netfilter技術(shù)分析及在入侵響應(yīng)中的應(yīng)用

從netfilter總體結(jié)構(gòu)入手，分析了netfilter的連線跟蹤、包過(guò)濾、地址轉(zhuǎn)換、包處理等關(guān)鍵技術(shù)。在此基礎(chǔ)上，研究了入侵響應(yīng)策略，提出了基于netfilter的主動(dòng)響應(yīng)模型。經(jīng)測(cè)試證明，這種主動(dòng)響應(yīng)模型靈活高效，可以極大地增強(qiáng)系統(tǒng)對(duì)入侵行為的防御能力。
關(guān) 鍵 詞 連線跟蹤; 入侵響應(yīng); 主動(dòng)響應(yīng); 入侵行為重定向

當(dāng)前，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具表現(xiàn)出攻擊速度加快和攻擊工具自動(dòng)化的新趨勢(shì)，工具越來(lái)越復(fù)雜，系統(tǒng)脆弱性探測(cè)速度加快，對(duì)防火墻的滲透顯著增多，針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊不斷增加。針對(duì)攻擊，要求動(dòng)態(tài)地調(diào)整安全策略，自動(dòng)做出反應(yīng)。netfilter是Linux內(nèi)核中用于擴(kuò)展各種網(wǎng)絡(luò)服務(wù)的結(jié)構(gòu)化底層框架，新的響應(yīng)特性加入到內(nèi)核中并不需要重新啟動(dòng)內(nèi)核。netfilter模塊的易擴(kuò)性，為實(shí)現(xiàn)動(dòng)態(tài)安全策略提供了很好的基礎(chǔ)。
1 netfilter技術(shù)分析
netfilter是由Rusty Russell提出的Linux 2.4內(nèi)核防火墻框架，該框架既簡(jiǎn)潔又靈活，可實(shí)現(xiàn)安全策略應(yīng)用中的許多功能，如數(shù)據(jù)包過(guò)濾、數(shù)據(jù)包處理、地址偽裝、透明代理、動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)，以及基于用戶及媒體訪問(wèn)控制(Media Access Control，MAC)地址的過(guò)濾和基于狀態(tài)的過(guò)濾、包速率限制等。
1.1 netfilter框架
netfilter提供了一個(gè)抽象、通用化的框架[1]，作為中間件，為每種網(wǎng)絡(luò)協(xié)議(IPv4、IPv6等)定義一套鉤子函數(shù)。Ipv4定義了5個(gè)鉤子函數(shù)，這些鉤子函數(shù)在數(shù)據(jù)報(bào)流過(guò)協(xié)議棧的5個(gè)關(guān)鍵點(diǎn)被調(diào)用，也就是說(shuō)，IPv4協(xié)議棧上定義了5個(gè)“允許垂釣點(diǎn)”。在每一個(gè)“垂釣點(diǎn)”，都可以讓netfilter放置一個(gè)“魚(yú)鉤”，把經(jīng)過(guò)的網(wǎng)絡(luò)包(Packet)釣上來(lái)，與相應(yīng)的規(guī)則鏈進(jìn)行比較，并根據(jù)審查的結(jié)果，決定包的下一步命運(yùn)，即是被原封不動(dòng)地放回IPv4協(xié)議棧，繼續(xù)向上層遞交；還是經(jīng)過(guò)一些修改，再放回網(wǎng)絡(luò)；或者干脆丟棄掉。
Ipv4中的一個(gè)數(shù)據(jù)包通過(guò)netfilter系統(tǒng)的過(guò)程如圖1所示。