(2)攻击者将源地址伪装成主机A,发送SYN请求包给服务器B要求建立连接。
(3)服务器B发送SYN-ACK数据包给主机A,此时主机A因处于瘫痪状态已不能接收服务器B的SYN-ACK数据包。
(4)攻击者根据服务器B的回应消息包对后续的TCP包序列号y进行预测。
(5)攻击者再次伪装成主机A用猜测的序列号向服务器B发送ACK数据包,以完成三次握手信号并建立连接。
分别表示Land攻击、SYN-Flooding攻击和DDoS攻击。通信函数表示为Communication(Res-host, Des-host, Syn-no, Ack-no)。其中Res-host、Des-host分别为源节点和目的节点地址,Syn-no、Ack-no分别为同步和应答序列号。通信及其他函数集具体定义如下:
2.3IP分片攻击
数据包在不同的网络上传输时,由于各种网络运行的协议可能有所差异,不同物理网络的最大传输单元MTU(即最大包长度)可能不同;这样当数据包从一个物理网络传输到另一个物理网络时,如果该网络的MTU不足以容纳完整的数据包,那么就需要利用数据包分解的方法来解决。这样大的数据包往往分解成许多小的数据包分别进行传输。攻击者常常利用这一技术将其攻击数据分散在各个数据包中,从而达到隐蔽其探测或攻击行为的目的[6]。
对于Teardrop等典型的IP分片攻击,其特征是IP包中的ip_off域为IP_MF,而且IP包经过计算,其长度域ip_len声明的长度与收到包的实际长度不同。这样被攻击者在组装IP包时,可能把几个分片的部分重叠起来,某些有害的参数可能被加了进去,从而引起系统状态的异常。
3结束语
攻击过程的形式化描述对于直观地理解各种复杂的攻击过程是相当重要的。实际上无论对于哪一种类型的网络攻击行为,入侵检测系统对其进行检测的过程也就是启动相应的自动机模型对其攻击特征进行识别的过程。鉴于攻击行为的复杂性,很难采用统一的自动机模型识别各种网络入侵行为,目前只能对各个入侵过程构造相应的自动机模型。但各个模型间并不是孤立的,它们之间存在一定的联系,某个模型可能对应另一个模型的某一个状态,或者对应一个状态转移函数,那么,通过构造各种入侵过程的自动机检测模型并灵活地组合它们,就可以检测各种复杂的网络攻击行为。由此可见,自动机理论为网络入侵过程提供了一种有效、直观的形式化描述手段。
参考文献:
[1] TIDWELL T,LARSON R,FITCH K,et al. Modeling internet attacks:proceedings of the 2001 IEEE workshop on information assurance and security[C].[S.l.]:[s.n.],2001:54-59.
[2]苏一丹,李桂.基于DFA的大规模入侵建模方法研究[J].计算机工程与应用,2003,39(28):197-199.
[3]蒋总礼,姜守旭.形式语言与自动机理论[M].北京:清华大学出版社,2003.
[4]刘湘辉,殷建平,张玲,等.利用有限状态机分析TCP协议握手过程的安全问题[J].计算机工程与科学,2002,24(4):21-23.
[5]陈晓苏,李永辉,肖道举.基于IP欺骗攻击的状态分析法研究[J].华中科技大学学报:自然科学版,2003,31(5):3-5.
[6]张普兵,郭广猛,廖成君.Internet中的电子欺骗攻击及其防范[J].计算机应用,2001,21(1):32-34.