向后兼容防緩存污染攻擊的方法研究.pdf

1、隨著科學技術的進步，計算機科學已經(jīng)滲透到人們生活中的各個領域，人類對計算機網(wǎng)絡的需求越來越強烈。Internet的誕生，使分布在世界上數(shù)以千計的網(wǎng)絡互聯(lián)起來。但是各類硬件、軟件、數(shù)據(jù)和信息在網(wǎng)絡上是共享使用的，這將導致很嚴重的安全問題。
　　當今，中間人攻擊仍是計算機網(wǎng)絡資源的重大威脅之一，這種攻擊通常偽裝成一個合法用戶的主機來惡意欺騙其它主機。這樣，一個設備如果能夠成功偽裝成另一個主機，它就能在合法信息到達目標設備之前，中間攔截

2、、讀取、修改或破壞此信息。
　　ARP緩存污染是欺騙網(wǎng)絡主機的一種手段。它利用ARP協(xié)議中IP地址要被轉換為物理(MAC)地址的特性來實施攻擊。ARP是無狀態(tài)協(xié)議，這意味著，它在沒發(fā)送請求的情況下，也將接受響應包。想要獲取目的主機通信內容的攻擊者可以發(fā)送偽造的、且匹配任何選定IP地址的ARP響應給請求主機。接受這些偽造的ARP響應的主機無法區(qū)分是否是合法的ARP響應，因此將發(fā)送帶攻擊者MAC地址的數(shù)據(jù)包。
　　另一方面，利用

3、DNS緩存攻擊技術的攻擊者還能把偽造的數(shù)據(jù)引入DNS服務器緩存表，目的是操作解析數(shù)據(jù)使得目標不可達或者轉移信息給錯誤的地址，這也被認為是當今互聯(lián)網(wǎng)用戶的一大威脅。
　　有許多方案已經(jīng)提出用來解決ARP和DNS緩存污染問題，可是，截至目前為止，它們都還無法大規(guī)模部署開來。其中的主要原因是：這些方案并不向后兼容，因為它們包含加密技術，這將導致傳統(tǒng)的ARP/DNS協(xié)議將要進行很大的修改，并增加了很大的復雜性。顯然，管理員手工清除污染的方

4、法會造成巨大開銷和負擔。另外，動態(tài)檢測方法也可以用來解決管理緩存的污染問題。但是，它的誤警太多，導致網(wǎng)絡管理員無所適從。
　　為此，提出了針對ARP和DNS協(xié)議中緩存欺騙引發(fā)不安全性問題的解決方案。
　　第一個解決方案著眼于設計一種保護方法來提高DNS服務器的安全性。該方案稱為DNS自適應緩存（ACDNS）。它依賴于緩存機制來阻止這類攻擊。因為我發(fā)現(xiàn)，調整緩存的存儲策略將提高安全性并提升網(wǎng)絡訪問效率。ACDNS的設計與當前D

5、NS標準相兼容，并且完全適用于基本的協(xié)議流程和基礎設施。我的方法僅僅是在把收到的DNS響應存入緩存之前添加一段延遲時間以構成新的緩存間隔。即在需要存儲一個新的映射時ACDNS停留等待直到新的緩存間隔到，如果另一個有相同TXID的DNS響應在這個期間內來臨，ACDNS將丟棄這些包。然后，它必須發(fā)送一個新的含有另一個TXID的查詢。比較ACDNS和DNS的性能表明，本方案能完全保護域名解析者不受緩存污染的攻擊。此外，ACDNS的延遲分布很接

6、近于DNS查詢解析延遲。另一方面，DNS查詢的原過程和ACDNS是完全兼容的。因此，我的方案可以迅速得到部署，對任意單個DNS服務器都可以實現(xiàn)該改進措施，因為ACDNS不需要在當前的DNS基礎設施上（對每一層）進行重大修改。
　　第二個解決方案也是著眼于防止DNS緩存污染。引入一種稱作“GDR--防止DNS緩存污染攻擊(GDNS)”的方案來解析域名。設計的GDNS包含兩個階段：第一階段是GDNS無故請求階段（GDR），在這個階段，

7、GDNS必須對有效期內的每個域名再發(fā)送相應的DNS查詢來更新它們的映射。這意味著，對最近緩存的DNS域名進行自動再查詢（更新緩存記錄）來提高緩存中的DNS查詢命中率。因此，GDNS可使區(qū)域域名服務器（ZS）的高速緩存保存區(qū)域DNS新近的域信息而減少DNS解析時間，并無需為每個DNS請求向權威的頂級域名服務器（TLD）發(fā)出DNS查詢。第二階段是緩存定時，正如ACDNS方案那樣在緩存收到對DNS緩存污染攻擊檢測和防御的應答之前加一段延遲時間

8、。因此，GDR算法提供了兩個好處。第一，它為解析域名接近最優(yōu)的性能提供了一種有效的技術。第二，雖然在緩存接收響應之前增加了一段延遲時間，但GDR對GDNS在減少解析延遲上有顯著的幫助。實驗結果表明，GDNS可以有效的防止緩存污染攻擊。同時還將極大地減少域名解析延遲時間，它是域名解析的重要性能參數(shù)。
　　第三個解決方案是防止ARP欺騙。提出用“基于C/S的入侵檢測系統(tǒng)（CSIDS）”來實現(xiàn)對ARP欺騙攻擊的檢測和防御。其主要思想是監(jiān)

9、控接收到的ARP數(shù)據(jù)包，如果發(fā)現(xiàn)可疑的ARP數(shù)據(jù)包，同一網(wǎng)絡的CSIDS的系統(tǒng)將交換控制信息。這個控制信息容許CSIDS在更新ARP緩存之前指出惡意的數(shù)據(jù)包或者給發(fā)送方發(fā)送一個響應包。每一個異常的數(shù)據(jù)包必須被發(fā)送到CSIDS服務器以作檢查，并且同網(wǎng)絡的各CSIDS部分將投票決策以作出該數(shù)據(jù)包或真或假的回應給請求端。為了評估CSIDS檢測和預防的能力，我對CSIDS和ARP的性能作了對比，結果表明，CSIDS系統(tǒng)被證明是很容易實現(xiàn)的，并可

10、應用在局域網(wǎng)內來提高安全性。
　　第四個解決方案主要是提供一個良好且廉價的方案，叫做“無償決策的分組系統(tǒng)（GDPS）”，旨在克服ARP協(xié)議的不安全性即IP地址的欺騙。它力圖達到兩個主要目標：（1）GDPS通過實時分析ARP數(shù)據(jù)包來探測出可疑ARP包；（2）通過發(fā)送修改后的ARP請求包來判斷合法與非法的主機。在此方案中我著重于ARP的通信映射來提高ARP協(xié)議的安全性。因為GDPS取決于發(fā)送的一組改進的ARP請求，然后，GDPS計算響

11、應的開銷，這意味著用平均響應時間和ARP響應包的數(shù)量來區(qū)分合法或攻擊者的MAC地址。結果表明，攻擊者機器發(fā)送ARP應答包的數(shù)量是被害者發(fā)送數(shù)據(jù)包的數(shù)倍。
　　為了對以上兩種方案進行安全分析，我擴展了NS-2框架來仿真所有的協(xié)議，與ARP與DNS正常執(zhí)行進行了各種比較。
　　總之，本文方案有很多重要的優(yōu)點，總結如下：（1）能夠有效阻止普遍的緩存污染攻擊；（2）能夠向后兼容ARP和DNS協(xié)議的現(xiàn)有標準；（3）這些解決方案不使用密