湯麗娟 孫克爭

摘要：分布式拒絕服務(wù)攻擊之所以在當(dāng)前網(wǎng)絡(luò)上很流行，是因為很難防御。阻止任何攻擊最好的辦法，是在攻擊沒有發(fā)生前，用有效的DDoS預(yù)防機制來阻止系統(tǒng)受到攻擊，故研究預(yù)防DDoS攻擊的有效方法就尤為重要。對DDoS的預(yù)防機制進行了全面的研究，并分析了每種防御機制的特點，用戶可根據(jù)系統(tǒng)的實際配置，選擇適合自身系統(tǒng)的DDoS預(yù)防機制。

關(guān)鍵詞：分布式拒絕服務(wù)；拒絕服務(wù)；預(yù)防機制；過濾

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2012)24-5777-03

Research on the Prevention of DDoS Attack

TANG Li-juan, SUN Ke-zhen

（Nantong Commercial Vocational College, Nantong 226000,China）

Abstract：Distributed denial of service attack is very popular in the current network, because it was difficult to defense. The best way to prevent any attack, use effective DDoS prevention mechanism to prevent the system from attack before the attack, so the study on the effec tive prevention method of DDoS attack is very important. A comprehensive study on DDoS prevention mechanism , and analyzes each kind of defense mechanism characteristic, users can in accordance with the actual configuration, select a suitable system of DDoS preven? tion mechanism.

Key words：DDoS；DOS；prevention technology；filtering

DDoS攻擊的巨大危害性，引起了全世界的高度重視，黑客采用DDoS攻擊成功地攻擊了幾個著名的網(wǎng)站，包括雅虎、微軟以及SCO、mazon.com、ebuy、CNN.com、BUY.com、ZDNet、Excite.com等國內(nèi)外知名網(wǎng)站，致使網(wǎng)絡(luò)中斷數(shù)小時，造成的經(jīng)濟損失到數(shù)百萬美元。由于其巨大的危害性，引起了人們的高度重視，科研機構(gòu)、大學(xué)以及國內(nèi)外的一些大公司紛紛對DDoS攻擊的防御展開了深入的研究。

1 DDoS攻擊的預(yù)防機制

預(yù)防任何攻擊的最好方法是完全阻止攻擊的發(fā)起，常用的DDoS攻擊的預(yù)防機制如表1所示，下面分析每種機制的實現(xiàn)原理及特點。

1.1過濾機制

早期對DDoS攻擊的預(yù)防主要通過過濾機制來實現(xiàn)，過濾機制可以分為輸入過濾、輸出過濾、基于路由器的包過濾、基于歷史IP地址的過濾和SOS過濾。

1.1.1輸入過濾

DDoS攻擊一般通過偽IP地址的數(shù)據(jù)包發(fā)動攻擊，如果能夠防止攻擊者偽造IP地址，那么DDoS攻擊就不會像現(xiàn)在這么猖獗。輸入過濾就提供了解決偽IP地址的方法。輸入過濾通過路由建立存儲IP地址的方法，例如不接受具有非法的源地址的數(shù)據(jù)包進入網(wǎng)絡(luò)。由Ferguson和Senie提出的輸入過濾[1]，通過限制連接來降低在路由器的入口處的IP地址和域前綴不匹配的流量。如果所有的域都用上的話，這種機制能夠明顯的降低DoS攻擊。當(dāng)用C. Perkins提出的移動IP[2]來連接移動節(jié)點和外部網(wǎng)絡(luò)時，該輸入過濾有時誤將合法的數(shù)據(jù)包丟掉。

輸入過濾存在著一些不足：首先不能防止攻擊者偽造IP地址為同一網(wǎng)段內(nèi)的其他IP地址；其次輸入過濾可能會影響到一些動態(tài)的網(wǎng)絡(luò)應(yīng)用服務(wù)；最后，如果想讓輸入過濾機制真正起到預(yù)防DDoS攻擊的效果，就必須在整個網(wǎng)絡(luò)中全局部署，起碼現(xiàn)在這樣部署是不可能的，因為這需要和ISP進行合作，而且會影響到某些動態(tài)網(wǎng)絡(luò)服務(wù)的運行，同時增加系統(tǒng)管理員的負擔(dān)和路由器的負載。

1.1.2輸出過濾

輸出過濾[3]是外部過濾，它保證了只有分配或指定的IP地址可以訪問網(wǎng)絡(luò)資源。除了配置問題，輸出過濾和輸入過濾類似。

1.1.3基于路由器的包過濾

由Park和Lee[4]提出的基于路由的包過濾，其實現(xiàn)原理是邊界路由器根據(jù)路由信息來判斷接收到的數(shù)據(jù)包中的源IP地址以及目的地址是否合法，若不合法則過濾掉該數(shù)據(jù)包。這種方法能夠過濾出大量的偽源IP地址的數(shù)據(jù)包，從而阻止這些偽IP地址的數(shù)據(jù)包發(fā)動攻擊，該方法也可以用來幫助IP追蹤?；诼酚蛇^濾的最大優(yōu)點是可以進行增量配置（據(jù)調(diào)查報告顯示，部署只需占18%的自治系統(tǒng)AS拓撲就可以防止偽IP地址的數(shù)據(jù)包流向其它AS），不像輸入過濾那樣必須全局部署才起到作用。更重要的是，在Inter? net上的路由信息是根據(jù)時間來改變的，這樣基于路由的過濾器就具有實時更新的功能。這種方法的主要缺點是它需要事先知道全局的網(wǎng)絡(luò)連接和網(wǎng)絡(luò)拓撲結(jié)構(gòu)，這樣測量方面存在困難。

1.1.4基于歷史IP地址的過濾

由Peng等提出了基于歷史IP地址的過濾[5]，該過濾機制是從另一個技術(shù)角度來阻止DDoS攻擊。這種方法的實現(xiàn)思想的是，邊路由器根據(jù)已經(jīng)建立的IP地址數(shù)據(jù)庫來允許請求的數(shù)據(jù)包通過，而IP地址數(shù)據(jù)庫是根據(jù)邊路由器以前連接的歷史而建立的，這種防御機制很健壯，因為它不需要和ISP進行合作，而且可以適用于很多數(shù)據(jù)流類型，需要的配置也少。然而，若攻擊者知道IP包過濾器是基于先前連接建立的，它們可以誤導(dǎo)服務(wù)器使它包括在IP地址數(shù)據(jù)庫中。

1.1.5安全覆蓋服務(wù)

安全覆蓋服務(wù)[6]是一種體系結(jié)構(gòu)，在這種體系結(jié)構(gòu)中包是來自小數(shù)量的叫做Servlets的節(jié)點，并假設(shè)這些合法的客戶端流量通過基于Hash路由的覆蓋網(wǎng)絡(luò)就能夠到達servlets節(jié)點，而其它的請求由覆蓋網(wǎng)絡(luò)來過濾。為了訪問覆蓋網(wǎng)絡(luò)，客戶端必須復(fù)制其中的一個訪問要點對自己進行鑒別。SOS以修改客戶端系統(tǒng)為代價，對特定的目標(biāo)起到很好的防御作用，因此它不適合用來保護公共服務(wù)器。

1.2其它有效的DDoS預(yù)防技術(shù)1.2.1關(guān)閉不用的服務(wù)

關(guān)閉不用的服務(wù)是另一種對付DDoS攻擊的方法。如果網(wǎng)絡(luò)中用不到UDP回應(yīng)包或者是特征產(chǎn)生器服務(wù)，那我們可以關(guān)閉這些功能，這樣有利于防御DDoS攻擊。通常地，如果我們關(guān)閉網(wǎng)絡(luò)服務(wù)中用不到的功能，相應(yīng)服務(wù)的系統(tǒng)漏洞就不會出現(xiàn)，那么提供給攻擊者的攻擊漏洞就會少很多，這樣有利于系統(tǒng)預(yù)防攻擊。

1.2.2安裝安全補丁

通過安裝安全補丁，也能夠保護主機免受DDoS攻擊。我們可以通過在網(wǎng)絡(luò)服務(wù)系統(tǒng)的主機上安裝最新的安全補丁，這樣提供給攻擊者可用的漏洞就會少很多，再結(jié)合當(dāng)前最有效的防御技術(shù)，可以大大降低DDoS攻擊造成的影響。

1.2.3變換IP地址(Changing IP Address)

變換IP地址的防御思想，是通過用新的IP地址來代替受害者計算機的當(dāng)前IP地址從而使得當(dāng)前的IP地址無效，這樣就轉(zhuǎn)移了目標(biāo)。一旦受害主機的IP地址變更完成，將通知所有的Internet上的路由器，邊路由器收到通知后立刻丟掉攻擊包。利用該方案，盡管攻擊者可以向新的IP地址發(fā)起攻擊，但是這種基于變換IP地址的方法對局部的DDoS攻擊是可行的。這種方法的缺點是，攻擊者可以通過對DDoS攻擊工具增加域名服務(wù)跟蹤的功能，從而使得該方案無效。

1.2.4關(guān)閉IP廣播

通過關(guān)閉IP廣播功能，ICMP洪水攻擊和Smurf攻擊中主服務(wù)器就不會被用作攻擊放大器，從而使攻擊者無法發(fā)起大規(guī)模的攻擊。然而，要使這種防御機制有效，必須要求所有鄰近網(wǎng)段全部關(guān)閉IP廣播功能。

1.2.5負載平衡

負載平衡技術(shù)也是一種防御DDoS攻擊的有效方案，網(wǎng)絡(luò)提供者通過在關(guān)鍵線路增加網(wǎng)絡(luò)帶寬，以防止他們在受到攻擊時網(wǎng)絡(luò)癱瘓。而且在多層服務(wù)器架構(gòu)中，使用負載均衡是非常有必要的，不僅可以改善常規(guī)的服務(wù)，而且對DDoS攻擊的預(yù)防和緩解也起到很大的作用。

1.2.6蜜罐技術(shù)

蜜罐技術(shù)是近幾年發(fā)展起來的，一種基于誘騙理論主動防御的網(wǎng)絡(luò)安全技術(shù)。蜜罐系統(tǒng)不是真正的系統(tǒng)，它使用有限的安全策略欺騙攻擊者來攻擊蜜罐。蜜罐不僅可以用在防護系統(tǒng)中，而且可以用它們存儲攻擊活動的記錄和知道攻擊者攻擊的類型以及攻擊者用的是什么軟件工具進行的攻擊，從而來獲得關(guān)于攻擊者的信息。當(dāng)前的研究討論用蜜罐來模仿合法網(wǎng)絡(luò)工作的各個方面（例如Web服務(wù)器，郵件服務(wù)器，客戶端等）來吸引潛在的DDoS攻擊者。這種思想是引誘攻擊者相信，它找到了可用的系統(tǒng)（如蜜罐）來作為合作伙伴進行攻擊，并且吸引它在蜜罐上面安裝操縱端或者代理端的代碼。這樣就會防止一些合法的系統(tǒng)受到利用，跟蹤操縱者或者代理端，這樣可以更好的了解如何防御以后的DDoS攻擊的配置。故相對于入侵檢測、防火墻等傳統(tǒng)的安全防御技術(shù)，蜜罐技術(shù)可使在防御DDoS攻擊中變被動為主動，從而有效的預(yù)防DDoS攻擊的發(fā)生。

蜜罐按照其與入侵者交互程度可劃分為低交互和高交互蜜罐，交互度反映了攻擊者在蜜罐上進行攻擊活動的自由度。低交互蜜罐一般僅僅模擬操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)，入侵者不可能得到真正系統(tǒng)的訪問權(quán)限，而高交互蜜罐具有一個真實的操作系統(tǒng)，它對攻擊者提供真實的系統(tǒng)，所以危險性比較大。在預(yù)防實施時，可以通過在受害者增加一臺高性能的專用機器和一個蜜罐子網(wǎng)，當(dāng)檢測模塊檢測到系統(tǒng)遭到DDoS攻擊時，將數(shù)據(jù)流遷移到專用機器上，將請求用戶的IP地址與IP表中的用戶對照（這里的IP表和緩解模塊中的IP表可以共用），不在IP表中的用戶將牽引到蜜罐子網(wǎng)，而在IP表中的用戶將繼續(xù)訪問真實的系統(tǒng)，這樣不影響VIP用戶的正常訪問。蜜罐主機系統(tǒng)記錄攻擊的行為，并將這些信息保存到日志文件中，日志文件可以存放在受害者主機，但要求有嚴格的訪問權(quán)限，受害者可以通過這些日志信息，通知追蹤模塊，重構(gòu)出攻擊路徑。

2結(jié)論

對DDoS的預(yù)防機制進行了全面的研究，并分析了每種防御機制的特點，用戶可根據(jù)系統(tǒng)的實際配置，選擇適合自身系統(tǒng)的DDoS預(yù)防機制。預(yù)防機制增強了系統(tǒng)的安全，但是它不能夠完全移除DDoS攻擊的威脅，因為預(yù)防的措施都是針對已存在的DDoS攻擊類型，對新類型的攻擊總是存在缺陷，因為這些新類型的DDoS攻擊的認證和補丁還沒有存儲在數(shù)據(jù)庫中，因此要結(jié)合攻擊的檢測、追蹤和響應(yīng)等措施，以保證系統(tǒng)的安全。

參考文獻：

[1] P. Ferguson,D. Senie,Network ingress filtering:defeating Denial of Service attacks which employ IP source address spoofing,RFC 2827[R], 2001.

[2] C. Perkins,IP mobility support for IPv4,IETF RFC 3344[R],2002.

[3] Global Incident analysis Center Special Notice Egress filtering[C].www.sans.org/y2k/egress.

[4] K. Park.On the effectiveness of route-based packet filter for Distributed DoS attack prevention in powerlaw Internets [C].New York, 2001: 15-26.

[5] T.Peng.Protection from Distributed Denial of Service attack using history-based IP filter Proceedings of IEEE International Conference on Communications [C].USA, 2003.

[6] A. Keromytis, V. Misra, D. Rubenstein，SoS:secure overlay services, Proceedings of the ACM SIGCOMM_02 Conference on Applications, Technologies, Architectures and Protocols for Computer Communications[C]. New York, 2002: 61-72.