曲勁光

（中國移動通信集團(tuán)寧夏有限公司，銀川 750002）

1 DDoS攻擊原理

隨著Internet的發(fā)展和普及，攻擊技術(shù)也在不斷發(fā)展，拒絕服務(wù)攻擊(DoS)已經(jīng)成為一種很常見的攻擊行為。

DoS是指攻擊者通過某種手段，有意的造成計算機(jī)或網(wǎng)絡(luò)不能正常運(yùn)轉(zhuǎn)從而不能向合法用戶提供所需要的服務(wù)或者使得服務(wù)質(zhì)量降低。

如果處于不同位置的多個攻擊者同時向一個或數(shù)個目標(biāo)發(fā)起攻擊，或者一個或多個攻擊者控制了位于不同位置的多臺機(jī)器并利用這些機(jī)器對受害者同時實施攻擊，由于攻擊的發(fā)出點是分布在不同地方的，這類攻擊稱為分布式拒絕服務(wù)攻擊（DDoS）。DDoS攻擊方式如圖1所示。

一般來說，DDoS的典型過程可以分為3個階段，即信息收集、占領(lǐng)傀儡計算機(jī)和攻擊實施。

（1）獲取目標(biāo)信息，也稱為踩點（footprint）。為了使得攻擊奏效，攻擊者需要了解受害者許多的信息，如被攻擊目標(biāo)主機(jī)數(shù)目、配置、性能、操作系統(tǒng)、地址情況以及目標(biāo)網(wǎng)絡(luò)的帶寬等。因此，在攻擊發(fā)生前，攻擊者需要先對目標(biāo)進(jìn)行偵查，如利用掃描工具對目標(biāo)進(jìn)行掃描。常用的信息收集方式有Whois命令、Nslookup命令、網(wǎng)上的公開信息、搜索引擎、Traceroute命令、網(wǎng)絡(luò)掃描、端口掃描和漏洞掃描；

圖1 DDoS攻擊方式

（2）占領(lǐng)傀儡機(jī)和控制臺。在DDoS攻擊中，攻擊者可以通過自己的機(jī)器直接對目標(biāo)發(fā)起攻擊，這樣攻擊者可能會冒著被發(fā)現(xiàn)的風(fēng)險。通常，為了掩蔽自己不被發(fā)現(xiàn)，攻擊者需要占領(lǐng)一些傀儡機(jī)。并且，攻擊者還需要向傀儡機(jī)發(fā)送命令的控制臺，因此攻擊者還需利用某些被其攻破的機(jī)器或者其擁有訪問權(quán)限的機(jī)器作為控制臺。目前，獲得大量傀儡機(jī)的方法主要是通過攜帶后門程序的蠕蟲，隨著蠕蟲的傳播，后門程序也安裝到了受蠕蟲感染的主機(jī)上。

（3）在前面的準(zhǔn)備工作完成以后，實際的攻擊過程卻相對比較簡單，攻擊者只需通過控制臺向傀儡機(jī)發(fā)出指令，令其立即或在某個時間向指定的受害者大量發(fā)送特定的攻擊數(shù)據(jù)分組即可?；蛘撸粽呖梢栽诳軝C(jī)上做一定時設(shè)置，時間一到，這些傀儡機(jī)就自行對既定目標(biāo)發(fā)起攻擊。

2 常見DDoS攻擊類型

DDoS攻擊靠的不是畸形數(shù)據(jù)分組，而是依靠數(shù)據(jù)分組的總量來達(dá)到攻擊的目的，因此，它也是一種強(qiáng)力攻擊或者野蠻攻擊。雖然這種攻擊通常會采用源地址偽造的手段，但除了某些特定的攻擊方式，源地址偽造不一定是必須的。常見的DDoS攻擊如下。

2.1 SYN Flood攻擊

SYN Flood攻擊是最常見的一種攻擊。在TCP的連接建立過程中，需要連接雙方完成3次握手，只有當(dāng)3次握手都順利完成，一個TCP連接才告建立。在3次握手進(jìn)行的過程中，服務(wù)器需要保持所有未完成的握手信息（稱為半開連接，即收到TCP-SYN并發(fā)送了SYN-ACK，但第3次握手信息直到握手完成或超時以后丟棄該信息）。由于半開連接的數(shù)量是有限的，如果攻擊者不停地向受害者發(fā)送連接請求，而又不按協(xié)議規(guī)定完成握手過程，則服務(wù)器的半開連接?？赡軙猛辏瑥亩辉俳邮芷渌倪B接請求。

2.2 UDP Flood攻擊

UDP是一種無連接的協(xié)議，在傳輸數(shù)據(jù)之前不需要如TCP那樣建立連接。當(dāng)一個系統(tǒng)收到一個UDP分組時，它會檢查何種應(yīng)用程序在監(jiān)聽該端口，如果有應(yīng)用程序監(jiān)聽，則把數(shù)據(jù)交給該應(yīng)用程序處理，如果沒有應(yīng)用程序監(jiān)聽該端口，則回應(yīng)一個ICMP分組說明目標(biāo)不可達(dá)。UDP Flood通常的主要目的是占用網(wǎng)絡(luò)帶寬，達(dá)到阻塞網(wǎng)絡(luò)的目的，因此通常UDP Flood攻擊的數(shù)據(jù)分組會比較長。

2.3 Smurf攻擊

在Smurf攻擊中，攻擊者向網(wǎng)絡(luò)上的某個或一些IP廣播地址發(fā)送大量的ICMP回應(yīng)請求消息，而這些消息中的源IP地址被偽造成受害者的IP地址。這樣一來，攻擊者每發(fā)送一個數(shù)據(jù)分組，受害者就會收到很多的回應(yīng)分組，從而占用受害者的計算資源和帶寬。

2.4 Fraggle攻擊

Fraggle攻擊與Smurf攻擊類似，不同的是Fraggle攻擊采用的是UDP Echo（Fraggle）消息而非ping消息，這樣，受害者被響應(yīng)機(jī)的UDP Echo分組所淹沒。

3 當(dāng)前防護(hù)手段的不足

雖然目前網(wǎng)絡(luò)安全產(chǎn)品的種類非常多，但是對于DDoS攻擊卻一籌莫展。常見的防火墻、入侵檢測、路由器等，由于設(shè)計之初就沒有考慮相應(yīng)的DDoS防護(hù)，所以無法針對復(fù)雜的DDoS攻擊進(jìn)行有效的檢測和防護(hù)。

3.1 路由器

通過路由器，我們確實可以實施某些安全措施，比如ACL等，這些措施從某種程度上確實可以過濾掉非法流量。一般來說，ACL可以基于協(xié)議或源地址進(jìn)行設(shè)置，但是目前眾多的DDoS攻擊采用的是常用的一些合法協(xié)議，比如HTTP協(xié)議，這種情況下，路由器就無法對這樣的流量進(jìn)行過濾。同時，如果DDoS攻擊采用地址欺騙的技術(shù)偽造數(shù)據(jù)分組，那么路由器也無法對這種攻擊進(jìn)行有效防范。

另一種基于路由器的防護(hù)策略是采用Unicast Reverse Path Forwarding (URPF)在網(wǎng)絡(luò)邊界來阻斷偽造源地址IP的攻擊，但是對于今天的DDoS攻擊而言，這種方法也不能奏效，其根本原因就在于URPF的基本原理是路由器通過判斷出口流量的源地址，如果不屬于內(nèi)部子網(wǎng)的則給予阻斷。而攻擊者完全可以偽造其所在子網(wǎng)的IP地址進(jìn)行DDoS攻擊，這樣就完全可以繞過URPF防護(hù)策略。除此之外，如果希望URPF策略能夠真正的發(fā)揮作用，還需要在每個潛在攻擊源的前端路由器上配置URPF，但是要實現(xiàn)這種情況，現(xiàn)實中幾乎不可能做到。

從2014年開始，山東省財政廳組織鄉(xiāng)鎮(zhèn)財政業(yè)務(wù)技能競賽，每兩年一屆，極大鼓勵了鄉(xiāng)鎮(zhèn)財政人員學(xué)知識、學(xué)業(yè)務(wù)的熱情。為了迎接技能競賽，各縣市區(qū)也都對各鄉(xiāng)鎮(zhèn)財政所所長、鄉(xiāng)鎮(zhèn)財政業(yè)務(wù)骨干等進(jìn)行專業(yè)知識培訓(xùn)。培訓(xùn)內(nèi)容豐富、重點突出，理論與實踐相結(jié)合，為提升基層財政規(guī)范化、精細(xì)化管理水平，奠定堅實基礎(chǔ)。

3.2 防火墻

防火墻幾乎是最常用的安全產(chǎn)品，但是防火墻設(shè)計原理中并沒有考慮針對DDoS攻擊的防護(hù)，在某些情況下，防火墻甚至成為DDoS攻擊的目標(biāo)而導(dǎo)致整個網(wǎng)絡(luò)的拒絕服務(wù)。

首先是防火墻缺乏DDoS攻擊檢測的能力。通常，防火墻作為3層分組轉(zhuǎn)發(fā)設(shè)備部署在網(wǎng)絡(luò)中，一方面在保護(hù)內(nèi)部網(wǎng)絡(luò)的同時，它也為內(nèi)部需要提供外部Internet服務(wù)的設(shè)備提供了通路，如果DDoS攻擊采用了這些服務(wù)器允許的合法協(xié)議對內(nèi)部系統(tǒng)進(jìn)行攻擊，防火墻對此就無能為力，無法精確的從背景流量中區(qū)分出攻擊流量。雖然有些防火墻內(nèi)置了某些模塊能夠?qū)暨M(jìn)行檢測，但是這些檢測機(jī)制一般都是基于特征規(guī)則，DDoS攻擊者只要對攻擊數(shù)據(jù)分組稍加變化，防火墻就無法應(yīng)對，對DDoS攻擊的檢測必須依賴于行為模式的算法。

第二個原因就是傳統(tǒng)防火墻計算能力的限制，傳統(tǒng)的防火墻是以高強(qiáng)度的檢查為代價，檢查的強(qiáng)度越高，計算的代價越大。而DDoS攻擊中的海量流量會造成防火墻性能急劇下降，不能有效地完成分組轉(zhuǎn)發(fā)的任務(wù)。

防火墻的部署位置也影響了其防護(hù)DDoS攻擊的能力。傳統(tǒng)防火墻一般都是部署在網(wǎng)絡(luò)入口位置，雖然某種意義上保護(hù)了網(wǎng)絡(luò)內(nèi)部的所有資源，但是其往往也成為DDoS攻擊的目標(biāo)，攻擊者一旦發(fā)起DDoS攻擊，往往造成網(wǎng)絡(luò)性能的整體下降，導(dǎo)致用戶正常請求被拒絕。

3.3 IDS/IPS

目前IPS/IDS系統(tǒng)是最廣泛的攻擊檢測或防護(hù)工具，但是在面臨DDoS攻擊時，IPS/IDS系統(tǒng)往往不能滿足要求。

原因在于入侵檢測系統(tǒng)雖然能夠檢測應(yīng)用層的攻擊，但是基本機(jī)制都是基于規(guī)則，需要對協(xié)議會話進(jìn)行還原，但是目前DDoS攻擊大部分都是采用基于合法數(shù)據(jù)分組的攻擊流量，所以IPS/IDS系統(tǒng)很難對這些攻擊進(jìn)行基于特征的有效檢測。雖然某些IPS/IDS系統(tǒng)本身也具備某些協(xié)議異常檢測的能力，但這都需要安全專家手工配置才能真正生效，其實施成本和易用性極低。

IPS/IDS系統(tǒng)設(shè)計之初就是作為一種基于特征的應(yīng)用層攻擊檢測設(shè)備。而大量的傳統(tǒng)DDoS攻擊依舊主要以3層或是4層的協(xié)議異常為特點，這就注定了IPS/IDS技術(shù)不太可能作為DDoS的主要檢測防護(hù)手段。

4 優(yōu)秀的DDoS防御能力必要條件

DDoS防護(hù)一般包含兩個方面：其一是針對不斷發(fā)展的攻擊形式，尤其是采用多種欺騙技術(shù)的技術(shù)，能有效地進(jìn)行檢測；其二，也是最重要的，就是如何降低對業(yè)務(wù)系統(tǒng)或是網(wǎng)絡(luò)的影響，從而保證業(yè)務(wù)系統(tǒng)的連續(xù)性和可用性。完善的DDoS攻擊防護(hù)應(yīng)該從4個方面考慮。

（1）能夠從背景流量中精確的區(qū)分攻擊流量；

（2）降低攻擊對服務(wù)的影響，而不僅僅是檢測；

（3）能夠支持在各類網(wǎng)絡(luò)入口點進(jìn)行部署，包括性能和體系架構(gòu)等方面；

（4）系統(tǒng)具備很強(qiáng)的擴(kuò)展性和良好的可靠性。

5 Nsfocus ADS的一次抗DDoS攻擊實例

圖2 攻擊流量被流量清洗系統(tǒng)牽引清洗

流量分析系統(tǒng)NTA發(fā)現(xiàn)了攻擊流量，并立即發(fā)出攻擊告警。安全維護(hù)人員通過NTA的DDoS告警功能發(fā)現(xiàn)了攻擊行為，并對攻擊做出了準(zhǔn)確定位。借助于NTA設(shè)備快速定位攻擊源后，安全維護(hù)人員利用流量清洗設(shè)備ADS對攻擊進(jìn)行牽引清洗。清洗系統(tǒng)開始流量清洗后，可在NTA上看到攻擊流量逐漸減少，直至被全部清洗，正常流量被回注到網(wǎng)絡(luò)鏈路中，如圖2所示。