劉鐵武,向昌盛，時凌云

(湖南工程學院 計算機與通信學院，湘潭 411104)

?

基于IPv6的DDoS攻擊分析

劉鐵武,向昌盛，時凌云

(湖南工程學院 計算機與通信學院，湘潭 411104)

互聯(lián)網(wǎng)面臨的最嚴重的安全威脅之一是DDoS攻擊.隨著IPv6網(wǎng)絡的發(fā)展，研究其面臨的DDoS攻擊是不能回避的現(xiàn)實問題.在分析DDoS攻擊成因的基礎上，將其分為資源攻擊和漏洞攻擊.討論了DDoS攻擊的原理、DDoS攻擊的特征以及IPv6與DDoS的關聯(lián).分析了IPv6潛在的新的攻擊點,一方面，能為DDoS攻擊的檢測和控制提供基礎;另一方面能為合理利用DDoS攻擊提供幫助.

DDoS攻擊；IPv6；攻擊點；資源攻擊；漏洞攻擊

DDoS(distributed denial of service)攻擊[1]是指攻擊者通過傀儡主機，消耗攻擊目標的計算資源或?qū)Ρ还粽呦到y(tǒng)進行破壞，阻止目標為用戶提供合法的服務.Web服務器和DNS服務器成為了最常見的攻擊目標.計算資源是指CPU、內(nèi)存、網(wǎng)絡帶寬等.

根據(jù)CERT統(tǒng)計[2]，DDoS攻擊正以每年50%的速度增長.統(tǒng)計資料表明，DDoS攻擊是最主要的、最常見的網(wǎng)絡攻擊手段.Microsoft、SCO、Amazon、eBay、Yahoo等知名網(wǎng)站都曾受到其攻擊，致使服務中斷數(shù)小時，損失超過數(shù)百萬美元.DDoS攻擊不但可以針對網(wǎng)絡主機，而且可對路由器等網(wǎng)絡基礎設施進行攻擊，可以使攻擊目標鄰近區(qū)域通信流量過載，從而使網(wǎng)絡性能下降.

IPv6協(xié)議的基本框架已經(jīng)逐步成熟.由于地址短缺等原因，日本和韓國等亞洲國家在IPv6的商務和業(yè)務開展方面處于領先地位，作為IP的發(fā)源地，美國在地址和商業(yè)網(wǎng)絡占據(jù)先天優(yōu)勢，不愿花費大量成本構建IPv6的應用網(wǎng)絡，主要以實驗和研究為主.但在技術方面處于世界領先地位.IETF的6bone已擴展到全球54個國家和地區(qū)，這標志著IPv6必將在全球范圍內(nèi)得到部署和應用[3-4].

DDoS攻擊的研究是網(wǎng)絡技術的熱點之一[5]，當前的主要研究成果是基于IPv4，側重于DDoS攻擊的檢測與控制，它們局限于特定的應用環(huán)境.而IPv6網(wǎng)發(fā)展時間較短，相應的研究成果不多.

通過分析，我們知道，基于IPv4的某些DDoS攻擊對于IPv6仍然有效，并且IPv6為DDoS攻擊提供了新的途徑.

DDoS攻擊猶如”過街老鼠”.其實，我們還應看到其積極的一面，讓它為我們服務.比如應用于軍事上，對敵方網(wǎng)絡進行攻擊.1991年的海灣戰(zhàn)爭就是一個范例[4].

由此可見，本文的研究工作對于DDoS的控制和合理利用，具有理論價值和現(xiàn)實意義.

本文第1節(jié)介紹了DDoS產(chǎn)生和發(fā)展的背景；第2節(jié)基于協(xié)議結構討論了IPv6與DDoS的關聯(lián)，并由此對攻擊分類，分析了攻擊的特征和原理；第3節(jié)分析了IPv6潛在的攻擊點；第4節(jié)是研究工作的結論.

1　DDoS攻擊的產(chǎn)生和發(fā)展

多種因素推動了DDoS攻擊的產(chǎn)生和發(fā)展.

①漏洞.大量的操作系統(tǒng)和協(xié)議漏洞使得攻擊者組織和控制大量的僵尸主機，構建大規(guī)模的僵尸網(wǎng)絡成為可能.互聯(lián)網(wǎng)設計之初，主要關注包的快速轉(zhuǎn)發(fā)，沒有重視其安全性.

②網(wǎng)絡規(guī)模的發(fā)展.網(wǎng)絡規(guī)模的迅速擴大，為大規(guī)模的僵尸網(wǎng)絡提供了可能.如MS08-067病毒形成的僵尸網(wǎng)絡主機高達1800萬[3].

③硬件的發(fā)展.隨著電子技術和網(wǎng)絡技術的發(fā)展，主機的處理能力不斷增強，網(wǎng)絡帶寬不斷提高，僵尸主機能以更高的效率進行攻擊.

④體系結構.將處理功能交結網(wǎng)絡邊緣部分，是當今網(wǎng)絡技術的趨勢.正是這種啞鈴結構，決定了骨干網(wǎng)絡不具備檢測和控制能力.

⑤利益驅(qū)動.商家之間競爭、國家利益沖突等.

此外，由于大量攻擊工具的出現(xiàn)，降低了攻擊的技術難度；還有的人為了炫耀技術等.

2　DDoS攻擊與IPv6

2.1協(xié)議結構分析

2.1.1IPv4的局限性

隨著網(wǎng)絡技術和網(wǎng)絡應用的高速發(fā)展，IP v4的缺陷正日益顯現(xiàn).與DDoS攻擊相關的有：

①32位地址結構中，因為所劃分的子網(wǎng)較小，攻擊主機能夠利用IP地址進行線性掃描，很容易地發(fā)現(xiàn)網(wǎng)絡中的活動主機.

②IP分組中，雖然定義了服務類型字段，由于歷史的原因，并沒得到廣泛的支持.這種“盡力而為”(best effort)的網(wǎng)絡，無法提供QoS保證，也無法區(qū)分服務的差異.

③IPSec僅作為其可選組件，IPv4本身并不對分組的來源進行檢查，也沒有加密措施，源地址欺騙和網(wǎng)絡竊聽成為了可能.

2.1.2IP v6的改進

比較而言，面對DDoS攻擊，IP v6有了很多有益的改進.

①IPSec作為IP v6的必備組件，提供了數(shù)據(jù)完整性檢查、數(shù)據(jù)加密、訪問控制、數(shù)據(jù)源的身份認證、抗重播攻擊等安全特性.這種主動防御機制能有效防御諸如源地址欺騙、竊取主機敏感信息和機密信息的攻擊，具有更高的安全性.

②巨大的地址空間中，其地址結構引入了本地網(wǎng)絡和本地子網(wǎng)的概念，限制使用NAT，允許網(wǎng)絡節(jié)點使用全球唯一的IP地址進行通信. 這種可會聚的(aggregateable)、層次化的地址結構能有效抵御網(wǎng)絡掃描，使病毒傳播變得困難.

③基于IPv6的DNS系統(tǒng)，以PKI為基礎，能有效抵御身份偽裝和信息竊取.如果能采用DNS Security Extensions 協(xié)議，能進一步增強新的針對DNS的攻擊的防護能力.

④ICMPv6不響應組播和廣播地址，如能在網(wǎng)絡邊緣設計過濾規(guī)則，就能阻止攻擊者的數(shù)據(jù)包向廣播網(wǎng)段擴散.

⑤IP v6不允許分組長度小于1280字節(jié)(最后一個分組例外)，對于這樣的包直接丟棄而不轉(zhuǎn)發(fā)，這能防止一部分碎片攻擊.

2.2分類

從研究的角度出發(fā)，有多種關于DDoS攻擊的分類方法.依據(jù)網(wǎng)絡體系結構，文獻[1]劃分為網(wǎng)絡層攻擊和應用層攻擊；根據(jù)包的地址和攻擊速率，文獻[5]局限于網(wǎng)絡層DDoS攻擊進行了詳細分類；本文依據(jù)DDoS的攻擊點，將其分為資源攻擊和漏洞攻擊.

2.2.1資源攻擊

它以消耗網(wǎng)絡帶寬，主機的CPU、內(nèi)存等資源為目的.

針對帶寬的flood攻擊是最常見的，資料顯示，它占DDoS攻擊的90%以上[2].資源攻擊有TCP/SYN flood, UDP flood, ICMP/ping flood,ICMP/Smurf flood和它們的任意組合.其特征是大量看似合法的TCP、UDP、ICMP的數(shù)據(jù)包被傳送到目的地.SYN flood利用了TCP連接建立的3次握手過程,向目標發(fā)送大量握手請求的SYN包,使服務器無法處理正常的握手請求; UDP 是面向無連接的, UDP flood 可以隨意地發(fā)送大量UDP包到某個端口,如果是不正常的應用,服務器要回送ICMP請求,由此消耗服務器處理資源,并且很容易阻塞上行鏈路的帶寬; ping是通過發(fā)送ICMP報文探尋網(wǎng)絡主機是否存在的命令，某些操作系統(tǒng)，不能處理超過65535字節(jié)的Ping包，導致Ping to Death.隨著操作系統(tǒng)、網(wǎng)絡帶寬和計算機硬件的升級，單個Ping包攻擊效果不佳，而結合TCP/IP協(xié)議的ping flood具有很大的攻擊力；Smurf采用反射技術，向多個目標發(fā)送ICMP請求，源地址改為攻擊目標的地址，于是大量的ICMP回送到攻擊目標.

DNS攻擊利用了DNS請求基于UDP，不需要認證的特點，向服務器發(fā)送大量的、隨意的域名解析請求，占用處理機資源.SQL也是常見的攻擊目標，如果沒有正確的索引，對大型表的排序等，最壞情形下將引發(fā)O(n2)的操作，以此消耗CPU資源，增大響應時間.

2.2.2漏洞攻擊

指利用網(wǎng)絡協(xié)議、操作系統(tǒng)、應用程序的漏洞和bug而實施的攻擊.如碎片攻擊通過對重組的分片的偏移量進行精心構造，使其相互重疊，系統(tǒng)因不知如何處理這樣的分片而死機；緩沖區(qū)溢出攻擊則利用了程序和編譯器不對緩沖區(qū)進行嚴格的邊界檢查的弱點，寫入超過緩沖區(qū)容量的數(shù)據(jù)，導致程序運行失敗，系統(tǒng)死機、重啟等.

值得一提的是，許多攻擊既利用了漏洞，又消耗了資源，如TCP/SYN flood利用了3次握手的過程，考慮其以消耗資源為目標，本文將其歸結為資源攻擊.

2.3攻擊的特征和原理

2.3.1攻擊的特征

資源攻擊是當前網(wǎng)絡面臨的最主要的DDoS攻擊，因為互聯(lián)網(wǎng)主要承載TCP業(yè)務，其中又以TCP/SYN flood最為常見.分析DDoS攻擊，我們可以知道其特征如下[3-5].

①攻擊流量的目的地址相對集中，并且不支持擁塞控制.正常流量的發(fā)送進程應該會考慮擁塞控制的,當發(fā)現(xiàn)網(wǎng)絡通信質(zhì)量很差時, 發(fā)送進程應該減少發(fā)送速率.擁塞控制可以由傳輸層實現(xiàn),如TCP本身的擁塞控制機制; 而UDP協(xié)議因其本身不具有擁塞控制機制，則只能由應用層來實現(xiàn).但是，DDoS攻擊流量不會考慮網(wǎng)絡擁塞,當網(wǎng)絡擁塞仍然大量發(fā)送數(shù)據(jù)包.

② 集中于同一目標主機的多個端口，或者是同一目標主機的同一端口.一種是利用隨機端口同時向目標機數(shù)千端口發(fā)送數(shù)據(jù)包;另一種是用固定端口同時向目標機單一端口發(fā)送大量數(shù)據(jù)包.

③ TCP Flood/ICMP Flood攻擊時,大量的數(shù)據(jù)包標志位相同.數(shù)據(jù)包可以是TCP的SYN包、RST包和ICMP的 mask包、time包、echo包等.

2.3.2攻擊原理

每個DDoS攻擊服務器是一臺已被入侵并運行了特定程序的網(wǎng)絡主機[2-4]，能夠控制多個攻擊代理(attack agent)，各個攻擊代理接受服務器的指令向目標發(fā)送攻擊包.其算法步驟為：

①探測掃描大量主機，尋找可入侵的目標.

②入侵有安全漏洞的主機，植入攻擊攻擊程序，以取得控制權.

③利用傀儡主機繼續(xù)掃描、入侵，建立大規(guī)模的傀儡主機群.

④對目標發(fā)動攻擊.

圖1　攻擊的基本模型

3　IPv6的新的攻擊點

綜上分析，由于IPv6的新特性，某些面向IPv4的DDoS攻擊將失效，但是并不能克服所有的DDoS攻擊.一方面，正如IPv6集成業(yè)務企業(yè)Nephos6的JohnSpence所說，“大多數(shù)認為IPv6比IPv4更加安全的想法，都源于RFC強制要求IPv6堆棧中包含IPsec支持；但無疑是一種太過簡單的看法.”并且，在最近發(fā)布的RFC6434中，已經(jīng)取消了這一強制要求.也就是說，我們根本無法確定IPsec是否將作用于某些IPv6的軟件和硬件上.另一方面，Ipsec僅僅是IP層協(xié)議組件，無力解決其它層次的安全問題，例如，來自應用層的攻擊.除此之外，網(wǎng)絡、協(xié)議和OS存在著各種各樣的漏洞，一些面向IPv4的DDoS攻擊對于IPv6仍然有效，并且IPv6可能為DDoS提供新的攻擊點.

3.1IPv6與 IPv4共存

IPv6正在快速發(fā)展，但是，由于部署成本等原因，IPv4還將在今后較長一段時間存在，在它完全退出之前，互聯(lián)網(wǎng)是IPv6與 IPv4共存的局面.由此，將會產(chǎn)生一些安全問題.

①從IPv4向IPv6轉(zhuǎn)換.它們并不是“逐位”(bit on the wire)兼容，IPv6本身的雙協(xié)議堆棧努力提供自動轉(zhuǎn)換機制[4].當轉(zhuǎn)換流通過網(wǎng)絡時，必然要進行事務處理(transaction):拆分每一個IPv4分組，修改分組的內(nèi)容，按IPv6的要求重新封裝.其中的每次操作，都給執(zhí)行不力者提供了機會，可能產(chǎn)生或者觸發(fā)安全漏洞.

②6RD和6to4的使用.6RD和6to4都不需要專門的隧道，就能實現(xiàn)IPv6網(wǎng)絡與 IPv4網(wǎng)絡之間的數(shù)據(jù)交換[2，3].這為用戶帶來方便的同時，也可能給ISP帶來威脅.一些面向IPv4的攻擊直接威脅IPv6網(wǎng)絡， ISP反而可能成為攻擊的源頭.

③IPv4與IPv6的互動.為了促進IPv6的部署，大多數(shù)應用程序在執(zhí)行DNS查表等操作時，傾向于優(yōu)先采用IPv6選項，這就可能使流量翻倍.加重路由器和網(wǎng)絡的負擔.

④隧道操作.在不同網(wǎng)絡間進行隧道操作，即使是IPSec也可能產(chǎn)生問題.一般地，隧道操作等同于建立網(wǎng)絡-網(wǎng)絡、網(wǎng)絡-主機、主機-主機之間的VPN.原來的分組被封裝在一個新的分組中.與超出發(fā)送方控制的網(wǎng)絡建立VPN時，可能暴露數(shù)據(jù)，被攻擊者利用.另外，IPSec的安全保護需要用到附加協(xié)議(如IKE)，進行密鑰協(xié)商和管理.增加了復雜性和網(wǎng)絡設備的負擔.

3.2IPv6自身

3.2.1協(xié)議框架

網(wǎng)絡協(xié)議的主要任務是數(shù)據(jù)通信，而不是抵御DDoS攻擊.任何協(xié)議都是有漏洞的,IPv6也不例外.

①大網(wǎng)段.理論上,IPv6的一個網(wǎng)段可容納264個主機.掃描一個IPv4的子網(wǎng)只需幾秒,而掃描一個IPv6子網(wǎng)需要數(shù)年.這提高了攻擊者掃描漏洞的難度,但同時也給IP管理帶來了困難.為了管理,只能縮小掃描區(qū)間.可能的做法是,拒絕分配一部分地址.但是這樣,很多用戶會被大型網(wǎng)絡地址轉(zhuǎn)換協(xié)議(NAT-PT)設備隱藏在固定的地址集后面,給攻擊者提供了機會.特別是一些知名的IP地址和命名空間,將面臨巨大威脅.

②加密機制.基于PKI(Public Key Infrastructure )的加密和認證機制的安全性依賴于密鑰的長度.密鑰越長，其計算量越大，這為攻擊者提供了新的攻擊點.當前，網(wǎng)絡的帶寬增長速度遠高于CPU主頻的增長速度.如果攻擊者向目標發(fā)送大量隨意填充的數(shù)據(jù)包，被攻擊者就會因為耗費大量CPU時間而無法響應正常的服務.

3.2.2協(xié)議機制

IPv6的協(xié)議機制，為攻擊者提供了機會.

①組發(fā)地址.如FF01::1是所有DHCP服務器的地址，也就是說，以該地址為目標地址的分組，所有DHCP服務器都可能收到.利用這點，容易對DHCP服務器進行攻擊，使其無法提供服務.

②鄰居發(fā)現(xiàn)(neighbor discovery).在IPv6中，鄰居發(fā)現(xiàn)使用了5種不同類型的ICMP6.有多種用途.如在鏈接中可包含確定鄰居的鏈路層地址，清空已失效的緩存值，還可發(fā)現(xiàn)那些自已想要轉(zhuǎn)發(fā)分組的鄰居.但同時，它也給攻擊者提供了機會.鄰居發(fā)現(xiàn)攻擊將取代IPv4中的同類攻擊，例如ARP Spoofing攻擊.

③分片攻擊點.攻擊者利用IPv6報文分片正常過程中的一些漏洞，繞過防火墻實施攻擊.包過濾設備僅通過判斷第一個分片的目的端口號來決定是否允許通過.于是，攻擊者將第一個分片偽裝成合法的，包含惡意數(shù)據(jù)的后續(xù)分片就可以穿透防火墻，到達網(wǎng)絡主機內(nèi)部實施攻擊.

3.2.3包頭漏洞

IPv6分組特有的頭部，給攻擊者提供了機會.

①大型擴展頭.在IPv6中，取消了IPv4的選項功能，卻附加了一組目標選項、逐跳(hop-by-hop)選項、身份認證等的擴展頭，它與40字節(jié)的主頭和有效負載一起構成Pv6的分組.大量大型的擴展頭的流量會淹沒防火墻和安全網(wǎng)關，也會降低路由器轉(zhuǎn)發(fā)能力.這給DDoS攻擊提供了途徑[5].

②Type 0路由頭. Type 0路由頭功能,可以使某些數(shù)據(jù)解釋為源路由內(nèi)容丟失,利用這一點,可以制造出路由循環(huán)的DDoS攻擊.如圖1，一個發(fā)給節(jié)點A的數(shù)據(jù)包，被標記為經(jīng)過再返回A.在IPv4中,最多包含9個路由節(jié)點,但在IPv6中可以達到88個.這明顯增加了攻擊的可能性.一份Cisco的報告顯示[3],這一漏洞可能導致內(nèi)存崩潰,并有可能導致遠程代碼的執(zhí)行.如果遠程代碼執(zhí)行失敗,就可能對路由器造成DDoS攻擊.

圖2　分組的路由循環(huán)

3.2.4OS漏洞

在IPv4中，大量的OS漏洞和bug已經(jīng)被攻擊者利用.面對IPv6，有些操作系統(tǒng)暴露出一些新的漏洞.Linux和Mac限制所監(jiān)聽的路由器數(shù)目為15，而windows XP、2003、vista等最流行的OS卻沒有這一限制[4].著名的漏洞工具flood-router6正是利用了這點，成為了攻擊者首選的工具包.在短時間內(nèi)向子網(wǎng)發(fā)送大量數(shù)據(jù)包，只需幾秒，一臺健全的windows設備就變成了磚頭.

Naptha漏洞[5]則是利用OS內(nèi)核會在一定時間內(nèi)為TCP連接保存一條記錄，利用大量的連接來消耗主機的計算資源.

除了上述攻擊點外，另一個令人擔憂的事實是：許多基于IPv4的研究成果可能失效.以文獻[4]為例，它提出的 APA-ANTI-DDoS模型從異常流量、擁塞特性和協(xié)議分析3個方面著手，很好地解決了DDoS的檢測和防御.但是，其基本思想是通過Hash函數(shù)將232個IP地址映射到一個較小的空間來檢測DDoS攻擊，對于IPv6巨大的地址空間，它將無能為力.

4　結　論

不斷發(fā)展的網(wǎng)絡技術和計算機硬件技術、不斷增加的漏洞，為DDoS攻擊提供了客觀條件.當前，僵尸網(wǎng)絡的規(guī)模已達到千萬級，攻擊流量達幾十G.本文的研究結果表明， DDoS攻擊是以漏洞為切入點，以消耗目標的計算資源為目的.與IPv4相比，IPv6雖然避免一部分DDoS攻擊，但有些攻擊手段仍然有效.并且，IPv6本身潛伏著一系列新的攻擊點.

各種攻擊方法靈活組合形成新的變種、應用層攻擊等是DDoS攻擊發(fā)展新的趨勢.

以本文為基礎，我們將在后續(xù)的工作中研究DDoS攻擊的檢測和控制.

[1] Zhang YZ, Xiao J, Yun XC, Wang FY. DDoS Attacks Detection and Control Mechanisms[J]. Journal of Software, 2012，23(8)：2058-2072.

[2] Chen Y, Ku W, Sakai K, Decruze C. A novel DDoS Attack Defending Framework with Minimized Bilateral Damages[J]. In: Proc. of the 7th IEEE Conf. on Consumer Communications and Networking Conf. (CCNC). Piscataway, 2010：1-5.

[3] Mirkovic J, Reiher P. A Taxonomy of DDoS Attack and DDoS Defense Mechanisms[J]. ACM SIGCOMM Computer Communication Review, 2004,34(2):39-54.

[4] Sun ZX, Jiang JL, Jiao L. DDOS Attack Detecting and Defending Model. Journal of Software, 2007,18(9): 2245-2258.

[5] Kumar K, Joshi RC, Singh K. A Distributed Approach Using Entropy to Detect DDoS Attacks in ISP Domain[C]. In: Proc. of the Int’l Conf. on Signal Proceeding, Communications and Networking (ICSCN). Chennai, 2007：331-337.

DDoS Attacks Analysis Based on IPv6

LIU Tie-wu， XIANG Chang-sheng, SHI Ling-yun

(College of Computer and Communication, Hunan Institute of Engineering, Xiangtan 411104, China)

DDoS Attacks are one of the most serious security threats for the Internet. Along with the development of IPv6 network, studying DDoS attacks IPv6 faces has become an avoidable realistic problem. Based on the analysis of the cause of DDoS attacks, the paper divides DDoS Attacks into resource attacks and Vulnerability attacks. The paper discusses the principles of DDoS attacks, the characteristics of DDoS attacks and the association between IPv6 and DDoS. Analyzing potential new attack points, for one thing, provides the basis for DDoS attacks detection and control; for another, offers help for rational utilization of DDoS attacks.

DDoS Attacks; IPv6; Attack Points; Resource Attacks; Vulnerability Attacks

2016-02-28

湖南省自然科學基金項目(2016JJ2040)；湖南省大學生研究性學習和創(chuàng)新性實驗計劃項目(湘教通[2014]248).

劉鐵武(1966—)，男，副教授，研究方向：數(shù)據(jù)結構與算法.

TP393.4

A

1671-119X(2016)03-0037-05