本站原创
摘要:分布式拒绝怎么写作DDoS攻击在近年来已俨然成为了互联网安全的重要威胁,且至今并没有非常有效的解决办法。就DDoS攻击的原理和方法进行了简单的阐述,并重点介绍了DDoS攻击防范的三个主要方面——攻击检测、分组过滤和IP追踪。
关键词:DDoS;攻击检测;分组过滤;IP追踪
16723198(2013)16015503
1引言
2013年3月16日,互联网历史上最大规模DDoS(Distributed Denial of Service,分布式拒绝怎么写作)攻击事件发生。欧洲反垃圾邮件组织Spamhaus对外宣称遭受高达300Gbps的DDoS攻击,而在此之前最大规模的DDoS攻击也只有120Gbps左右。Spamhaus的安全怎么写作托管公司Cloudflare将攻击流量引向了分布于全球的25家大型互联网数据中心,在化解攻击的同时也导致了全球互联网短时间访问变慢,因此也遭到了某些欧洲电信运营商的指责与抱怨。
DDoS攻击者利用成百上千个“被控制”结点向受害结点发动大规模的协同攻击。通过消耗带宽、CPU和内存等资源,达到使被攻击者的性能下降甚至瘫痪和死机,从而造成其他合法用户无法正常访问。和DoS(Denial of Service,拒绝怎么写作)攻击比较起来,其破坏性和危害程度更大,涉及范围更广,也更难发现攻击者。
而近年来,DDoS攻击已经愈演愈烈,成为了互联网安全的主要威胁之一。
2DoS与DDoS
DoS攻击最简单的方法利用了系统的设计漏洞,比如Ping of Death(POD,死亡之Ping)、Teardrop等等。其中Ping of Death就是通过发送超过IPv4最大封包大小65535字节的ping封包,从而导致系统崩溃。
另一种DoS攻击方法是利用计算量很大的任务,比如加密解密操作,大量消耗被攻击主机的CPU资源,达到攻击的目的。
图1SYN Flood攻击原理示意图
图2Smurf攻击原理示意图
3DDoS攻击的防范
从DDoS攻击过程的原理来看,提高用户和管理员的安全意识、定期扫描系统检查不明的非法进程可以降低受控者被攻击者控制的概率,使得DDoS攻击所必须的大量傀儡机在实施攻击前就发现问题,脱离攻击者控制。
但是,仅从这个方面来预防DDoS攻击还是不够的,现在大部分网络用户的安全意识不高,成为傀儡机的可能性非常大,这就对攻击检测、分组过滤和事后追踪提出了更高的要求。
这种检测方法主要是利用特征匹配、模型推理等方法,但是这种基于过去统计信息上的检测方式,虽然能在一定程度上检测出已知的DDoS攻击,但对新的攻击却是无效的。此外,每次在新的攻击特征被发现时,还要对检测系统增加新的检测规则,管理人员必须维护一个不断增长且十分庞大的检测系统。同时,由检测规则的增长所造成的检测速度下降也是不容忽略的。
总体来说,基于误用的DDoS检测的误报率低,但检测率却不高,且它往往依赖于具体的环境,可移植性和可扩展性较差。
3.
异常检测系统通常采用模式识别技术来学习正常的状态行为和已知的入侵行为,其有效性也取决于模型的建立。在异常检测中,可以使用诸如数据挖掘、人工神经网络和模糊理论等来检测网络的入侵。
相对于基于误用的检测技术来说,基于异常的检测建立的是正面行为模型,检测率很高,但误报率也同样较高。其最大的有点事能够识别未知的攻击手段,也不需要对每种攻击特征都进行定义成为检测规则。
3.
最简单的标记算法是用IP地址来标记数据包,当分组通过路由器时将路由器的地址添加到分组的尾部,而被攻击主机收到的分组都包括了一条完整的攻击路径。另一种方法是边缘标记,这需要两个节点组成边缘,即起始地址和结束地址,边缘标记算法可简单地描述如下:
marking procedure at router R:
for each packet w
let x be a random number from 0 to 1
if x < p then
write R into w.start and 0 into w.distance
else
if w.distance = 0 then
write R into w.end
increase w.distance
path reconstruction procedure at victim V:
let G be a tree with root V
let edges in G be tuples(start,end,distance) for each packet w from attacker
if w.distance = 0 then
insert.edge(w.start,v,0) into G
else
insert.edge(w.start,w.end,w.distance) into G
remove any edge(x,y,d) with d! = distance from x to y in G
extract path(Ri…Rj) by enumerating acyclic paths in G
大多数路由器,例如CISCO等都提供了输入调试功能。当被攻击主机检测到DDoS攻击时,路由器将通知网络管理员有关攻击和攻击的特征,而网络管理员在被攻击主机的上游路由器的输出端口安装输入调试过滤器,并找出攻击分组的到达端口,然后再通知到达端口对应的上游路由器继续此过程直至发现真正的攻击。
上述的输入调试需要有网络管理员的支持,而受控洪泛则不需要,因为它通过洪泛大量的分组对链路进行测试。当洪泛分组通过攻击分组经过的链路时,由于路由器缓存资源的共享性,攻击分组会收到洪泛分组的影响。通过观察攻击分组的变化情况,可以找到相应的攻击路径,而受控洪泛的方法本身就属于一种DDoS攻击。
3.4.3ICMP
当一个数据包在路由器之间传递时,路由器会发送一个已验证的ICMP Traceback消息给数据包的目的地址或源地址。这个消息中包含了源、目的IP地址和相邻路由器等信息。当被攻击主机遭受到DDoS攻击时,可以通过足够多的来自路径上各个路由器的traceback消息,重新构建攻击路径并确定攻击者的源地址。该策略类似于数据包标记策略,不同的是它并不在IP分组中做标记,而是通过ICMP分组发送标记信息。
随着互联网的普及和网络技术的发展,互联网用户也成直线上升并维持在一个非常庞大的数字,但是大部分的互联网用户的安全意识较为薄弱,这也给攻击者到来了可乘之机,这也是DDoS攻击在近年来越发猖獗的原因之一。从理论上来说,直接攻击时可以通过输入分组过滤来进行防范的,但事实是在互联网上同时部署那么多的分组过滤器是几乎不可能的。
DDoS攻击的防范需要用户、网络管理员、ISP等的共同努力。一方面,要提高互联网用户的安全意识,防止系统被攻击者所利用;另一方面,也需要ISP之间的协力合作。只有通过多方面的努力,加强DDoS攻击理论方面的研究,才能慢慢杜绝DDoS攻击。
参考文献
朱少彰,崔宝江,李剑. 信息安全概论[M]. 北京:北京邮电大学出版社,2007.
徐恪,徐明伟,吴建平.分布式拒绝怎么写作攻击研究综述[J].小型微型计算机系统,2004,(25):337346.
[3]Stenfan Sage,D.Wetherall,A.Karlin,T.Anderson.Practical Network Support for IP Traceback[J].ACM SIGCOMM,2008.
[4]严芬,王佳佳,赵金凤,殷新春.DDoS攻击检测综述[J].计算机应用研究,2008,(25):966969.
[5]Li DQ,Su PR,Feng FG.Notes on Packet Marking for IP Traceback[J].Journal of Softwar,2004,(15):250258.
关键词:DDoS;攻击检测;分组过滤;IP追踪
16723198(2013)16015503
1引言
2013年3月16日,互联网历史上最大规模DDoS(Distributed Denial of Service,分布式拒绝怎么写作)攻击事件发生。欧洲反垃圾邮件组织Spamhaus对外宣称遭受高达300Gbps的DDoS攻击,而在此之前最大规模的DDoS攻击也只有120Gbps左右。Spamhaus的安全怎么写作托管公司Cloudflare将攻击流量引向了分布于全球的25家大型互联网数据中心,在化解攻击的同时也导致了全球互联网短时间访问变慢,因此也遭到了某些欧洲电信运营商的指责与抱怨。
DDoS攻击者利用成百上千个“被控制”结点向受害结点发动大规模的协同攻击。通过消耗带宽、CPU和内存等资源,达到使被攻击者的性能下降甚至瘫痪和死机,从而造成其他合法用户无法正常访问。和DoS(Denial of Service,拒绝怎么写作)攻击比较起来,其破坏性和危害程度更大,涉及范围更广,也更难发现攻击者。
而近年来,DDoS攻击已经愈演愈烈,成为了互联网安全的主要威胁之一。
2DoS与DDoS
2.1DoS
从广义上来说,任何导致被攻击的怎么写作器不能正常提供怎么写作的攻击手段都属于DoS攻击的范畴。直观地说,就是攻击者过多地占用系统资源直到系统繁忙、超载而无法处理正常的工作,甚至导致被攻击的主机系统崩溃。它利用网络连接和传输时使用的TCP/IP、UDP等各种协议的漏洞,使用多种手段充斥和侵占系统的网络资源,造成系统网络阻塞而无法为合法的网络用户进行怎么写作。DoS攻击最简单的方法利用了系统的设计漏洞,比如Ping of Death(POD,死亡之Ping)、Teardrop等等。其中Ping of Death就是通过发送超过IPv4最大封包大小65535字节的ping封包,从而导致系统崩溃。
另一种DoS攻击方法是利用计算量很大的任务,比如加密解密操作,大量消耗被攻击主机的CPU资源,达到攻击的目的。
2.2DDoS
DDoS与上述的DoS攻击方式都不同,它不依赖于特定的网络协议和系统漏洞,主要利用系统的管理漏洞掌握一批傀儡主机的控制权,在时机成熟时,控制傀儡主机同时向被攻击主机发送大量无用的分组,使得被攻击主机的CPU资源、网络连接带宽被耗尽而无法再接受合法用户的连接请求,从而出现了拒绝怎么写作的现象。2.3DDoS攻击方法
DDoS的攻击方法有很多,本文就两个较为典型的方法——SYN Flood和Smurf,详细阐述一下DDoS攻击的方式。2.3.1SYN Flood
SYN Flood是一种直接攻击的方式,这种攻击利用了TCP协议的“三次握手”机制,具体如图1所示。攻击者向被攻击主机的TCP怎么写作器端口发送大量的SYN报文,被攻击主机对此发出SYN+ACK报文进行应答,但由于攻击者的报文源地址一般都是伪造的,因此被攻击主机无法收到由这些源地址返回的ACK报文,造成第三次握手无法完成。攻击者通过这种方式使得被攻击主机维持一个大量的半连接列表,而被攻击主机也不断对这个列表中的IP地址进行SYN+ACK重试,直到等待超过SYN超时周期才丢弃原来的连接。这不仅消耗了被攻击主机大摘自:本科毕业论文结论www.udooo.com
量的CPU和内存资源,使得被攻击主机忙于处理攻击者伪造的大量TCP连接请求而无暇顾及用户的正常请求,也十分容易造成TCP/IP协议栈的堆栈溢出崩溃。图1SYN Flood攻击原理示意图
2.3.2Smurf
Smurf则是一种间接攻击方式,也称作反射攻击,其具体攻击方式如图2所示。这种攻击结合使用了IP欺骗和ICMP回复方法,通过向被攻击主机所在子网的广播地址发送欺骗性的ICMP应答请求数据包,导致该子网内的所有主机都对此ICMP应答请求做出回复,向欺骗性分组中的IP地址发送echo响应信息,使得被攻击主机很快就会被大量的echo信息淹没,最终致使网络阻塞,从而拒绝用户的正常怎么写作请求。而Smruf攻击可以通过过滤发向子网广播地址的分组来进行防范,因此现在这种攻击已经变得非常少见了。图2Smurf攻击原理示意图
2.3.3比较分析
上述两种攻击方法的区别在于,直接攻击,如SYN Flood,采用了攻击者直接通过傀儡主机向被攻击主机发送大量请求报文的方法,主要是为了占用被攻击主机大量的CPU、内存资源;而反射攻击,如Smurf,则采用了攻击者通过向反射结点发送需要响应的请求,使得反射结点向被攻击主机发送大量响应分组的方法,主要是为了耗尽被攻击主机网络链路的带宽。3DDoS攻击的防范
3.1概述
DDoS攻击至今没有非常有效的解决办法,因此一直是网络稳定与安全的重要威胁,且在近年来被攻击者所广泛采用,DDoS的防范技术也成为了网络信息安全的重要议题之一。从DDoS攻击过程的原理来看,提高用户和管理员的安全意识、定期扫描系统检查不明的非法进程可以降低受控者被攻击者控制的概率,使得DDoS攻击所必须的大量傀儡机在实施攻击前就发现问题,脱离攻击者控制。
但是,仅从这个方面来预防DDoS攻击还是不够的,现在大部分网络用户的安全意识不高,成为傀儡机的可能性非常大,这就对攻击检测、分组过滤和事后追踪提出了更高的要求。
3.2攻击检测
3.2.1基于误用的DDoS攻击检测
基于误用的DDoS攻击检测是指根据事先收集的已有DDoS攻击的各种特征,与当前网络中数据分组的特征相互比较,若匹配则有可能发生了DDoS攻击。这种方法一般用于检测利用系统的漏洞进行攻击的DDoS攻击,而它也依赖于已有DDoS攻击特征的选取。这种检测方法主要是利用特征匹配、模型推理等方法,但是这种基于过去统计信息上的检测方式,虽然能在一定程度上检测出已知的DDoS攻击,但对新的攻击却是无效的。此外,每次在新的攻击特征被发现时,还要对检测系统增加新的检测规则,管理人员必须维护一个不断增长且十分庞大的检测系统。同时,由检测规则的增长所造成的检测速度下降也是不容忽略的。
总体来说,基于误用的DDoS检测的误报率低,但检测率却不高,且它往往依赖于具体的环境,可移植性和可扩展性较差。
3.
2.2基于异常的DDoS攻击检测
基于异常的DDoS攻击检测是指通过监视系统审计记录上系统使用的异常情况,根据其偏离正常状态行为的程度来决定是否构成DDoS攻击警报。现在大多数的DDoS攻击检测都采用了异常检测技术。异常检测系统通常采用模式识别技术来学习正常的状态行为和已知的入侵行为,其有效性也取决于模型的建立。在异常检测中,可以使用诸如数据挖掘、人工神经网络和模糊理论等来检测网络的入侵。
相对于基于误用的检测技术来说,基于异常的检测建立的是正面行为模型,检测率很高,但误报率也同样较高。其最大的有点事能够识别未知的攻击手段,也不需要对每种攻击特征都进行定义成为检测规则。
3.
2.3混合模式DDoS攻击检测
至今为止,没有研究结果说明了哪一种DDoS攻击检测方式对于所有的DDoS攻击都有效,因此出现了误用DDoS攻击检测和异常DDoS攻击检测两种方式结合使用的混合模式DDoS攻击检测方法,这样能够相互弥补各自的缺陷,达到高检测率的同时也能保持低误报率,达到更理想的检测效果。通常情况下,混合模式DDoS攻击检测采用数据挖掘的办法,先由异常检测来发现DDoS攻击,再从攻击中提取攻击特征成为误用检测规则,再利用误用检测的方法来检测DDoS攻击。3.3分组过滤
由于DDoS攻击的分布式特征,分组过滤的难度往往大于攻击检测。随着攻击分组越接近被攻击主机,虽然攻击检测变得越来越有效,而分组过滤却变得越来越困难,更多的正常分组可能会被当做攻击分组而被过滤掉。因此,分组过滤与攻击检测的效率是近乎成反比的,本文就针对攻击者所在网络和被攻击者所在网络两个位置所实行的过滤方法进行简单的阐述。3.1输入分组过滤
在攻击者所在的源网络中,虽然很难通过攻击检测方法检测到DDoS攻击,但是仍然可以根据地址欺骗信息过滤掉不正常的分组。和攻击者源网络相连的ISP可以对源地址欺骗的分组执行输入分组过滤,这可以过滤掉直接攻击中的攻击分组和反射攻击中从受控傀儡机到反射结点的攻击分组,但在所有ISP网络入口执行输入分组过滤几乎是不可能的,虽然其拥有较低的计算需求和技术复杂度,但部署难度却十分高。3.2基于路由的分组过滤
基于路由的分组过滤策略(Route-based Packet Filtering,RPF)的主要思想是把输入分组过滤的功能扩展到Internet核心网络。这种过滤策略通过分布在Internet中的多个分组过滤器收到的分组的源和目的地址以及BGP路由信息,以检查收到的分组是否来自于正确的链路。这种方式也很有可能会将正常分组丢弃,因为Internet的路由是不断变化的。此外,这种过滤策略还需要对BGP路由协议扩展成能够携带源地址信息的协议,这会大大增加BGP报文的长度和处理BGP报文的开销。而基于路由的分组过滤策略也只能够过滤掉源地址欺骗的分组,而无法过滤反射攻击中由反射结点发出的具有合法源地址的分组。3.4IP Traceback
上文提到的攻击检测和过滤技术都是针对DDoS攻击发生过程中的措施,而在DDoS攻击发生之后,如何能够简单地追查到攻源于:硕士论文www.udooo.com
击者的真正源地址,也十分的重要,这就提出了IP Traceback(IP追踪)技术。3.4.1数据包标记
数据包标记的主要思想是以某种概率标记数据包的部分路径信息,当被攻击主机受到DDoS攻击时接收到了足够的攻击分组,就可以根据得到的信息恢复出完整的攻击路径。最简单的标记算法是用IP地址来标记数据包,当分组通过路由器时将路由器的地址添加到分组的尾部,而被攻击主机收到的分组都包括了一条完整的攻击路径。另一种方法是边缘标记,这需要两个节点组成边缘,即起始地址和结束地址,边缘标记算法可简单地描述如下:
marking procedure at router R:
for each packet w
let x be a random number from 0 to 1
if x < p then
write R into w.start and 0 into w.distance
else
if w.distance = 0 then
write R into w.end
increase w.distance
path reconstruction procedure at victim V:
let G be a tree with root V
let edges in G be tuples(start,end,distance) for each packet w from attacker
if w.distance = 0 then
insert.edge(w.start,v,0) into G
else
insert.edge(w.start,w.end,w.distance) into G
remove any edge(x,y,d) with d! = distance from x to y in G
extract path(Ri…Rj) by enumerating acyclic paths in G
3.4.2链路测试
链路测试技术适用于攻击过程中的IP追踪,主要可分为两种,即输入调试和受控洪泛。大多数路由器,例如CISCO等都提供了输入调试功能。当被攻击主机检测到DDoS攻击时,路由器将通知网络管理员有关攻击和攻击的特征,而网络管理员在被攻击主机的上游路由器的输出端口安装输入调试过滤器,并找出攻击分组的到达端口,然后再通知到达端口对应的上游路由器继续此过程直至发现真正的攻击。
上述的输入调试需要有网络管理员的支持,而受控洪泛则不需要,因为它通过洪泛大量的分组对链路进行测试。当洪泛分组通过攻击分组经过的链路时,由于路由器缓存资源的共享性,攻击分组会收到洪泛分组的影响。通过观察攻击分组的变化情况,可以找到相应的攻击路径,而受控洪泛的方法本身就属于一种DDoS攻击。
3.4.3ICMP
摘自:学报论文格式www.udooo.com
Traceback当一个数据包在路由器之间传递时,路由器会发送一个已验证的ICMP Traceback消息给数据包的目的地址或源地址。这个消息中包含了源、目的IP地址和相邻路由器等信息。当被攻击主机遭受到DDoS攻击时,可以通过足够多的来自路径上各个路由器的traceback消息,重新构建攻击路径并确定攻击者的源地址。该策略类似于数据包标记策略,不同的是它并不在IP分组中做标记,而是通过ICMP分组发送标记信息。
4 结束语
DDoS攻击是现在互联网安全的最主要也是最难解决的威胁之一。本文主要阐述了DDoS攻击的原理和方法,并列举说明了现在对DDoS攻击的防范措施,并分析了这些防范措施的有效性,一定程度上解释了DDoS攻击难以解决的部分原因,比如互联网的开放性、网络协议自身的缺陷等等。随着互联网的普及和网络技术的发展,互联网用户也成直线上升并维持在一个非常庞大的数字,但是大部分的互联网用户的安全意识较为薄弱,这也给攻击者到来了可乘之机,这也是DDoS攻击在近年来越发猖獗的原因之一。从理论上来说,直接攻击时可以通过输入分组过滤来进行防范的,但事实是在互联网上同时部署那么多的分组过滤器是几乎不可能的。
DDoS攻击的防范需要用户、网络管理员、ISP等的共同努力。一方面,要提高互联网用户的安全意识,防止系统被攻击者所利用;另一方面,也需要ISP之间的协力合作。只有通过多方面的努力,加强DDoS攻击理论方面的研究,才能慢慢杜绝DDoS攻击。
参考文献
朱少彰,崔宝江,李剑. 信息安全概论[M]. 北京:北京邮电大学出版社,2007.
徐恪,徐明伟,吴建平.分布式拒绝怎么写作攻击研究综述[J].小型微型计算机系统,2004,(25):337346.
[3]Stenfan Sage,D.Wetherall,A.Karlin,T.Anderson.Practical Network Support for IP Traceback[J].ACM SIGCOMM,2008.
[4]严芬,王佳佳,赵金凤,殷新春.DDoS攻击检测综述[J].计算机应用研究,2008,(25):966969.
[5]Li DQ,Su PR,Feng FG.Notes on Packet Marking for IP Traceback[J].Journal of Softwar,2004,(15):250258.