孔令飛

中國聯(lián)合網(wǎng)絡(luò)通信有限公司河北省分公司 河北 050011

0 引言

針對業(yè)務(wù)系統(tǒng)的分布式拒絕服務(wù)(DDoS)攻擊是當(dāng)前最為常見的網(wǎng)絡(luò)威脅，同時，DDoS攻擊也是攻擊者當(dāng)前最為簡便易行、攻擊效率最高的一種破壞網(wǎng)絡(luò)安全手段。本文對網(wǎng)絡(luò)安全風(fēng)險控制的特點進行了歸納，對DDoS攻擊的技術(shù)原理進行了簡單梳理，對DDoS攻擊的防御體系進行了設(shè)計和簡要分析，探討了DDoS攻擊防御體系在未來的進一步發(fā)展方向。

1 DDoS攻擊的特點

1.1 DDoS攻擊及其特點

DDoS攻擊，是在傳統(tǒng)的拒絕服務(wù)攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。拒絕服務(wù)攻擊的方式有很多種，但是其核心思想都是利用合理的服務(wù)請求來占用過多的服務(wù)資源，從而使服務(wù)器(業(yè)務(wù))無法處理全部(或部分)合法用戶的指令，拒絕為全部(或部分)合法用戶提供服務(wù)。DDoS攻擊即分布式的拒絕服務(wù)攻擊，將拒絕服務(wù)攻擊的單一發(fā)起代理通過傀儡網(wǎng)絡(luò)，復(fù)制、聚集、分布在整個網(wǎng)絡(luò)環(huán)境中，形成地理上分布、空間上分散、控制上統(tǒng)一的攻擊平臺，以幾何級數(shù)的方式加強了單一拒絕服務(wù)攻擊的強度和破壞力。

網(wǎng)絡(luò)設(shè)備和傳統(tǒng)的防火墻、入侵檢測系統(tǒng)等安全措施，都不能有效的防御DDoS攻擊。

在一個典型的DDoS攻擊中，攻擊者首先必須依靠傀儡網(wǎng)絡(luò)籌集所需要的攻擊資源。之后，按照統(tǒng)一的策略調(diào)集這些資源對目標(biāo)系統(tǒng)發(fā)動攻擊。

圖1 一個典型的攻擊過程

圖1表示了一個典型的DDoS攻擊過程，包括以下步驟：

（1）探測并發(fā)現(xiàn)存在某種可被利用的漏洞的計算機，攻擊者以獲取這些計算機的系統(tǒng)控制權(quán)為目的，通過跳板或直接對這些計算機進行入侵。這些存在安全漏洞且被攻擊者控制的計算機，稱為傀儡主機。

（2）通過若干傀儡主機，攻擊者以釋放蠕蟲、安裝木馬或兩者相結(jié)合的方式，重復(fù)進行上述(1)的行動，直到獲取到理想數(shù)量的被控計算機。在若干傀儡主機上安裝控制程序(稱為 Handler)，在其他傀儡主機上安裝攻擊代理程序(稱為Agent)，形成受攻擊者控制的傀儡網(wǎng)絡(luò)。

（3）攻擊者利用傀儡網(wǎng)絡(luò)發(fā)動攻擊。

1.2 DDoS攻擊技術(shù)原理和分類

依據(jù)DDoS攻擊造成破壞的宏觀特征，可以分為服務(wù)器計算資源耗盡型(稱為“I型”)和網(wǎng)絡(luò)資源耗盡型(稱為“II型”)兩類。I型攻擊的原理主要是利用被攻擊目標(biāo)操作系統(tǒng)的漏洞或應(yīng)用程序的缺陷和漏洞，依靠發(fā)送符合協(xié)議但邏輯錯誤的數(shù)據(jù)包(稱為語義攻擊，Semantic)，導(dǎo)致目標(biāo)系統(tǒng)在處理這種數(shù)據(jù)包時發(fā)生系統(tǒng)錯誤而導(dǎo)致計算資源耗盡，進而導(dǎo)致服務(wù)中斷。典型代表有Land、Ping of Death、Teardrops、SYN Flood、CC等等。

Ⅱ型攻擊的原理是通過正常的、突發(fā)的、大量的數(shù)據(jù)包(稱為暴力攻擊，Brute)訪問被攻擊目標(biāo)，導(dǎo)致目標(biāo)所在網(wǎng)絡(luò)帶寬被急劇消耗，來實現(xiàn)阻斷目標(biāo)服務(wù)的目的。典型代表有Smurf、Fraggle等等。

對于攻擊者而言，無論使用Ⅰ型還是Ⅱ型攻擊，其目的都是要將目標(biāo)正常的服務(wù)阻斷，因此，將Ⅰ型和II型混合使用已經(jīng)成為趨勢。

1.3 分布式反射 DDoS攻擊(DRDoS)和低速率DDoS攻擊(LDoS/PDoS)

在DDoS攻擊的基礎(chǔ)上，除了利用傀儡網(wǎng)絡(luò)之外，還可以借用網(wǎng)絡(luò)中 ISP的合法網(wǎng)絡(luò)設(shè)備(反射器，Reflectors)“反射”攻擊流量，形成分布式反射DDoS攻擊。攻擊時，傀儡網(wǎng)絡(luò)中的代理，首先將攻擊目標(biāo)的IP地址作為源地址，將反射器的 IP地址作為目的地址構(gòu)造攻擊數(shù)據(jù)包(例如一個ICMP請求)，然后將這種偽造的數(shù)據(jù)包發(fā)送給反射器，從而由反射器完成了攻擊反射動作，大量的響應(yīng)請求數(shù)據(jù)包將耗盡目標(biāo)網(wǎng)絡(luò)的資源。

LDoS攻擊是利用TCP/IP協(xié)議中的超時重傳(RTO)機制的漏洞，以正常TCP的RTO為周期，在瞬間發(fā)送大量報文而產(chǎn)生擁塞，迫使網(wǎng)絡(luò)發(fā)出擁塞信號(丟包，對端重傳的ACK)，使得源端的TCP擁塞控制機制啟動，自適應(yīng)的調(diào)整發(fā)送窗口尺寸，以嘗試恢復(fù)到穩(wěn)定狀態(tài)。周期性的進行攻擊，就會造成發(fā)送窗口縮小到一個非常小的值，將極大的降低TCP的吞吐量。

1.4 次級DDoS攻擊(DDoS L2)

DDoS攻擊在遇到DDoS防御機制的對抗后，攻擊者也許會采用次級攻擊的模式。

（1）使用假冒源IP地址方式的DDoS攻擊手段發(fā)動攻擊，激活被攻擊目標(biāo)的防御機制，使其屏蔽掉所有來源于攻擊地址的數(shù)據(jù)包，從而客觀上使得受攻擊目標(biāo)自行脫離互聯(lián)網(wǎng)，達到使其拒絕服務(wù)的目的。此時，受攻擊目標(biāo)的(業(yè)務(wù))系統(tǒng)資源并沒有耗盡。例如，使得合法用戶被列入防御機制的黑名單，從而阻斷正常的服務(wù)等等。

（2）對與受攻擊目標(biāo)系統(tǒng)業(yè)務(wù)緊密相連的第三方系統(tǒng)(例如對某個公共域名服務(wù)器)發(fā)動DDoS攻擊，使第三方系統(tǒng)拒絕服務(wù)，從而使受攻擊目標(biāo)系統(tǒng)受到連鎖反應(yīng)影響而拒絕服務(wù)。

2 DDoS攻擊防御體系設(shè)計

從對抗的角度來說，針對DDoS攻擊應(yīng)該采取的對策包括檢測、防御和追蹤三個主要方面。以安全風(fēng)險控制的角度來說，只有防御這個環(huán)節(jié)是目標(biāo)明確、范圍可控的環(huán)節(jié)。DDoS攻擊發(fā)動者為了獲得理想的攻擊效果和更好的隱蔽自己，將會更多的選擇傀儡網(wǎng)絡(luò)作為其發(fā)動攻擊的技術(shù)手段。因此，在預(yù)期傀儡網(wǎng)絡(luò)將會被更加廣泛應(yīng)用的威脅環(huán)境中，防御就成了最優(yōu)先的選擇。DDoS攻擊防御體系(Anti-DDoS System, ADS)就是為了實現(xiàn)防御的目的而建立的技術(shù)體系。

針對DDoS攻擊的過程和技術(shù)特點，防御體系需要有針對性的兼顧3個環(huán)節(jié)：DDoS攻擊來源端(稱為“遠端”)防御、DDoS攻擊傳輸環(huán)境(稱為“路徑”)防御和DDoS攻擊受害者端(稱為“近端”)防御。防御的方法主要有主動防御和被動防御兩種。主動防御是指基于追蹤技術(shù)，識別攻擊源后限制或者破壞攻擊源的網(wǎng)絡(luò)接入以達到防御的目的。被動防御是指利用基于流量監(jiān)控和模式檢測的技術(shù)，識別攻擊流量后對攻擊流量進行限速或者丟棄以達到防御的目的。

2.1 設(shè)計要點

（1）只保護值得保護的目標(biāo)且只保護能夠保護的目標(biāo)

以風(fēng)險控制的方法來看，任何防御措施都是一種成本和效果動態(tài)平衡的過程。安全只能是相對安全，不存在絕對的安全。因此，只能以最佳的方式方法保護值得保護的目標(biāo)(比如，關(guān)鍵的業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)等)，使得安全工作的費效比最大化。另外，ADS的設(shè)計不應(yīng)以“預(yù)防攻擊”為目標(biāo)。

只針對攻擊的“近端”和“路徑”進行防御并且只以削弱攻擊強度為目的方法要比針對攻擊的全過程(尤其是防御方幾乎不可控的“遠端”)進行防御并且以消除全部攻擊為目的的方法的整體費效比要高。例如，用目標(biāo)出口帶寬的20%為限度設(shè)計防御能力，就可以達到比較理想的防御效果。

（2）常備、快速響應(yīng)、協(xié)同防御

防御體系應(yīng)該是一種選擇性介入手段，應(yīng)當(dāng)在受保護目標(biāo)需要的時候快速接管、控制和恢復(fù)目標(biāo)的工作環(huán)境，可以在攻擊開始后通過策略激活防御體系。防御措施自身應(yīng)該以某種受控方式，協(xié)調(diào)一致的進行工作。

2.2 體系模型

2.2.1 粗略模型

防御體系的工作流程經(jīng)歷“感知、引流、抑制、回送”四個主要步驟。如圖2所示。

圖2 ADS工作流程示意

步驟一，感知攻擊。在目前的網(wǎng)絡(luò)中，攻擊隨時有可能發(fā)生，因此采取合理的技術(shù)手段正確感知到攻擊，是進行攻擊防御的第一步。感知攻擊的技術(shù)手段主要有三種，一是通過探針方式，在客戶端(“近端”)進行感知；二是通過入侵檢測系統(tǒng)陣列(IDS-Array)，在中、小帶寬鏈路(“路徑”)上進行感知；三是通過NetFlow技術(shù)，在大、超大帶寬鏈路(“路徑”)上進行感知。三種技術(shù)中，使用前兩種的精確度高，但是受帶寬限制，感知的范圍較小或受限。使用最后一種技術(shù)感知攻擊過程中受限范圍小或幾乎不受限，但是感知精確度較前兩種低。

步驟二，引流?？梢圆捎肂GP Announce(RFC)的方式，把需要保護的目標(biāo)IP地址通過IBGP廣播的方式廣播給相鄰的路由器(這個路由器一般是最靠近攻擊源的出口路由器)從而把含有攻擊的網(wǎng)絡(luò)流量送入ADS。

步驟三，抑制攻擊流量。ADS將對所有流量進行甄別，把符合攻擊特征的流量丟棄。采用的技術(shù)手段主要有五種：一是過濾，阻斷非必要的網(wǎng)絡(luò)流量到達受保護目標(biāo)并進行動態(tài)調(diào)整。二是反欺騙，對源IP地址進行驗證，去除偽造源IP地址的流量。三是基于統(tǒng)計識別異常流量并根據(jù)指定策略進行抑制。四是協(xié)議分析，去除不符合協(xié)議的流量。五是進行動態(tài)的速率限制。

步驟四，回送處理完成之后的流量?？梢圆捎玫幕厮偷姆绞接胁呗月酚?PBR)，MPLS VPN，GRE隧道等方式。

2.2.2 原型結(jié)構(gòu)

圖3 ADS原型結(jié)構(gòu)

（1）攻擊抑制器

主要完成引流、抑制攻擊、回送等功能。

（2）指令控制器

主要用于對攻擊感知器的狀態(tài)監(jiān)控和對攻擊抑制器的控制，提供 ADS人機交互界面和報表管理功能。其中，設(shè)備管理模塊用于對攻擊抑制器下達工作指令并監(jiān)控其工作狀態(tài)；數(shù)據(jù)管理模塊用于人機交互界面的管理與報表的生成；事件分析模塊用于對攻擊感知器的狀態(tài)監(jiān)控和數(shù)據(jù)分析，確定攻擊事件的各種特征等。

（3）攻擊感知器

是一種邏輯設(shè)備(或功能模塊)，以NetFlow分析器、探針和IDS-Array三種主要形式存在，用于感知網(wǎng)絡(luò)中是否存在攻擊流量。

2.2.3 優(yōu)勢和局限

由于ADS復(fù)用了IDS技術(shù)和NetFlow技術(shù)，可以有效地兼顧“近端”和“路徑”設(shè)防問題，因此對于I型和II型，尤其是混合型 DDoS攻擊都有著比較好的發(fā)現(xiàn)機制和適應(yīng)性，可以在網(wǎng)絡(luò)環(huán)境中進行大規(guī)模快速部署。

局限性體現(xiàn)在攻擊感知和抑制攻擊兩個環(huán)節(jié)，系統(tǒng)的整體工作效果取決于是否能準(zhǔn)確感知、及時感知和動態(tài)抑制，因此有必要加強感知和抑制兩個的環(huán)節(jié)的進一步研究。此外，系統(tǒng)完全為分布式結(jié)構(gòu)，其自身的控制過程較為復(fù)雜，如何提高其自身的控制效率也是下一步的研究重點。

3 DDoS攻擊防御體系的發(fā)展趨勢

協(xié)同防御和縱深防御將是 DDoS攻擊防御體系的發(fā)展方向。

（1）協(xié)同防御的理念和 PDRR模型的理念在本質(zhì)上相同，應(yīng)用風(fēng)險控制的方法和思路，將有效的提高防御效果和效率。

（2）DDoS攻擊的手段將更加多樣化和隱蔽，基于規(guī)則的防御將變得僵化和滯后，在實時保護的領(lǐng)域?qū)⒅鸩奖惶蕴?/p>

（3）P2P技術(shù)的發(fā)展為DDoS攻擊提供了強大的動力，傳統(tǒng)的防御體系的資源投入和消耗將變得不可接受，必須革新傳統(tǒng)的防御技術(shù)。

4 結(jié)束語

信息化社會的發(fā)展，在客觀上為網(wǎng)絡(luò)安全保障提出了更高要求。面向風(fēng)險控制的攻擊防御方法，能夠綜合平衡資源和效益的關(guān)系，將會越來越廣泛的應(yīng)用在攻擊防御的領(lǐng)域。這對于網(wǎng)絡(luò)對抗有著十分重大的意義，將成為網(wǎng)絡(luò)攻防研究的熱點和重點。

[1] 沈昌祥.信息安全保障建設(shè)中的幾個焦點問題分析.2008.

[2] 范紅,馮登國,吳亞非.信息安全風(fēng)險評估方法與應(yīng)用.2006.

[3] 吳志軍,岳猛.低速率拒絕服務(wù)LDoS攻擊性能的研究.通信學(xué).2008.

[4] http://www.cert.org/tech_tips/denial_of_service.html.

[5] http://staff.washington.edu/dittrich/misc/ddos/.

[6] 2008 CSI Computer Crime & Security Survey.

[7] 2008 The Global State of Information Security. PriceWaterhouse Coopers.