[转载]IPv4头中的安全标记
信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])摘要
防火墙,包过滤,入侵检测系统等这些系统的一个重要问题是如何确定收到的包括有恶意代码,我们在IP4中包括一个安全位可以用作区别作用。
1. 介绍
防火墙,包过滤,入侵检测系统等这些系统的一个重要问题是如何确定收到的包括有恶意代码。解决这个问题我们可以在IP包头中加入一位,通常的包将这一位设备为0,而将用于攻击的包此设置为1。
2. 语法
在IP包头中最高位是唯一未用的位,因此我们就使用这一位。当前此位的定义如下:
0x0 如果此位的值为0,此包不是恶意的,接收方应该假定它是无害的。
0x1 如果此位是1,则此包是恶意的,应该进行相应的防护工作。
3. 设置此位(邪恶位 evil bit)
如果设置这一位就成了问题。攻击程序可以选择一个相应的API设置此位。当系统没有其它相应的机制时要提供这样的API,攻击程序将必须使用这个API发起攻击。多层的不安全的操作系统可以使用特定层使之用于攻击程序,此层发出的相应包必须包括使这一位设置的相应的API。但是系统也可以提供相应的函数用于清除这一位。如果一个包其本身就是有攻击性质的,必须将此位设置为1。如果这个攻击性质的包在中间路由器被分为相应的小包,而这些小包是无害的,此位必须清除,而在有攻击性质包被重要组合时必须将此位恢复。用于清除攻击的中间设备或系统必须负责将检查到的攻击包上的此位设置为1。我们必须假设:在防火墙内的主机不能拥有攻击包,因此防火墙内的主机发出的包不能设备此位。一些透明HTTP或电子邮件代理应该将它们发出的回复包中的此位设置为1。提醒其它主机是否有攻击的主机如果是用于研究目的的,此位设置为0,如果不是则应该设置为1。
4. 处理此位
防火墙必须将所有此位为1的包删除,并在MIB库中进行记录。入侵检测系统就有一个比较复杂的问题,因此无法确定此位是不是能够直接表示此包是无害的,因此要产生一个随机数,利用这个随机数来确定是不是要对此包进行记录。路由器不是安全设备,因此它们对这一位不必关心,它们的任务就是要高速传递包。因此处理有攻击性质的包是和操作系统相当的,因此这项工作必须结合操作系统进行。
5. 相关工作
虽然此文档描述的是IP4的相当机制,我们也可以扩展这一定义。对于IP6来说,我们可以将攻击定义为一跳到一跳的,这种包的目的是破坏整个网络,如DoS攻击;第二种是端到端的,这是用于攻击一台目标机的。在任何一种情况下,我们可以利用一个128位的力度表示位来表示此包的破坏力。
所有工作是不是有效关系依赖于如何有效地设置此位。如果不能正确地设备此位,防火墙也就无法工作了。
页:
[1]