徐 斌

（南京鐵道職業(yè)技術(shù)學(xué)院信息管理中心 江蘇 210015）

0 引言

Incapsula公司今年發(fā)表了一篇有關(guān)DDoS（分布式拒絕服務(wù)）攻擊的趨勢分析文章，稱2014年DDoS攻擊正呈現(xiàn)出更大、更快、更強(qiáng)、更聰明的趨勢。他們發(fā)現(xiàn)，2014年以來DDoS攻擊呈現(xiàn)出了快速飆升的勢頭，與去年同期相比，今年的 DDoS攻擊行為增加了240%。

1 當(dāng)前DDOS的現(xiàn)狀

現(xiàn)階段的DDOS攻擊呈現(xiàn)出了下面兩個(gè)特點(diǎn)：

（1）攻擊活躍。結(jié)合各方統(tǒng)計(jì)數(shù)據(jù)可以看出，現(xiàn)階段的DDOS攻擊活動還處在一個(gè)高發(fā)期，無論是在持續(xù)增長的大小、速度、持續(xù)時(shí)間和復(fù)雜性上，都有了比較明顯的增長。一方面，低技術(shù)門檻的特點(diǎn)使得DDOS攻擊變成了一種簡單高效、極易實(shí)施的行為；另一方面，大量的缺乏安全措施的終端/服務(wù)器，也為DDOS的攻擊提供了數(shù)量可觀的僵尸資源，使得發(fā)動攻擊成為可能。

（2）攻擊目標(biāo)對象清晰，攻擊目的明確。數(shù)據(jù)中心一直是DDoS攻擊的重災(zāi)區(qū)。在數(shù)據(jù)中心，排名前三的被攻擊業(yè)務(wù)分別為電子商務(wù)、在線游戲、DNS服務(wù)。尤其是針對DNS服務(wù)的攻擊影響面最廣，對互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)所造成的威脅也最嚴(yán)重。政治上的惡意動機(jī)、對手之間的惡意競爭、敲詐勒索等經(jīng)濟(jì)犯罪，是黑客發(fā)起DDOS的主要目的。

2 DDOS的主要攻擊方式分析

2.1 大流量沖擊型

大流量攻擊一方面使得基礎(chǔ)網(wǎng)絡(luò)的出口擁塞、帶寬被占滿，正常的業(yè)務(wù)流量無法得到帶寬保證，另一方面基礎(chǔ)網(wǎng)絡(luò)的安全設(shè)備、服務(wù)器主機(jī)等設(shè)備也因?yàn)檫^量的負(fù)載導(dǎo)致CPU繁忙甚至掛死，整個(gè)網(wǎng)絡(luò)可能癱瘓并無法繼續(xù)對外提供服務(wù)，主要的攻擊形式如下所述。

2.1.1 以SYN Flood為代表的有狀態(tài)協(xié)議報(bào)文攻擊

SYN Flood攻擊是目前使用最為廣泛的攻擊方式，它充分利用了TCP協(xié)議三次握手機(jī)制的特點(diǎn)，偽造大量的源IP和端口的SYN報(bào)文，在向服務(wù)器端發(fā)送第一個(gè)SYN報(bào)文后，不再繼續(xù)發(fā)送后續(xù)響應(yīng)報(bào)文，導(dǎo)致服務(wù)器端在發(fā)送SYN+ACK的響應(yīng)報(bào)文后，因?yàn)槭詹坏巾憫?yīng)報(bào)文而長時(shí)間的保持TCP連接，最終導(dǎo)致服務(wù)器因?yàn)榇嬖诖罅康陌脒B接而資源耗盡而造成拒絕服務(wù)，通過對僵尸網(wǎng)絡(luò)大量“肉雞”主機(jī)的控制很容易形成大規(guī)模的SYN Flood攻擊。

除了傳統(tǒng)的SYN報(bào)文攻擊之外，攻擊者還可以在這個(gè)基礎(chǔ)上進(jìn)行變形形成新的類似攻擊，例如使用ACK報(bào)文進(jìn)行Flood攻擊、構(gòu)造超長字節(jié)數(shù)目的攻擊報(bào)文、修改TCP頭的TCP標(biāo)志位使得協(xié)議狀態(tài)機(jī)混亂的攻擊、短時(shí)間內(nèi)大量建立完整TCP連接使得應(yīng)用程序的TCP并發(fā)連接數(shù)達(dá)到極限值從而造成拒絕服務(wù)，這是目前使用比較多的攻擊方式

2.1.2 以UDP/ICMP Flood為代表的無狀態(tài)協(xié)議報(bào)文攻擊

基于UDP協(xié)議的DDOS比較簡單易行。黑客只需要偽造大量IP地址和小字節(jié)的UDP報(bào)文，針對特定的應(yīng)用服務(wù)器及其端口號，連續(xù)大量發(fā)包沖擊諸如DNS域名解析服務(wù)器、Radius認(rèn)證服務(wù)器及流媒體視頻服務(wù)器等。這些攻擊報(bào)文將導(dǎo)致目標(biāo)服務(wù)器始終處在繁忙狀態(tài)，從而影響正常UDP消息的處理。其他諸如ICMP Flood攻擊，其原理也和UDP比較類似。

2.2 應(yīng)用層資源消耗型

應(yīng)用層攻擊不是依靠超大規(guī)模的流量取勝，其主要是通過模擬用戶發(fā)送請求，對特定的應(yīng)用或服務(wù)的資源進(jìn)行消耗占用，利用較小的流量攻擊就可以耗盡應(yīng)用層資源并拒絕提供服務(wù)，這其中以HTTP GET和DNS Query為典型代表。

2.2.1 HTTP GET攻擊

作為CC（Challenge Collapsar）攻擊的一種主要表現(xiàn)形式，HTTP GET的攻擊目前比較流行。攻擊者可能通過單主機(jī)構(gòu)造多個(gè)IP地址或者通過控制的大量的僵尸主機(jī)，在和服務(wù)器建立正常的 TCP連接，之后不斷的向目標(biāo)服務(wù)器特定頁面發(fā)起HTTP GET請求來達(dá)到拒絕服務(wù)攻擊的目的.

2.2.2 DNS查詢的泛洪攻擊

黑客通過利用僵尸網(wǎng)絡(luò)（或模擬大量 IP地址）基于真實(shí)DNS協(xié)議發(fā)起大量DNS Query域名查詢請求，導(dǎo)致DNS服務(wù)器資源被大量消耗，網(wǎng)絡(luò)帶寬被占用耗盡，使得無法傳送正常DNS查詢請求；或者發(fā)送大量非法域名查詢報(bào)文引起DNS服務(wù)器持續(xù)進(jìn)行迭代查詢，從而達(dá)到用小流量實(shí)現(xiàn)攻擊的效果，比如5.19安全事件，暴風(fēng)影音的DNS攻擊事件。

3 DDOS攻擊的主要防護(hù)方式分析

考慮到DDOS攻擊的多樣性，現(xiàn)階段沒有辦法完全杜絕這種攻擊行為的發(fā)生，但是我們可以做到減少被DDOS攻擊，在遭受DDOS攻擊之后快速恢復(fù)業(yè)務(wù)。接下來將從四個(gè)方面進(jìn)行分析。

3.1 網(wǎng)絡(luò)安全管理員通過合理的配置實(shí)現(xiàn)攻擊預(yù)防

在運(yùn)維管理過程中，網(wǎng)絡(luò)安全管理員除了調(diào)整 WEB服務(wù)器負(fù)載，做好業(yè)務(wù)之間的冗余備份和負(fù)載均衡外，還可以關(guān)注以下幾個(gè)方面的配置調(diào)整，以減少被攻擊的風(fēng)險(xiǎn)。

確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補(bǔ)丁，避免服務(wù)器本身的安全漏洞被黑客控制和利用。同時(shí)關(guān)閉不需要使用的服務(wù)和端口，禁止使用網(wǎng)絡(luò)訪問程序如Telnet、FTP、Rlogin等，必要的話使用類似SSH等加密訪問程序，避免這些端口被攻擊者利用。

建設(shè)完整的安全日志跟蹤系統(tǒng)，在網(wǎng)絡(luò)的邊緣出口運(yùn)行端口映射程序或端口掃描程序，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中可能存在的惡意端口掃描等行為，同時(shí)對網(wǎng)絡(luò)設(shè)備、主機(jī)/服務(wù)器系統(tǒng)的日志進(jìn)行收集分析，及時(shí)發(fā)現(xiàn)可能存在異常的日志行為并進(jìn)行排查。

3.2 利用防火墻等設(shè)備實(shí)現(xiàn)DDOS攻擊檢測

目前的狀態(tài)檢測防火墻等安全設(shè)備都具備一定的安全攻擊檢測能力，一般其情況下基于對協(xié)議報(bào)文的狀態(tài)跟蹤，可以準(zhǔn)確發(fā)現(xiàn)一些畸形TCP協(xié)議報(bào)文的攻擊。除此之外，現(xiàn)階段的典型攻擊檢測方式還有以下幾種。

使能TCP Proxy連接代理技術(shù)。防火墻產(chǎn)品可以利用TCP Proxy代理功能，實(shí)現(xiàn)對攻擊報(bào)文的準(zhǔn)確識別。通過這種代理技術(shù)可以準(zhǔn)確的識別基于 TCP連接狀態(tài)的攻擊報(bào)文，如針對SYN Flood攻擊，TCP半連接狀態(tài)攻擊等。

智能會話管理技術(shù)。TCP連接并發(fā)的攻擊，因?yàn)槠浔旧碛型暾腡CP 三次握手，因此常規(guī)的TCP 代理技術(shù)并不能有效檢測。為了避免這種情況，防火墻產(chǎn)品可以在TCP代理的基礎(chǔ)上進(jìn)一步改進(jìn)，在TCP連接建立后，防火墻會主動檢測該TCP連接的流量大小，如果設(shè)備存在大量的沒有流量的空連接，則設(shè)備會主動將該TCP連接進(jìn)行老化，避免這些空連接占用耗盡服務(wù)器的會話資源。

HTTP兩次重定向技術(shù)。在接受到HTTP Get請求之前，安全設(shè)備會與客戶端瀏覽器進(jìn)行虛擬連接，待瀏覽器發(fā)送 HTTP Get報(bào)文請求后，將所要GET的URL進(jìn)行重定向發(fā)向該瀏覽器，等待瀏覽器發(fā)起對該重定向鏈接的訪問。如果瀏覽器再次發(fā)起該請求，則將該客戶端加入到信任的IP列表，并再次重定向到瀏覽器所要請求的正確 URL，后續(xù)可以根據(jù)該 IP地址黑白名單信譽(yù)列表轉(zhuǎn)發(fā)。

3.3 基于流量模型自學(xué)習(xí)的攻擊檢測方法

對于部分缺乏狀態(tài)的協(xié)議報(bào)文攻擊，因攻擊報(bào)文屬于正常報(bào)文，很難以通用的檢測技術(shù)判斷是否是攻擊報(bào)文，此時(shí)可以通過流量自學(xué)習(xí)模型可以較好的解決這個(gè)問題。

在用戶的自定義學(xué)習(xí)周期中，系統(tǒng)將獲取用戶在這個(gè)時(shí)間段內(nèi)的流量分布情況，形成包含L4-L7層信息的流量模型。其參數(shù)包括但不限于：帶寬占用情況、L4層協(xié)議端口的流量分布統(tǒng)計(jì)、應(yīng)用層協(xié)議的種類及帶寬分布、TCP報(bào)文帶寬速率、會話連接數(shù)目及每秒新建速率參數(shù)、ICMP/UDP報(bào)文的速率、HTTP協(xié)議的帶寬大小等，然后形成符合用戶流量實(shí)際的比對模型，并作為后續(xù)判斷網(wǎng)絡(luò)中是否存在異常流量的標(biāo)準(zhǔn)。流量模型確立后，系統(tǒng)可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)的流量并與模型進(jìn)行比對，一旦超出模型標(biāo)準(zhǔn)一定的比例將被定義為異常流量，此時(shí)系統(tǒng)將生成動態(tài)過濾規(guī)則對網(wǎng)絡(luò)流量進(jìn)行過濾和驗(yàn)證，如驗(yàn)證源IP地址的合法性、對異常的流量進(jìn)行丟棄，從而實(shí)現(xiàn)對DDOS攻擊的防御。

3.4 基于云計(jì)算服務(wù)實(shí)現(xiàn)DDOS攻擊防護(hù)

在實(shí)際的DDOS攻擊防護(hù)過程中，面對萬兆以上超大規(guī)模的攻擊流量，攻擊對象的出口帶寬可能被完全擁塞，此時(shí)企業(yè)內(nèi)部的DDOS檢測和防護(hù)措施已經(jīng)無法解決問題，租用高性能的運(yùn)營商的云計(jì)算DDOS服務(wù)成為現(xiàn)實(shí)的選擇。云計(jì)算服務(wù)商的主要優(yōu)勢是其超高的攻擊檢測性能和城域網(wǎng)內(nèi)部就地清除攻擊報(bào)文的能力。另外除了上述提到的一些攻擊檢測方式外，云計(jì)算服務(wù)商還可以充分利用云安全檢測機(jī)制來識別攻擊。比較典型的有基于IP信譽(yù)和惡意URL地址庫的識別機(jī)制。對于惡意的IP地址和和惡意 URL鏈接訪問流量直接攔截丟棄，最大限度提升防護(hù)效率。

利用云計(jì)算服務(wù)商實(shí)現(xiàn)DDOS攻擊防護(hù)的工作流程如下：首先，通過引流技術(shù)將需要分析攻擊的用戶流量引導(dǎo)到DDOS攻擊檢測平臺，再綜合利用檢測平臺的各種技術(shù)最終實(shí)現(xiàn)對用戶流量的攻擊檢測；其次，當(dāng)攻擊檢測平臺探測到疑似異常攻擊流量后，將用戶的疑似攻擊流量自動牽引到服務(wù)商的流量清洗中心進(jìn)行惡意流量清除；最后，攻擊清除后的合法流量回注到原有網(wǎng)絡(luò)，并上報(bào)清洗日志到業(yè)務(wù)管理中心生成各種攻擊報(bào)告，以便提供給云計(jì)算DDOS服務(wù)的租戶審計(jì)。

4 結(jié)束語

互聯(lián)網(wǎng)業(yè)務(wù)和云計(jì)算的發(fā)展熱潮，將會導(dǎo)致針對云數(shù)據(jù)中心的DDoS攻擊頻率大幅增長，攻擊手段也會更加復(fù)雜；同時(shí)隨著全球LTE建設(shè)步伐的加快，移動網(wǎng)絡(luò)帶寬迅速提升，移動智能終端和應(yīng)用的不斷豐富，黑客將會在移動互聯(lián)網(wǎng)嗅到更多的利益引誘，并可能開始嘗試發(fā)起DDOS攻擊；運(yùn)營商和云計(jì)算服務(wù)商需要更多的關(guān)注DDOS的攻擊危害，綜合多種安全防護(hù)手段，并通過云計(jì)算服務(wù)DDOS服務(wù)租用的方式進(jìn)行布局。

[1]王雪玉.新一波DDOS來襲.金融科技時(shí)代，2013.3.

[2]余雙成.DDoS攻擊檢測技術(shù)研究.北京郵電大學(xué)碩士論文，2013.

[3]Mims，Christopher.The Huge DDoS Attack That's Clogging Up the Whole Internet--Right.Now National Journal，2013.