賓哲桂 李江洪

(柳州職業(yè)技術(shù)學院，廣西 柳州 545006)

低速率拒絕服務(wù)攻擊技術(shù)研究

賓哲桂 李江洪

(柳州職業(yè)技術(shù)學院，廣西 柳州 545006)

針對拒絕服務(wù)攻擊往往采用持續(xù)大流量的攻擊方式，提出了一種低速率的拒絕服務(wù)攻擊方法，以提高拒絕服務(wù)攻擊效率。其通過對目標用戶，或者應(yīng)用程序的通信規(guī)律進行統(tǒng)計和分析，選取恰當?shù)臅r機每次在目標用戶或者應(yīng)用程序進行通信的時候，發(fā)起瞬間的拒絕服務(wù)攻擊，持續(xù)很短的時間之后退出拒絕服務(wù)攻擊過程，以達到對目標用戶和應(yīng)用程序的拒絕服務(wù)攻擊效果，同時確保在一段相對較長的時間內(nèi)保持低速率的攻擊要求。

拒絕服務(wù)攻擊；低速率；數(shù)據(jù)流；周期；同步

1 前言

拒絕服務(wù)攻擊是針對網(wǎng)絡(luò)目標發(fā)起的一種非常常見的一種攻擊方法和手段。由于拒絕服務(wù)攻擊采用的原理和實現(xiàn)的策略會有不同，因此對拒絕服務(wù)攻擊的安全防范策略也各有不同。近年來針對拒絕服務(wù)攻擊的相關(guān)研究，國內(nèi)外有大量的文獻，無論是對于一些新型的攻擊方法的研究，攻擊模型的設(shè)計，及拒絕服務(wù)攻擊防范手段的設(shè)計都取得了很多代表性的成果，比如：何炎祥,劉陶，曹強等人對低速率拒絕服務(wù)攻擊技術(shù)進行了一次相對系統(tǒng)、完整地梳理，對低速率拒絕服務(wù)攻擊方式進行了分類描述和建模，并在實驗環(huán)境中建模進行了驗證，討論了不同攻擊類型的特點和性能[1]。吳志軍，岳猛對低速率拒絕服務(wù)LDoS的攻擊性能進行了分析，分別通過理論建模和實驗分析的方法，對低速率拒絕服務(wù)攻擊方法進行了詳細分析，給出了定量評價不同類型低速率拒絕服務(wù)攻擊的途徑[2]。謝逸，余順爭對應(yīng)用層的分布式拒絕服務(wù)攻擊技術(shù)進行了深入的探索和剖析，由于應(yīng)用層軟件種類數(shù)量眾多，而且應(yīng)用層的很多軟件通信模式、通信特征非常有代表性，因此開展在新網(wǎng)絡(luò)環(huán)境下應(yīng)用層拒絕服務(wù)攻擊技術(shù)的研究，具有較強的代表性[3]。

為了更好的研究和防范拒絕服務(wù)攻擊，本文重點對近年來出現(xiàn)的一種低速率、高效能的拒絕服務(wù)攻擊方法進行了深入的研究和設(shè)計，詳細分析和設(shè)計這種攻擊方法的實現(xiàn)原理和實施過程，為今后開展針對這類低速率拒絕服務(wù)攻擊方法設(shè)計防范策略提供參考。

目前傳統(tǒng)的基于網(wǎng)絡(luò)流量的拒絕服務(wù)攻擊方法基本上都是采用大流量的數(shù)據(jù)，來實現(xiàn)拒絕服務(wù)的攻擊目標。其工作的基本原理都是通過向計算機或者服務(wù)器發(fā)送超過該計算機或服務(wù)器所能夠承受的處理能力的大數(shù)據(jù)量，使得被攻擊的計算機或者服務(wù)器在短時間內(nèi)，無法及時的對所接受到的所有數(shù)據(jù)包進行處理，從而使得被攻擊的計算機或服務(wù)器在這一段時間內(nèi)不能夠?qū)π碌絹淼臄?shù)據(jù)包進行及時的處理，造成數(shù)據(jù)包丟失，無法有效的為用戶發(fā)送過來數(shù)據(jù)包提供相應(yīng)服務(wù)，從而達到拒絕服務(wù)攻擊的目標[4]。目前針對這種攻擊方式的網(wǎng)絡(luò)檢測和防范的機制越來越成熟，為了使得網(wǎng)絡(luò)檢測和安全防護軟件適合未來攻擊的發(fā)展趨勢，本專利提出一種基于網(wǎng)絡(luò)流量的低速率的拒絕服務(wù)攻擊方法，為網(wǎng)絡(luò)安全防護軟件和系統(tǒng)的設(shè)計提供一種重要的樣本參照依據(jù)[5]。

2 低速率拒絕服務(wù)攻擊原理

本文主要設(shè)計一種基于網(wǎng)絡(luò)流量的低速率拒絕服務(wù)攻擊方法，使得能夠針對網(wǎng)絡(luò)中特定用戶或者特定應(yīng)用花費極小的代價，使用低速率的拒絕服務(wù)攻擊流量，即能實現(xiàn)對該用戶或者應(yīng)用程序的精確拒絕服務(wù)攻擊效果。

其設(shè)計原理是通過對網(wǎng)絡(luò)上正常通信的用戶或者數(shù)據(jù)流量進行監(jiān)控和分析，尋取恰當?shù)臅r間點在短時間內(nèi)向網(wǎng)絡(luò)上發(fā)送大量的數(shù)據(jù)量，造成瞬間的拒絕服務(wù)攻擊效果，從而使得受到該拒絕服務(wù)攻擊影響的用戶或者應(yīng)用程序正在通信的數(shù)據(jù)，無法正確送到目的接收方[6]。而且由于這種拒絕服務(wù)攻擊的持續(xù)時間非常短，因此采用一段時間來衡量攻擊者向網(wǎng)絡(luò)中注入的數(shù)據(jù)流量得到的拒絕服務(wù)流量非常低，從而達到低速率的拒絕服務(wù)攻擊效果。按照本文的設(shè)計原理，在實現(xiàn)過程中首先對網(wǎng)絡(luò)通信的用戶或者應(yīng)用程序進行監(jiān)控，如果該用戶或者應(yīng)用程序的通信的時間間隔是有規(guī)律的，則統(tǒng)計該用戶和應(yīng)用程序的數(shù)據(jù)通信的時間間隔，并記錄下來時間間隔值。如果用戶在網(wǎng)絡(luò)上用戶或者應(yīng)用程序在網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)是隨機性的，則計入該用戶發(fā)送數(shù)據(jù)的特征標識，比如用戶的IP地址、端口號或者數(shù)據(jù)包中的一些特殊標識字段。低速率拒絕服務(wù)攻擊時采集的特征信息組成如圖1所示。

圖1 低速率拒絕服務(wù)攻擊時采集的特征信息

當需要對該用戶或者應(yīng)用程序發(fā)起低速率的拒絕服務(wù)攻擊時，對網(wǎng)絡(luò)上通信的數(shù)據(jù)流量進行監(jiān)控[7]。如果該用戶或者應(yīng)用程序是有規(guī)律的發(fā)送數(shù)據(jù)時，則按照預(yù)先采集到的用戶發(fā)送數(shù)據(jù)的時間間隔。首先對該用戶發(fā)送數(shù)據(jù)的第一個數(shù)據(jù)包進行時間同步，之后按照用戶發(fā)送數(shù)據(jù)的時間間隔，有規(guī)律的向網(wǎng)絡(luò)上發(fā)出短時間的拒絕服務(wù)攻擊，使得網(wǎng)絡(luò)上出現(xiàn)拒絕服務(wù)攻擊效果的時間間隔與該用戶正常發(fā)送數(shù)據(jù)的時間間隔完全一致。而且該拒絕服務(wù)攻擊的持續(xù)時間非常短，以滿足低速率的攻擊要求。

如果用戶發(fā)送的數(shù)據(jù)不是有時間間隔規(guī)律的，則監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流量。一旦發(fā)現(xiàn)網(wǎng)絡(luò)上出現(xiàn)該用戶的數(shù)據(jù)時，則在當前時刻再向網(wǎng)絡(luò)上發(fā)起瞬間的拒絕服務(wù)攻擊，并持續(xù)一個很短的時間間隔之后，停止拒絕服務(wù)攻擊之后繼續(xù)對網(wǎng)絡(luò)的通信流量進行監(jiān)控[8]。由于用戶一旦受到服務(wù)拒絕攻擊之后，數(shù)據(jù)通信失敗，按照目前網(wǎng)絡(luò)通信程序的設(shè)計模式，用戶都將會間隔一段時間之后，再次重新嘗試向網(wǎng)上發(fā)出數(shù)據(jù)，因此此時在網(wǎng)絡(luò)上只需要繼續(xù)監(jiān)控網(wǎng)絡(luò)上的通信流量，直到網(wǎng)絡(luò)中再次出現(xiàn)該用戶的通信數(shù)據(jù)時，再次發(fā)起瞬間的拒絕服務(wù)攻擊，最終實現(xiàn)對用戶或者目標應(yīng)用程序的低速率拒絕服務(wù)攻擊效果。

通過分析本文設(shè)計的拒絕服務(wù)攻擊方法可以發(fā)現(xiàn)，該攻擊方法在攻擊過程中所需要的拒絕服務(wù)攻擊流量非常小，在網(wǎng)絡(luò)上發(fā)起拒絕服務(wù)攻擊的時間也非常短，對網(wǎng)絡(luò)的正常通信幾乎不會產(chǎn)生明顯的影響，但對被攻擊的用戶則能夠達到拒絕服務(wù)的攻擊效果。而且能夠靈活的針對特定用戶或者應(yīng)用程序發(fā)起攻擊，攻擊的目標性十分精確。

除此之外，本文設(shè)計的拒絕服務(wù)攻擊方法，既能夠針對網(wǎng)絡(luò)上一些定期通信的數(shù)據(jù)包或者程序進行攻擊，比如一些網(wǎng)絡(luò)管理程序，在網(wǎng)絡(luò)上經(jīng)常會定期發(fā)送一些管理數(shù)據(jù)包，以確保網(wǎng)絡(luò)管理系統(tǒng)的正常運行。應(yīng)用本文設(shè)計的拒絕服務(wù)攻擊方法，能夠很容易實現(xiàn)針對這類應(yīng)用程序的低速率拒絕服務(wù)攻擊，同時也能夠通過對網(wǎng)絡(luò)流量的監(jiān)測，實現(xiàn)對一些隨機發(fā)送的數(shù)據(jù)的應(yīng)用程序進行低速率的拒絕服務(wù)攻擊，攻擊過程十分靈活[9]。而且該攻擊方法在發(fā)起拒絕服務(wù)攻擊的持續(xù)時間非常短，難以使用常規(guī)的基于流量的拒絕服務(wù)攻擊方法檢測得到，對檢測設(shè)備的統(tǒng)計時間片要求更短，這也間接的提高了檢測的難度，是一種十分隱蔽的低成本的拒絕服務(wù)攻擊方法。

3 低速率拒絕服務(wù)攻擊實現(xiàn)過程

本文設(shè)計的低速率拒絕服務(wù)攻擊方法在實現(xiàn)過程中，將根據(jù)攻擊對象的通信周期是否固定，分為固定通信周期應(yīng)用程序的低速率拒絕服務(wù)攻擊和不規(guī)律通信周期的應(yīng)用程序拒絕服務(wù)攻擊兩類。

3.1 針對固定通信周期的應(yīng)用程序的低速率拒絕服務(wù)過程

針對固定通信周期的應(yīng)用程序的低速率拒絕服務(wù)攻擊過程如下所示，其對應(yīng)的實現(xiàn)流程圖如圖2所示。

圖2 低速率拒絕服務(wù)攻擊實現(xiàn)流程

（1）在網(wǎng)絡(luò)上監(jiān)測目標應(yīng)用程序的通信規(guī)律，記錄目標應(yīng)用程序的固定通信周期。

（2）當需要針對該應(yīng)用程序進行低速率拒絕服務(wù)攻擊時，首先與該應(yīng)用程序的一個通信數(shù)據(jù)包建立同步關(guān)系。

（3）拒絕服務(wù)攻擊程序按照同步的時間節(jié)點，以之前記錄的時間周期，周期性的發(fā)出拒絕服務(wù)攻擊數(shù)據(jù)。

（4）完成針對固定通信周期的應(yīng)用程序拒絕服務(wù)攻擊過程。

3.2 針對不規(guī)律通信周期的應(yīng)用程序拒絕服務(wù)攻擊過程

（1）針對目標應(yīng)用程序的通信規(guī)律進行分析，確定該應(yīng)用程序為通信周期不固定的應(yīng)用程序。

（2）當需要針對該應(yīng)用程序進行拒絕服務(wù)攻擊時，首先在網(wǎng)絡(luò)上監(jiān)測該應(yīng)用程序的特征、IP地址、端口號或者數(shù)據(jù)包中的一些標識性的字段。

（3）當網(wǎng)絡(luò)上出現(xiàn)該目標應(yīng)用程序的特殊標識符號時，在網(wǎng)絡(luò)上發(fā)起瞬間的低速率拒絕服務(wù)攻擊數(shù)據(jù)。

（4）拒絕服務(wù)攻擊程序發(fā)送數(shù)據(jù)完畢之后，繼續(xù)監(jiān)測網(wǎng)絡(luò)上通信數(shù)據(jù)流，至到發(fā)現(xiàn)新的該應(yīng)用程序的特殊標識符號，則繼續(xù)發(fā)起低速率的拒絕服務(wù)攻擊數(shù)據(jù)。

4 低速率拒絕服務(wù)攻擊系統(tǒng)組成

本文設(shè)計的這種基于數(shù)據(jù)流量的低速率拒絕服務(wù)攻擊方法。通過對網(wǎng)絡(luò)上的通信用戶或者用戶程序的通信規(guī)律進行統(tǒng)計和分析，選取恰當?shù)臅r機實現(xiàn)低速率的拒絕服務(wù)攻擊效果。

其選取恰當?shù)墓魰r刻是通過對目標用戶或應(yīng)用程序的通信規(guī)律統(tǒng)計和分析之后得到可以提前在網(wǎng)絡(luò)上部署數(shù)據(jù)監(jiān)測軟件，實時的對網(wǎng)絡(luò)中通信的數(shù)據(jù)進行記錄和分析，以獲取所需的特征參數(shù)。

而在對用戶通信規(guī)律進行統(tǒng)計時，如果目標用戶和應(yīng)用程序是固定通信周期的，則記錄該通信程序的固定周期。如果目標用戶或應(yīng)用程序是無規(guī)律的通信方式，則記錄該用戶程序的特殊IP地址、端口號或者通信數(shù)據(jù)包中的一些特殊標識字段。

在攻擊時，對于固定通信周期的應(yīng)用程序在進行攻擊之前，首先對目標用戶或應(yīng)用程序進行時間同步之后，按照預(yù)先采集到的通信周期間隔，周期性的發(fā)出低速率拒絕服務(wù)攻擊數(shù)據(jù)；對于非周期性的目標用戶或應(yīng)用程序發(fā)起的拒絕服務(wù)攻擊，其實施過程是首先對網(wǎng)絡(luò)上的通信流量進行監(jiān)測和分析，一旦發(fā)現(xiàn)目標用戶或應(yīng)用程序的特殊標識字符，則發(fā)起低速率拒絕服務(wù)攻擊數(shù)據(jù)，之后重新進入數(shù)據(jù)監(jiān)控狀態(tài)，如此不斷循環(huán)。

為了提高攻擊的隱蔽性，往往采用瞬間的拒絕服務(wù)攻擊方法。該方法指針對目標用戶或者應(yīng)用程序發(fā)起的一種短時間拒絕服務(wù)攻擊，在該持續(xù)時間段內(nèi)所實施的拒絕服務(wù)攻擊原理和傳統(tǒng)的拒絕服務(wù)攻擊原理一致，都是通過大數(shù)據(jù)量來實現(xiàn)拒絕服務(wù)攻擊的效果。在具體實施瞬間拒絕服務(wù)攻擊持續(xù)時間特別短，一般小于1ms。

根據(jù)本文設(shè)計的低速率拒絕服務(wù)攻擊方法的設(shè)計原理和實現(xiàn)流程，本文設(shè)計了低速率拒絕服務(wù)攻擊系統(tǒng)。該系統(tǒng)的組成結(jié)構(gòu)圖如圖3所示。

圖3 低速率拒絕服務(wù)攻擊系統(tǒng)組成

在該攻擊系統(tǒng)中主要包括對圖形對象特征的統(tǒng)計分析模塊、同步監(jiān)測模塊、大流量數(shù)據(jù)發(fā)生器、數(shù)據(jù)發(fā)送間隔計算單元、數(shù)據(jù)發(fā)送持續(xù)時間定時器和數(shù)據(jù)發(fā)送模塊部分組成。其中通信對象特征統(tǒng)計是整個攻擊系統(tǒng)的重要基礎(chǔ)模塊，該模塊負責對所需要攻擊的目標系統(tǒng)通信行為進行監(jiān)測，并提取相關(guān)的通信參數(shù)。之后啟動同步監(jiān)測模塊對所采集到的參數(shù)進一步進行校正，以確認對攻擊目標所提取的各種統(tǒng)計參數(shù)是準確而有效的，之后提供大流量數(shù)據(jù)發(fā)生器，準備產(chǎn)生攻擊用的大流量攻擊數(shù)據(jù)，為了提高攻擊的突發(fā)性和隱蔽性，因此大流量的攻擊數(shù)據(jù)并不會持續(xù)性的在網(wǎng)絡(luò)上進行發(fā)送，而是按照同步監(jiān)測模塊所監(jiān)測到的同步周期觸發(fā)相應(yīng)的攻擊時刻。在攻擊時刻發(fā)送大流量數(shù)據(jù)，而且在數(shù)據(jù)發(fā)送的時候提供數(shù)據(jù)發(fā)送持續(xù)時間的定時器，并計算數(shù)據(jù)發(fā)送的間隔時間，保證每次發(fā)送的攻擊數(shù)據(jù)的問題控制在有限的范圍之內(nèi)。從而確保在實施拒絕服務(wù)攻擊的整個過程中，不會對網(wǎng)絡(luò)的平均流量帶來明顯的變化，實現(xiàn)低速率的拒絕服務(wù)攻擊效果。

5 總結(jié)

低速率拒絕服務(wù)攻擊相對于傳統(tǒng)的拒絕服務(wù)攻擊效率要高的多，其只占用極少的數(shù)據(jù)流量，而且攻擊過程持續(xù)時間非常短，但其達到的攻擊效果和傳統(tǒng)的大流量拒絕服務(wù)攻擊效果旗鼓相當，因此對于低速率拒絕服務(wù)攻擊這種新型的攻擊方法，必需引起人們的重視。通過本文對低速率拒絕服務(wù)攻擊的發(fā)起方式、實現(xiàn)原理和實現(xiàn)過程進行深入的剖析，為今后探索針對這類高低速率、高效能的拒絕服務(wù)攻擊方法的防范提供了有利的參考依據(jù)。

[1] 何炎祥,劉陶,曹強.低速率拒絕服務(wù)攻擊研究綜述[J].計算機科學與探索,2008,2(1):1-18.

[2] 吳志軍,岳猛.低速率拒絕服務(wù)LDoS攻擊性能的研究[J].通信學報,2008,29(6): 87-9.

[3] 謝逸,余順爭.新網(wǎng)絡(luò)環(huán)境下應(yīng)用層DDoS攻擊的剖析與防御[J].電信科學,2007,23(1):89-93.

[4] Luo X,Chang R. On a New Class of Pulsing Denial-of-Serv-ice Attacks and the Defense[C]∥Proc of the Network and Distributed System Security Symp, 2005:2-5.

[5] Sarat S, Terizis A. On the Effect of Router Buffer Sizes on Low-Rate Denial of Service Attacks[C]∥Proc of the Int'l Conf on Computer Communications and Networks, 2005:281-286.

[6] Chen Y, Hwang K. Collaborative detection and filtering of shrew DDoS attacks using spectral analysis[J].Journal of Parallel and Distributed Computing,2006,66(9):1137-1151.

[7] 黃力.基于分布式群身份認證的傳感器網(wǎng)絡(luò)設(shè)計與實現(xiàn)[J].計算機工程.2007，33(10):161-163.

[8] Chen Y, Hwang K. Collaborative Detection and Filtering of Shrew DDoS Attacks Using Spectral Analysis[J]. Journal of Parallel and Distributed Computing, 2006,66(9):1137-1151.

[9] 黃力,潘大慶,羅海波,等.一種基于數(shù)據(jù)流量的低速率拒絕服務(wù)攻擊的方法:中國,CN103746965A[P].2014-04-23.

Low rate denial of service attack technology research

The denial of service attacks often use the continuous flow of the attack, a denial of service attack method in low rate denial of service attack, in order to improve the efficiency of.The basic design principle of the patent is the target user, communication rules or application of statistics and analysis, select the appropriate time every time when communicating in the target user or application, launched a moment of denial of service attack, after a very short period of time out of denial of service attack process, in order to achieve the goals of users and application of denial of service attack effect, and keep the low rate attacks in a relatively long period of time.

Denial of service attacks; the low rate; data streams; cycle; synchronization

TP393

A

1008-1151(2015)01-0004-03

2014-12-12

廣西教育廳課題“無線接入網(wǎng)中帶寬高效分配方法”(ZL2014093)。

賓哲桂（1981－），男，廣西博白人，柳州職業(yè)技術(shù)學院講師，碩士，研究方向為計算機網(wǎng)絡(luò)技術(shù)。

李江洪（1974－），男，廣西桂平人，柳州職業(yè)技術(shù)學院講師，碩士，研究方向為計算機網(wǎng)絡(luò)技術(shù)。