張寶全+周楓+黃祖源

引言

隨著網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，信息安全問題也層出不窮。信息安全技術(shù)是整個信息技術(shù)的重中之重。信息安全就是一場攻擊方（黑客等）和防御方（網(wǎng)絡(luò)安全管理員等）之間的博弈。

在各種網(wǎng)絡(luò)攻擊中，以DDos攻擊危害性最大也最難防御。DoS（Denial of Service，拒絕服務(wù)）攻擊是一種攻擊者通過發(fā)送大量偽造請求消耗服務(wù)器資源或網(wǎng)絡(luò)帶寬從而導(dǎo)致服務(wù)器或網(wǎng)絡(luò)癱瘓的網(wǎng)絡(luò)攻擊手段Ⅲ。DoS一般是一對一的攻擊，破壞程度低，如果是多對一的攻擊，破壞程度就會很高，那么目標(biāo)主機(jī)就很容易癱瘓，這就是所謂的DDoS攻擊。DDoS是分布式拒絕服務(wù)（Distributed Denial of Ser.vice）攻擊的英文縮寫。顧名思義，黑客用網(wǎng)絡(luò)上的已被攻破和控制的電腦作為“傀儡”，然后用為數(shù)眾多的分布在不同地理位置的“傀儡”主機(jī)對目標(biāo)服務(wù)器發(fā)動如同洪水猛獸般的大規(guī)模密集式攻擊，使得目標(biāo)服務(wù)器系統(tǒng)資源或網(wǎng)絡(luò)帶寬被占用耗盡甚至癱瘓以致不能為真正用戶的正常請求提供服務(wù)。

近些年來大規(guī)模且破壞嚴(yán)重的DDoS攻擊層出不窮，盡管它是網(wǎng)絡(luò)空間中一種極其簡單粗暴的攻擊方式，但卻是讓世界各大網(wǎng)站管理員談虎色變的話題。僅2016全年就發(fā)生了這7起嚴(yán)重的DDoS攻擊事件：（1）暴雪DDoS攻擊；（2）珠寶店遭遇25000個攝像頭組成的僵尸網(wǎng)絡(luò)攻擊；（3）Anonymous組織發(fā)起的“Operation Oplcarus”攻擊；（4）精準(zhǔn)的NS1攻擊；（5）五家俄羅斯銀行遭遇DDoS攻擊；（6）Mirai僵尸網(wǎng)絡(luò)攻擊KrebsonSecurity；（7）美國大半個互聯(lián)網(wǎng)下線事件。

盡管DDoS攻擊具備了分布式的特定，攻擊強(qiáng)度也強(qiáng)大了很多，但是我們并非對此就束手無策和坐以待斃。目前應(yīng)對DDoS攻擊已有了很多方法，可以從不同的位置進(jìn)行防御，如表1所示。

本文提出了一種基于蜜罐技術(shù)的DDoS攻擊防御技術(shù)，有了如下改進(jìn)：（1）本技術(shù)部署在受害服務(wù)器端，不需要ISP的支持與配合，不依賴資源優(yōu)勢和更多額外設(shè)備的支持。（2）本技術(shù)通過蜜罐技術(shù)采集異常網(wǎng)絡(luò)流量來檢測被保護(hù)的服務(wù)器系統(tǒng)是否受到DDoS攻擊，不考慮源IP地址的真?zhèn)?。?）蜜罐系統(tǒng)對攻擊行為進(jìn)行記錄，遠(yuǎn)程存儲的日志記錄對攻擊行為的分析和防御措施的部署提供詳細(xì)的參考信息，甚至還可以對攻擊取證提供法律證據(jù)。（4）本技術(shù)采取判斷重定向機(jī)制，能夠識別、滲透和分析這種機(jī)制，并以一種自動的、受控制的方式處理訪問請求，對訪問行為進(jìn)行重定向，攻擊行為由蜜罐系統(tǒng)處理，正常用戶的訪問由真實服務(wù)器處理，保障了系統(tǒng)的可用性和可靠性。

1DDoS攻擊特點分析

通過對近年來大規(guī)模的破壞嚴(yán)重的DDoS攻擊細(xì)致的分析，可以得出DDoS攻擊有以下主要特點：

（1）攻擊規(guī)模強(qiáng)度大。由于黑客利用被攻陷的眾多傀儡主機(jī)或“僵尸網(wǎng)絡(luò)”同時對目標(biāo)服務(wù)器進(jìn)行攻擊，將匯聚形成巨大的攻擊洪流，短時間內(nèi)即可達(dá)到目標(biāo)服務(wù)器的處理容量上限，導(dǎo)致目標(biāo)服務(wù)器無法為真正用戶提供正常服務(wù)，即所謂的拒絕服務(wù)。“10·21美國網(wǎng)絡(luò)癱瘓事件”就是由于黑客對Dyn公司運(yùn)營的根域名服務(wù)器發(fā)動了DDoS攻擊，使得根域名服務(wù)器無法對正常網(wǎng)站提供DNS域名解析服務(wù)，從而導(dǎo)致全美Twitter、紐約時報等主要網(wǎng)站幾乎都中斷了服務(wù)。Dyn公司表示針對物聯(lián)網(wǎng)智能設(shè)備的被Mirai惡意程序感染的僵尸網(wǎng)絡(luò)可能就是發(fā)起該DDoS估計的罪魁禍?zhǔn)?，這是有組織有預(yù)謀的大規(guī)模網(wǎng)絡(luò)攻擊行為，來自千萬數(shù)量級的IP地址（tens of millions of IP addresses at the same time）參與了攻擊。圖1是Twitter網(wǎng)站狀態(tài)歷史記錄，大規(guī)模的DDoS攻擊最終使得網(wǎng)站癱瘓、無法訪問。

（2）攻擊影響范圍大。DDoS攻擊的目標(biāo)種類繁多，可以是各大門戶網(wǎng)站、政府政務(wù)網(wǎng)站、企事業(yè)單位網(wǎng)站或域名解析服務(wù)器?！?0·21美國網(wǎng)絡(luò)癱瘓事件”幾乎導(dǎo)致整個北美網(wǎng)絡(luò)癱瘓，如圖2紅色部分區(qū)域用戶表示他們無法訪問網(wǎng)站。

（3）攻擊源分布式。DDoS不同于DoS之處就是DoS是一對一的映射，而DDoS是多對一的映射，攻擊源可能位于網(wǎng)絡(luò)中的不同節(jié)點位置和不同的地理位置。特別是僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊，其僵尸主機(jī)遍布全球各地。攻擊者從多個攻擊源對目標(biāo)服務(wù)器發(fā)動攻擊。

（4）攻擊行為匿名。一般來說，攻擊者為了隱藏身份，通常會隨機(jī)偽造源地址，通常會控制一個大型的僵尸網(wǎng)絡(luò)向目標(biāo)服務(wù)器發(fā)動攻擊。

（5）反偵探技術(shù)強(qiáng)。攻擊者進(jìn)行攻擊行為后，一般會篡改或者刪除服務(wù)器日志記錄，讓防御者防不勝防。

2蜜罐技術(shù)分析

2.1蜜罐技術(shù)

網(wǎng)絡(luò)信息安全如此糟糕，究其根源就是攻擊者與防御者之間在進(jìn)行著一場不對稱的攻防博弈，攻擊者肆意而為，而防御者必須確保系統(tǒng)整體的安全性能，最為可怕的是防御者即使在被攻陷后還很難了解攻擊者的來源、攻擊方法和攻擊目標(biāo)。而蜜罐技術(shù)可以捕獲黑客的攻擊行為，并對深入分析和研究黑客攻擊行為提供了資料和證據(jù)。

蜜罐是英文Honeypot的意譯，蜜罐類似‘銹餌”或“陷阱”，好比一個情報收集系統(tǒng)，故意引誘攻擊者來攻擊。并對黑客攻擊行為進(jìn)行詳細(xì)的記錄，可以得知系統(tǒng)的漏洞和黑客的攻擊過程，竊聽黑客之間的聯(lián)系，收集黑客所用的攻擊工具和手段，以便進(jìn)行下一步對真實服務(wù)器的防御部署。蜜罐就是網(wǎng)絡(luò)管理員經(jīng)過精心設(shè)計的“黑匣子”，看似漏洞百出卻盡在掌握之中，主要目的就是收集攻擊者的入侵?jǐn)?shù)據(jù)，提取有價值的數(shù)據(jù)然后通過分析工具對這些數(shù)據(jù)解讀和分析最后得出結(jié)論用于下一步的安全防御。設(shè)計蜜罐的初衷就是讓黑客入侵，其價值就在于被探測、被攻擊和被威脅。網(wǎng)絡(luò)安全管理員可以對蜜罐采集的信息分析處理，然后打入黑客控制的僵尸網(wǎng)絡(luò)內(nèi)部，獲取重要的攻擊防御信息，切斷黑客的遠(yuǎn)程控制機(jī)制，最終把攻擊行為消滅于無形。endprint

蜜罐系統(tǒng)有這些功能：阻止、推測和記錄、響應(yīng)。

（1）阻止。蜜罐系統(tǒng)能夠有效的阻止多種攻擊。例如，能夠創(chuàng)建tarpit系統(tǒng)降低諸如蠕蟲發(fā)動的TcP/IP自動工具。蜜罐系統(tǒng)也可以設(shè)置欺騙系統(tǒng)給黑客造成假象，迷惑和阻止黑客的攻擊行為。

（2）探測和記錄。當(dāng)目標(biāo)服務(wù)器被攻擊時，蜜罐系統(tǒng)必須要探測出入侵行為，并盡可能詳盡的如實記錄攻擊行為，可以附帶報警機(jī)制。

（3）響應(yīng)。倘若攻擊行為發(fā)生，關(guān)鍵的一步就是收據(jù)證據(jù)——攻擊者何時何地干了何事。這是至關(guān)重要的，涉及到防御措施部署和法律取證問題，沒有證據(jù)，一切只是紙上談兵。蜜罐系統(tǒng)還需要判定攻擊者是否留下了后門或者修改了關(guān)鍵信息以及有沒有以蜜罐服務(wù)器為跳板滲透到網(wǎng)絡(luò)中。必要的時候可以將蜜罐服務(wù)器迅速關(guān)閉做分析，而不會影響正常的用戶訪問行為。

2.2蜜罐工作模塊和Honeyd軟件包

蜜罐要迷惑黑客并完成相應(yīng)任務(wù)絕非易事，必須要解決偽裝逼真、適度控制、信息采集記錄三大難題，這樣才不易被黑客識破并能完成任務(wù)?？偠灾酃尴到y(tǒng)包含這4個模塊：偽裝模塊、信息采集模塊、風(fēng)險控制模塊、數(shù)據(jù)分析模塊。

偽裝模塊：要使蜜罐以假亂真，黑客才會對其進(jìn)行攻擊，所以蜜罐要逼真的偽裝，盡可能的像真實服務(wù)器。最好的偽裝方法是將修改過敏感信息的工作系統(tǒng)的數(shù)據(jù)直接拷貝到蜜罐服務(wù)器上，對關(guān)鍵的信息如用戶口令等用虛假信息替換。

信息采集模塊：蜜罐系統(tǒng)的關(guān)鍵作用就是信息采集記錄和分析，所以要盡可能詳盡的采集黑客人侵攻擊行為，完整的記錄黑客攻擊的整個過程。特別是蜜罐服務(wù)器與攻擊源主機(jī)進(jìn)行信息交互時，可以用Sniffer抓包軟件把進(jìn)出蜜罐系統(tǒng)的每一個數(shù)據(jù)包記錄下來，這些信息對后續(xù)的分析非常有用。

風(fēng)險控制模塊：蜜罐的價值就在于引誘黑客攻擊，只有被探測、攻擊、利用的時候才能收集到攻擊信息，從而實現(xiàn)蜜罐的價值。但是在引入蜜罐系統(tǒng)的時候如果風(fēng)險控制不當(dāng)，可能會對真實服務(wù)器產(chǎn)生潛在的危險，這是我們必須加以控制的。比如將蜜罐系統(tǒng)與真實工作系統(tǒng)做相應(yīng)的隔離，放置于不同的DMZ區(qū)（Demilitarized Zone，非軍事區(qū)），達(dá)到信息過濾的作用，以保障真實工作系統(tǒng)的信息安全。

數(shù)據(jù)分析模塊：對采集記錄下來的信息進(jìn)行分析，區(qū)分開入侵到系統(tǒng)的黑客和正常訪問的用戶。對黑客的掃描、入侵、攻擊行為進(jìn)行分析，確定黑客的所作所為，包含攻擊用的手段和工具等，然后將分析得出的結(jié)論用于下一步的防御部署之中。

Honeyd是—款優(yōu)秀的虛擬蜜罐（virtual honeypot）軟件。虛擬蜜罐就是指一種快速的方式在一個物理服務(wù)器上配置若干個蜜罐。虛擬蜜罐軟件可以模仿IP堆棧、操作系統(tǒng)以及真實系統(tǒng)的應(yīng)用程序，使得在網(wǎng)絡(luò)上看起來就像運(yùn)行著某種操作系統(tǒng)的真實系統(tǒng)。虛擬蜜罐系統(tǒng)建立好后，在它被攻陷之后很容易重新建立和再次使用。Honeyd可以用一臺主機(jī)在局域網(wǎng)中模擬出多個不同的地址滿足實驗環(huán)境的要求，并且所有的虛擬主機(jī)皆可ping通，通過設(shè)置和修改配置文件可以虛擬運(yùn)行各種服務(wù)。Honeyd可被用來模仿成千上萬的系統(tǒng)，每個系統(tǒng)使用不同的端口和不同的IP地址，可以組建成蜜網(wǎng)（Honeynet）系統(tǒng)，大大減少了費用開支。

Honeyd是一種輕量級的守護(hù)程序，它能夠產(chǎn)生為數(shù)眾多的虛擬主機(jī)，可以對虛擬主機(jī)進(jìn)行配置以提供個性化的服務(wù)，系統(tǒng)特征也是與配置參數(shù)相適應(yīng)的，以至于看起來就像真實的系統(tǒng)在運(yùn)行。在一個局域網(wǎng)的網(wǎng)絡(luò)仿真中，Honeyd能夠使單個主機(jī)擁有多達(dá)65536個IP地址。Honeyd通過把真實的系統(tǒng)隱藏在虛擬的系統(tǒng)中，達(dá)到了阻止黑客攻擊的目的，確保了真實系統(tǒng)的安全性。

3基于蜜罐技術(shù)的DDoS攻擊的防御模型

3.1本模型框架設(shè)計

本文提出了一個適用于Web網(wǎng)站服務(wù)器防御DDoS攻擊的模型。我們假設(shè)該Web網(wǎng)站原始拓?fù)浣Y(jié)構(gòu)如圖3所示。

為了保護(hù)Web服務(wù)器免受黑客DDoS攻擊，我們對該網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)做一些改動。添加關(guān)鍵設(shè)備蜜罐子網(wǎng)，然后增加輔助設(shè)備網(wǎng)關(guān)重定向器，如圖4所示。重定向器中安裝好入侵檢測系統(tǒng)（intrusiondetection system，IDS）。下面詳細(xì)說明該模型主要模塊的作用和整體工作原理。

重定向器：主要功能是監(jiān)測和鑒定正常訪問行為和惡意攻擊行為。它對任何訪問者都是不可見的，其中安裝好IDS。檢測方法主要有基于異常流量的檢測和基于特征匹配的檢測，在異常入侵檢測系統(tǒng)中常常采用以下幾種檢測方法：

（1）基于貝葉斯推理檢測法；

（2）基于特征選擇檢測法；

（3）基于模式預(yù)測的檢測法；

（4）基于統(tǒng)計的異常檢測法；

（5）基于機(jī)器學(xué)習(xí)檢測法；

（6）數(shù)據(jù)挖掘檢測法；

（7）基于應(yīng)用模式的異常檢測法；

（8）基于文本分類的異常檢測法；

（9）基于黑名單/白名單的異常檢測法。

如果鑒定為正常訪問行為，則不用重定向，由真實服務(wù)器響應(yīng)請求，其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)同原始網(wǎng)絡(luò)結(jié)構(gòu)一樣，對正常的網(wǎng)絡(luò)通信沒有明顯的影響，從而保障重要客戶的訪問行為。但是，如果鑒定為惡意攻擊行為，重定向器則激活重定向機(jī)制，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)就變成圖4所示，將訪問行為重定向至蜜罐子網(wǎng)中。重定向器只是在重定向的時候消耗少量的系統(tǒng)資源，故不會對Web網(wǎng)站產(chǎn)生較大的負(fù)載影響。

蜜罐：模型中的蜜罐起著至關(guān)重要的作用，是一個陷阱誘捕機(jī)制。引誘黑客攻擊蜜罐，從而稀釋攻擊真實服務(wù)器的流量，同時記錄黑客的攻擊過程。在該模型中，將蜜罐服務(wù)器的連接超時時間、同時允許打開的半連接數(shù)的值設(shè)置為0。這樣，很多請求會在短時間內(nèi)丟棄，蜜罐服務(wù)器資源就不容易被占用消耗殆盡，可以承受大量的攻擊流。對于重定向器鑒定的惡意攻擊行為被重定向至蜜罐子網(wǎng)中后，日志詳盡的記錄下這些攻擊信息。有了這些攻擊信息，我們可以對癥下藥，部署防御措施。本模型選用的蜜罐系統(tǒng)是Honeyd。Honeyd是一款用于搭建虛擬蜜罐的開源軟件，其在一臺物理主機(jī)虛擬出多個操作系統(tǒng)并配置不同地址的虛擬技術(shù)使他們看起來就像是運(yùn)行在某個特定操縱系統(tǒng)上一樣，在掩護(hù)真實服務(wù)器的同時又設(shè)置了一個引誘黑客的陷阱，是比較流行的蜜罐，蜜網(wǎng)程序。Honeyd不僅為我們的方案節(jié)省了開支，也可以讓我們根據(jù)需要添加功能。endprint

3.2技術(shù)要點

整個模型還要保證能夠?qū)崿F(xiàn)以下幾個技術(shù)要點：

（1）攻擊流必須主動地被引入蜜罐子網(wǎng)中。主要靠重定向器完成，其中安裝好入侵檢測系統(tǒng)snort。

（2）不能中斷對主要客戶的服務(wù)，還是靠重定向器實現(xiàn)。

（3）蜜罐系統(tǒng)的日志記錄必須做到安全可信。可以通過日志遠(yuǎn)程安全存儲保障。

（4）必須要嚴(yán)格控制攻擊者利用蜜罐子網(wǎng)發(fā)起對第三方的攻擊，可以把蜜罐子網(wǎng)和服務(wù)器子網(wǎng)隔離，服務(wù)器放置在單獨的DMZ區(qū)。

4防御模型的實施

4.1攻擊重定向技術(shù)實現(xiàn)

攻擊重定向技術(shù)是實現(xiàn)該防御模型的關(guān)鍵技術(shù)之一。我們需要安裝和配置好snort開源軟件包。為了安全性，我們只需要打開Web服務(wù)器的wvcw服務(wù)的80端口即可。然后在snort規(guī)則語句中加入該語句：

alert tcp any any->222.197.198.143/24 80（itype：10000；msg“DDoS attack”；）

這條語句的意思是對來自于任何源IP地址和任何端口傳送到主機(jī)地址為222.197.198.143的80端口的服務(wù)器的TCP連接，如果每秒的連接請求次數(shù)大于一萬次，則鑒定其為DDoS攻擊。語句從左到右逐次解釋如下，語句頭部分的“alert”生成一個警報并記錄下來；“tcp”是協(xié)議類型；兩個連續(xù)的“any”，前一個表示任意IP地址，后一個表示任意端口號；“>”表示請求方向；“222.197.198.143”表示目的主機(jī)IP地址；“24”表示子網(wǎng)掩碼為24位長，即子網(wǎng)掩碼為255.255.255.0；“80”表示端口號；“itype：1000”表示測試ICMP的type字段的值；“msg”定義了要包含在警告信息中的文本。

然后我們在snort轉(zhuǎn)發(fā)規(guī)則中加入下列轉(zhuǎn)發(fā)判斷語句。

變量message由alert語句中msg賦值，IP1、IP2……是重定向白名單中的IP地址，如果源地址不在白名單里，則重定向到蜜罐子網(wǎng)，由蜜罐子網(wǎng)處理攻擊行為。

4.2蜜罐服務(wù)器配置

我們把真實Web服務(wù)器內(nèi)容拷貝到蜜罐中，然后修改和替換其中敏感和重要的信息，最終達(dá)到迷惑攻擊者的目的。

實驗中需要用到Honeyd軟件包，Honeyd不能獨立運(yùn)行，需要三個函數(shù)庫作為配套，libenvent，libdnet，libdcap。Honeyd的庫有很多，所以編譯和安裝Honeyd比較難。大略步驟是先安裝libpcap包、libdnet包、libevent包，最后再安裝Honeyd包。這樣就完成Honeyd的安裝。

然后對虛擬蜜罐配置，通過合理的使用create，set，add，bind指令創(chuàng)建一個虛擬的操作系統(tǒng)，并綁定IP地址。然后對路由拓?fù)渑渲茫辛诉@些配置，我們就可以通過“#./Honeyd-f Honeyd.conf”指令啟動Honeyd程序。

在蜜罐子網(wǎng)中，我們要防止蜜罐子網(wǎng)被黑客攻陷淪為“跳板”進(jìn)行下一步攻擊，必須做好訪問控制。訪問控制可以通過編寫好的腳本將蜜罐子網(wǎng)內(nèi)的全部外出訪問請求都過濾掉，從而防止蜜罐子網(wǎng)被攻陷淪為“跳板”攻擊第三方。

4.3遠(yuǎn)程日志存儲功能的實現(xiàn)

通過把日志記錄遠(yuǎn)程存儲，確保日志記錄不會被黑客篡改和刪除。由于遠(yuǎn)程日志只能由網(wǎng)絡(luò)安全管理員訪問，普通用戶和攻擊者無法訪問，安全性是可以保證的。當(dāng)黑客攻擊行為被引誘到蜜罐服務(wù)器中時，日志詳細(xì)的記錄了黑客的所作所為。由于蜜罐服務(wù)器端是Unix域套接字，而遠(yuǎn)程日志存儲需要TCP套接字通信，兩者速度并不一致，需要緩沖技術(shù)，如圖5所示，日志記錄通過緩沖區(qū)安全的傳送到遠(yuǎn)程日志存儲服務(wù)器中存儲。

4.4模塊主流程

整個模塊以守護(hù)進(jìn)程（Daemon）的方式脫離終端控制始終在后臺運(yùn)行，不會被終端中斷。主流程分5步：

（1）Init daemon

初始化，使程序以守護(hù)進(jìn)程方式運(yùn)行；

（2）IntAgrogram

初始化程序全局變量；

（3）Cterat send thread

創(chuàng)建新的線程并與遠(yuǎn)程數(shù)據(jù)中心建立連接；

（4）Int unix socket

創(chuàng)建Unix的數(shù)據(jù)包套接字；

（5）Recv Drocess_log

接收和保存Honeyd發(fā)送的日志記錄。

5結(jié)束語

本文分析了信息安全領(lǐng)域中最常見且破壞嚴(yán)重的DDoS攻擊，然后提出了一種基于蜜罐誘捕技術(shù)的應(yīng)對DDoS攻擊的防御模型，該模型只需要部署在目標(biāo)服務(wù)器端，簡單易行。本模型采取蜜罐技術(shù)記錄了攻擊行為特征并遠(yuǎn)程存儲日志記錄，對DDoS攻擊的分析及防御部署非常有用。本模型采取重定向技術(shù)，使正常訪問請求轉(zhuǎn)發(fā)到真實服務(wù)器中處理，異常攻擊則重定向到蜜罐子網(wǎng)處理，保證了真實服務(wù)器的可用性和可靠性。本模型還采用了訪問控制技術(shù)，蜜罐系統(tǒng)流出請求被過濾，遠(yuǎn)程日志服務(wù)器只能由安全管理員訪問，確保了在引入蜜罐技術(shù)的同時不會帶來新的潛在威脅。最后通過Honeyd軟件包搭建了該模型的虛擬蜜罐，并實施了該模型的防御功能。

但是，本模型也存在一些不足之處。一是沒有考慮到源IP地址的真?zhèn)危欢侵囟ㄏ蚱骺赡軐φＴL問行為和惡意攻擊行為會存在誤判，這是我們后續(xù)研究的重點。endprint