基于Zmap的DoS攻擊可行性分析與研究

劉書健 吳 晟

(昆明理工大學信息工程與自動化學院，昆明 650504)

基于Zmap的DoS攻擊可行性分析與研究

劉書健 吳 晟

(昆明理工大學信息工程與自動化學院，昆明 650504)

模擬了Zamp發動DoS攻擊的過程，并利用Wireshark抓取數據包進行分析，總結出這種DoS攻擊的特點。最后提出了通過建立防火墻過濾數據包的策略來避免這種攻擊。

Zmap DoS 掃描 Wireshark 網絡安全

隨著云計算與大數據時代的到來，網絡瞬時狀態也變得日益重要，Zmap作為一款非常優秀的探測網絡狀況的工具應運而生，它縮短了掃描時間，為互聯網的研究工作開辟了新的可能性，但是Zmap使用不當很可能會發動DoS惡意攻擊行為，致使網絡狀況變得擁塞，給人們的正常生活帶來不便。因此筆者對基于Zmap的DoS攻擊進行了分析，并尋找到對抗DoS攻擊的方法。

1 Zmap掃描研究①

Nmap因要保證功能的全面性，需要記錄所有會話的連接狀態，直至會話結束，這在一定程度上造成了主機、網絡帶寬等資源的浪費，而Zmap則完全是一種“無連接狀態”的工具。這個“無連接狀態”是指Zmap在掃描時會向網絡上的其他主機發出請求，隨后立即釋放會話連接狀態。與此同時，Zmap不需要記錄所有請求的列表，而是在發出的數據包中對個別信息進行編碼，這樣一來Zmap就能對回復數據包進行解析與鑒別。

主機與服務器之間進行TCP連接建立“三次握手”交互的過程中[1]，主機需要記錄與服務器交互的會話狀態。這種狀態的記錄量隨著服務器訪問量的增加也會逐步增長，從而占用服務器更多的CPU、內存等資源。為了解決該問題，基于Zmap的掃描略去了3次交互，只進行第一個SYN，然后等待對方回復SYN-ACK，隨后立即取消連接，這樣會釋放連接所占用的CPU等資源。雖然這樣會因網絡原因丟失一定比例的數據，但根據設計者的實驗表明，這個比例僅在2%左右[2]。

Zmap網絡掃描的核心是對回復報文的判斷。Zmap設計了相應的算法對回復報文進行校驗。傳統的TCP/IP協議需要記錄狀態，而Zmap則是將掃描時發送的探測報文的源端信息進行哈希，將其處理保存到源端口和序列號這兩個字段中，當接收到回復報文的時候，就可以根據發送端IP、接收端口號、確認號這些字段進行校驗，避免了狀態存儲，更接近網絡帶寬極限[3]。

2 DoS研究現狀

2.1DoS概況

Denial of Service簡稱DoS[4]，即拒絕服務。DoS攻擊指惡意地攻擊網絡協議的漏洞或直接通過暴力手段耗盡被攻擊對象的資源，目的是讓目標主機或網絡無法提供正常的服務或資源(包括網絡帶寬、文件系統空間容量、開放的進程或者允許的連接)訪問，使目標系統服務系統停止響應甚至崩潰。最常見的DoS攻擊有計算機網絡帶寬攻擊和連通性攻擊。這種攻擊會導致資源的匱乏，無論計算機的處理速度多快、內存容量多大、網絡帶寬的速度多快都無法避免這種攻擊帶來的后果。

2.2常規DoS防御

常規的DoS攻擊是重復請求導致過載的拒絕服務攻擊。當對資源的重復請求超過資源的支付能力時就會造成拒絕服務攻擊(例如，對已經滿載的Web服務器進行過多的請求使其過載)。對于這種常規的DoS攻擊可以采用如下常規方法進行防御：

a. 利用數據包標記的IP追蹤技術[5]；

b. 限制并發的SYN半連接數量并縮短SYN半連接的time out時間；

c. 利用負載均衡技術，把不同應用層次的服務分布到不同的服務器，甚至可以分布到不同的地點，這樣更為直接地緩解服務器壓力；

d. 增強服務器的容忍性[6]；

e. 限制在防火墻外與網絡文件共享；

f. 限制DoS攻擊的使用資源[7]。

3 基于Zmap的DoS攻擊實驗分析與防御策略

3.1實驗過程

Zmap發起的DoS攻擊如下：

zmap-p 80-P 1000000-s 2000-60000-S 20.20.20.0-200.200.200.200-o destHost.csv

其中，-p表示掃描目標主機的端口號；-P表示掃描時向每個目標主機發包的個數；-s，源主機發送數據包的端口設置；-S，指定發送數據包的IP地址；-o，掃描后得到的結果保存的文件。

執行以上的命令意味著，用20.20.20.0～200.200.200.200這個地址范圍內的每個IP作為源地址對網絡中的每個IP地址(Zmap黑名單配置文件之外)的80端口發送1 000 000個數據包，并將結果文件保存至destHost.csv中。其過程如圖1所示。

圖1 Zmap模擬DoS攻擊的過程

3.2實驗分析

相對于常規的DoS攻擊，Zmap發起的DoS攻擊具有以下特點：

a. 可以偽造不同源IP地址的數據包對目標主機進行攻擊。模擬攻擊的實驗過程中，啟動Wireshark[8]進行抓包(圖2)，Source一列中顯示的是源地址是在20.20.20.0～200.200.200.200(這里僅顯示了一部分)范圍內的IP地址，這說明Zmap可以偽造IP地址對目標主機發起攻擊。

b. 可以對不同目標主機同時發動DoS攻擊。Zmap中的配置文件保存在/etc/zmap/blacklist.conf和/etc/zmap/zmap.conf中，這里可以修改配置文件/etc/zmap/blacklist.conf來達到設置黑名單的功能，即攻擊的時候可以對目標主機進行選擇。

c. 占用源主機的資源很少。Zmap攻擊的數據包與常規網絡數據包的差別不大，但是當它在與其他主機進行TCP連接時，源主機將不保存連接狀態，這使得源主機可以節省更多的資源去發送數據包，加劇這種攻擊的破壞性。

d. 發送的數據包的MAC地址相同。利用wireshark進行分析，Zmap發出的數據包的MAC地址都是相同的。如圖3所示，數據包1的MAC地址(00:0c:29:9c:b6:9a)；如圖4所示，數據包2的MAC地址也是(00:0c:29:9c:b6:9a)。

圖2 Wireshark抓取數據包示意圖

圖3 數據包1的分析圖示

圖4 數據包2的分析圖示

圖3、4分別表示的是源IP地址為58.87.248.232與58.87.248.233相對目的地址為7.120.108.96建立TCP連接的數據包示意圖。從圖中可以看出，雖然Zmap可以偽造不同IP地址的數據包，但是其數據包的MAC地址都是相同的，這為今后的防御提供了啟發。

3.3實驗結論與防御

基于上文的分析，筆者發現，Zmap發起的DoS攻擊都是從一個網卡中發出的。因此，目標主機可以對多對數據包按協議層進行拆分，倘若發現大量數據包里的MAC地址都相同，即使IP地址都是偽造的，也可以斷定這是非正常訪問，因此可以及時采取策略進行過濾。因此可以得知，對Zmap發起的這種DoS攻擊可以通過過濾相同MAC地址的數據包來進行防御：

iptables-A INPUT-m mac--mac-source 00:0c:29:9c:b6:9a-j DROP

這是Linux下對進入網卡的數據包進行過濾的一條防火墻策略，該命令將會把MAC地址為00:0c:29:9c:b6:9a的數據包自動過濾掉。為防止誤丟棄數據包的情況，筆者建議，當異常數據包的情況得以遏制時，刪除本條防火墻策略。

4 結束語

在詳細敘述Zmap的工作原理和模擬發動DoS攻擊過程的基礎上，對其特點進行分析，提出了過濾相同MAC地址數據包的方法，可通過設置防火墻命令來過濾相同MAC地址的數據包以進行修補和完善。

[1] 潘兆楠. Profibus與Modbus總線協議轉換的研究與應用[J].化工機械,2015,42(1):151～153.

[2] Heidemann J, Pradkin Y, Govindan R, et al.Census and Survey of the Visible Internet[C]. Proceedings of the 8th ACM SIGCOMM Conference on Internet Measurement.NewYork：IMC,2008：169～182.

[3] Black J, Halevi S, Krawczyk H, et al.UMAC:Fast and Secure Message Authentication[C].19th Annual International Cryptology Conference.California：CRYPTO，1999:216～233.

[4] 劉昭斌,劉文芝,魏俊穎.基于INTRANET的入侵防御系統模型的研究[J].化工自動化及儀表,2006,33(2):45～48.

[5] 李淵.防御拒絕服務攻擊的路徑標識技術研究[D].寧波:寧波大學,2009.

[6] 湯明亮.面向DoS攻擊的路由回溯技術研究[D].長沙:國防科學技術大學,2008.

[7] 殷勤.防御拒絕服務攻擊的網絡安全機制研究[D].上海:上海交通大學,2006.

[8] 趙魏雨,唐文秀.基于BP神經網絡聚類算法的P2P流量識別[J].化工自動化及儀表,2013,40(4):515～518.

AnalysisandStudyofDoSAttackFeasibilityBasedonZmap

LIU Shu-jian, WU Sheng

(FacultyofInformationEngineeringandAutomation,KunmingUniversityofScienceandTechnology,Kunming650504,China)

DoS attack initiated by Zmap was simulated; and making use of Wireshark capture packet to analyze this attack was analyzed and this attack’s features were summarize and a strategy of establishing a firewall to filter fake packets was proposed so as to avoid this attack.

Zmap, DoS, scan, Wireshark, network security

2015-11-13(修改稿)

國家自然科學基金項目(51467007)

TP393.08

A

1000-3932(2016)07-0725-04