IPv6環(huán)境下入侵防御技術(shù)的研究

1、1 引言隨著計(jì)算機(jī)及通訊技術(shù)的飛速發(fā)展，互聯(lián)網(wǎng)更以超乎想象的速度膨脹，IP 業(yè)務(wù)的爆炸性增長(zhǎng)， IP 網(wǎng)絡(luò)上應(yīng)用的不斷增加，使得原有的IPv4 網(wǎng)越來(lái)越顯得力不從心。 IP 網(wǎng)絡(luò)正在向下一代網(wǎng)絡(luò)演進(jìn)。而IPv6 無(wú)疑將是下一代網(wǎng)絡(luò)(NGN) 的核心，除了帶來(lái)地址空間的增大，還有許多優(yōu)良的特性，比如在安全性、服務(wù)質(zhì)量、移動(dòng)性等方面，其優(yōu)勢(shì)更加明顯。我國(guó)宣布將于 2005年底建成世界最大的IPv6 網(wǎng)，標(biāo)志著 IPv6 將會(huì)以更快的速度普及在我們的生活當(dāng)中。與此同時(shí)，由于IPv4 的廣泛應(yīng)用，決定了從IPv4 向 IPv6的過(guò)渡將是長(zhǎng)期的，漸進(jìn)的。在這期間，將采用不同的過(guò)渡策略解決IPv4 和 I

2、Pv6 的互連互通問(wèn)題，具有代表性的過(guò)渡策略解決方案主要包括雙協(xié)議棧方式，隧道方式和協(xié)議翻譯。在過(guò)渡期間網(wǎng)絡(luò)上的數(shù)據(jù)流量將呈現(xiàn)出復(fù)雜化的趨勢(shì)，其中不僅包括IPv4 的流量還包括 IPv6 的流量，以及 IPv6 over IPv4或者 IPv4 over IPv6 的隧道包流量。在這種新的網(wǎng)絡(luò)環(huán)境中網(wǎng)絡(luò)攻擊必然呈現(xiàn)新的特征，也對(duì)我們的安全技術(shù)和產(chǎn)品提出了新的挑戰(zhàn)。特別是對(duì)于近兩年新興的入侵防御技術(shù)，該技術(shù)使入侵檢測(cè)系統(tǒng)聯(lián)動(dòng)防火墻，與傳統(tǒng)單一的防火墻相比，入侵防御系統(tǒng)IPS(Intrusion Prevention System) 對(duì)數(shù)據(jù)包的控制能力檢測(cè)也得到大大加強(qiáng)， 對(duì)應(yīng)用層和高層協(xié)議的檢測(cè)

3、能力有了質(zhì)的飛躍。同時(shí)入侵檢測(cè)技術(shù)能實(shí)時(shí)、有效的和防火墻的阻斷功能結(jié)合，在發(fā)現(xiàn)網(wǎng)絡(luò)入侵的同時(shí)，聯(lián)動(dòng)防火墻采取行動(dòng)阻止攻擊， 大大簡(jiǎn)化了系統(tǒng)管理員的工作，提高了系統(tǒng)的安全性。但由于入侵防御技術(shù)本身提出不久，在 IPv6尚未真正大規(guī)模應(yīng)用的情況下，鮮有對(duì)該技術(shù)在 IPv6 環(huán)境下如何實(shí)現(xiàn)的研究，因此研究新的IPv6 環(huán)境下的入侵防御技術(shù)，對(duì)于保障 IPv4 向 IPv6 過(guò)渡 的階段和未來(lái) IPv6環(huán)境下的網(wǎng)絡(luò)安全有著重要的意義。2 IPv6 所引入的安全問(wèn)題從 IPv4 到 IPv6 網(wǎng)絡(luò)地址空間由32 位增加到 128 位，使得 IPv6 的地址數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)IPv4的地址數(shù)量，因此將很難通對(duì)網(wǎng)

4、段內(nèi)地址空間內(nèi)IP 地址 逐一發(fā)送試探數(shù)據(jù)包的方式進(jìn)行。但是可以預(yù)見(jiàn)，掃描攻擊在IPv6環(huán)境下肯定依然存在，只是在新的網(wǎng)絡(luò)環(huán)境下，IPS 對(duì)掃描行為的檢測(cè)會(huì)重點(diǎn)集中到，針對(duì)某些主機(jī)或某個(gè)主機(jī)的掃描行為上。傳統(tǒng)的 IPv4 協(xié)議對(duì)網(wǎng)絡(luò)的安全性考慮不足，IPv6 協(xié)議將 IPSec 協(xié)議作為 IPv6 的組成部分，極大的增加了安全性。這是通過(guò)AH 和 ESP 標(biāo)記以及相應(yīng)的密鑰管理協(xié)議PKL 來(lái)實(shí)現(xiàn)的。由于 IPSec 協(xié)議可以提供數(shù)據(jù)源認(rèn)證和通信數(shù)據(jù)的加密保護(hù)，攻擊者將無(wú)法使用IP 地址欺騙， TCP 序列號(hào)欺騙等手段對(duì)系統(tǒng)實(shí)施攻擊。因此 IPv6 環(huán)境下的 IPS 可以認(rèn)為受到 IPSec保護(hù)

5、的數(shù)據(jù)流是可信的，省略對(duì)該類(lèi)型數(shù)據(jù)包的檢測(cè)，從而提高IPS 的檢測(cè)效率。IPv6 下數(shù)據(jù)包分片也和 IPV4 不同，數(shù)據(jù)包只由信源節(jié)點(diǎn)進(jìn)行分片，中間路由器不進(jìn)行分段，因此在報(bào)文傳輸過(guò)程中分段長(zhǎng)度不會(huì)發(fā)生變化。這可以為IPv6 下檢測(cè)利用分片來(lái)逃避規(guī)則匹配的攻擊提供新的方法，如果發(fā)現(xiàn)同屬一個(gè)原始分組的分段數(shù)據(jù)包中分片（除最后一個(gè)分片）的大小不一致時(shí)，即可認(rèn)為該數(shù)據(jù)包存在異常，這樣就不必等到將所有分片重組成為一個(gè)包含完整信息的包以后，再傳給檢測(cè)引擎進(jìn)行規(guī)則匹配。IPv6 要求網(wǎng)絡(luò)傳輸路徑上的每條鏈路具有1280 或更多個(gè)八位組的MTU 。除了某些特殊的 IPv6 報(bào)文，如 ICMPv6報(bào)文、分組報(bào)

6、文的最后一個(gè)分段外，IPv6 數(shù)據(jù)包的大小不應(yīng)小于1280 個(gè)八位組。所以可通過(guò)對(duì) IPv6 數(shù)據(jù)包的大小的檢測(cè)， 發(fā)現(xiàn)異常的數(shù)據(jù)流量， 例如對(duì) IPv6 數(shù)據(jù)包的大小進(jìn)行統(tǒng)計(jì)， 根據(jù)統(tǒng)計(jì)數(shù)據(jù)設(shè)立一個(gè) IPv6 包大小的閾值， 如果 IPS 檢測(cè)到數(shù) 據(jù)包小于該值，就可以將該數(shù)據(jù)包列為可疑對(duì)象。IPv6 下攻擊者可以利用IPv6 基本報(bào)頭的跳數(shù)限制字段（類(lèi)似于IPv4 報(bào)頭中的TTL ），試探從本地到達(dá)攻擊目標(biāo)的路徑，方法是發(fā)出跳數(shù)字段值逐次遞增的數(shù)據(jù)包（TCP/UDP ），然后根據(jù)目的不可到達(dá)報(bào)文的信源地址，依次重構(gòu)出路徑。因此 IPS 需要能夠檢測(cè)出可能的路徑試探數(shù)據(jù)包。如果到達(dá)受保護(hù)網(wǎng)絡(luò)

7、的數(shù)據(jù)包的跳數(shù)限制字段值是1 時(shí)，可能的是潛在的路徑試探。所以可以通過(guò)設(shè)立針對(duì)跳數(shù)限制字段的檢測(cè)規(guī)則，發(fā)現(xiàn)IPv6 下的路徑試探。在 IPv4 到 IPv6 的過(guò)渡環(huán)境里， 將會(huì)存在大量的隧道包， 包括 IPv6 over IPv4 和 IPv4 over IPv6 ，攻擊者可以構(gòu)造隧道攻擊，向受攻擊主機(jī)發(fā)送攻擊數(shù)據(jù)包。因此IPv6 下的入侵檢測(cè)必須具備分析檢測(cè)隧道數(shù)據(jù)包的能力。另外， IPv6 對(duì)傳統(tǒng)防火墻也有不小的沖擊。對(duì)于包過(guò)濾型防火墻， 由于 IPv4 的 IP 層和 TCP層是緊挨在一起的， 長(zhǎng)度也基本固定， 因此防火墻可以很快找到報(bào)頭并使用相應(yīng)過(guò)濾規(guī)則，而 IPv6 在 IP 層將

8、會(huì)大量用到擴(kuò)展報(bào)頭，致使防火墻只有逐個(gè)找到下一個(gè)報(bào)頭直到TCP 或UDP 為止，才能進(jìn)行過(guò)濾。這樣在高帶寬下，將對(duì)性能造成很大影響；對(duì)于地址轉(zhuǎn)換型防火墻，由于地址轉(zhuǎn)換技術(shù)(NA T) 和 IPSec 在功能上不匹配，很難穿越地址轉(zhuǎn)換型防火墻利用IPSec 通信。比如當(dāng)用AH 地址進(jìn)行認(rèn)證時(shí)，因?yàn)镮P 層也是認(rèn)證的對(duì)象，因此不能轉(zhuǎn)換；至于應(yīng)用代理型防火墻，因?yàn)槠渲饕ぷ髟趹?yīng)用層上，所以受IPv6 沖擊較 小。由于絕大部分的網(wǎng)絡(luò)安全問(wèn)題并不是由網(wǎng)絡(luò)層引起的，例如某些網(wǎng)絡(luò)應(yīng)用程序中的缺陷，不當(dāng)?shù)南到y(tǒng)配置等， 在 IPv6 環(huán)境下這些安全隱患依然存在。這也要求我們的 IPS 要易于配置，有著友好的用戶

9、配置和管理界面。系統(tǒng)設(shè)計(jì)本系統(tǒng)是在相關(guān)課題下進(jìn)行IPv6環(huán)境下新型的入侵檢測(cè)及防御技術(shù)，特別重視能檢測(cè)IPv4/IPv6 共存網(wǎng)絡(luò)環(huán)境下的各種網(wǎng)絡(luò)入侵、高速網(wǎng)絡(luò)數(shù)據(jù)采集技術(shù)，設(shè)計(jì)和開(kāi)發(fā)在發(fā)現(xiàn)入侵后的主動(dòng)響應(yīng)和入侵防御功能。在設(shè)計(jì)上充分考慮到上述所提到的IPv6 所引入的新的安全問(wèn)題，系統(tǒng)的整體設(shè)計(jì)如圖1 所示本系統(tǒng)在功能上可分為主控模塊、 高速網(wǎng)絡(luò)數(shù)據(jù)采集、 雙協(xié)議解析引擎、 檢測(cè)引擎預(yù)處理模塊、漏洞攻擊特征規(guī)則處理、檢測(cè)引擎處理模塊、報(bào)警日志記錄、主動(dòng)阻斷反應(yīng)、流量特征分析、圖形化管理。以下對(duì)各模塊的功能和技術(shù)要點(diǎn)進(jìn)行描述：主控模塊：系統(tǒng)初始化、以及各功能模塊的相關(guān)調(diào)用。高速網(wǎng)絡(luò)數(shù)據(jù)采集：

10、本系統(tǒng)的設(shè)計(jì)目標(biāo)之一就是要能適應(yīng)百兆帶寬下的入侵防御，為入侵檢測(cè)的重要的第一步， 也是決定了該系統(tǒng)能否適應(yīng)高速網(wǎng)絡(luò)的關(guān)鍵一環(huán)。采用 “零拷貝 ”技術(shù)，實(shí)現(xiàn)百兆帶寬下線速抓包。該模塊作這里，我們?nèi)鐖D 2 所示，圖中左側(cè)是傳統(tǒng)的處理網(wǎng)絡(luò)數(shù)據(jù)包的方式， 由于網(wǎng)卡驅(qū)動(dòng)程序運(yùn)行在內(nèi)核空間，當(dāng)網(wǎng)卡收到包以后，包會(huì)存放在內(nèi)核空間內(nèi)，由于上層應(yīng)用運(yùn)行在用戶 空間，無(wú)法直接訪問(wèn)內(nèi)核空間， 因此要通過(guò)系統(tǒng)調(diào)用將網(wǎng)卡中的數(shù)據(jù)包拷貝到上層應(yīng)用系統(tǒng)中， 占用系統(tǒng)資源造成我們的入侵防御系統(tǒng)性能下降。圖 2 右側(cè)是改進(jìn)后 的網(wǎng)絡(luò)包處理方式，通過(guò)重寫(xiě)網(wǎng)卡驅(qū)動(dòng)，使得網(wǎng)卡驅(qū)動(dòng)與上層系統(tǒng)共享一塊內(nèi)存區(qū)域， 網(wǎng)卡從網(wǎng)絡(luò)上捕獲到的數(shù)據(jù)

11、包直接傳遞給入侵檢測(cè)系統(tǒng)， 這個(gè)過(guò)程避免了數(shù)據(jù) 的內(nèi)存拷貝， 不需要占用 CPU 資源， 最大程度的將有限的 CPU 資源讓給協(xié)議分析和模式匹配等進(jìn)程去利用， 提高了整體性能。 雙協(xié)議解析引擎：本模塊必須同時(shí)具有 IPv4 協(xié)議解析引擎和 IPv6 協(xié)議解析引擎， 可同時(shí)解析這兩種網(wǎng)絡(luò)協(xié)議，特別重要的是，我們通過(guò)兩種協(xié)議解析引擎的 交互機(jī)制，可以準(zhǔn)確方便地解析所有IPv6 over IPv4 隧道數(shù)據(jù)包和 IPv4 over IPv6 隧道數(shù)據(jù)包。 同時(shí)，本模塊實(shí)現(xiàn)深度協(xié)議解析的功能，特征模式匹配雖然是主要技術(shù)，但存在速度慢，效率低等缺點(diǎn)，協(xié)議分析是新一代IDS 探測(cè)攻擊手法的主要技術(shù)，它利用

12、網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在。檢測(cè)引擎預(yù)處理模塊： 本模塊在協(xié)議解析之后，理，以方便后續(xù)處理模塊對(duì)數(shù)據(jù)包的匹配。對(duì)于的分片重組、 IPv6 端口掃描等。規(guī)則匹配之前進(jìn)行，主要對(duì)數(shù)據(jù)包進(jìn)行預(yù)處IPv6 來(lái)說(shuō)，必須實(shí)現(xiàn)的預(yù)處理功能有IPv6漏洞攻擊特征規(guī)則處理：本系統(tǒng)的入侵檢測(cè)功能是基于模式匹配的，為了高效快速地對(duì)已知攻擊特征進(jìn)行匹配，根據(jù)對(duì)各種IPv4 和 IPv6 攻擊特征的分析， 設(shè)計(jì)一種可以描述該攻擊特征的語(yǔ)言規(guī)則。 需要將已知的攻擊規(guī)則在內(nèi)存中有效的組織建立起來(lái)。 因此我們?cè)O(shè)計(jì)了同時(shí)支持 IPv6 和 IPv4 的入侵規(guī)則樹(shù)，如圖 3 所示：檢測(cè)引擎處理模塊：本模塊是系統(tǒng)的核心

13、，根據(jù)漏洞攻擊特征規(guī)則處理模塊建立的規(guī)則樹(shù)結(jié)構(gòu)進(jìn)行規(guī)則匹配。當(dāng)數(shù)據(jù)包到來(lái)后，首先根據(jù)規(guī)則頭進(jìn)行匹配，然后對(duì)規(guī)則頭已匹配的數(shù)據(jù)包進(jìn)行規(guī)則選項(xiàng)的匹配，其中規(guī)則頭和規(guī)則選項(xiàng)的匹配內(nèi)容見(jiàn)圖3。 最后，規(guī)則選項(xiàng)匹配里數(shù)據(jù)包負(fù)載內(nèi)容的匹配是關(guān)鍵，一個(gè)好的匹配算法至關(guān)重要，本系統(tǒng)采用了著名的Boyer-Moore 算法。報(bào)警日志記錄：報(bào)警實(shí)時(shí)寫(xiě)入文件并顯示，并將日志寫(xiě)入MySQL數(shù)據(jù)庫(kù)，可供后續(xù)分析及流量特征分析模塊使用。主動(dòng)阻斷反應(yīng)：本模塊是本系統(tǒng)的重要部分，要能同時(shí)支持IPv4/IPv6的主動(dòng)阻斷，具體描述見(jiàn)第四節(jié)。流量特征分析： 根據(jù)數(shù)據(jù)庫(kù)中日志和報(bào)警信息，進(jìn)行基于異常的檢測(cè)，這種方法的優(yōu)點(diǎn)是能發(fā)現(xiàn)未

14、知的攻擊， 缺點(diǎn)是相比模式匹配有時(shí)會(huì)不太準(zhǔn)確， 因此可以二者結(jié)合， 作為模式匹配有益的補(bǔ)充。圖形化管理：入侵報(bào)警信息分析采用基于B/S 模式設(shè)計(jì)，通過(guò)后臺(tái)MySQL數(shù)據(jù)庫(kù)存儲(chǔ)IPv6/IPv4 網(wǎng)絡(luò)上各個(gè)時(shí)間段的網(wǎng)絡(luò)流量數(shù)據(jù)，包括日?qǐng)?bào)表、月報(bào)表和年報(bào)表。并同時(shí)存儲(chǔ)報(bào)警信息。前臺(tái)使用PHP 語(yǔ)言加上Apache HTTP 服務(wù)器系統(tǒng)，給用戶提供友好的WEB 操作界面。因?yàn)閳?bào)警信息是敏感數(shù)據(jù),因此是使用時(shí)用Apache 的 SSL 模塊來(lái)加密傳輸數(shù)據(jù)。4實(shí)現(xiàn)主動(dòng)防御的關(guān)鍵技術(shù)Ip6tables 是 Linux 環(huán)境下基于IPv6 的開(kāi)放源代碼的網(wǎng)絡(luò)防火墻軟件。我們IPv6 的入侵檢測(cè)系統(tǒng)擬采用與I

15、p6tables 相結(jié)合，實(shí)現(xiàn)對(duì)入侵的主動(dòng)阻斷反應(yīng)，實(shí)現(xiàn)主動(dòng)防御。當(dāng)處于此種主動(dòng)阻斷模式的時(shí)候，該系統(tǒng)兼有防火墻和入侵檢測(cè)系統(tǒng)兩項(xiàng)功能，實(shí)現(xiàn)入侵防御。 這時(shí)候，不同于一般的入侵檢測(cè)旁路 Sniffer 模式，該系統(tǒng)將象防火墻一樣，配置在網(wǎng)絡(luò)的入口處，處于路由模式，轉(zhuǎn)發(fā)內(nèi)外網(wǎng)的數(shù)據(jù)包。對(duì)于本IPS 系統(tǒng)同時(shí)支持IPv4/IPv6的阻斷反應(yīng)模塊的數(shù)據(jù)流程圖如圖4 所示主動(dòng)阻斷反應(yīng)要能同時(shí)對(duì) IPv4 和 IPv6 下的數(shù)據(jù)包實(shí)時(shí)阻斷， IPv6 下我們用防火墻 ip6tables 來(lái)實(shí)現(xiàn)， ip6tables 的擴(kuò)展功能模塊 ip6_queue.o 通過(guò)接口 netlink socket 可以將核

16、心態(tài)的數(shù)據(jù)包發(fā)向用戶空間的程序（對(duì) IPv4 是在 iptables 中的模塊 ip_queue.o）。同時(shí)，本系統(tǒng)在數(shù)據(jù)采集子系統(tǒng)的功能發(fā)生改變，不直接從鏈路層抓包，而是作為用戶空間的程序從ip6tables/iptables 的 ip6_queue/ip_queue 模塊產(chǎn)生的數(shù)據(jù)包隊(duì)列中獲取數(shù)據(jù)包，再進(jìn)行模式匹配，利用內(nèi)置的規(guī)則查詢是否存在攻擊行為，若有，則根據(jù)規(guī)則配置，決定該數(shù)據(jù)包的命運(yùn)：我們?cè)O(shè)計(jì)有三種動(dòng)作：DROP 、ACCEPT 和 REJECT( 復(fù)位 )。執(zhí)行動(dòng)作后，最后將結(jié)果返回到 Ip6tables 中，由 Ip6tables 執(zhí)行過(guò)濾結(jié)果，若需要還要重新將修改后的數(shù)據(jù)包重

17、新注入到內(nèi)核中交 Ip6tables 轉(zhuǎn)發(fā)。功能實(shí)現(xiàn)要點(diǎn)實(shí)現(xiàn)對(duì) IPv4 和 IPv6 兩種數(shù)據(jù)包的同時(shí)抓取是本模塊實(shí)現(xiàn)的時(shí)候的一個(gè)重點(diǎn)。通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)，兩個(gè)隊(duì)列 (ip6_queue 和 ip_queue)的包在抓取的時(shí)候會(huì)相互阻塞對(duì)方的取包函數(shù)。為了解決這個(gè)問(wèn)題，采用多線程技術(shù)， 即派生出兩個(gè)線程分別控制ip_queue 和 ip6_queue 數(shù)據(jù)包隊(duì)列，從中 讀取數(shù)據(jù)包，這樣將不會(huì)造成阻塞。經(jīng)試驗(yàn)發(fā)現(xiàn)，派生雙線程對(duì)系統(tǒng)性能的影響非常小，兩個(gè)抓包線程互不沖突，抓包正常、及時(shí)。多線程取包算法用的是生產(chǎn)者/消費(fèi)者問(wèn)題的原理：兩個(gè)生產(chǎn)者不斷地從兩個(gè)隊(duì)列中取得數(shù)據(jù)包交給消費(fèi)者（主線程）進(jìn)行處理。但

18、是由于需要對(duì)包進(jìn)行操作（如DROP ），所以生產(chǎn)者一次只能生產(chǎn)一個(gè)數(shù)據(jù)包，等這個(gè)包被消費(fèi)后它才能繼續(xù)生產(chǎn)。因?yàn)橥瑫r(shí)有兩個(gè)生產(chǎn)者在工作，為了讓消費(fèi)者知道當(dāng)前要處理的包是IPv4 的還是 IPv6 的，需要準(zhǔn)備一個(gè)隊(duì)列存放兩個(gè)包產(chǎn)生的先后順序，以避免處理數(shù)據(jù)包產(chǎn)生的混亂，消費(fèi)者會(huì)根據(jù)從隊(duì)列中取得的版本值自動(dòng)取用相應(yīng)生產(chǎn)者生產(chǎn)的數(shù)據(jù)。另外對(duì)于某些攻擊將構(gòu)造復(fù)位包，使連接復(fù)位， 即執(zhí)行動(dòng)作 REJECT 。我們通過(guò) Libnet 函數(shù)庫(kù)來(lái)構(gòu)造復(fù)位包，該庫(kù)提供的接口函數(shù)主要實(shí)現(xiàn)和封裝了數(shù)據(jù)包的構(gòu)造和發(fā)送過(guò)程，基于TCP/IP 協(xié)議，對(duì) TCP 連接采用發(fā)RST 包的形式使連接復(fù)位；對(duì)UDP 發(fā) ICMP/IC