基于SOAP消息的过度加密攻击与预防检测

VIP免费

3.0 牛悦 2024-11-19 4 4 777.12KB 58 页 15积分

侵权投诉

摘要

Web服务(Web Services)技术以其低耦合度、跨平台和语言无关的优点在各种服

务集成中得到广泛应用，其安全问题也日益得到关注。

DoS攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻

击方式。并且随着DoS攻击手段不断出现各种各样的变形，Web服务出现后，针对

Web服务的XML-DoS攻击不断被提出。DoS攻击已经成为影响web 服务开发和可

用性的一个重要因素。

Web服务使用SOAP协议作为数据传输协议，而SOAP协议本身并不提供任何的

安全保证。目前,WS-Security标准只提供了信息完整性、机密性和身份认证、授权

等功能。WS-Security不仅没有提供针对SOAP/XML消息的DOS攻击防范机制，而

且WS-Security本身又为Web服务攻击提供了新的攻击点。

针对Web 服务的DoS攻击形式各种各样，目前还没有提出一个统一的方法来集

中防御XML-DoS攻击，因而，需要对各种XML-DoS攻击分而治之，具体问题具体

分析，并提出专门的检测防御方法。

本文对以下几个方面进行研究和讨论：

1)分析了Web服务安全现状，研究了现有的Web服务安全技术；分析了DoS(拒

绝服务)攻击的原理、手段及传统的应对策略，并针对Web Services的XML-DoS攻

击，概括分析了一些可能的攻击形式。

2)介绍了WSE3.0的策略框架，策略与断言的关系以及如何在实际中建立策略

断言，并将策略应用于服务器端和客户端。

3)系统研究并提出了两种过度加密攻击的场景；然后在.NET 平台下，分别使

用X.509 和UsernameToken 作为安全令牌，模拟实现了过度加密攻击；并且通过

分析过度加密攻击的特点提出了一种过度加密攻击的检测算法并实验验证了过度

加密攻击检测算法的可行性。

关键词：DoS 攻击 SOAP 消息过度加密攻击 Web 服务

ABSTRACT

Web services have been widely applied in various application integrations because

of its low coupling, cross-platform and language independency. Meanwhile, the

security problem of these application integrations has been engaged researcher’s

attention.

DoS attacks become common attacking methods since they are simple, easily

achieved and hard to prevent and trace. Various forms of DoS attacks have been put

forward, such as Oversize Payload, Coercive Parsing, SOAPAction Spoofing, XML

Injection, WSDL Scanning, Metadata Spoofing and Oversized Cryptography, etc..

SOAP protocol is used for web service data transmitting, and SOAP protocol does

not provide any security measures. At present, WS-Security as a security standard can

ensure integrity, confidentiality, identity authentication and authorization. But it does

not provide mechanism to protect service engine from XML-DoS attacks. Further more,

WS-Security standard itself becomes a new vulnerable attacking point.

As to various forms of DoS attacks, there has no way to protect web service from

XML-DoS attacks. Therefore, it is necessary to divide and rule XML-DoS attacks and

put forward special detection methods case by case.

The thesis mainly focuses on following issues:

1) The Web service security is analyzed, and the present web service security

technology is studied. Then, the principle, method and prevention policy of DoS

attacks are analyzed. At last, the possible forms of Attacks are summarized.

2) The policy frame of WSE3.0 and relation of policy and assertion are introduced.

How to build policy assertion in .NET and how to apply to Web Service and client

are described.

3) Two oversized cryptography scenarios are analyzed; the attack features of

oversized cryptography SOAP message are studied; and an attack detecting

algorithm on oversized cryptography is provided. The attack detecting algorithm is

tested on web services platform of Microsoft .net WSE.

Key words: DoS Attack, SOAP Message, Oversized Cryptography,

Web Services

中文摘要

ABSTRACT

第一章绪论 ...................................................................................................................1

§ 1.1 课题的来源及意义 ...........................................................................................1

§ 1.2 国内外的研究现状 ...........................................................................................2

§ 1.3 本论文研究的主要内容 ...................................................................................4

§ 1.4 论文的组织结构 ...............................................................................................4

第二章 DoS 攻击与过度加密攻击 .............................................................................. 6

§ 2.1 Web 服务安全 ................................................................................................... 6

§ 2.1.1 Web 服务安全现状 .................................................................................. 6

§ 2.1.2 Web 服务安全技术 .................................................................................. 7

§ 2.2 DoS 攻击 ..........................................................................................................11

§ 2.2.1 传统的 DoS 攻击及其防范 ...................................................................11

§ 2.2.2 基于 SOAP 消息的 XML-DoS 攻击防范 ............................................ 14

§ 2.3XML 过度加密攻击 .........................................................................................15

第三章 WSE3.0 的策略断言及应用 ............................................................................ 16

§ 3.1 WSE3.0 的策略与策略断言 ........................................................................... 16

§ 3.1.1 创建客户端自定义安全策略断言 .........................................................17

§ 3.1.2 创建服务器端自定义安全策略断言 .....................................................18

§ 3.1.3 将策略断言添加到策略中 ....................................................................19

§ 3.2 应用安全策略 .................................................................................................19

§ 3.2.1 将策略应用于服务端 ............................................................................19

§ 3.2.2 将策略应用于客户端 ............................................................................20

§ 3.3 WSE3.0 证书与令牌的管理配置 ................................................................... 21

§ 3.3.1 X.509 证书方式 ......................................................................................21

§ 3.3.2 用户名令牌方式 ..................................................................................23

第四章 SOAP Body 过度加密攻击预防检测的设计与实现 ....................................25

§ 4.1 对Body 过度加密的攻击场景 .....................................................................25

§ 4.2 实验准备 ..........................................................................................................26

§ 4.3 用X.509 证书实现对 Body 过度加密过程 ................................................... 27

§ 4.3.1 客户端过度加密攻击的实现 ................................................................27

§ 4.3.2 配置客户端策略 ....................................................................................28

§ 4.3.3 SOAP 消息过度加密分析 ..................................................................... 29

§ 4.3.4 创建服务端检测算法 ............................................................................31

§ 4.3.5 配置服务端策略 ....................................................................................32

§ 4.3.6 实验结果及分析 ....................................................................................33

§ 4.4 用UsernameToken 实现对 Body 过度加密过程 ...........................................34

§ 4.4.1 实现自定义的用户名令牌管理器 ........................................................34

§ 4.4.2 客户端过度加密攻击的实现 ................................................................34

§ 4.4.3 配置客户端策略 ....................................................................................35

§ 4.4.4 SOAP 消息过度加密分析 ..................................................................... 35

§ 4.4.5 创建服务端检测算法 ............................................................................37

§ 4.4.6 配置服务器端策略 ................................................................................37

§ 4.4.7 实验结果及分析 ....................................................................................37

第五章 SOAP Header 过度加密攻击预防检测的设计与实现 ................................... 39

§ 5.1 基于 Header 的过度加密攻击场景 ................................................................ 39

§ 5.2 实验准备 ..........................................................................................................40

§ 5.3 用X.509 证书实现对 Header 过度加密 ........................................................ 41

§ 5.3.1 客户端过度加密攻击的实现 ................................................................41

§ 5.3.2 配置客户端策略 ....................................................................................43

§ 5.3.3 SOAP 消息过度加密分析 ..................................................................... 43

§ 5.3.4 创建服务器端检测算法 ........................................................................45

§ 5.3.5 配置服务器端策略 ................................................................................45

§ 5.3.6 实验结果及分析 .....................................................................................45

§ 5.4 用UsernameToken 实现对 Header 过度加密 ................................................46

§ 5.4.1 实现自定义的用户名令牌管理器 .........................................................46

§ 5.4.2 客户端过度加密攻击的实现 ................................................................46

§ 5.4.3 配置客户端策略 ....................................................................................47

§ 5.4.4 SOAP 消息过度加密分析 ..................................................................... 47

§ 5.4.5 创建服务端检测算法 ............................................................................49

§ 5.4.6 配置服务端策略 ....................................................................................49

§ 5.4.7 实验结果及分析 ....................................................................................50

第六章总结与展望 .......................................................................................................51

§ 6.1 总结 .................................................................................................................51

§ 6.2 展望 .................................................................................................................52

第一章绪论

§ 1.1 课题的来源及意义

Web Services(Web服务)技术以及其低耦合度、跨平台和语言无关的优点在网络

和电子商务中得到广泛应用，其安全问题也日益得到关注。

Web Services使用SOAP

协议作为数据传输协议，而SOAP协议本身并不提供任何的安全保证。因此，IBM

和Microsoft 提出了WS-Security, WS-Security Policy, WS-Trust, WS-Secure

Conversation等标准，将安全性应用到SOAP消息本身，然而这些标准主要着重于

SOAP消息的完整性、机密性和用户的身份认证、授权等，并不能完全防范一些利

用SOAP消息来针对Web Services服务器和Web Services本身可用性的恶意网络攻

击如DoS攻击[1]。

DoS攻击是当今计算机安全中最重要的网络攻击方式之一。DoS 攻击

(Denial of Service，简称DOS)即拒绝服务攻击，是指攻击者通过消耗受害网络的带

宽，消耗受害主机的系统资源，发掘编程缺陷，提供虚假路由或DNS信息，使被

攻击目标不能正常工作[2]。

如今，一个公司、企业或政府部门往往会提供一些重要的网络服务，如物流

公司会在其网站上提供其物资需求、政府部门会通过网络下达一些机密文件等。

如果无法正常地提供某些至关重要的服务，会给企业造成重大损失。由于许多网

络应用系统的安全防范措施比较薄弱，DoS攻击的频度也随着计算机应用的普及而

变得越来越高，一些重要机构或部门被攻击的案例也不断被报道。当访问者在浏

览器的地址栏里键入某个网站的地址的时候，就是在向这个网站的服务器发送一

个浏览网页的请求。网站服务器只能同时处理有限数量的请求，因此如果一个攻

击者向服务器发出了超出其负荷量的请求，该服务器就不能再处理正常访问者的

请求，正常的访问者也无法进入这个网站。这就是DoS攻击[3]。实施DoS攻击的工

具易得易用，而且效果明显。仅在美国，每周的DoS攻击就超过4 000次，攻击每

年造成的损失达上千万美元[4]。一般的DoS攻击是指一台主机向目的主机发送攻击

分组(1:1)，它的威力对于带宽较宽的站点几乎没有影响;而分布式拒绝服务攻击

(Distributed Denial of Service，简称DDoS)同时发动分布于全球的几千台主机对目的

主机攻击(m:n ),即使对于带宽较宽的站点也会产生致命的效果。随着电子商业在电

子经济中扮演越来越重要的角色，随着信息战在军事领域应用的日益广泛，持续

基于 SOAP 消息的过度加密攻击与预防检测

的DoS攻击既可能使某些机构破产，也可能使我们在信息战中不战而败。2007年电

子犯罪调查中显示，在所有受访者当中。49％的受访者曾受到过DoS攻击(受攻击

率排名第五)[5]。据不完全统计，世界上每一秒钟就有两起DoS攻击发生。

DoS攻击

以其巨大的危害威胁着计算机系统安全。

事实上，传统的安全措施如包过滤、应用层网关及IDS等对消息包TCP、IP

和HTTP头进行检查可以防范传统的DoS攻击。但是随着DoS攻击手段不断出现各

种各样的变形，Web服务出现后，针对Web服务的XML-DoS攻击不断被提出，例

如过载攻击(Oversize Payload)、强制解析攻击(Coercive Parsing)及过度加密攻击

(Oversized Cryptography)等[6]。基于SOAP传输的特点，传统的安全措施并不能完全

适用于Web Services。

如今，数百万企业应用面临XML导致的DoS攻击。Codenomicon是协议分析模

糊工具Defensics的安全生产商，今年早些时候添加了对XML代码漏洞的测试方法。

其CEO Dave Chartier表示：“这样的应用程序是非常脆弱的，而这种应用软件的

数量可能有数以百万计。”Codenomicon发现XML解析器中的漏洞会很容易被用来

发起DoS攻击、破坏数据，甚至通过基于XML的内容传送恶意的有效载荷。

Codenomicon说，黑客可以通过诱骗用户打开特别制作的XML文件来利用该漏洞，

或者通过通过向处理XML内容的Web服务提交恶意请求来利用[7]。

针对Web 服务的DoS攻击形式各种各样，目前还没有提出一个统一的方法来

集中防御XML-DoS攻击，因而，需要对各种XML-DoS攻击分而治之，具体问题具

体分析，并提出专门的检测防御方法。

本文主要对过度加密攻击进行了研究，分析了其攻击特点。然后，根据过度

加密攻击的特点，提出了一种过度加密攻击的检测算法，并在.net 平台下，实验

验证了这种检测算法的可行性。从而预防了过度加密攻击的发生，提高了 Web 服

务的安全性。

§ 1.2 国内外的研究现状

针对Web服务的安全问题，W3C(World Wide Web Consortium，万维网联盟)、

OASIS(Organization for the Advancement of Structured Information Standards) 、

WS-I(Web Services Interaction Interoperability Organization) 、JCP(Java Community

Process)等组织致力于Web服务安全规范、路线和工具的研究。

2004 年4月19 日， OASIS 组织发布了 WS-Security 标准的 1.0 版本。 2006

年2月17 日，发布了 1.1 版本。Web 服务安全标准(Web Services Security，WSS)

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

15 积分 4人已下载

立即下载 VIP免费下载

摘要：

摘要Web服务(WebServices)技术以其低耦合度、跨平台和语言无关的优点在各种服务集成中得到广泛应用，其安全问题也日益得到关注。DoS攻击由于攻击简单、容易达到目的、难于防止和追查越来越成为常见的攻击方式。并且随着DoS攻击手段不断出现各种各样的变形，Web服务出现后，针对Web服务的XML-DoS攻击不断被提出。DoS攻击已经成为影响web服务开发和可用性的一个重要因素。Web服务使用SOAP协议作为数据传输协议，而SOAP协议本身并不提供任何的安全保证。目前,WS-Security标准只提供了信息完整性、机密性和身份认证、授权等功能。WS-Security不仅没有提供针对SOAP/...

展开>> 收起<<

基于SOAP消息的过度加密攻击与预防检测.pdf

共58页,预览6页

还剩页未读，继续阅读

基于SOAP消息的过度加密攻击与预防检测

相关推荐

开通VIP享超值会员特权

作者详情

相关内容

推荐作者

热门标签

举报选择: