基于源的DDoS攻击防范方法研究
摘要 分布式拒绝服务DDoS攻击在近年来已俨然成为互联网安全的重要威胁,也是最难解决的威胁之一,且至今并没有十分有效的解决办法。本文主要研究了DDoS攻击的原理和方法,并分析DDoS的攻击原因及其分类,最后列举说明了现在对DDoS攻击的防范措施,并分析了这些防范措施的有效性,一定程度上解释了DDoS攻击难以解决的部分原因。希望本文能起到抛砖引玉的作用。
关键词 DDoS攻击;原理;防范方法
1 DDoS攻击的原理
DDoS即“分布式拒绝服务”。意即“分布式拒绝服务”,DDoS的中文名叫分布式拒绝服务攻击,俗称洪水攻击。拒绝服务攻击的含义是由于攻击导致主机拒绝提供服务或者可用性降低。而DDoS攻击简单的讲是利用处于网络中的不同攻击者同时向一个目标机发起攻击,导致目标机资源耗尽处于瘫痪。由于攻击者在网络中处于分布状态所以叫做分布式拒绝服务攻击。常见的DDoS攻击手段有SYNFlood、ACKFlood、UDPFlood、ICMPFlood,CC攻击等。一般而言,DDoS攻击架构为三层:攻击者、主控端、代理端和被攻击者。DDoS攻击原理图如图1所示[1]。
2 DDoS攻击存在的原因
互联网的设计遵循端到端的模式:通信端主机使用复杂的功能来达到预期的服务保证,而中继网络提供最少、最高效的服务。互联网按分布式的方式管理。
(1)互联网安全是非常的。DDoS攻击通常从入侵到有安全漏洞的系统开始,受害者的安全取决于其他的整个互联网的安全状态,这就导致互联网对DDoS的脆弱性。
(2)互联网的网络资源是有限的,互联网上每个主机的资源都是有限的,会被足够多的使用者耗尽。
(3)多数的影响大于少数。若攻击者的资源多于受害者的资源,多个使用者的协同执行的恶意行为会对受害者造成损失。
(4)安全策略不能够同资源一起被分配。一个端到端的通信模式导致了为了满足服务保证而分配给端主机大多数的安全策略,并且大吞吐量要求在中继网络中的高带宽路径。这样客户可能恶意滥用不受中继网络监控的大量资源来发送大量的消息到受害者端[2]。
3 DDoS攻击的防御方法
3.1 攻击检测
(1)基于误用的DDoS攻击检测
基于误用的DDoS攻击检测是指根据事先收集的已有DDoS攻击的各种特征,与当前网络中数据分组的特征相互比较,若匹配则有可能发生了DDoS攻击。这种方法一般用于检测利用系统的漏洞进行攻击的DDoS攻击,而它也依赖于已有DDoS攻击特征的选取。这种检测方法主要是利用特征匹配、模型推理等方法,但是这种基于过去统计信息上的检测方式,虽然能在一定程度上检测出已知的DDoS攻击,但对新的攻击却是无效的。总体来说,基于误用的DDoS检测的误报率低,但检测率却不高,且它往往依赖于具体的环境,可移植性和可扩展性较差。
(2)基于异常的DDoS攻击检测
基于异常的DDoS攻击检测是指通过监视系统审计记录上系统使用的异常情况,根据其偏离正常状态行为的程度来决定是否构成DDoS攻击警报。现在大多数的DDoS攻击检测都采用了异常检测技术。异常检测系统通常采用模式识别技术来学习正常的状态行为和已知的入侵行为,其有效性也取决于模型的建立。在异常检测中,可以使用诸如数据挖掘、人工神经网络和模糊理论等来检测网络的入侵。相对于基于误用的检测技术来说,基于异常的检测建立的是正面行为模型,检测率很高,但误报率也同样较高。
(3)混合模式DDoS攻击检测
至今为止,没有研究结果说明了哪一种DDoS攻击检测方式对于所有的DDoS攻击都有效,因此出现了误用DDoS攻击检测和异常DDoS攻击检测两种方式结合使用的混合模式DDoS攻击检测方法,这样能够相互弥补各自的缺陷,达到高检测率的同时也能保持低误报率,达到更理想的检测效果。通常情况下,混合模式DDoS攻击检测采用数据挖掘的办法,先由异常检测来发现DDoS攻击,再从攻击中提取攻击特征成为误用检测规则,再利用误用检测的方法来检测DDoS攻击。
3.2 分组过滤
(1)输入分组过滤
在攻击者所在的源网络中,虽然很难通过攻击检测方法检测到DDoS攻击,但是仍然可以根据地址欺骗信息过滤掉不正常的分组。和攻击者源网络相连的ISP可以对源地址欺骗的分组执行输入分组过滤,这可以过滤掉直接攻击中的攻击分组和反射攻击中从受控傀儡机到反射结点的攻击分组,但在所有ISP网络入口执行输入分组过滤几乎是不可能的,虽然其拥有较低的计算需求和技术复杂度,但部署难度却十分高。
(2)基于路由的分组过滤
基于路由的分组过滤策略(RPF)的主要思想是把输入分组过滤的功能扩展到Internet核心网络。这种过滤策略通过分布在Internet中的多个分组过滤器收到的分组的源和目的地址以及BGP路由信息,以检查收到的分组是否来自于正确的链路。这种方式也很有可能会将正常分组丢弃,因为Internet的路由是不断变化的。而基于路由的分组过滤策略也只能够过滤掉源地址欺骗的分组,而无法过滤反射攻击中由反射结点发出的具有合法源地址的分组。
3.3 IP Traceback
(1)数据包标记
数据包标记的主要思想是以某种概率标记数据包的部分路径信息,当被攻击主机受到DDoS攻击时接收到了足够的攻击分组,就可以根據得到的信息恢复出完整的攻击路径。最简单的标记算法是用IP地址来标记数据包,当分组通过路由器时将路由器的地址添加到分组的尾部,而被攻击主机收到的分组都包括了一条完整的攻击路径。另一种方法是边缘标记,这需要两个节点组成边缘,即起始地址和结束地址。
(2)链路测试
链路测试技术适用于攻击过程中的IP追踪,主要可分为两种,即输入调试和受控洪泛。大多数路由器,例如CISCO等都提供了输入调试功能。当被攻击主机检测到DDoS攻击时,路由器将通知网络管理员有关攻击和攻击的特征,而网络管理员在被攻击主机的上游路由器的输出端口安装输入调试过滤器,并找出攻击分组的到达端口,然后再通知到达端口对应的上游路由器继续此过程直至发现真正的攻击。上述的输入调试需要有网络管理员的支持,而受控洪泛则不需要,因为它通过洪泛大量的分组对链路进行测试。当洪泛分组通过攻击分组经过的链路时,由于路由器缓存资源的共享性,攻击分组会收到洪泛分组的影响。通过观察攻击分组的变化情况,可以找到相应的攻击路径,而受控洪泛的方法本身就属于一种DDoS攻击。
(3)ICMP Traceback
当一个数据包在路由器之间传递时,路由器会发送一个已验证的ICMP Traceback消息给数据包的目的地址或源地址。这个消息中包含了源、目的IP地址和相邻路由器等信息。当被攻击主机遭受到DDoS攻击时,可以通过足够多的来自路径上各个路由器的Traceback消息,重新构建攻击路径并确定攻击者的源地址。该策略类似于数据包标记策略,不同的是它并不在IP分组中做标记,而是通过ICMP分组发送标记信息[3]。
4 结束语
总之,随着互联网的普及和网络技术的发展,互联网用户也成直线上升并维持在一个非常庞大的数字,但是大部分的互联网用户的安全意识较为薄弱,这也给攻击者到来了可乘之机,这也是基于源的DDoS攻击在近年来越发猖獗的原因之一。
参考文献
[1] 徐恪,徐明伟,吴建平.分布式拒绝服务攻击研究综述[J].小型微型计算机系统,2004,25(3):337-346.
[2] 严芬,王佳佳,赵金凤,等.DDoS攻击检测综述[J].计算机应用研究,2008,25(4):966-969.
[3] 蔡淑珍.拒绝服务攻击分析及其防范解决方案研究[D].南京:南京师范大学,2003.
