基于Backscatter的假冒源地址攻击的研究6.pdfVIP

基于Backscatter的 假冒源地址攻击的研究 清华大学网络体系结构与IPv6实验室 2008年10月 CERNET15 提纲 一、研究背景 二、工作原理 三、实验结果 四、结论 五、展望 CERNET15 一、研究背景 Internet 现状 巨大的成功 层出不穷的安全问题： 网络攻击 ：DoS, DDoS, Spam … 源地址伪造 病毒 蠕虫 CERNET15 源地址伪造 定义：使用不被许可的地址发送报文 原因：路由器不检查，操作系统不限制 特点：隐藏了攻击的真正元凶 危害：难以防范，难以追溯攻击者 对源地址伪造报文的特征分析十分必要， 是进行防治的基础。 CERNET15 二、工作原理 获取海量数据，进行数据挖掘 数据源：Caida  （2008最新数据） 数据量：10G/D ×8D 目标：挖掘源地址伪造攻击的目标特征。 CERNET15 Backscatter 定义： 攻击者A伪造成B的地址攻击V后，目标V或中间设备 会向B回送应答或者ICMP报文。 ICMP报文的价值： 应答报文不携带攻击报文的原始数据 ICMP报文可以携带原始攻击报文的全部重要信息 CERNET15 Caida(Cooperative Association for Internet Data Analysis) Telescope：0.x.x.x =0/8 （IANA保留） 数据：发送至Telescope的Backscatter报文。 筛选 筛选出其中的ICMP报文。 主要分析伪造报文攻击的目标端口特征。 CERNET15 三、实验结果 ICMP报文统计 5月21日7：00至29日7：00期间ICMP 报文流量 CERNET15 攻击目标端口分布图： 假冒源地址攻击端口分布图 CERNET15 实验结果： 假冒源地址攻击中攻击目标端口主要集中在TCP 80、443、23，其次是UDP 53、137、138、1900、67和 TCP6667。 TCP 80(HTTP)和TCP 443(HTTPS) 假冒源地址攻击目标端口是TCP 80的占绝大多数。 TCP 443作为安全Web连接端口，是提供加密传输信息 的另一种HTTP。与TCP80是相似的，只是通过安全套 接字层来保证安全性，其攻击方式与TCP80类似。针 对它的攻击比例仅次于TCP 80。 CERNET15 TCP 23（Telnet） 针对攻击目标TCP 23的假冒源地址攻击所占比例 位于第三位，攻击者扫描这一端口是为了找到攻击 目标运行的操作系统类型，从而为下一步实施更具 体攻击做准备。 UDP 137和UDP 138（NetBIOS service ） UDP 137和UDP 138主要用于NetBIO