Snort入侵檢測(cè)系統(tǒng)中TCP流重組的研究解析

1、【中圖分類號(hào)】TP393【文獻(xiàn)標(biāo)識(shí)碼】A【文章編號(hào)】1009-學(xué)術(shù)研究n t c R e a rc h收編仃期t 2005-9-7卜-U作祎簡(jiǎn)介：V79M7的匚牛.廣東濰圳人碩士砂究 生*主要硏究方向?yàn)椤亏抖寻踩７睹麂b.1M2年生女* 四川富噸人.教授上要研覽方肉曲宿且安金、安全藥片 設(shè)汁王Jt衛(wèi).】958年坐，男.河厳刑華人，匚程禪.主晝 研究方囪信息賽全朱大勇.1975生男四川茂且人, 講肺，博士. *婪研究方睡網(wǎng)堵與信J&安全、軼杵工程.A c a d e信息安全與通信保密？ 2007. 265鄧子寬,范明鈺,王光衛(wèi),朱大勇（電子科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，四川成都610054【摘

2、要】文章通過分析Snort入侵檢測(cè)系統(tǒng)的源代碼，剖析了 snort入侵檢 測(cè)系統(tǒng)的TCP流重組的原理及實(shí)現(xiàn)，給出了相關(guān)數(shù)據(jù)結(jié)構(gòu)和算法流程，介紹了針對(duì) 流重組模塊的攻擊及Snort對(duì)此的防御策略，最后指出現(xiàn)有TCP流重組技術(shù)幾點(diǎn)不 足及若干新的研究方向?！娟P(guān)鍵詞】TCP重組;Snort;Hash表;Splay樹;入侵檢測(cè)8054（2007 02-0065-03Research On TCP reassembly in Snort IDSDENG Zikua n, FAN Min gYu, WANG Gua ngwei, ZHU dayo ng（School of Computer Scie ne

3、e and Engineering UESTC, Che ngdu 610054, Chi na【Abstract 】 Base on the study on the source code of Snort, analyze the principle and impleme ntati on of TCP assembly inSnort IDS, prese nt related data structures and arithmetic. In troduce attacks that towards TCP assembly module and theprotecti on m

4、ethods Snort adopted. In dicate several weak nesses of TCP assembly and some new research fields of it.【Keywords 】 TCP reassembly; Snort; Hash table; Splay tree; In trusi on detecti onSn ort入侵檢測(cè)系統(tǒng)中TCP流重組的研究在網(wǎng)絡(luò)安全領(lǐng)域，將分散的TCP包按其所隸屬的會(huì)話重組成一個(gè)連續(xù)的TCP 會(huì)話流再與攻擊特征庫進(jìn)行匹配是發(fā)現(xiàn)和防御某些攻擊的有效方法。1 Snort工作流程Snort是一款開源的跨平臺(tái)、輕量

5、級(jí)的分布式入侵檢測(cè) 系統(tǒng)1,其4種工作方 式如下：嗅探器模式（sniffer mode、包記錄模式（packet logger、網(wǎng)絡(luò)入侵檢測(cè)模 式（Network In-trusion Detection System Mode、線內(nèi)模式（Inline mode。入侵檢測(cè)和線內(nèi)模式集成了重組IP fragme nt、重組TCP會(huì)話及狀態(tài)協(xié)議分析的功能。線內(nèi)模式通過iptables替代libcap獲得數(shù)據(jù)包,從而使系統(tǒng)變成具有過濾和放行數(shù)據(jù)包能力的IPS(Intrusion PreventionSystem 2。圖1是Snort的工作流程。2 流重組S n o r t使用s t r e a m

6、4模塊進(jìn)行T C P流的重組和狀態(tài) 分析3。 Stream4由 Martin Roesch于2001年公布，包含兩個(gè)可配置預(yù)處理模塊stream4和stream4_reassemble發(fā)布的初衷是為解決snort 針對(duì)snot攻擊報(bào)警過于頻繁的問題3。由于TCP重組的實(shí)現(xiàn) 依賴于TCP/IP協(xié)議, 在應(yīng)用中受到TCP/IP協(xié)議先天安全性不足的局限。因此，Martin Roesch在這兩個(gè) 模塊中增添了許多抗攻擊的功能，并設(shè)計(jì)成可供用戶通過配置選擇使用。配置選項(xiàng) 的說明請(qǐng)參照snort用戶手冊(cè)1。下面分析TCP流s e a r c h學(xué)術(shù)研究|11|.c n66重組的過程及使用的數(shù)據(jù)結(jié)構(gòu)。目前S

7、nort通過兩種方式緩 存重組前的數(shù)據(jù)包:Hash 表與 Splay Tree。2.1 Hash表方式H a s h表方 式是snort的默 認(rèn)方式，其以會(huì) 話的源IP、目的IP、源端口、目 的端口 4個(gè)參數(shù)為key計(jì)算得出一個(gè)table index,該tableindex指向一個(gè)雙向鏈表,鏈表 的每一個(gè)節(jié)點(diǎn)即為一 個(gè)Hash節(jié)點(diǎn)。一個(gè)Hash節(jié)點(diǎn)里面包含有一個(gè)會(huì)話的信息，若需要查找一個(gè)會(huì)話的 信息只需根據(jù) 該會(huì)話或者該會(huì)話中的一個(gè) TCP包的key計(jì)算table index得出 tableindex,再利用table index中所存地址找到雙向鏈表，遍歷該鏈表，查找與key 匹配的節(jié) 點(diǎn)即

8、可找到會(huì)話信息。數(shù)據(jù)包與 會(huì)話的匹配流程如圖2所示，Hash表用 作儲(chǔ)存會(huì)話信息的數(shù)據(jù)結(jié)構(gòu) 如圖3（a,Hashnode節(jié)點(diǎn)的內(nèi)部 數(shù)據(jù)結(jié)構(gòu)如圖3（b, session節(jié)點(diǎn)的內(nèi)部數(shù)據(jù)結(jié)構(gòu)如圖3（c, stream流的內(nèi)部數(shù)據(jù)結(jié)構(gòu)如圖3（d。使用 Hash表及雙鏈表結(jié)構(gòu)的形式來存儲(chǔ)及查找可以加快重組時(shí)數(shù)據(jù)包匹配會(huì)話的速度 在高流量的環(huán)境下，對(duì)每一個(gè)T C P包的快速處理是十分必要的。重組過程中，當(dāng)下述三種情況之一出現(xiàn)時(shí)（對(duì)以Splay Tree儲(chǔ)存的情形同樣適用 Snort將會(huì)把Hash表或二叉樹中屬于一次會(huì)話的所有數(shù)據(jù)包組合成一個(gè)大數(shù)據(jù)包 （仍以Packet結(jié)構(gòu)定義：當(dāng)一個(gè)會(huì)話結(jié)束、當(dāng)內(nèi)存耗盡

9、、當(dāng)收集了某個(gè)數(shù)量大小的數(shù)據(jù)（該大小值為隨機(jī)數(shù)，以免被攻擊者識(shí)破。組合大數(shù)據(jù)包時(shí)，Snort將遍歷Hash表節(jié)點(diǎn)中指向的雙 向鏈表的每一節(jié)點(diǎn)（以 StreamPacketData結(jié)構(gòu)定義，將節(jié)點(diǎn) 中的payload拷貝到大數(shù)據(jù)包中data指向的緩 存（在 Stream4模塊初始化時(shí)Snort已分配一特定大小的內(nèi)存于該緩存中,并將大數(shù) 據(jù)包傳遞給余下的預(yù)處理模塊處理，當(dāng)所有的預(yù)處理模塊處理完畢，Snort才將該會(huì)話包交給規(guī)則檢測(cè)引 擎作規(guī)則匹配。2.2 Splay Tree形式Splay Tree也叫伸展樹，當(dāng)Splay Tree的一個(gè) 節(jié)點(diǎn)被訪問時(shí)，該節(jié)點(diǎn)經(jīng)過一系 列的旋轉(zhuǎn)被搬移到樹 根,這樣

10、可以讓計(jì)算機(jī)執(zhí)行盡量少的訪問即到達(dá)目標(biāo)節(jié)點(diǎn)。由于該特性，它特別適用于TCP重組中對(duì)每個(gè)TCP包進(jìn)行會(huì)話匹配。圖4為使用 Splay Tree進(jìn)行會(huì)話匹配的流程。注意snort在存儲(chǔ)一個(gè)會(huì)話的所有數(shù)據(jù)包時(shí)也 使用了 Splay tree結(jié)構(gòu)。使用Splay Tree方式重組流所使用的數(shù)據(jù)結(jié)構(gòu)仍有 Session、Stream和StreamPacketData不過在相應(yīng)域中將指針成員改成了 ubi_btRoot 或者 ubi_trNode 結(jié)構(gòu)。無論是Hash表或Splay Tree形式,Snort均使用了三 個(gè)獨(dú)立的內(nèi)存塊來儲(chǔ)存 每一個(gè)被重組的TCP包:一是Packet結(jié)構(gòu)定義的p數(shù)據(jù)包中的da

11、ta成員指向的空間 二是將數(shù)據(jù) 包p存進(jìn)Stream中以StreamPacketData結(jié)構(gòu)定義的數(shù)據(jù)包節(jié)點(diǎn)時(shí)，數(shù)據(jù)包節(jié)點(diǎn)中pkt成員指向的空 間;三是存放同一會(huì)話包的大數(shù)據(jù)包中 data成員指向的空間。Hash表的插入和 刪除的算法復(fù)雜度為0(1,而Splay Tree 的復(fù)雜度為O(log(n。Hash表的查找復(fù)雜度為O(n/m,其中n為Hash表中會(huì)話 的個(gè) 數(shù),m為H a s h表的桶個(gè)數(shù)，當(dāng)對(duì)象在H a s h表中均勻分布和H a s h表的桶個(gè) 數(shù)與 對(duì)象個(gè)數(shù)一樣多時(shí),Hash表查找復(fù) 雜度可接近O(1,這也是Snort優(yōu)先使用Hash表 作為會(huì)話儲(chǔ)存結(jié)構(gòu)的原因之一。3流重組對(duì)攻擊

12、的防御策略針對(duì)重組的攻擊分五類：圖2Hash表作儲(chǔ)存方式的TCP重組流程圖 4SplayTree作儲(chǔ)存方式的TCP重組流程學(xué)術(shù)研究n i c R o s e a rc h uic Researc h主元統(tǒng)計(jì)的音頻隱寫甘桁力法對(duì)D6SS隱寫技術(shù)m恨 入強(qiáng)唆粧0. 0005以上.LSB龜丐技術(shù)修改低4位現(xiàn)上， 3tehideM. Hid屛POW St年戡whit叭 9-=ibols4D 隱9 技術(shù)嵌入存誡在B0站以匕隱耳分析芬類推確率均可達(dá) 95而1L它適用尸所毎皋壓編音頻栽體.槎咼丁推 確性和適川件鰲蔚文猷DO AJ tun Q Sliatms G MirphulogicaJ steeanaly

13、i s電inal distort ions ICESR 200h1?H242 To!injin M K l.y u S Fa rid Fl Si rganH I ys( of recorded spcecK Proc SfJK 藝UCih voL 56Hi, Ki(M- H72J K lfct/J S Slghido http /steghide sourcerorge net A 2U()at Repp H Hide IKSH htwwa* heinz renpon j nelKire de/Hide4FCf! html 2U0QI5 Ril c ini G Stcgtwa Brown A

14、SHFoot s4 http /www jj tc c(m;stceoarchivc / stego.； 20L?A伍L(zhǎng)t ii Cli l trJe L.i hs*u hi I ft .Kwak cs i e, X.j _ E i . Ii 上t 占 fA c a d e信息安全與通信保密？ 2007. 267對(duì)DS主機(jī)或者IDS軟件缺陷的攻擊。 一躲避攻擊（e v a s io n。插入 攻擊（I n s e r t i o n。干擾攻擊,該類攻擊利用大量攻擊來使ID S瘋狂報(bào) 警,而使真正有威脅的 攻擊未能被及時(shí)處理。拒絕服務(wù)攻擊（Dos,包括所有類型資源的耗盡，如硬盤、內(nèi)存、CPU等。

15、由于Snort的開源性，使第一類攻擊能及早被發(fā)現(xiàn)而排除。躲避攻擊的一個(gè)例 子是TCP SYN包可包含數(shù)據(jù)，當(dāng)IDS不處理這些數(shù)據(jù)時(shí)，就造成遺漏包。插入攻擊 包括checksum攻擊（利用某些IDS不檢測(cè)checksum的漏洞和TTL攻擊（讓 數(shù)據(jù)包 剛好到達(dá)IDS而不能到達(dá)受保護(hù)主機(jī)。Snort已有專門的流程來抵御這幾類攻擊。防御躲避和插入攻擊是一對(duì)矛盾，如何找到合適的切入點(diǎn),是今后需要考慮的問 題。干擾攻擊是攻擊者利用IDS自身的攻擊規(guī)則產(chǎn)生的攻擊，一旦這些攻擊包被發(fā) 送到IDS所在的網(wǎng)段,IDS會(huì)陷入報(bào)警洪流。Snort采用狀態(tài)檢 測(cè)和非法包檢測(cè)機(jī)制 使根本不被受保護(hù)主機(jī)接受的包無 法進(jìn)入

16、TCP重組流程。拒絕服務(wù)攻擊包括很 廣的范疇，攻擊者可以：發(fā)送大量數(shù)據(jù)包到IDS網(wǎng)段,讓IDS主機(jī)網(wǎng)卡讀不 過來。發(fā)送大量會(huì)被IDS接收并送至內(nèi)核處理的包，耗盡IDS緩存。制造大量攻擊讓采用記錄攻擊模式運(yùn)作的ID S不斷往硬盤寫記錄，耗盡硬盤。找出對(duì)ID S主機(jī)C P U時(shí)間消耗量最大的包,制造大量該類包,發(fā)送到IDS網(wǎng)段。拒絕服務(wù)攻擊不僅妨礙流重組，也是對(duì)整個(gè)IDS的攻擊。對(duì)于該類攻擊，Snort 的狀態(tài)檢測(cè)和非法包檢測(cè)機(jī)制能篩出垃圾包，內(nèi)核中對(duì)會(huì)話池定期按規(guī)則的清理也 能有效降低此 類攻擊的危害。第2、3、4類攻擊是由于IDS與受保護(hù)系統(tǒng) 處理包 的策略不一致造成的，而如果針對(duì)每一類操作系統(tǒng)制 定獨(dú)立數(shù)據(jù)包處理入口及處理 流程又將大大增加IDS的軟件復(fù)雜性并降低其處理速度。如何比較完善地解決這 個(gè)問題，目前還沒有有效的方案。4 結(jié)束語本文分析了 Snort入侵檢測(cè)系統(tǒng)的TCP流重組的原理和 實(shí)現(xiàn)流程，給出了重組 過程中使用的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)。并對(duì)針 對(duì)重組模塊的各種攻擊做了介紹，同時(shí)研究了 Snort對(duì)這些攻擊的防御策略。文章最后提出 Snort存在的一些問題，為研究發(fā)展 Snort作了一些探討。參考文獻(xiàn)1