魏玉人,徐育軍

(1.海軍南海艦隊參謀部,廣東 湛江 524001；2.中國人民解放軍91458部隊,海南 三亞 572000)

DDoS攻擊及防御技術(shù)綜述

魏玉人1,徐育軍2

(1.海軍南海艦隊參謀部,廣東 湛江 524001；2.中國人民解放軍91458部隊,海南 三亞 572000)

分布式拒絕服務(wù)攻擊(Distributed Denial of Service,DDoS)是互聯(lián)網(wǎng)上有嚴(yán)重威脅的攻擊方式之一,難以完全對其進(jìn)行防御。介紹DDoS攻擊的技術(shù)原理,在此基礎(chǔ)上,分析主流入侵檢測方式在DDoS攻擊檢測中的優(yōu)缺點。最后,全面分析了適用于DDoS攻擊防御的技術(shù)手段,為防御DDoS攻擊提供了技術(shù)參考。

DDoS；攻擊技術(shù)；攻擊防御；攻擊檢測

0 引言

在互聯(lián)網(wǎng)的各種安全威脅中,拒絕服務(wù)攻擊威脅性強(qiáng),而分布式拒絕服務(wù)攻擊所帶來的安全威脅程度更高,后果損失更加嚴(yán)重[1]。從廣義上來說,拒絕服務(wù)攻擊指任何導(dǎo)致網(wǎng)絡(luò)系統(tǒng)不能正常為用戶提供服務(wù)的攻擊手段,主要包含漏洞利用型攻擊和資源消耗型攻擊兩類。漏洞利用型攻擊針對被攻擊的系統(tǒng)或軟件漏洞,精心設(shè)計特殊的報文,使得目標(biāo)系統(tǒng)、軟件崩潰或者重啟。目前這類攻擊的危害不是非常大,在防火墻及各種檢測機(jī)制的保護(hù)下,能夠有效避免。資源消耗型攻擊也稱泛洪攻擊,它的攻擊方式是在短時間內(nèi)發(fā)送大量的報文來對目標(biāo)進(jìn)行攻擊,使得目標(biāo)機(jī)器的計算能力和處理能力大幅度降低,從而造成目標(biāo)服務(wù)器的服務(wù)質(zhì)量下降甚至停止服務(wù)[2]。相較于漏洞利用型攻擊方式,資源消耗型攻擊方式更依賴于對目標(biāo)主機(jī)性能的干擾,由此也產(chǎn)生了后來的分布式拒絕服務(wù)攻擊。

1 DDoS攻擊技術(shù)原理

1.1 攻擊網(wǎng)絡(luò)帶寬

(1)直接攻擊。直接攻擊是指攻擊者利用控制的大量主機(jī)對受害者發(fā)送大量的數(shù)據(jù)流量,使得受害者的網(wǎng)絡(luò)帶寬被占據(jù),并大量消耗服務(wù)器和網(wǎng)絡(luò)設(shè)備的處理能力,達(dá)到拒絕服務(wù)攻擊的目的。例如ICMP/IGMP洪水攻擊,UDP洪水攻擊[3]等都是典型的DDoS直接攻擊方式。

(2)反射和放大攻擊。直接攻擊不僅效率低而且容易被追蹤,所以攻擊者更多地選擇反射攻擊。反射攻擊又稱DRDoS(Distributed Reflection Denial of Service,分布式反射拒絕服務(wù)),是指攻擊者利用路由器、服務(wù)器等設(shè)施對請求產(chǎn)生應(yīng)答,從而反射出大量的流量對受害者進(jìn)行攻擊的一種DDoS攻擊方式。這種攻擊方式隱蔽,更大危害還來自于使用反射過程的放大。放大是一種特殊的反射攻擊,其特殊之處在于反射器對于網(wǎng)絡(luò)流量具有放大作用[4],可以將攻擊者較小的流量放大成較大流量,從而造成更加嚴(yán)重的帶寬消耗。

(3)攻擊鏈路。攻擊鏈路與前面提到的攻擊方法不同,攻擊對象不是服務(wù)器而是骨干網(wǎng)絡(luò)上的帶寬資源。一種典型的鏈路攻擊方式是Coremelt攻擊。首先,攻擊者通過traceroute等手段確定各個僵尸主機(jī)與攻擊鏈路之間的位置關(guān)系。然后,由攻擊者將僵尸網(wǎng)絡(luò)分成兩部分,并控制這兩部分之間通過骨干網(wǎng)絡(luò)進(jìn)行通信。大量的數(shù)據(jù)包通過骨干網(wǎng)絡(luò),將會造成骨干網(wǎng)絡(luò)的擁堵和延時。從骨干網(wǎng)絡(luò)上來看,通過網(wǎng)絡(luò)的數(shù)據(jù)包是真實存在的,并沒有任何有效的方式將真正的數(shù)據(jù)包與拒絕服務(wù)攻擊的數(shù)據(jù)區(qū)分開來,這樣使得這種攻擊方式更加隱蔽和難以防范。

1.2 攻擊系統(tǒng)資源

(1)攻擊TCP連接。TCP是一種面向連接的、可靠的、基于字節(jié)流量的傳輸層控制協(xié)議。由于在設(shè)計之初考慮更多的是協(xié)議的可用性,缺乏對協(xié)議的安全性進(jìn)行周密比較和詳細(xì)描述,因此TCP協(xié)議存在許多安全缺陷和安全問題。TCP連接洪水攻擊的原理,就是在建立三次握手過程中,服務(wù)器會創(chuàng)建并保存TCP連接信息,該信息會被保存在連接表中。但是,連接表中的空間是有限的,一旦連接表中存儲的數(shù)據(jù)超過了其最大數(shù)目,服務(wù)器就無法創(chuàng)建新的TCP連接。攻擊者利用大量的受控主機(jī),占據(jù)連接表中所有空間,使得目標(biāo)無法建立新的TCP連接。當(dāng)大量的受控主機(jī)進(jìn)行攻擊時,其攻擊效果非常明顯。攻擊手段主要有：SYN洪水攻擊、PSH+ACK洪水攻擊、RST攻擊、Sock stress攻擊等。

(2)攻擊SSL連接。安全套接字(Secure Sockets Layer,SSL)是為網(wǎng)絡(luò)通信協(xié)議提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。其在傳輸層對數(shù)據(jù)進(jìn)行加密,然而SSL協(xié)議在加密、解密和密鑰協(xié)商的過程中會消耗大量的系統(tǒng)資源。SSL洪水攻擊的原理,就是在SSL握手過程中,無論接收的數(shù)據(jù)是否有效,只能先進(jìn)行解密才能進(jìn)行驗證,所以攻擊者利用這個特性,向被攻擊者發(fā)送大量的無用數(shù)據(jù),消耗目標(biāo)大量的計算資源。

1.3 攻擊應(yīng)用資源

(1)攻擊DNS服務(wù)器。DNS服務(wù)是網(wǎng)絡(luò)服務(wù)中一項核心服務(wù),對DNS服務(wù)器攻擊造成的影響更具威脅性。針對DNS服務(wù)器的攻擊,主要有DNS QUERY洪水攻擊和DNS NXDOMAIN攻擊兩類。DNS QUERY洪水攻擊是利用大量的查詢請求,使得DNS服務(wù)器進(jìn)行大量查詢,消耗其大量的計算和存儲資源,使得DNS服務(wù)器的服務(wù)質(zhì)量下降,甚至完全停止服務(wù)。在發(fā)起該攻擊方式時,考慮到DNS服務(wù)器的查詢方式,需要發(fā)送大量的不同域名的地址查詢,而且盡量不要選擇存儲在DNS緩存記錄里面的域名。DNS NXDOMAIN攻擊是DNS QUERY洪水攻擊的一種變種,后者攻擊時發(fā)送的是真實的域名地址,前者則發(fā)送大量不存在的域名地址,使得DNS服務(wù)器進(jìn)行大量遞歸查詢,從而使得正常的請求速度變慢,甚至是拒絕服務(wù)。

(2)攻擊Web服務(wù)器。隨著Web的迅速發(fā)展,人們的生活因此而變得方便快捷,大量的商務(wù)也因此更加方便。所以一旦Web服務(wù)器遭到拒絕服務(wù)攻擊,那么就會對其承載的大量服務(wù)造成巨大的影響。攻擊Web服務(wù)器,常用的手段包括HTTP(s)洪水攻擊、Slowloris攻擊、慢速POST請求攻擊[5]、數(shù)據(jù)處理過程攻擊等。

1.4 混合攻擊

攻擊者在實施攻擊過程中,并不在意使用了哪種攻擊手段,而更加在意是否能夠達(dá)到拒絕服務(wù)攻擊的效果。所以,攻擊者常常使用其能夠使用的所有攻擊手段進(jìn)行攻擊,稱這種攻擊為混合攻擊。這些攻擊方式是相輔相成、互相補(bǔ)充的,對于受害者來說,要面對不同協(xié)議、不同資源的攻擊,更加難以防范,其處理拒絕服務(wù)攻擊的成本也會大幅提高,這種攻擊更加具有針對性[6]。

除上述提到的攻擊方式外,拒絕服務(wù)攻擊還可與其它攻擊方式相互混合使用。以達(dá)到混淆視聽,難以防范的目的。

2 DDoS攻擊檢測技術(shù)

2.1 基本方法

常見的入侵檢測方法分為誤用檢測和異常檢測兩種。誤用檢測通過匹配攻擊基本特征庫檢測攻擊,一旦發(fā)生攻擊,系統(tǒng)能夠快速作出判斷,且誤報率低。異常檢測則通過發(fā)現(xiàn)當(dāng)前網(wǎng)絡(luò)狀態(tài)明顯偏離正常狀態(tài)檢測攻擊。由于誤用檢測只能檢測攻擊類型已知、攻擊報文具有明顯誤用特征的入侵行為,因此對系統(tǒng)漏洞型的DDoS攻擊有較好的作用。隨著DDoS攻擊的日益發(fā)展,通過操縱大量的傀儡機(jī)來達(dá)到攻擊目標(biāo)。在原來偽造大量虛假報文的基礎(chǔ)上,改進(jìn)到可以發(fā)送大量的真實報文。所以誤用檢測對DDoS攻擊已經(jīng)不能有效地進(jìn)行阻止,異常檢測在防御DDoS攻擊發(fā)揮著日益重要的作用。

2.2 基于流量特征的攻擊檢測

基于流量特征的攻擊檢測是一種基于知識的檢測方法[7]。首先收集已知的DDoS攻擊的各種特征,然后將當(dāng)前網(wǎng)絡(luò)中的數(shù)據(jù)包與收集到的各種數(shù)據(jù)特征進(jìn)行比較。如果特征與DDoS攻擊的特征匹配,則可以檢測出遭受了DDoS攻擊。這種檢測方法能夠準(zhǔn)確檢測攻擊行為,辨別攻擊的類型,可以采用相應(yīng)措施來阻止攻擊。但缺點是不能檢測未知的入侵,總是滯后于新出現(xiàn)的攻擊方式,需要不斷更新特征庫,對系統(tǒng)依賴性較大,不但系統(tǒng)移植性差,而且維護(hù)工作量也大。這種檢測方法一般用于檢測利用漏洞型的DDoS攻擊?；诹髁刻卣鞯墓魴z測主要使用了特征匹配、模型推理、狀態(tài)轉(zhuǎn)換和專家系統(tǒng)的方法。

2.3 基于流量異常的攻擊檢測

基于流量異常的檢測是目前常用的方法。基于流量的攻擊方法必然會帶來流量異常變化。因此,通過建立模型來判斷流量是否異常,從而知道服務(wù)器是否被攻擊。流量異常檢測可以檢測到未知類型的攻擊,然而僅僅通過流量的異常變化并不能判斷是否是因為流量攻擊而導(dǎo)致的流量異常變化。如正常上班時間周一到周五,公司服務(wù)器的訪問數(shù)量是一定的,但是流量異常變化可能是由于人員突然集中或者發(fā)生緊急情況人員突然撤離。由此可知流量導(dǎo)致的變化不只是由于攻擊造成的,還有種種可能的原因,要從中將正常的流量變化與遭受攻擊時的流量變化進(jìn)行區(qū)分,需要確定正常流量是如何變化的。這是確定遭到攻擊所必須解決的問題。

已有研究中,大量異常流量是通過檢測時的流量特征進(jìn)行建模來識別攻擊。這種單純依靠檢測時的流量進(jìn)行區(qū)分攻擊的方式是不準(zhǔn)確的。一旦出現(xiàn)與攻擊類似的異常流量變化就會導(dǎo)致檢測結(jié)果出錯。所以這種檢測方式是不完善的。

3 DDoS攻擊防御技術(shù)

一般認(rèn)為,除非修改TCP/IP的內(nèi)核,否則,從理論上沒有辦法徹底解決拒絕服務(wù)攻擊,但可以通過一些技術(shù)手段有效阻止部分DDoS攻擊,降低攻擊的危害。

3.1 攻擊源消除

DDoS攻擊需要大量的傀儡機(jī)才能完成,離開了傀儡機(jī)那么攻擊者就不能實施。因此,可以采取各種措施防止攻擊者獲得大量傀儡機(jī),從攻擊源頭上消除攻擊。攻擊者能夠控制的傀儡機(jī)大都是系統(tǒng)存在嚴(yán)重安全漏洞的計算機(jī),所以要防范計算機(jī)成為傀儡機(jī),就必須對主機(jī)的硬件或軟件系統(tǒng)存在的安全漏洞進(jìn)行全面檢測,及時打補(bǔ)丁、修補(bǔ)漏洞。當(dāng)然在當(dāng)前的網(wǎng)絡(luò)體系中,還可以通過破壞DDoS攻擊形成的條件來對該攻擊進(jìn)行防范。當(dāng)前網(wǎng)絡(luò)架構(gòu)下,接收端被動接收報文,而對于發(fā)送端沒有約束?；谑跈?quán)的攻擊預(yù)防技術(shù)可以控制發(fā)送端的流量,從而達(dá)到從源頭上解決DDoS攻擊。對于一部分不需要向外提供服務(wù)的對象,也可以通過隱藏自己在網(wǎng)絡(luò)上的存在,從而達(dá)到防范DDoS攻擊的效果。

3.2 攻擊緩解

攻擊緩解是在DDoS攻擊發(fā)生后,通過對網(wǎng)絡(luò)流量的過濾或限制,削弱攻擊者攻擊的流量,盡可能地減少DDoS攻擊帶來的影響。攻擊緩解的基本手段包括報文過濾和速率限制。

(1)報文過濾。針對源地址進(jìn)行欺騙的DDoS攻擊,可以通過對報文源IP地址進(jìn)行檢測,根據(jù)IP地址的真假對報文進(jìn)行過濾防御。入口過濾在攻擊源端的邊界路由上起作用,當(dāng)數(shù)據(jù)包進(jìn)入到網(wǎng)絡(luò)時,檢查報文IP地址是否符合通告的網(wǎng)絡(luò)標(biāo)準(zhǔn),如果不滿足就丟棄這個數(shù)據(jù)包。

(2)速率限制。當(dāng)服務(wù)器遭受嚴(yán)重DDoS攻擊時,由于邊界路由器出現(xiàn)擁塞,會出現(xiàn)大量的丟包現(xiàn)象。速率限制的核心就是從被丟棄的數(shù)據(jù)包中尋找信息,把這些丟棄包中的流量特征進(jìn)行匯總,將符合特征的數(shù)據(jù)包提煉成有價值的數(shù)據(jù)路,并通過限制這些數(shù)據(jù)流從而達(dá)到組織DDoS攻擊的目的。

3.3 攻擊預(yù)防

(1)減少公開暴露。對于企業(yè)而言,減少不必要的分開曝光是十分有效的防御DDoS攻擊的一種方式,及時關(guān)閉不必要的服務(wù),設(shè)置安全群組和私有網(wǎng)絡(luò),禁止對主機(jī)的非開放服務(wù),限制打開最大SYN連接數(shù),限制特定IP地址的訪問。通過這些方式可以減少受到攻擊的可能性。

(2)利用擴(kuò)展和冗余。DDoS攻擊對不同的協(xié)議層具有多種攻擊方式,因此盡可能采取多種手段進(jìn)行防范。利用擴(kuò)展和冗余是在受到攻擊前做好防范。它能使得系統(tǒng)在遭受攻擊時具有一定的可擴(kuò)展性,不至于一旦受到攻擊就將完全暫停服務(wù),盡可能減少DDoS攻擊帶來的危害。

(3)提升網(wǎng)絡(luò)帶寬保證能力。網(wǎng)絡(luò)帶寬直接決定抗DDoS攻擊的能力,如果帶寬僅僅只能10M的話,無論如何都不能抵御DDoS攻擊。理論上講網(wǎng)絡(luò)帶寬越大越好,但是考慮到經(jīng)濟(jì)原因,不可能無限制地將網(wǎng)絡(luò)帶寬提高,要在經(jīng)濟(jì)能力允許的范圍內(nèi)盡量提高網(wǎng)絡(luò)帶寬的保證能力。

(4)分布式資源共享服務(wù)器。將數(shù)據(jù)和程序分布在多個服務(wù)器上,建立分布式資源共享服務(wù)器。分布式資源共享服務(wù)器有利于協(xié)調(diào)整個系統(tǒng)共同解決問題，進(jìn)行更加優(yōu)化的資源分配。能夠克服傳統(tǒng)的資源緊張與響應(yīng)瓶頸的缺陷,分布式規(guī)模越大,防御攻擊也就更加容易。

(5)監(jiān)控系統(tǒng)性能。對系統(tǒng)性能進(jìn)行監(jiān)控也是預(yù)防DDoS攻擊的一種重要方式,不合理的服務(wù)器配置會使得系統(tǒng)容易被DDoS攻擊,對API、CDN和DNS等第三方服務(wù)進(jìn)行監(jiān)控,對網(wǎng)絡(luò)節(jié)點進(jìn)行監(jiān)視,及時發(fā)現(xiàn)并清理可能出現(xiàn)的漏洞。當(dāng)這些性能出現(xiàn)異常后,及時進(jìn)行維護(hù)。對網(wǎng)絡(luò)日志進(jìn)行定期查閱,看是否有異常入侵,及時做好防范工作。

3.4 IP地址溯源

在攻擊過程中,可以根據(jù)攻擊來源來設(shè)定過濾,將攻擊來源處的流量進(jìn)行過濾達(dá)到降低攻擊強(qiáng)度的效果[8]；另外,還可以將收集到的信息作為法律證據(jù)對攻擊者進(jìn)行法律制裁。IP地址溯源技術(shù)主要有：連接測試、隨機(jī)采樣、登錄分析等。

4 結(jié)語

DDoS攻擊攻擊方式難以檢測。目前，檢測技術(shù)不完善、攻擊檢測技術(shù)方法實用性差,并且隨著攻防技術(shù)的不斷發(fā)展,分布式拒絕分布攻擊也呈現(xiàn)出了新的特性,對其進(jìn)行防御和檢測愈加困難,一直是網(wǎng)絡(luò)安全領(lǐng)域研究的重點。本文在分析DDoS攻擊技術(shù)原理的基礎(chǔ)上,分析了誤用檢測和異常檢測兩種方式在DDoS攻擊檢測中的優(yōu)缺點,并重點分析了基于流量特征和流量異常兩類攻擊的檢測方法。最后,全面分析了適用于DDoS攻擊防御的技術(shù)手段,可為相關(guān)單位和組織在防御DDoS攻擊時提供技術(shù)參考。

[1] 姚淑萍,彭武,吳丹.網(wǎng)絡(luò)安全預(yù)警防御技術(shù)[M].北京：國防工業(yè)出版社,2015.

[2] 蘭巨龍,程東年,劉文芬,等.信息網(wǎng)絡(luò)安全與防護(hù)技術(shù)[M].北京：人民郵電出版社,2014.

[3] 王飛.分布式拒絕服務(wù)攻擊檢測與響應(yīng)技術(shù)研究[D].長沙：國防大學(xué),2013.

[4] 羅志強(qiáng),沈軍,金華敏.分布式DNS反射DDoS攻擊檢測及控制技術(shù)[J].電信科學(xué),2015(10):11-16.

[5] 文坤,楊家海,張賓.低速率拒絕服務(wù)攻擊研究與進(jìn)展綜述[J].軟件學(xué)報,2014,25(3):591-605.

[6] 何亨,黃偉,李濤,等.基于SDS架構(gòu)的多級DDoS防護(hù)機(jī)制[J].計算機(jī)工程與應(yīng)用,2016,52(1)：81-88.

[7] 王秀利.Web服務(wù)中基于流量監(jiān)控的DDoS攻擊防范機(jī)制[J].計算機(jī)工程與應(yīng)用,2008,44(36)：115-118.

[8] 李紅衛(wèi),吳靜怡,崔嘉.分布式拒絕服務(wù)攻擊及IP溯源技術(shù)探析[J].無線通信技術(shù),2016(2):50-53.

(責(zé)任編輯：陳福時)

魏玉人(1969-),女,湖北崇陽人,海軍南海艦隊參謀部高級工程師,研究方向為網(wǎng)絡(luò)與信息安全；徐育軍(1975-),男,湖北咸寧人,中國人民解放軍91458部隊干部,研究方向為網(wǎng)絡(luò)安全管理。

10.11907/rjdk.162510

TP301

A

1672-7800(2017)003-0173-03