羅志強，沈 軍，金華敏

（中國電信股份有限公司廣州研究院 廣州510630）

1 引言

隨著拒絕服務攻擊（DoS）的方式和手段不斷發(fā)展變化，近年來，互聯(lián)網面臨的分布式反射型拒絕服務攻擊日趨頻繁。據有關單位報告，2013年3月，歐洲反垃圾郵件組織Spamhaus對外宣稱遭受300 Gbit/s流量的分布式DNS（domain name system，域 名 系 統(tǒng)）反 射 型DDoS（distributed denial of service，分布式拒絕服務）攻擊[1]；2014年12月中旬，阿里云在微博上發(fā)布一則聲明，稱12月20-21日，部署在阿里云上的某知名游戲公司遭遇了全球互聯(lián)網史上最大的一次DNS反射型DDoS攻擊，攻擊峰值流量超過450 Gbit/s[2]。眾多DDoS攻擊事件表明，分布式DNS反射DDoS攻擊已經成為拒絕服務攻擊的主要形式之一。

2 分布式DNS反射DDoS攻擊技術原理

分布式DNS反射DDoS攻擊是一種基于帶寬耗盡型攻擊方式。根據DNS協(xié)議（RFC2617文檔）的特點，DNS應答報文一般是查詢報文的幾倍甚至幾十倍，通過開放DNS遞歸服務器的流量反射，相當于攻擊數據分組增加了數十倍，達到了攻擊流量放大的效果。

DNS域名服務器的開放遞歸服務和源IP地址偽造技術是成功實施分布式DNS反射DDoS攻擊的必要條件。攻擊者在進行分布式DNS反射DDoS攻擊之前，會在被控制的某些權威域名服務器上先發(fā)布大字節(jié)的TXT資源記錄。然后，攻擊者向大量開放遞歸服務的DNS服務器發(fā)送帶有擴展字段OPT RR（偽資源記錄）的DNS查詢請求分組，并將該DNS查詢請求分組的源IP地址偽造成攻擊目標IP地址。由于DNS域名服務器不對查詢請求分組的源IP地址進行真實性驗證，因此DNS服務器會對所有的查詢請求都進行解析查詢應答，并將大范圍域名查詢的響應數據發(fā)送給攻擊目標。由于請求數據比響應數據小得多，攻擊者就可以利用該技術有效地放大其掌握的帶寬資源和攻擊流量，這樣，大量的DNS應答分組將匯聚在受害者端，堵塞受害者的網絡而最終造成DDoS攻擊。

例如，在2013年Spamhaus攻擊事件中，攻擊者向30 000多個開放DNS服務器發(fā)送了對ripe.net域名的解析請求，并將源IP地址偽造成Spamhaus的IP地址。DNS請求數據的長度約為36 byte，而響應數據的長度約為3 000 byte，這意味著利用DNS反射能夠產生約100倍的放大效應。Spamhaus攻擊事件中，大量開放DNS服務器的響應數據產生了大約300 Gbit/s的攻擊流量，因此，攻擊者只需要掌握和控制一個能夠產生3 Gbit/s流量的僵尸網絡，就能夠進行300 Gbit/s流量的大規(guī)模攻擊。

在分布式DNS反射DDoS攻擊過程中，開放遞歸的DNS服務器在不知情的情況下也參與了進攻，對DNS系統(tǒng)資源也有一定的消耗，同時經過放大后的攻擊流量也會對流經的運營商網絡性能產生一定影響，變相造成網絡堵塞。

3 分布式DNS反射DDoS攻擊檢測及控制技術

目前，業(yè)界應對分布式DNS反射DDoS攻擊主要是采用基于網絡流量統(tǒng)計分析[3]和網絡流量控制[4]的技術、基于機器學習和支持向量機算法[5]的檢測技術、基于網絡流量行為時間序列的DDoS檢測技術[6]。

在基于網絡流量統(tǒng)計分析和網絡流量控制的技術方法中，檢測DNS拒絕服務攻擊之前，需要能夠描述DNS服務器正常運轉情況下的網絡流量信息和正常行為分布規(guī)律，通過分析DNS服務器的正常流量信息特征和正常行為分布規(guī)律，建立DNS服務器所在網絡的正常狀態(tài)和異常狀態(tài)模型，通過設定異常狀態(tài)閾值實現(xiàn)DNS惡意流量攻擊行為的異常檢測。此類檢測技術常用的檢測特征包括了域名解析失敗率發(fā)生突然大幅增長、DNS服務器所在網絡流量迅速增大、隨機域名出現(xiàn)有規(guī)律的均勻分布等重要檢測特征。雖然流量統(tǒng)計分析方法具有一定的檢測能力，但是隨著攻擊流量的隱蔽性增強和攻擊形式的層出不窮，流量統(tǒng)計方法的誤判率大幅度上升。

基于機器學習和支持向量機算法的檢測技術是大規(guī)模、高帶寬網絡環(huán)境下實現(xiàn)對DNS網絡攻擊智能檢測的重要手段，系統(tǒng)把服務器收到的正常數據流和DDoS攻擊流當成一個分類問題進行運算，利用機器學習和支持向量機算法建立模型來進行判斷，并對檢測結果進行預警。此類技術的優(yōu)點是利用支持向量機在解決小樣本、非線性及高維問題時所具有的良好性能，實現(xiàn)對DNS攻擊行為的高速檢測。但是此類技術存在攻擊流檢測環(huán)境中多個檢測器的協(xié)作問題，需要結合集成學習、人工免疫等新興技術來提高檢測系統(tǒng)的檢測精度和頑健性。

在基于網絡流量行為時間序列的DDoS檢測技術中，主要是采用統(tǒng)計分析、關聯(lián)分析等多種技術手段周期性檢測域名服務器端對用戶發(fā)送和接收的流量行為中的異常模式，判斷其是否滿足TCP和UDP行為的時間同步性，識別攻擊者和正常用戶，從而發(fā)現(xiàn)異常行為。

隨著DNS攻擊流量的隱蔽性增強和攻擊形式的層出不窮，現(xiàn)有技術方法的誤判率大幅度上升，多個檢測器的協(xié)作問題也是安全性能提升的制約因素。為應對日益嚴峻的分布式DNS反射DDoS攻擊安全形勢，本文提出了基于生存時間值（time-to-live，TTL）智能研判的分布式DNS反射DDoS攻擊檢測技術和基于多系統(tǒng)融合的偽造源地址溯源阻斷技術，在DNS服務器端檢測到DDoS攻擊后，通過網絡通信的方式通知運營商邊界路由器等網絡邊界基礎設施，啟用流量清洗過濾源IP地址偽造分組，從源頭上阻斷DNS攻擊流量流入網絡。

4 基于生存時間值智能研判的DNS攻擊檢測技術

正常來說，同一個客戶端發(fā)送的DNS查詢請求數據分組在一定時間內經過基本固定的路由到達DNS服務器，也就是說在一段時間內，從同一個用戶端發(fā)給DNS服務器的DNS請求數據分組的TTL值應該是穩(wěn)定的。由于攻擊者發(fā)動DNS反射攻擊時，需要僵尸網絡多臺傀儡機同時發(fā)送偽造源地址的DNS請求分組，攻擊者雖然可以偽造發(fā)向DNS服務器的數據分組中的源IP地址、TTL等任何字段的信息，但是由于傀儡機通常分布在不同地區(qū)，因此，攻擊者很難正確偽造真實IP地址對應的主機發(fā)送的數據分組到達DNS服務器的跳數，因此，基于TTL值智能研判的DNS攻擊檢測技術主要是對來自同一個源IP地址的DNS請求數據分組TTL值進行實時比對，對同一源IP地址TTL值頻繁變動的DNS請求分組實施無遞歸的本地解析或直接丟棄的抑制方法。由于IP地址偽造技術是成功實施分布式DNS反射DDoS攻擊的必要條件，利用本方法能夠準確發(fā)現(xiàn)偽造源IP地址分組并抑制域名反射放大攻擊，有效解決了原有技術中漏判率和誤判率嚴重的問題。

如圖1所示，基于TTL值智能研判的DNS攻擊檢測技術主要包括了DNS攻擊行為檢測和偽造源地址域名查詢智能抑制兩部分。

在DNS攻擊行為檢測中，DNS系統(tǒng)的檢測研判模塊分光DNS查詢流量，實時分析進入DNS節(jié)點的查詢數據分組，將每個查詢數據分組的源IP地址和TTL值進行實時比對，當單位時間（5 s～1 min可調）內同一個源IP地址的TTL值比對不相同，用新檢測的TTL值替代原有的TTL值，同時針對該記錄的計數器加1，頻繁變動的TTL值將導致計數器計數超過安全門限，從而發(fā)出抑制指令。

在偽造源地址域名查詢智能抑制中，域名服務器根據抑制指令，對該域內的所有來自該偽造源IP地址的DNS請求分組實施無遞歸的本地解析或直接丟棄。

圖1 基于生存時間值智能研判的DNS攻擊檢測技術

5 基于多系統(tǒng)融合的偽造源地址溯源阻斷技術

基于多系統(tǒng)融合的偽造源地址溯源阻斷技術主要是通過運營商現(xiàn)有的域名安全分析系統(tǒng)、攻擊溯源系統(tǒng)和流量清洗設備之間的融合聯(lián)動，在DNS服務器端檢測到DDoS攻擊后，通過網絡通信的方式通知運營商邊界路由器等網絡邊界基礎設施啟用流量清洗過濾源IP地址偽造分組，從源頭上阻斷攻擊流量流入網絡，這種在邊界上過濾的方式比在DNS服務器端過濾更有效。

如圖2所示，多系統(tǒng)融合的虛假源地址溯源阻斷過程包括自動化的攻擊行為檢測、偽造源地址攻擊分組溯源和偽造源地址攻擊分組清洗3部分。

圖2 多系統(tǒng)融合的虛假源地址溯源阻斷過程

·自動化的攻擊行為檢測：域名安全分析系統(tǒng)分光DNS查詢流量，實時分析進入DNS節(jié)點的查詢數據分組，基于上文介紹的基于TTL值智能研判的DNS攻擊檢測技術，發(fā)現(xiàn)偽造源地址的DNS攻擊分組，域名安全分析系統(tǒng)將攻擊分組源地址參數發(fā)送給攻擊溯源系統(tǒng)。

·偽造源地址攻擊分組溯源：攻擊溯源系統(tǒng)根據源地址參數溯源攻擊路徑，結合采集存儲原始NetFlow流量信息、路由器端口信息、路由拓撲信息、城域網IP地址等多維參數進行關聯(lián)分析，通過多元廣度遍歷算法，快速回溯攻擊流量穿越路徑及流量分布特征，可對偽造源地址發(fā)起的DNS攻擊進行實時監(jiān)測，并通知流量清洗設備在相關網段阻斷偽地址攻擊流量。

·偽造源地址攻擊分組清洗：流量清洗設備在偽造源地址的城域網發(fā)布BGP細路由，將包括偽造源地址的DNS查詢流量牽引到流量清洗設備，當連續(xù)一段時間內DNS查詢流量的速率超過閾值時，流量清洗設備啟動源認證防御，在源認證過程中清洗設備會觸發(fā)客戶端以TCP報文發(fā)送DNS請求，能夠發(fā)送TCP DNS請求的客戶端被認證為合法源。流量清洗設備只把來自合法源的DNS請求分組返回給DNS服務器，有效阻斷偽造源地址的DNS查詢請求。

6 檢測技術可行性驗證

為了驗證本文提出的基于TTL值智能研判的DNS攻擊檢測技術的可行性，在中國電信網絡安全實驗室搭建了一個偽造源IP地址攻擊網絡環(huán)境，如圖3所示。被攻擊目標采用了一臺Windows7 64位服務器，IP地址為192.168.0.4，在被攻擊目標同一網段部署了一臺協(xié)議分析儀（Sniffer設備），連接到被攻擊目標的鏡像端口實時采集網絡流量；DNS服務器采用了一臺Windows2008 R2版64位服 務 器，IP地 址 為172.18.16.11， 在 該 服 務 器C:WindowsSysWOW64dns目錄下安裝了BIND9.9.3開源軟件，實現(xiàn)DNS功能，在DNS服務器的鏡像端口上部署了計數器模塊，實時分析DNS服務器的DNS查詢流量；攻擊者則由SmartBits 6000C測試儀表擔任，測試儀表將模擬1～10個攻擊客戶端發(fā)送針對多個不同域名的正常DNS查詢分組，其中所有攻擊客戶端發(fā)出的DNS查詢分組的源IP地址均偽造為192.168.0.4，每個攻擊客戶端的TTL初始值設置互不相同，啟動所有10臺攻擊客戶端時共有10個不同的TTL初始值。測試過程中，每臺攻擊客戶端固定以1000 Hz的速率發(fā)送DNS查詢數據分組。

表1展示了在以上試驗環(huán)境中，不同數量的攻擊客戶端向IP地址為172.18.16.11的DNS服務器發(fā)送源IP地址被偽造為192.168.0.4的DNS查詢分組流量，進行多個不同域名的正常查詢，記錄了攻擊峰值總流量、接收峰值總流量、檢測率的統(tǒng)計結果。

驗證過程中，當未啟用本檢測技術（不設置計數器最大門限值）時，由于每臺攻擊客戶端所發(fā)送的DNS查詢攻擊數據分組為正常查詢多個不同域名的DNS查詢分組，這些源IP地址被偽造為192.168.0.4的查詢分組流量符合DNS服務器的正常流量信息特征和正常行為分布規(guī)律，因此原有基于流量的統(tǒng)計分析無法根據DNS服務器所在網絡流量迅速增大、隨機域名出現(xiàn)有規(guī)律的均勻分布等重要檢測特征檢測出DNS查詢攻擊流，IP地址為192.168.0.4的目標主機收到了大量的DNS回應分組流量，從而導致對目標主機的反射流量攻擊。啟用本檢測技術后，首先在計數器最大門限值設置為1000次/s的條件下展開測試，測試數據顯示，當只啟動一臺攻擊機發(fā)送偽造源IP地址的DNS查詢數據分組時，由于計數器檢測到的TTL值一直保持不變，因此IP地址為192.168.0.4的目標主機仍然會收到大量的DNS回應分組流量；當分別啟動2臺、5臺和10臺攻擊機發(fā)送偽造源IP地址的DNS查詢數據分組時，由于不同攻擊機發(fā)出的DNS查詢分組TTL值均互不相同，計數器檢測到源IP地址為192.168.0.4的TTL值頻繁變動，導致計數器門限值計數會迅速累加，當門限值累計到1000時，計數器將發(fā)送抑制指令，IP地址為172.18.16.11的DNS服務器根據抑制指令，對所有源IP地址為192.168.0.4的DNS查詢數據分組直接丟棄，測試數據可以看出，隨著攻擊機數目的增加，目標主機接收到的峰值流量占比迅速下降，檢測率從18.25%提升到了89.18%。又在計數器最大門限值設置為200次/s的條件下展開測試，測試數據顯示，由于最大門限值的降低，計數器能夠更快發(fā)送抑制指令，隨著攻擊機數目的增多，檢測率從76.30%提升到了97.72%。

圖3 偽造源IP地址攻擊網絡環(huán)境

表1 基于不同TTL變化門限值的分布式DNS反射攻擊檢測率對比結果

從可行性測試結果可看出，相對于傳統(tǒng)的基于網絡流量統(tǒng)計分析的檢測方法，本文提出的基于TTL值智能研判的檢測方法對檢測僵尸網絡產生的偽造源IP地址DNS反射攻擊流量有明顯效果，僵尸網絡規(guī)模越大，偽造源IP地址的DNS查詢分組越容易被本方法有效識別并過濾，從而避免了攻擊目標遭受來自DNS服務器的反射流量攻擊。

7 結束語

隨著分布式DNS反射DDoS攻擊流量的隱蔽性增強和攻擊形式的層出不窮，傳統(tǒng)的基于網絡流量統(tǒng)計分析和網絡流量控制等技術方法的誤判率大幅度上升，多個檢測器的協(xié)作問題也是安全性能提升的制約因素?；谡鎸岻P地址對應主機發(fā)送的數據分組到達DNS服務器所經過的路由跳數很難偽造的原理，本文提出了基于TTL值智能研判的分布式DNS反射DDoS攻擊檢測技術，能夠有效識別近90%的源IP地址偽造分組，較好地解決了現(xiàn)有基于流量統(tǒng)計分析以及機器學習等技術方法存在誤判率高、性能不足的問題；本文還提出了基于多系統(tǒng)融合的偽造源地址溯源阻斷技術，極大地釋放了此類攻擊對運營商基礎IP網絡的帶寬資源、DNS系統(tǒng)計算資源及運維壓力。

1 國家互聯(lián)網應急中心.2013年互聯(lián)網網絡安全態(tài)勢綜述,2014 CNCERT.A Survey of Internet Security Situation in 2013,2014

2 國家互聯(lián)網應急中心.2014年互聯(lián)網網絡安全態(tài)勢綜述,2015 CNCERT.A Survey of Internet Security Situation in 2014,2015

3 羅志強,史國水,沈軍等.移動互聯(lián)網安全熱點技術研究.電信科學,2013(Z1):254～256,261 Luo Z Q,Shi G S,Shen J,et al.Research on mobile Internet security technology.Telecommunications Science,2013(Z1):254～256,261

4 唐宏,羅志強,沈軍.僵尸網絡DDoS攻擊主動防御技術研究與應用.電信技術,2014(11):76～80 Tang H,Luo Z Q,Shen J.Research and application of the active defense technology of DDoS attack in botnet.Telecommunications Technology,2014(11):76～80

5 徐圖,羅瑜,何大可.多類支持向量機的DDoS攻擊檢測的方法.電子科技大學學報,2008,37(2):274～277 Xu T,Luo Y,He D K.Detecting DDoS attack based on multi-class SVM.Journal of University of Electronic Science and Technology of China,2008,37(2):274～277

6 顧曉清,王洪元,倪彤光等.基于時間序列分析的應用層DDoS攻擊檢測.計算機應用,2013,33(8):2228～2231 Gu X Q,Wang H Y,Ni T G,et al.Detection of application-layer DDoS attack based on time series analysis.Journal of Computer Applications,2013,33(8):2228～2231