魏春霞，張琳琳，趙 楷

（新疆大學(xué) 信息科學(xué)與工程學(xué)院，新疆 烏魯木齊830046）

0 引 言

Web服務(wù)主要面臨的安全攻擊包括DoS攻擊、Web服務(wù)探測攻擊、注入攻擊、參數(shù)篡改攻擊、惡意內(nèi)容攻擊等［1，2］。其中，拒絕服務(wù) （DoS）攻擊是當(dāng)前網(wǎng)絡(luò)主要攻擊手段之一，當(dāng)拒絕服務(wù)攻擊發(fā)生時(shí)，受攻擊的服務(wù)器或網(wǎng)絡(luò)不能正常接受、處理外界合法請(qǐng)求，導(dǎo)致服務(wù)器無法響應(yīng)合法用戶的請(qǐng)求。運(yùn)行于網(wǎng)絡(luò)環(huán)境下的Web服務(wù)因其具有可擴(kuò)展性、松耦合性等特點(diǎn)及其相關(guān)協(xié)議的本身具有的脆弱性，使其易遭受DoS攻擊。Web服務(wù)DoS攻擊事件的發(fā)生阻礙了Web服務(wù)的進(jìn)一步應(yīng)用與發(fā)展，因此，DoS攻擊的檢測、防御研究工作具有重要的理論意義和實(shí)際價(jià)值。基于源地址偽造的DoS攻擊是較為常見的攻擊方式，攻擊者可隨意偽造報(bào)文中的源地址，隱藏其身份，進(jìn)行非法操作。這種攻擊方式很難追溯攻擊者的真實(shí)身份，對(duì)合法流量的識(shí)別也變得十分困難。

本文針對(duì)Web服務(wù)中存在的源地址偽造DoS 攻擊問題，提出一種基于安全令牌的防御Web服務(wù)DoS攻擊的方法。該方法是在研究了WSS 標(biāo)準(zhǔn)中5 種安全令牌的基礎(chǔ)上，針對(duì)面向特定應(yīng)用領(lǐng)域Web服務(wù)的防范DoS 攻擊要求，提出一種新的安全令牌，同時(shí)采取相應(yīng)的非對(duì)稱加密算法RSA 對(duì)安全令牌進(jìn)行加密。實(shí)驗(yàn)結(jié)果表明該方法的提出能夠有效地防御基于源地址偽造的DoS攻擊，提高Web服務(wù)的安全性。

1 相關(guān)工作

為了保證Web 服務(wù)SOAP 消息的安全通信。微軟、IBM、Verisign 等聯(lián)合推出了WS－Security （WSS）規(guī)范，WSS是一種提供Web服務(wù)應(yīng)用安全的網(wǎng)絡(luò)傳輸協(xié)議，其目的是構(gòu)建安全的SOAP消息交換機(jī)制，保證SOAP 消息的機(jī)密性及完整性。WSS 規(guī)范包含基于XML 的安全令牌，這些令牌封裝了用戶名／口令、X.509 證書、REL、SAML及Kerberos票據(jù)等認(rèn)證信息，令牌的使用能夠使Web服務(wù)達(dá)到雙向認(rèn)證［1］。用戶名／口令令牌定義了如何通過用戶名驗(yàn)證服務(wù)請(qǐng)求者的身份問題，X.509 令牌定義了如何將X.509證書應(yīng)用于SOAP 消息中，X.509 證書主要用于身份驗(yàn)證，需要使用與簽名者私鑰相對(duì)應(yīng)的公鑰解密消息，從而達(dá)到驗(yàn)證消息的目的；SAML 令牌定義了如何將SAML斷言應(yīng)用于SOAP安全頭，以及如何引用SOAP 消息內(nèi)部的這些斷言，Kerberos令牌定義了如何將Kerberos票據(jù)附加到SOAP消息中，和X.509證書令牌一樣，擁有令牌是通過使用相應(yīng)的密鑰簽署消息進(jìn)行證明的［3－7］。WSS的提出在一定程度上保證了Web服務(wù)SOAP 消息的安全。但是，該規(guī)范并沒有涉及Web服務(wù)請(qǐng)求者的源地址認(rèn)證問題，而攻擊者就可能利用這一缺陷對(duì)源地址進(jìn)行偽造，從而對(duì)Web服務(wù)提供方實(shí)施DoS攻擊。

DoS攻擊的防御是目前網(wǎng)絡(luò)安全方面的熱點(diǎn)問題，許多研究者都提出了自己的研究方案。文獻(xiàn) ［8］提出了用戶域名令牌，由于域名IP查詢服務(wù)器中含有域名列表。Web服務(wù)提供方接收服務(wù)請(qǐng)求后，通過查詢域列表可知IP地址是否合法。文獻(xiàn) ［9］設(shè)計(jì)了一種統(tǒng)計(jì)源地址數(shù)據(jù)包數(shù)量的數(shù)據(jù)結(jié)構(gòu)ECBF （extended counting bloom filter）。在ECBF的基礎(chǔ)上，提出了隨機(jī)偽造源地址分布式拒絕服務(wù)攻擊發(fā)生時(shí)合法地址識(shí)別算法。通過優(yōu)先轉(zhuǎn)發(fā)來自合法地址的數(shù)據(jù)包，實(shí)現(xiàn)對(duì)合法流量的有效保護(hù)，從而有效地抵御了拒絕服務(wù)攻擊。文獻(xiàn) ［10］使用client puzzles保護(hù)Web服務(wù)免受DoS攻擊，client puzzles是一種密碼策略，它通過要求客戶在被授權(quán)之前解決一些難題的方式提供一種逐步驗(yàn)證的方式，從而達(dá)到目標(biāo)。文獻(xiàn) ［11］通過深入分析DoS攻擊防御原則和技術(shù)，提出3種預(yù)防DoS攻擊的方式：使用路由器DoS攻擊預(yù)防，增加可信賴的平臺(tái)模塊以及增強(qiáng)系統(tǒng)的可防御性；文獻(xiàn) ［12］提出了基于模型自適應(yīng)的體系結(jié)構(gòu)和算法，用于檢測處于Web應(yīng)用層的DoS攻擊，同時(shí)減緩這種攻擊的發(fā)生，通過使用性能模型預(yù)測即將來臨的請(qǐng)求的影響，決策機(jī)自適應(yīng)地產(chǎn)生過濾流量的規(guī)則，同時(shí)發(fā)送值得懷疑的流量進(jìn)行進(jìn)一步核查，這種方式的作用是丟棄非法請(qǐng)求，最終達(dá)到預(yù)防DoS攻擊的目的。

文獻(xiàn) ［9－12］提出的方法是基于網(wǎng)絡(luò)層的，文獻(xiàn) ［14］是基于MAC 層的，而本文提出的方法是基于SOAP 消息層的。本文的方法與文獻(xiàn) ［8］類似，不同之處在于本文提出的安全令牌所包含的MAC 地址是唯一且不容易被改變的，同時(shí)對(duì)提出的MAC 令牌采取了相應(yīng)的保護(hù)措施。因此既保證了令牌的安全，也保證了Web服務(wù)免于遭受基于源地址偽造的DoS攻擊。

2 Web服務(wù)DoS攻擊防御

2.1 Web服務(wù)面臨的主要攻擊

Web服務(wù)開放，語言獨(dú)立及松耦合等特性為電子商務(wù)帶來極大便利的同時(shí)，諸多安全問題也隨之而來。這些安全問題在一定程度上阻礙了Web服務(wù)的發(fā)展。因此，如何提高Web服務(wù)的安全性，保證Web服務(wù)的正常運(yùn)行，已成為Web服務(wù)進(jìn)一步推廣應(yīng)用亟待解決的問題之一。

Web服務(wù)的核心技術(shù)包括SOAP，WSDL和UDDI，這些核心技術(shù)以及Web服務(wù)安全相關(guān)標(biāo)準(zhǔn)所固有的安全缺陷成為攻擊者攻擊的主要目標(biāo)。Web服務(wù)中常見的攻擊有服務(wù)探測攻擊，權(quán)限提升攻擊，參數(shù)篡改攻擊，DoS攻擊等。DoS攻擊不僅降低了Web服務(wù)的服務(wù)質(zhì)量同時(shí)減弱了服務(wù)的可用性，導(dǎo)致服務(wù)器和網(wǎng)絡(luò)無法正常地提供服務(wù)［13］。Web服務(wù)易遭受DoS攻擊的原因如下：首先，由于Web服務(wù)是通過XML 描述的，而XML 中隱含DoS漏洞；此外，Web服務(wù)具有松耦合特性，這就意味著客戶為了調(diào)用服務(wù)需要訪問應(yīng)用程序元數(shù)據(jù)。但是，如果服務(wù)器響應(yīng)的是未授權(quán)請(qǐng)求，攻擊者將向服務(wù)器發(fā)送大量請(qǐng)求，目的是耗盡服務(wù)器資源。盡管第2種缺陷通過身份驗(yàn)證能夠得到緩解，但是在Web服務(wù)環(huán)境中驗(yàn)證每一條請(qǐng)求是不可能的［15］。一般來說，Web服務(wù)中常見的DoS 攻擊包含SOAP 洪泛攻擊，超大負(fù)載攻擊和遞歸負(fù)載攻擊，SOAP 洪泛攻擊是發(fā)送者發(fā)送大量相同的SOAP請(qǐng)求，導(dǎo)致Web服務(wù)提供者承受過剩的載荷，致使它們無法正常提供服務(wù)；在超大載荷攻擊中，攻擊者利用XML文檔能夠無限遞歸嵌套的特點(diǎn)引發(fā)DoS攻擊，通過創(chuàng)建過度復(fù)雜且多重嵌套的XML 文檔對(duì)XML解析器實(shí)施攻擊［16］。這些攻擊都無不對(duì)Web服務(wù)造成了威脅。

為了保證Web服務(wù)的安全運(yùn)行，Web服務(wù)安全相關(guān)標(biāo)準(zhǔn)的使用必不可少。Web 服務(wù)安全標(biāo)準(zhǔn)主要包括WSS，WS－Trust，WS－Secure conversation等。這些規(guī)范都以特定的方式執(zhí)行，但它們并未涉及服務(wù)請(qǐng)求者的源地址認(rèn)證問題。為了防范基于源地址偽造的DoS攻擊，本文在研究了WSS的5種安全令牌的基礎(chǔ)上，提出MAC令牌。

2.2 MAC令牌

通過對(duì)WSS的分析可知，WSS中的安全機(jī)制并未涉及服務(wù)請(qǐng)求者源地址認(rèn)證問題。然而，在一定程度上，Web服務(wù)提供者獲悉服務(wù)請(qǐng)求者的源地址可丟棄來自未知或偽造源地址的Web服務(wù)請(qǐng)求，從而保證Web服務(wù)的安全。偽造源地址DoS攻擊是最易開展，卻又最容易見效的攻擊方式［2］，因而這一缺陷常常被攻擊者所利用，攻擊者采用偽造源地址進(jìn)行DoS攻擊，最終致使服務(wù)主機(jī)資源或網(wǎng)絡(luò)帶寬耗盡［9］。因此，在Web服務(wù)開始交互時(shí)，服務(wù)提供者必須通過某種方式獲得Web服務(wù)請(qǐng)求者的安全相關(guān)信息以判定請(qǐng)求者是否為合法請(qǐng)求者。

本文利用SOAP消息在網(wǎng)絡(luò)傳輸中的可擴(kuò)展性，將一種新的安全令牌MAC令牌引入到SOAP消息頭中，SOAP消息封裝了該令牌，同時(shí)在Web服務(wù)參與者間傳輸SOAP消息。MAC令牌封裝了Web服務(wù)請(qǐng)求者的MAC地址。當(dāng)服務(wù)提供者收到請(qǐng)求之后，首先查看SOAP 消息頭中的MAC令牌，將其與Web服務(wù)提供方服務(wù)器內(nèi)部的MAC、IP地址對(duì)記錄進(jìn)行對(duì)比，進(jìn)而判斷服務(wù)請(qǐng)求者的MAC 地址是否存在于服務(wù)器內(nèi)地址對(duì)列表內(nèi)同時(shí)服務(wù)請(qǐng)求者的IP是否正確，若符合要求，則接受請(qǐng)求，處理請(qǐng)求內(nèi)容；否則，丟棄服務(wù)請(qǐng)求。如圖1所示。

圖1 安全SOAP消息表示

封裝安全令牌的SOAP 消息主要由SOAP header與SOAP body組成。WS－Security的相關(guān)內(nèi)容在SOAP頭中得以呈現(xiàn)。本文將提出的MAC 令牌引入SOAP頭與WSS中的其他令牌配合使用。用于檢測源地址的MAC 令牌的語法必須遵循XML語法規(guī)則，通過分析制定了MAC 令牌的語法規(guī)則。圖2給出了MAC 令牌實(shí)例。在WSS內(nèi)部，從令牌內(nèi)部可得出到服務(wù)請(qǐng)求者的MAC 地址。本文提出的令牌需要在Web服務(wù)提供方服務(wù)器的配合下才能達(dá)到應(yīng)有的效果。

圖2 MAC令牌實(shí)例

當(dāng)Web服務(wù)提供者收到SOAP請(qǐng)求之后，他們首先解析MAC令牌，這樣將在一定程度上節(jié)省計(jì)算資源，省去不必要的開支。

2.3 對(duì)MAC令牌實(shí)施的保護(hù)措施

由于SOAP消息在公共網(wǎng)絡(luò)中傳輸，存在被竊取和篡改的風(fēng)險(xiǎn)。為了防止攻擊者截獲SOAP 消息，同時(shí)通過截獲的SOAP消息獲取MAC地址，繼而以此MAC地址作為憑證向Web服務(wù)提供方發(fā)送非法請(qǐng)求，最終達(dá)到攻擊的目的。針對(duì)這種潛在威脅，本文提出了一種安全框架用于保護(hù)SOAP 消息中的MAC 令牌。這種安全流程圖旨在保護(hù)傳輸中MAC 令牌中的MAC 地址，可防止SOAP 頭中的MAC地址被攻擊者監(jiān)測利用。為了保證MAC 令牌的加密過程安全可靠，本文采用非對(duì)稱加密算法對(duì)其進(jìn)行加密。在加密過程中，通過可信權(quán)威機(jī)構(gòu)的協(xié)助，完成對(duì)SOAP消息中MAC令牌的加密。

圖3給出了MAC令牌安全保護(hù)的流程。服務(wù)請(qǐng)求者首先從值得信賴的Web服務(wù)獲取到密鑰對(duì)，再對(duì)密鑰存儲(chǔ)機(jī)構(gòu)發(fā)出存儲(chǔ)私鑰請(qǐng)求，期間要經(jīng)過密鑰管理機(jī)構(gòu)的管理；而后Web服務(wù)請(qǐng)求者使用公鑰對(duì)MAC 令牌加密，將加密后的SOAP消息發(fā)送至Web服務(wù)提供者，服務(wù)提供者從密鑰存儲(chǔ)機(jī)構(gòu)獲得相應(yīng)的私鑰并對(duì)加密的MAC 令牌進(jìn)行解密，最終根據(jù)所獲MAC 地址，查詢服務(wù)器中是否含有相同MAC、IP地址對(duì)。如果存在，服務(wù)提供者將處理請(qǐng)求，否則丟棄請(qǐng)求。

圖3 MAC令牌安全保護(hù)框架

3 實(shí)驗(yàn)與分析

3.1 實(shí)驗(yàn)環(huán)境

下面結(jié)合由本團(tuán)隊(duì)開發(fā)的中國郵政編碼查詢系統(tǒng)，詳細(xì)說明實(shí)驗(yàn)的執(zhí)行過程。本系統(tǒng)是由C＃編寫，可遠(yuǎn)程訪問的Web服務(wù)。通過調(diào)用該Web服務(wù)，能夠?qū)崿F(xiàn)郵政編碼與地名的雙向查詢。圖4 描述了該Web服務(wù)的物理架構(gòu)。用戶通過主機(jī)查詢郵政編碼／地名，攻擊方 （LOIC）通過截獲用戶的SOAP消息，對(duì)主機(jī)發(fā)出請(qǐng)求最終達(dá)到攻擊主機(jī)的目的。

圖4 郵政編碼查詢系統(tǒng)物理架構(gòu)

在該實(shí)驗(yàn)中，我們選擇Web服務(wù)請(qǐng)求到達(dá)率，服務(wù)提供者響應(yīng)時(shí)間和CPU 利用率作為實(shí)驗(yàn)參數(shù)。Web服務(wù)請(qǐng)求到達(dá)率反映了服務(wù)請(qǐng)求到達(dá)數(shù)量的多少，服務(wù)提供者響應(yīng)時(shí)間能夠標(biāo)識(shí)服務(wù)響應(yīng)的快慢，同時(shí)也能夠作為DoS攻擊發(fā)生的指標(biāo)之一，CPU 利用率反應(yīng)了Web服務(wù)消耗主機(jī)內(nèi)存的比率。實(shí)驗(yàn)過程中，首先測量正常執(zhí)行的Web服務(wù)的3項(xiàng)指標(biāo)；而后，利用著名的DoS攻擊工具LOIC 對(duì)Web服務(wù)實(shí)施攻擊，同時(shí)統(tǒng)計(jì)Web服務(wù)的該3項(xiàng)參數(shù)；將本文提出的方法應(yīng)用于正常執(zhí)行的Web服務(wù)中，同時(shí)給出該3項(xiàng)參數(shù)值；最后，將本文提出方法應(yīng)用于Web服務(wù)后，對(duì)Web服務(wù)實(shí)施攻擊的同時(shí)，給出3項(xiàng)參數(shù)值。

3.2 實(shí)驗(yàn)結(jié)果與分析

對(duì)于每一個(gè)實(shí)驗(yàn)，跟蹤并記錄CPU 利用率，服務(wù)提供者響應(yīng)時(shí)間以及服務(wù)請(qǐng)求到達(dá)率，分析并比較實(shí)驗(yàn)結(jié)果。圖5～圖7分別展示了CPU 利用率，服務(wù)提供者響應(yīng)時(shí)間及服務(wù)請(qǐng)求到達(dá)率的結(jié)果。

圖5 CPU 利用率

圖5～圖7分別是對(duì)4種不同情況下CPU 利用率、服務(wù)請(qǐng)求到達(dá)率和服務(wù)響應(yīng)時(shí)間的比較。從圖5 可以看出，正常執(zhí)行的Web服務(wù)在加入MAC 令牌前后，CPU 的利用率略有下降，這是因?yàn)镸AC 令牌的加解密需要消耗CPU資源，同時(shí)圖5也表明遭受DoS攻擊后的Web服務(wù)在加入MAC令牌后，CPU 利用率顯著提高。圖6展示了4種不同情況下服務(wù)請(qǐng)求到達(dá)率的情況。從該圖可以看出遭受DoS攻擊的Web服務(wù)在加入MAC 令牌后，服務(wù)請(qǐng)求到達(dá)率顯著提高；圖7表明在服務(wù)正常執(zhí)行的情況下，加入MAC令牌前后服務(wù)響應(yīng)時(shí)間并無太大變化，遭受DoS 攻擊后的Web服務(wù)，在加入MAC 令牌后，受攻擊程度明顯得到緩解。

圖6 服務(wù)請(qǐng)求到達(dá)率

圖7 服務(wù)響應(yīng)時(shí)間

實(shí)驗(yàn)結(jié)果及分析表明，該方法在一定程度上能夠有效地緩解DoS攻擊，同時(shí)提高Web服務(wù)的安全性。

4 結(jié)束語

通過偽造源地址而實(shí)施的拒絕服務(wù)攻擊對(duì)Web服務(wù)的參與者造成了威脅，如何有效地防御Web服務(wù)DoS攻擊，逐漸成為Web服務(wù)安全問題的研究熱點(diǎn)。然而現(xiàn)有的Web服務(wù)規(guī)范雖然在一定程度上針對(duì)DoS攻擊，有較為安全的應(yīng)對(duì)措施，然而它們?nèi)鄙倭藢?duì)Web服務(wù)請(qǐng)求者源地址合法性的考慮。本文對(duì)現(xiàn)有的WS安全標(biāo)準(zhǔn)進(jìn)行深入討論，同時(shí)基于WS安全標(biāo)準(zhǔn)，提出了一種在WS安全標(biāo)準(zhǔn)的安全令牌基礎(chǔ)上添加新的MAC 令牌的機(jī)制。通過引入的令牌，可以驗(yàn)證Web服務(wù)請(qǐng)求者的源地址是否合法。此外，本文還提供了對(duì)MAC 令牌的保護(hù)機(jī)制，與提供保護(hù)機(jī)制之前相比MAC令牌的安全得到了保障。實(shí)驗(yàn)結(jié)果表明本文提出的方法有效防御了基于源地址偽造的DoS攻擊。但是本文提出的方法僅適用于為特定領(lǐng)域提供Web服務(wù)的情況，無法對(duì)規(guī)模較大的Web服務(wù)有所成效，需進(jìn)一步完善，這是本課題下一步的研究工作。

［1］Nordbotten NA.XML and Web services security standards［J］.IEEE Communications Surveys ＆ Tutorials，2009，11（3）：4－22.

［2］Bidou R.Attacks on Web services［R］.China：The OWASP Foundation，2009：1－22.

［3］Peng D，Li C，Huo H.An extended Username token－based approach for REST－style Web service security authentication［C］／／In the 2nd IEEE International Conference on Computer Science and Information Technology.IEEE，2009：582－586.

［4］Kwon T.Privacy preservation with X.509standard certificates［J］.Information Sciences，2011，181 （13）：2906－2921.

［5］Bertino E，Martino L，Paci F，et al.Security for Web services and service－oriented architectures ［M］.Heidelberg：Springer，2010：1－226.

［6］Jensen M，Schwenk J，Gruschka N，et al.On technical security issues in cloud computing ［C］／／IEEE International Conference on Cloud Computing.IEEE，2009：109－116.

［7］Bashir K，Khan M.Modification in Kerberos assisted authentication in mobile Ad－Hoc networks to prevent ticket replay attacks ［J］.IACSIT International Journal of Engineering and Technology，2012，4 （3）：307－310.

［8］Cheong CP，Chatwin C，Young R.A new secure token for enhancing Web service security ［C］／／IEEE International Conference on Computer Science and Automation Engineering.IEEE，2011：45－48.

［9］XIAO Jun，YUN Xiaochun，ZHANG Yongzheng.Randomly forging source address DoS attacks filtering ［J］.Journal of Software，2011，22 （10）：2425－2437 （in Chinese）. ［肖軍，云曉春，張永錚.隨機(jī)偽造源地址分布式拒絕服務(wù)攻擊過濾［J］.軟件學(xué)報(bào)，2011，22 （10）：2425－2437.］

［10］Suriadi S，Stebila D，Clark A，et al.Defending Web services against denial of service attacks using client puzzles ［C］／／IEEE International Conference on Web Services.IEEE，2011：25－32.

［11］Chao－yang Z.DoS attack analysis and study of new measures to prevent［C］／／International Conference on Intelligence Science and Information Engineering.IEEE，2011：426－429.

［12］Barna C，Shtern M，Smit M，et al.Model－based adaptive DoS attack mitigation ［C］／／ICSE Workshop on Software Engineering for Adaptive and Self－Managing Systems.IEEE，2012：119－128.

［13］LIU Yue，LI Qiang，LI Zhoujun.P2Pnetwork security and defense technology research ［J］.Computer Science，2013，40 （4）：9－13（in Chinese）.［劉悅，李強(qiáng)，李舟軍.P2P網(wǎng)絡(luò)安全及防御技術(shù)研究綜述［J］.計(jì)算機(jī)科學(xué)，2013，40（4）：9－13.］

［14］YE Jing，LI Lingqiang.DoS attack and defense based on the protection of flow MANET network MAC layer ［J］.Computer Science，2011，38 （4）：118－121 （in Chinese）.［葉進(jìn)，李伶強(qiáng).基于保護(hù)流的MANET 網(wǎng)MAC 層DoS攻擊及防御［J］.計(jì)算機(jī)科學(xué)，2011，38 （4）：118－121.］

［15］HUANG Kangyu，HE Zhengqiu，LAI Haiguang，et al.Web service attack technology research ［J］.Computer Application Research，2010，27 （1）：17－22 （in Chinese）. ［黃康宇，賀正求，賴海光，等.Web服務(wù)攻擊技術(shù)研究綜述 ［J］.計(jì)算機(jī)應(yīng)用研究，2010，27 （1）：17－22.］

［16］Mehra M，Agarwal M，Pawar R，et al.Mitigating denial of service attack using CAPTCHA mechanism ［C］／／Proceedings of the International Conference ＆ Workshop on Emerging Trends in Technology.ACM，2011：284－287.