现代商贸工业 NO.16,2013 Modern Business Trade Industry DDoS攻击及其防范 李文绮 (中南财经政法大学信息管理与信息系统,湖北武汉430073) 摘 要:分布式拒绝服务DDoS攻击在近年来已俨然成为了互联网安全的重要威胁,且至今并没有非常有效的解决办 法。就DDoS攻击的原理和方法进行了简单的阐述,并重点介绍了DDoS攻击防范的三个主要方面——攻击检测、分组过 滤和IP追踪。 关键词:DDoS;攻击检测;分组过滤;IP追踪 中图分类号:F49 文献标识码:A 1 引言 2013年3月l6日,互联网历史上最大规模DDoS(Dis- tributed Denial of Service,分布式拒绝服务)攻击事件发生。 欧洲反垃圾邮件组织Spamhaus对外宣称遭受高达 300Gbps的DDoS攻击,而在此之前最大规模的DDoS攻击 也只有120Gbps左右。Spamhaus的安全服务托管公司 Cloudflare将攻击流量引向了分布于全球的25家大型互联 网数据中心,在化解攻击的同时也导致了全球互联网短时 间访问变慢,因此也遭到了某些欧洲电信运营商的指责与 抱怨。 DDoS攻击者利用成百上千个“被控制”结点向受害结 点发动大规模的协同攻击。通过消耗带宽、CPU和内存等 资源,达到使被攻击者的性能下降甚至瘫痪和死机,从而造 成其他合法用户无法正常访问。和DoS(Denial of Service, 拒绝服务)攻击比较起来,其破坏性和危害程度更大,涉及 范围更广,也更难发现攻击者。 而近年来,DDoS攻击已经愈演愈烈,成为了互联网安 全的主要威胁之一。 2 D0S与DDoS 2.1 DOS 从广义上来说,任何导致被攻击的服务器不能正常提 供服务的攻击手段都属于DoS攻击的范畴。直观地说,就 是攻击者过多地占用系统资源直到系统繁忙、超载而无法 处理正常的工作,甚至导致被攻击的主机系统崩溃。它利 用网络连接和传输时使用的TCP/IP、UDP等各种协议的 漏洞,使用多种手段充斥和侵占系统的网络资源,造成系统 网络阻塞而无法为合法的网络用户进行服务。 DoS攻击最简单的方法利用了系统的设计漏洞,比如 Ping of Death(POD,死亡之Ping)、Teardrop等等。其中 Ping of Death就是通过发送超过IPv4最大封包大小65535 字节的ping封包,从而导致系统崩溃。 另一种DoS攻击方法是利用计算量很大的任务,比如 加密解密操作,大量消耗被攻击主机的CPU资源,达到攻 击的目的。 2.2 DDoS DDoS与上述的DoS攻击方式都不同,它不依赖于特定 的网络协议和系统漏洞,主要利用系统的管理漏洞掌握一 批傀儡主机的控制权,在时机成熟时,控制傀儡主机同时向 文章编号:1672—3198(2013)16—0155—03 被攻击主机发送大量无用的分组,使得被攻击主机的CPU 资源、网络连接带宽被耗尽而无法再接受合法用户的连接 请求,从而出现了拒绝服务的现象。 2.3 DDoS攻击方法 DDoS的攻击方法有很多,本文就两个较为典型的方法 ——SYN Flood和Smurf,详细阐述一下DDoS攻击的方 式。 2.3.1 SYN Flood SYN Flood是一种直接攻击的方式,这种攻击利用了 TCP协议的“三次握手”机制,具体如图l所示。攻击者向 被攻击主机的TCP服务器端口发送大量的SYN报文,被攻 击主机对此发出SYN+ACK报文进行应答,但由于攻击者 的报文源地址一般都是伪造的,因此被攻击主机无法收到 由这些源地址返回的ACK报文,造成第三次握手无法完 成。攻击者通过这种方式使得被攻击主机维持一个大量的 半连接列表,而被攻击主机也不断对这个列表中的IP地址 进行SYN+ACK重试,直到等待超过SYN超时周期才丢 弃原来的连接。这不仅消耗了被攻击主机大量的CPU和 内存资源,使得被攻击主机忙于处理攻击者伪造的大量 TCP连接请求而无暇顾及用户的正常请求,也十分容易造 成TCP/IP协议栈的堆栈溢出崩溃。 攻击者 被攻击者 伪造IP 图1 SYN Flood攻击原理示意图 2.3.2 Smurf Smurf则是一种间接攻击方式,也称作反射攻击,其具 体攻击方式如图2所示。这种攻击结合使用了IP欺骗和 ICMP回复方法,通过向被攻击主机所在子网的广播地址发 送欺骗性的ICMP应答请求数据包,导致该子网内的所有 主机都对此ICMP应答请求做出回复,向欺骗性分组中的 IP地址发送echo响应信息,使得被攻击主机很快就会被大 量的echo信息淹没,最终致使网络阻塞,从而拒绝用户的正 一】55— 现代商贸工业 Modern Business Trade Industry 常服务请求。而Smruf攻击可以通过过滤发向子网广播地 址的分组来进行防范,因此现在这种攻击已经变得非常少 见了。 2013年第16期 3.2.2 基于异常的DDoS攻击检测 基于异常的DDoS攻击检测是指通过监视系统审计记 录上系统使用的异常情况,根据其偏离正常状态行为的程 度来决定是否构成DDoS攻击警报。现在大多数的DDoS in 被攻击者 攻击检测都采用了异常检测技术。 异常检测系统通常采用模式识别技术来学习正常的状 态行为和已知的入侵行为,其有效性也取决于模型的建立。 、、………………………..-, 在异常检测中,可以使用诸如数据挖掘、人工神经网络和模 糊理论等来检测网络的入侵。 相对于基于误用的检测技术来说,基于异常的检测建 反射结点 图2 Smur ̄攻击原理示意圈 2.3.3比较分析 立的是正面行为模型,检测率很高,但误报率也同样较高。 上述两种攻击方法的区别在于,直接攻击,如SYN 其最大的有点事能够识别未知的攻击手段,也不需要对每 Flood,采用了攻击者直接通过傀儡主机向被攻击主机发送 种攻击特征都进行定义成为检测规则。 大量请求报文的方法,主要是为了占用被攻击主机大量的 3.2.3 混合模式DDoS攻击检测 CPU、内存资源;而反射攻击,如Smurf,则采用了攻击者通 至今为止,没有研究结果说明了哪一种DDoS攻击检测 过向反射结点发送需要响应的请求,使得反射结点向被攻 方式对于所有的DDos攻击都有效,因此出现了误用DDoS 击主机发送大量响应分组的方法,主要是为了耗尽被攻击 攻击检测和异常DDoS攻击检测两种方式结合使用的混合 主机网络链路的带宽。 模式DDoS攻击检测方法,这样能够相互弥补各自的缺陷, 3 DDoS攻击的防范 达到高检测率的同时也能保持低误报率,达到更理想的检 3.1 概述 测效果。通常情况下,混合模式DDoS攻击检测采用数据挖 DDoS攻击至今没有非常有效的解决办法,因此一直是 掘的办法,先由异常检测来发现DDoS攻击,再从攻击中提 网络稳定与安全的重要威胁,且在近年来被攻击者所广泛 取攻击特征成为误用检测规则,再利用误用检测的方法来 采用,DDoS的防范技术也成为了网络信息安全的重要议题 检测DDoS攻击。 之一。 3.3分组过滤 从DDoS攻击过程的原理来看,提高用户和管理员的安 由于DDoS攻击的分布式特征,分组过滤的难度往往大 全意识、定期扫描系统检查不明的非法进程可以降低受控 于攻击检测。随着攻击分组越接近被攻击主机,虽然攻击 者被攻击者控制的概率,使得DDoS攻击所必须的大量傀儡 检测变得越来越有效,而分组过滤却变得越来越困难,更多 机在实施攻击前就发现问题,脱离攻击者控制。 的正常分组可能会被当做攻击分组而被过滤掉。因此,分 但是,仅从这个方面来预防DDoS攻击还是不够的,现 组过滤与攻击检测的效率是近乎成反比的,本文就针对攻 在大部分网络用户的安全意识不高,成为傀儡机的可能性 击者所在网络和被攻击者所在网络两个位置所实行的过滤 非常大,这就对攻击检测、分组过滤和事后追踪提出了更高 方法进行简单的阐述。 的要求。 3.3.1输入分组过滤 3.2攻击检测 在攻击者所在的源网络中,虽然很难通过攻击检测方 3.2.1基于误用的DDoS攻击检测 法检测到DDoS攻击,但是仍然可以根据地址欺骗信息过滤 基于误用的DDoS攻击检测是指根据事先收集的已有 掉不正常的分组。和攻击者源网络相连的ISP可以对源地 DDoS攻击的各种特征,与当前网络中数据分组的特征相互 址欺骗的分组执行输入分组过滤,这可以过滤掉直接攻击 比较,若匹配则有可能发生了DDoS攻击。这种方法一般用 中的攻击分组和反射攻击中从受控傀儡机到反射结点的攻 于检测利用系统的漏洞进行攻击的DDoS攻击,而它也依赖 击分组,但在所有ISP网络人口执行输入分组过滤几乎是 于已有DDoS攻击特征的选取。 不可能的,虽然其拥有较低的计算需求和技术复杂度,但部 这种检测方法主要是利用特征匹配、模型推理等方法, 署难度却十分高。 但是这种基于过去统计信息上的检测方式,虽然能在一定 3.3.2基于路由的分组过滤 程度上检测出已知的DDoS攻击,但对新的攻击却是无效 基于路由的分组过滤策略(Route—based Packet Filte— 的。此外,每次在新的攻击特征被发现时,还要对检测系统 ring,RPF)的主要思想是把输入分组过滤的功能扩展到In— 增加新的检测规则,管理人员必须维护一个不断增长且十 ternet核心网络。这种过滤策略通过分布在Internet中的 分庞大的检测系统。同时,由检测规则的增长所造成的检 多个分组过滤器收到的分组的源和目的地址以及BGP路由 测速度下降也是不容忽略的。 信息,以检查收到的分组是否来自于正确的链路。这种方 总体来说,基于误用的DDoS检测的误报率低,但检测 式也很有可能会将正常分组丢弃,因为Internet的路由是不 率却不高.且它往往依赖于具体的环境,可移植性和可扩展 断变化的。此外,这种过滤策略还需要对BGP路由协议扩 性较差。 展成能够携带源地址信息的协议,这会大大增加BGP报文 】56— NO.16,2013 现代商贸工业 Modern Business Trade Industry 2013年第16期 的长度和处理BGP报文的开销。而基于路由的分组过滤策 继续此过程直至发现真正的攻击。略也只能够过滤掉源地址欺骗的分组,而无法过滤反射攻 上述的输入调试需要有网络管理员的支持,而受控洪 泛则不需要,因为它通过洪泛大量的分组对链路进行测试。 当洪泛分组通过攻击分组经过的链路时,由于路由器缓存 击中由反射结点发出的具有合法源地址的分组。 3.4 IP Traceback 上文提到的攻击检测和过滤技术都是针对DDoS攻击 资源的共享性,攻击分组会收到洪泛分组的影响。通过观 发生过程中的措施,而在DIDOS攻击发生之后,如何能够简 察攻击分组的变化情况,可以找到相应的攻击路径,而受控 单地追查到攻击者的真正源地址,也十分的重要,这就提出 了1P Traceback(1P追踪)技术。 3.4.1数据包标记 洪泛的方法本身就属于一种DDoS攻击。 3.4.3 ICMP Traceback 当一个数据包在路由器之间传递时,路由器会发送一 数据包标记的主要思想是以某种概率标记数据包的部 个已验证的ICMP Traceback消息给数据包的目的地址或 分路径信息,当被攻击主机受到DDoS攻击时接收到了足够 源地址。这个消息中包含了源、目的IP地址和相邻路由器 的攻击分组,就可以根据得到的信息恢复出完整的攻击路 等信息。当被攻击主机遭受到DDoS攻击时,可以通过足够 径。 多的来自路径上各个路由器的traceback消息,重新构建攻 最简单的标记算法是用IP地址来标记数据包,当分组 击路径并确定攻击者的源地址。该策略类似于数据包标记 通过路由器时将路由器的地址添加到分组的尾部,而被攻 策略,不同的是它并不在IP分组中做标记,而是通过ICMP 击主机收到的分组都包括了一条完整的攻击路径。另一种 分组发送标记信息。 方法是边缘标记,这需要两个节点组成边缘,即起始地址和 4 结束语 结束地址,边缘标记算法可简单地描述如下: DD0S攻击是现在互联网安全的最主要也是最难解决 marking procedure at router R: . 的威胁之一。本文主要阐述了DDoS攻击的原理和方法,并 for each packet w 列举说明了现在对DEloS攻击的防范措施,并分析了这些防 let x be a random number from 0 to 1 范措施的有效性,一定程度上解释了DDoS攻击难以解决的 if x<P then 部分原因,比如互联网的开放性、网络协议自身的缺陷等 write R into W.start and 0 into w.distance 等。 else 随着互联网的普及和网络技术的发展,互联网用户也 if W.distance一0 then 成直线上升并维持在一个非常庞大的数字,但是大部分的 write R into W.end 互联网用户的安全意识较为薄弱,这也给攻击者到来了可 increase w.distance 乘之机,这也是DDoS攻击在近年来越发猖獗的原因之一。 path reconstruction procedure at victim V: 从理论上来说,直接攻击时可以通过输入分组过滤来进行 let G be a tree with root V 防范的,但事实是在互联网上同时部署那么多的分组过滤 let edges in G be tuples(start,end,distance) 器是几乎不可能的。 for each packet w from attacker DDoS攻击的防范需要用户、网络管理员、ISP等的共同 if W.distance一0 then 努力。一方面,要提高互联网用户的安全意识,防止系统被 insert.edge(w.start,v,O)into G 攻击者所利用;另一方面,也需要ISP之间的协力合作。只 else 有通过多方面的努力,加强DDoS攻击理论方面的研究,才 insert.edge(w.start,w.end,w.distance)into 能慢慢杜绝DDoS攻击。 G remove any edge(X,Y,d)with d!=distance from 参考文献 x to Y in G [1]朱少彰,崔宝江,李剑.信息安全概论[M].北京:北京邮电大学 extract path(Ri…Rj)by enumerating acyclic paths in G 出版社,2007. 3.4.2链路测试 [2]徐恪。徐明伟,吴建平.分布式拒绝服务攻击研究综述口].小型 链路测试技术适用于攻击过程中的IP追踪,主要可分 微型计算机系统,2004,(25):337—346. 为两种,即输入调试和受控洪泛。 E33 Stenfan Savage,D.Wetherail,A.Karlin,T.Anderson.Practical 大多数路由器,例如CISCO等都提供了输入调试功能。 Network Support for IP Traceback[J].ACM SIGCOMM,2008. 当被攻击主机检测到DDoS攻击时,路由器将通知网络管理 [4]严芬,王佳佳,赵金凤,殷新春.DDoS攻击检测综述口].计算机应 员有关攻击和攻击的特征,而网络管理员在被攻击主机的 用研究,2008,(25);966—969. E53 Li DQ,Su PR,Feng FG.Notes on Packet Marking for IP Traee— 上游路由器的输出端口安装输入调试过滤器,并找出攻击 back[J].Journal of Softwar,2004,(15):250—258. 分组的到达端口,然后再通知到达端口对应的上游路由器