netfilter技術(shù)分析及在入侵響應(yīng)中的應(yīng)用

從netfilter總體結(jié)構(gòu)入手，分析了netfilter的連線跟蹤、包過濾、地址轉(zhuǎn)換、包處理等關(guān)鍵技術(shù)。在此基礎(chǔ)上，研究了入侵響應(yīng)策略，提出了基于netfilter的主動響應(yīng)模型。經(jīng)測試證明，這種主動響應(yīng)模型靈活高效，可以極大地增強(qiáng)系統(tǒng)對入侵行為的防御能力。
關(guān) 鍵 詞 連線跟蹤; 入侵響應(yīng); 主動響應(yīng); 入侵行為重定向

當(dāng)前，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具表現(xiàn)出攻擊速度加快和攻擊工具自動化的新趨勢，工具越來越復(fù)雜，系統(tǒng)脆弱性探測速度加快，對防火墻的滲透顯著增多，針對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊不斷增加。針對攻擊，要求動態(tài)地調(diào)整安全策略，自動做出反應(yīng)。netfilter是Linux內(nèi)核中用于擴(kuò)展各種網(wǎng)絡(luò)服務(wù)的結(jié)構(gòu)化底層框架，新的響應(yīng)特性加入到內(nèi)核中并不需要重新啟動內(nèi)核。netfilter模塊的易擴(kuò)性，為實現(xiàn)動態(tài)安全策略提供了很好的基礎(chǔ)。
1 netfilter技術(shù)分析
netfilter是由Rusty Russell提出的Linux 2.4內(nèi)核防火墻框架，該框架既簡潔又靈活，可實現(xiàn)安全策略應(yīng)用中的許多功能，如數(shù)據(jù)包過濾、數(shù)據(jù)包處理、地址偽裝、透明代理、動態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation，NAT)，以及基于用戶及媒體訪問控制(Media Access Control，MAC)地址的過濾和基于狀態(tài)的過濾、包速率限制等。
1.1 netfilter框架
netfilter提供了一個抽象、通用化的框架[1]，作為中間件，為每種網(wǎng)絡(luò)協(xié)議(IPv4、IPv6等)定義一套鉤子函數(shù)。Ipv4定義了5個鉤子函數(shù)，這些鉤子函數(shù)在數(shù)據(jù)報流過協(xié)議棧的5個關(guān)鍵點被調(diào)用，也就是說，IPv4協(xié)議棧上定義了5個“允許垂釣點”。在每一個“垂釣點”，都可以讓netfilter放置一個“魚鉤”，把經(jīng)過的網(wǎng)絡(luò)包(Packet)釣上來，與相應(yīng)的規(guī)則鏈進(jìn)行比較，并根據(jù)審查的結(jié)果，決定包的下一步命運(yùn)，即是被原封不動地放回IPv4協(xié)議棧，繼續(xù)向上層遞交；還是經(jīng)過一些修改，再放回網(wǎng)絡(luò)；或者干脆丟棄掉。
Ipv4中的一個數(shù)據(jù)包通過netfilter系統(tǒng)的過程如圖1所示。