENTITY)∈[0,1],具体如下:

4 网络攻击意图动态识别系统设计

4.1 系统总体框架

根据上述设计算法,攻击意图动态识别系统由数据源模块、接口模块、数据管理和存储模块以及可视化模块四个模块组成。

数据源模块:数据源模块利用各种安全技术收集网络中的安全相关数据,主要包括攻击事件信息、系统脆弱性信息、网络环境信息、安全防护策略信息等;

接口模块:接口模块将上层系统与数据源模块之间进行有效隔离,同时对数据完成转换和传输;

数据管理和存储模块:系统中包含数据文件和数据库2 个子模块,同时保证了对数据的处理能力和对可视化系统的支持;

可视化模块:系统的输出显示模块,完成原始数据到可视化数据的映射,实现图形颜色分配及图形拓扑算法。

4.2 网络攻击意图动态识别系统的实现

数据源模块、接口模块和数据管理和存储模块功能较为简单,故攻击意图的可视化是系统实现的重点内容,需对可视化模块的实现进行详细设计,本文采用开源可视化工具包prefuse实现可视化模块,具体实现步骤如下:

(1)数据文件的读取。采用SAX2 方式读取可视化数据文件,采用jdom形式读取网络拓扑信息的配置文件;

(2)Data Tables到Visual Abstraction数据的映射,实现将普通数据到可视化数据的映射;

(3)图形绘制。在prefuse.render包中使用NET_labelrenderer类绘制图形的节点,使用NET_edgerenderer类绘制图形的边;

(4)交互实现。通过自定义类ET_Drag Control实现节点的拖动、图形的放大和缩小、图形平移。 当类ET_Drag Control接收到相应消息后,通过图形重绘事件实现交互效果。

5 系统实验

搭建的实验网络环境与拓扑结构如图4 所示。

运行实验系统,从2011 年6 月20 日到2011 年7 月10 日共探测到报警3 733 条,将其提炼成17 条攻击行为信息。图5 所示为2011 年6 月20 日05:13:43 时的攻击路径图,包括主机级、安全域级和脆弱性级三个层次。

网络所受的威胁程度随时间的变化如图6 所示。随着攻击行为的深入,攻击者对网络安全的威胁也逐渐加大,威胁值也逐渐变高。

以上测试表明,本文提出的攻击意图动态识别算法及系统在所搭建的测试环境下是有效的。

6 结论

本文给出了网络攻击路径图中的最小顶点割的攻击意图阻止算法和基于时间自动机的攻击意图动态识别算法,并在算法的基础上,设计并实现了网络攻击意图动态识别系统,采用图形化的系统数据输出手段,显著地提高了系统的表达能力,便于用户的理解和使用。本文提出的算法和系统仅在搭建的简单网络环境中进行了实验,要实现算法和模型的实用化,还需后续在更复杂的网络中进行充分测试,以便最终实现系统的工程化应用。

参考文献

[1]张阳,张琛,唐朝京.基于DCA的主动安全防御算法[J].现代电子技术,2015,38(15):53-56.

[2]冷画屏,吴晓锋,余永权.对抗意图识别技术研究现状及其突破途径[J].电光与控制,2008,15(4):54-58.

[3]BLUM A L,FURST M L.Fast planning through planning graph analysis[J].Artificial intelligence,1997,90(1/2):281-300.

[4]FIKES R E,NILSSON N J.STRIPS:a new approach to the application of theorem proving to problem solving[J].Computation intelligence,1995,2(3/4):189-208.

[5]CHARNIAK E,GOLDMAN R.A Bayesian model of plan recognition[J].Artificial intelligence,1993,64(1):53-79.

[6]ALBRECHT D W,ZUKERMAN I,NICHOLSON A E.Bayesian models for keyhole plan recognition in an adventure game[J].User modeling and user adapted interaction,1998,8(1):5-47.