向后兼容防緩存污染攻擊的方法研究.pdf

1、隨著科學(xué)技術(shù)的進(jìn)步，計(jì)算機(jī)科學(xué)已經(jīng)滲透到人們生活中的各個(gè)領(lǐng)域，人類對計(jì)算機(jī)網(wǎng)絡(luò)的需求越來越強(qiáng)烈。Internet的誕生，使分布在世界上數(shù)以千計(jì)的網(wǎng)絡(luò)互聯(lián)起來。但是各類硬件、軟件、數(shù)據(jù)和信息在網(wǎng)絡(luò)上是共享使用的，這將導(dǎo)致很嚴(yán)重的安全問題。
　　當(dāng)今，中間人攻擊仍是計(jì)算機(jī)網(wǎng)絡(luò)資源的重大威脅之一，這種攻擊通常偽裝成一個(gè)合法用戶的主機(jī)來惡意欺騙其它主機(jī)。這樣，一個(gè)設(shè)備如果能夠成功偽裝成另一個(gè)主機(jī)，它就能在合法信息到達(dá)目標(biāo)設(shè)備之前，中間攔截

2、、讀取、修改或破壞此信息。
　　ARP緩存污染是欺騙網(wǎng)絡(luò)主機(jī)的一種手段。它利用ARP協(xié)議中IP地址要被轉(zhuǎn)換為物理(MAC)地址的特性來實(shí)施攻擊。ARP是無狀態(tài)協(xié)議，這意味著，它在沒發(fā)送請求的情況下，也將接受響應(yīng)包。想要獲取目的主機(jī)通信內(nèi)容的攻擊者可以發(fā)送偽造的、且匹配任何選定IP地址的ARP響應(yīng)給請求主機(jī)。接受這些偽造的ARP響應(yīng)的主機(jī)無法區(qū)分是否是合法的ARP響應(yīng)，因此將發(fā)送帶攻擊者M(jìn)AC地址的數(shù)據(jù)包。
　　另一方面，利用

3、DNS緩存攻擊技術(shù)的攻擊者還能把偽造的數(shù)據(jù)引入DNS服務(wù)器緩存表，目的是操作解析數(shù)據(jù)使得目標(biāo)不可達(dá)或者轉(zhuǎn)移信息給錯(cuò)誤的地址，這也被認(rèn)為是當(dāng)今互聯(lián)網(wǎng)用戶的一大威脅。
　　有許多方案已經(jīng)提出用來解決ARP和DNS緩存污染問題，可是，截至目前為止，它們都還無法大規(guī)模部署開來。其中的主要原因是：這些方案并不向后兼容，因?yàn)樗鼈儼用芗夹g(shù)，這將導(dǎo)致傳統(tǒng)的ARP/DNS協(xié)議將要進(jìn)行很大的修改，并增加了很大的復(fù)雜性。顯然，管理員手工清除污染的方

4、法會(huì)造成巨大開銷和負(fù)擔(dān)。另外，動(dòng)態(tài)檢測方法也可以用來解決管理緩存的污染問題。但是，它的誤警太多，導(dǎo)致網(wǎng)絡(luò)管理員無所適從。
　　為此，提出了針對ARP和DNS協(xié)議中緩存欺騙引發(fā)不安全性問題的解決方案。
　　第一個(gè)解決方案著眼于設(shè)計(jì)一種保護(hù)方法來提高DNS服務(wù)器的安全性。該方案稱為DNS自適應(yīng)緩存（ACDNS）。它依賴于緩存機(jī)制來阻止這類攻擊。因?yàn)槲野l(fā)現(xiàn)，調(diào)整緩存的存儲(chǔ)策略將提高安全性并提升網(wǎng)絡(luò)訪問效率。ACDNS的設(shè)計(jì)與當(dāng)前D

5、NS標(biāo)準(zhǔn)相兼容，并且完全適用于基本的協(xié)議流程和基礎(chǔ)設(shè)施。我的方法僅僅是在把收到的DNS響應(yīng)存入緩存之前添加一段延遲時(shí)間以構(gòu)成新的緩存間隔。即在需要存儲(chǔ)一個(gè)新的映射時(shí)ACDNS停留等待直到新的緩存間隔到，如果另一個(gè)有相同TXID的DNS響應(yīng)在這個(gè)期間內(nèi)來臨，ACDNS將丟棄這些包。然后，它必須發(fā)送一個(gè)新的含有另一個(gè)TXID的查詢。比較ACDNS和DNS的性能表明，本方案能完全保護(hù)域名解析者不受緩存污染的攻擊。此外，ACDNS的延遲分布很接

6、近于DNS查詢解析延遲。另一方面，DNS查詢的原過程和ACDNS是完全兼容的。因此，我的方案可以迅速得到部署，對任意單個(gè)DNS服務(wù)器都可以實(shí)現(xiàn)該改進(jìn)措施，因?yàn)锳CDNS不需要在當(dāng)前的DNS基礎(chǔ)設(shè)施上（對每一層）進(jìn)行重大修改。
　　第二個(gè)解決方案也是著眼于防止DNS緩存污染。引入一種稱作“GDR--防止DNS緩存污染攻擊(GDNS)”的方案來解析域名。設(shè)計(jì)的GDNS包含兩個(gè)階段：第一階段是GDNS無故請求階段（GDR），在這個(gè)階段，

7、GDNS必須對有效期內(nèi)的每個(gè)域名再發(fā)送相應(yīng)的DNS查詢來更新它們的映射。這意味著，對最近緩存的DNS域名進(jìn)行自動(dòng)再查詢（更新緩存記錄）來提高緩存中的DNS查詢命中率。因此，GDNS可使區(qū)域域名服務(wù)器（ZS）的高速緩存保存區(qū)域DNS新近的域信息而減少DNS解析時(shí)間，并無需為每個(gè)DNS請求向權(quán)威的頂級(jí)域名服務(wù)器（TLD）發(fā)出DNS查詢。第二階段是緩存定時(shí)，正如ACDNS方案那樣在緩存收到對DNS緩存污染攻擊檢測和防御的應(yīng)答之前加一段延遲時(shí)間

8、。因此，GDR算法提供了兩個(gè)好處。第一，它為解析域名接近最優(yōu)的性能提供了一種有效的技術(shù)。第二，雖然在緩存接收響應(yīng)之前增加了一段延遲時(shí)間，但GDR對GDNS在減少解析延遲上有顯著的幫助。實(shí)驗(yàn)結(jié)果表明，GDNS可以有效的防止緩存污染攻擊。同時(shí)還將極大地減少域名解析延遲時(shí)間，它是域名解析的重要性能參數(shù)。
　　第三個(gè)解決方案是防止ARP欺騙。提出用“基于C/S的入侵檢測系統(tǒng)（CSIDS）”來實(shí)現(xiàn)對ARP欺騙攻擊的檢測和防御。其主要思想是監(jiān)

9、控接收到的ARP數(shù)據(jù)包，如果發(fā)現(xiàn)可疑的ARP數(shù)據(jù)包，同一網(wǎng)絡(luò)的CSIDS的系統(tǒng)將交換控制信息。這個(gè)控制信息容許CSIDS在更新ARP緩存之前指出惡意的數(shù)據(jù)包或者給發(fā)送方發(fā)送一個(gè)響應(yīng)包。每一個(gè)異常的數(shù)據(jù)包必須被發(fā)送到CSIDS服務(wù)器以作檢查，并且同網(wǎng)絡(luò)的各CSIDS部分將投票決策以作出該數(shù)據(jù)包或真或假的回應(yīng)給請求端。為了評(píng)估CSIDS檢測和預(yù)防的能力，我對CSIDS和ARP的性能作了對比，結(jié)果表明，CSIDS系統(tǒng)被證明是很容易實(shí)現(xiàn)的，并可

10、應(yīng)用在局域網(wǎng)內(nèi)來提高安全性。
　　第四個(gè)解決方案主要是提供一個(gè)良好且廉價(jià)的方案，叫做“無償決策的分組系統(tǒng)（GDPS）”，旨在克服ARP協(xié)議的不安全性即IP地址的欺騙。它力圖達(dá)到兩個(gè)主要目標(biāo)：（1）GDPS通過實(shí)時(shí)分析ARP數(shù)據(jù)包來探測出可疑ARP包；（2）通過發(fā)送修改后的ARP請求包來判斷合法與非法的主機(jī)。在此方案中我著重于ARP的通信映射來提高ARP協(xié)議的安全性。因?yàn)镚DPS取決于發(fā)送的一組改進(jìn)的ARP請求，然后，GDPS計(jì)算響

11、應(yīng)的開銷，這意味著用平均響應(yīng)時(shí)間和ARP響應(yīng)包的數(shù)量來區(qū)分合法或攻擊者的MAC地址。結(jié)果表明，攻擊者機(jī)器發(fā)送ARP應(yīng)答包的數(shù)量是被害者發(fā)送數(shù)據(jù)包的數(shù)倍。
　　為了對以上兩種方案進(jìn)行安全分析，我擴(kuò)展了NS-2框架來仿真所有的協(xié)議，與ARP與DNS正常執(zhí)行進(jìn)行了各種比較。
　　總之，本文方案有很多重要的優(yōu)點(diǎn)，總結(jié)如下：（1）能夠有效阻止普遍的緩存污染攻擊；（2）能夠向后兼容ARP和DNS協(xié)議的現(xiàn)有標(biāo)準(zhǔn)；（3）這些解決方案不使用密