羅 軍

(國(guó)家電投集團(tuán)重慶電力有限公司 重慶合川發(fā)電有限責(zé)任公司，重慶 401536)

?

Windows Server系統(tǒng)防御網(wǎng)絡(luò)攻擊的性能評(píng)估

羅 軍

(國(guó)家電投集團(tuán)重慶電力有限公司 重慶合川發(fā)電有限責(zé)任公司，重慶 401536)

針對(duì)Windows Server系統(tǒng)防御網(wǎng)絡(luò)攻擊的性能評(píng)估問(wèn)題，在分析分布式拒絕服務(wù)(DDoS)等網(wǎng)絡(luò)攻擊手段原理的基礎(chǔ)上，通過(guò)研究探討TCP/SYN攻擊手段、Windows Server系統(tǒng)的防御性能，設(shè)計(jì)了一個(gè)針對(duì)Windows Server系統(tǒng)的DDoS網(wǎng)絡(luò)攻擊實(shí)驗(yàn)。對(duì)實(shí)驗(yàn)結(jié)果的分析表明，Windows Server系統(tǒng)內(nèi)建的安全功能不能抵擋基于DDoS的TCP/SYN攻擊，必須為服務(wù)器部署其他安全措施，才能保證服務(wù)器安全有效運(yùn)行。

分布式拒絕服務(wù)攻擊；TCP/SYN攻擊；內(nèi)建安全功能

隨著互聯(lián)網(wǎng)的普及，網(wǎng)絡(luò)攻擊已成為公害。分布式拒絕服務(wù)(DDoS)[1-3]是一種見(jiàn)的攻擊手段。從社交網(wǎng)絡(luò)到網(wǎng)上銀行無(wú)不是DDoS攻擊的對(duì)象。攻擊造成了網(wǎng)絡(luò)癱瘓、用戶個(gè)人信息泄露等后果[4-5]。DDoS攻擊每天都在發(fā)生，攻擊的強(qiáng)度也在不斷增強(qiáng)。國(guó)際互聯(lián)網(wǎng)是信息社會(huì)的重要基礎(chǔ)設(shè)施，服務(wù)器是國(guó)際互聯(lián)網(wǎng)的骨干設(shè)備。服務(wù)器受到攻擊而停止工作，可能引起社會(huì)混亂等嚴(yán)重后果。盡管Windows Server版本有了新的升級(jí)，但老版本的服務(wù)器系統(tǒng)仍大量工作，并成為網(wǎng)絡(luò)中的薄弱環(huán)節(jié)[6-8]。因此本文以Windows Server2003和Windows Server2008為例，評(píng)估了Windows Server系統(tǒng)防御網(wǎng)絡(luò)攻擊的性能表現(xiàn)。

1 背景

DDoS攻擊的頻率和強(qiáng)度與日俱增。報(bào)告顯示，2010年最大的攻擊強(qiáng)度為100 Gbit·s-1，2013年則超過(guò)了300 Gbit·s-1，2015年更是超過(guò)500 Gbit·s-1[9]。盡管DDoS攻擊有不同的類(lèi)型，但仍可總結(jié)出規(guī)律。常見(jiàn)的攻擊方法是使用大量非法流量耗盡服務(wù)器的帶寬資源、處理器資源或內(nèi)存資源，導(dǎo)致合法的用戶被拒絕服務(wù)。還有些攻擊方法是使用較少的流量，精確攻擊網(wǎng)絡(luò)中最為脆弱的部分，使得服務(wù)器拒絕服務(wù)[10-12]。

1.1 TCP/SYN Flood 攻擊

TCP/SYN Flood 攻擊[13-14]是黑客常用的DDoS攻擊手段，具體操作步驟為：黑客利用僵尸網(wǎng)絡(luò)以及偽造IP地址向目標(biāo)服務(wù)器發(fā)送大量的TCP/SYN包，目標(biāo)服務(wù)器按照正常的方式處理連接請(qǐng)求，創(chuàng)建半開(kāi)連接，并為每一個(gè)TCP/SYN包發(fā)送確認(rèn)包。目標(biāo)服務(wù)器等待發(fā)送方的下一步響應(yīng)。由于IP地址系偽造，不存在下一步的響應(yīng)，半開(kāi)連接數(shù)將逐漸達(dá)到服務(wù)器所能提供數(shù)量的上限，進(jìn)而擠占資源，使得服務(wù)器響應(yīng)合法連接請(qǐng)求的能力下降。

每收到一個(gè)TCP/SYN包，被攻擊計(jì)算機(jī)就會(huì)分配一個(gè)TCB資源，記錄這個(gè)未完成的TCP連接。這個(gè)未完成的TCP連接也被稱(chēng)為半開(kāi)連接。攻擊者采用大量虛假的IP地址發(fā)送TCP/SYN包，服務(wù)器回應(yīng)SYN/ACK消息作為響應(yīng)，虛假地址將無(wú)法對(duì)服務(wù)器進(jìn)行響應(yīng)。因此大量的半開(kāi)連接直到超時(shí)才被刪除。如果攻擊者采用快于連接超時(shí)的速度連續(xù)發(fā)送TCP/SYN包，服務(wù)器的TCB資源將被耗盡，導(dǎo)致拒絕為合法用戶提供正常連接請(qǐng)求。

1.2 系統(tǒng)內(nèi)置的防御措施

Windows Server 2003中，包含一個(gè)由操作系統(tǒng)提供的安全功能模塊，即SYN攻擊保護(hù)模塊。該安全功能模塊降低了SYN-ACK的重發(fā)數(shù)量，同時(shí)適當(dāng)控制由TCP/SYN包引起的TCB資源分配，等待3次握手完成并釋放資源，避免資源耗盡。

TCP最大半開(kāi)連接數(shù)的選擇，需要綜合考慮服務(wù)器的正常連接功能和對(duì)攻擊的防護(hù)問(wèn)題。默認(rèn)情況下，這個(gè)閾值在企業(yè)版的Windows Server中設(shè)置為500。最大半開(kāi)連接重傳參數(shù)，表示在保護(hù)功能未啟動(dòng)時(shí)，對(duì)SYN-RCVD包進(jìn)行重傳的最大數(shù)量。

在Windows Server 2008中，上述參數(shù)有所變化，攻擊保護(hù)的性能也有所變化。

2 實(shí)驗(yàn)設(shè)置

實(shí)驗(yàn)需要首先啟動(dòng)一個(gè)基于DDoS攻擊的TCP/SYN，然后觀察記錄Windows Server 2003和Windows Server 2008的CPU占用率、TCP連接數(shù)、內(nèi)存使用率等關(guān)鍵參數(shù)，用來(lái)評(píng)估Windows Server的防護(hù)能力。實(shí)驗(yàn)未采用外部的安全系統(tǒng)[15]，避免外在的安全措施對(duì)內(nèi)建安全防護(hù)能力測(cè)試產(chǎn)生干擾。實(shí)驗(yàn)采用兩個(gè)不同的服務(wù)器平臺(tái)：Windows Server 2003 SP2(企業(yè)版64位)和Windows Server 2008 SP1(企業(yè)版64位)，硬件配置為Intel Xeon CPU E5345 @ 2.33 GHz +內(nèi)存8 GB。兩個(gè)服務(wù)器平臺(tái)均配置了HTTP服務(wù)器。

3 結(jié)果與討論

3.1 Windows Server 2003的防護(hù)能力

首先測(cè)試不存在攻擊的情況。合法的HTTP流量從互聯(lián)網(wǎng)上不同的客戶端發(fā)送到目標(biāo)服務(wù)器。Windows Server 2003上的Web服務(wù)器配置將引發(fā)至多每秒20 000個(gè)連接。這作為Windows Server 2003支持的連接數(shù)的對(duì)比基準(zhǔn)。

為測(cè)量TCP/SYN攻擊對(duì)Windows Server 2003的影響，在0 ～10 Mbit·s-1范圍內(nèi)設(shè)置了多級(jí)的流量載荷作為測(cè)試的攻擊強(qiáng)度。評(píng)價(jià)TCP/SYN攻擊效果的指標(biāo)有兩個(gè)：一是以CPU占用率；二是在受到攻擊之后服務(wù)器仍然可以支持的合法連接數(shù)。

據(jù)觀察，在攻擊強(qiáng)度為8 Mbit·s-1時(shí)，Windows Server 2003的CPU占用率達(dá)到了100%，如表1所示。而8 Mbit·s-1相比于服務(wù)器1 Gbit·s-1的最大帶寬，只占很小的比例。

表1 TCP/SYN攻擊下Windows Server 2003的CPU占用率隨攻擊

為評(píng)估TCP/SYN攻擊對(duì)合法連接數(shù)量的影響，發(fā)送到Windows Server 2003的連接數(shù)保持在每秒20 000個(gè)。此后，針對(duì)Windows Server 2003的TCP/SYN攻擊流量不斷遞增。由表2可知，在沒(méi)有TCP/SYN攻擊時(shí)連接數(shù)量為每秒20 000。隨著攻擊流量的增加，連接數(shù)量呈下降趨勢(shì)。最終在6 Mbit·s-1攻擊強(qiáng)度時(shí)，連接數(shù)量降為0。

表2 TCP/SYN攻擊下Windows Server 2003的TCP連接數(shù)隨攻擊

3.2 Windows Server 2008的防護(hù)能力

首先確定Windows Server 2008在TCP/SYN攻擊流量為0時(shí)的最大合法連接數(shù)量，以此作為比較的基準(zhǔn)。通過(guò)把許多不同合法用戶的HTTP流量發(fā)送到服務(wù)器，可以發(fā)現(xiàn)，在沒(méi)有TCP/SYN攻擊的情況下，Windows Server 2008可以每秒建立25 000個(gè)連接。

為評(píng)估攻擊的影響，向Windows Server 2008分別發(fā)送不同流量載荷的攻擊。實(shí)驗(yàn)表明，Windows Server 2008支持的連接數(shù)高于Windows Server 2003。隨著攻擊流量的增加，連接數(shù)量呈下降趨勢(shì)。在2 Mbit·s-1的TCP/SYN攻擊強(qiáng)度時(shí)，連接數(shù)量約降到比較基準(zhǔn)的1/2，即12 000每秒。在5 Mbit·s-1的TCP/SYN攻擊強(qiáng)度時(shí)，連接數(shù)量降到6 000每秒。當(dāng)攻擊強(qiáng)度增加到6 Mbit·s-1時(shí)，服務(wù)器的合法連接數(shù)量降為0，如表3所示。

表3 TCP/SYN攻擊下Windows Server 2008的TCP連接數(shù)隨攻擊

為探究服務(wù)器崩潰的原因，采用10 Mbit·s-1這個(gè)較高的攻擊強(qiáng)度對(duì)Windows Server 2008展開(kāi)攻擊。實(shí)驗(yàn)結(jié)果表明，服務(wù)器崩潰的原因是內(nèi)存快速耗盡，而不是CPU計(jì)算資源的耗盡。圖1為任務(wù)管理器的截圖，其“物理內(nèi)存使用歷史”曲線可清晰顯示內(nèi)存快速消耗的過(guò)程，這引起了Windows Server 2008在60 s以?xún)?nèi)死機(jī)。兩個(gè)不同的Windows Server系統(tǒng)在TCP/SYN攻擊中的表現(xiàn)對(duì)比如表4所示。

圖1 強(qiáng)度10 Mbit·s-1的TCP/SYN攻擊下Windows Server 2008內(nèi)存消耗圖

TCP/SYN攻擊強(qiáng)度/Mbit·s-1TCP連接數(shù)(WindowsServer2003)TCP連接數(shù)(WindowsServer2008)02000025000178001800027560120003650010000433008000521005600600

4 結(jié)束語(yǔ)

本文評(píng)估了Windows Server 2003和Windows Server 2008系統(tǒng)，在TCP/SYN攻擊條件下的安全性能表現(xiàn)。Windows Server 2008與Windows Server 2003相比，在沒(méi)有網(wǎng)絡(luò)攻擊時(shí)支持更多的合法連接數(shù)量。在TCP/SYN攻擊強(qiáng)度提高時(shí)，兩種服務(wù)器系統(tǒng)支持的合法連接數(shù)量均快速下降。Windows Server 2003在TCP/SYN攻擊強(qiáng)度為6 Mbit·s-1時(shí)，因?yàn)镃PU資源耗盡而崩潰。Windows Server 2008也是在TCP/SYN攻擊強(qiáng)度為6 Mbit·s-1時(shí)系統(tǒng)崩潰，原因是內(nèi)存耗盡，這一點(diǎn)與Windows Server 2003不同。

實(shí)驗(yàn)結(jié)果表明，Windows Server系統(tǒng)內(nèi)建的安全功能難以抵擋較高強(qiáng)度的基于DDoS的TCP/SYN攻擊。這為網(wǎng)絡(luò)運(yùn)維人員敲響了警鐘，為保證服務(wù)器工作性能，不能僅依靠Windows服務(wù)器系統(tǒng)內(nèi)建的保護(hù)功能。為防御DDoS等網(wǎng)絡(luò)攻擊行為，保障服務(wù)器為合法用戶提供正常服務(wù)，必須為服務(wù)器部署其他安全措施，例如把入侵防御系統(tǒng)部署在網(wǎng)絡(luò)的出口和邊界。

[1] Jiang H, Chen S, Hu H,et al.Superpoint-based detection against distributed denial of service (DDoS) flooding attacks[C].Beijing:IEEE International Workshop on Local and Metropolitan Area Networks,IEEE,2015.

[2] 臧運(yùn)海,湯大權(quán).檢測(cè)DDos攻擊的方法研究[J].電子設(shè)計(jì)工程,2014,22(9):153-155.

[3] 孫曦.DDoS攻擊及其對(duì)策研究[D].西安:西安電子科技大學(xué),2004.

[4] 田正先.基于網(wǎng)絡(luò)效用最大化的DDoS攻擊主動(dòng)防御機(jī)制研究[D].武漢:華中科技大學(xué),2011.

[5] ZDNet.局域網(wǎng)癱瘓的源頭傀儡主機(jī)的DDoS攻擊[J].網(wǎng)絡(luò)與信息,2010,24(3):46-47.

[6] 王蕊.DDoS攻擊強(qiáng)勢(shì)來(lái)襲企業(yè)網(wǎng)絡(luò)安全如何保護(hù)[J].計(jì)算機(jī)與網(wǎng)絡(luò),2015(12):15-19.

[7] 顧武雄.Windows Server 2008集群實(shí)戰(zhàn)[J].網(wǎng)絡(luò)運(yùn)維與管理,2015(9):130-136.

[8] 魯捷.高校校園網(wǎng)架設(shè)Windows2003網(wǎng)站服務(wù)器安全實(shí)踐[J].電子技術(shù)與軟件工程,2014(4):26-26.

[9] 舒亮.淺析Windows2003校園虛擬主機(jī)安全防護(hù)的部署與實(shí)踐[J].電腦迷,2014(7):98-102.

[10] 龐玲.邊界路由器BGP協(xié)議的脆弱性[J]. 計(jì)算機(jī)系統(tǒng)應(yīng)用,2013(1):157-161.

[11] 林思敏.邊界路由器BGP協(xié)議的脆弱性分析[J].無(wú)線互聯(lián)科技,2016(15):59-62.

[12] 蔡昭權(quán).邊界網(wǎng)關(guān)協(xié)議的攻擊分析與安全防范[J].計(jì)算機(jī)工程,2008,34(5):145-147.

[13] 曹玥,李暉,呂東亞.基于DDoS的TCP SYN攻擊與防范[J].電子科技,2004(2):19-23.

[14] 李秀婷.一種DDOS攻擊的檢測(cè)方法[J]. 科技視界,2015(22):96-96.

[15] 駱珍,裴昌幸,朱暢華.DDoS攻擊的技術(shù)分析與防御策略[J].電子科技,2006(12):74-78.

Evaluation for Defense Performance to Cyber Attacks of Windows Server System

LUO Jun

(Hechuan Chongqing Power Generation Co., Ltd., State Electric Power Investment Group Chongqing Electric Power Co., Ltd.,Chongqing 401536,China)

Aiming at the evaluation for defense performance to cyber attacks of Windows Server system, based on the analysis of the principle of network attacks such as the distributed denial of service (DDoS), through the study of TCP/SYN attack means and Windows Server system defense performance, A DDoS network attack experiment for Windows Server system is designed. The analysis of the experimental results shows that, built-in protection function can not resist the TCP/SYN based DDoS attacks. Other security measures must be deployed on the server to ensure that the server is safe and effective.

DDoS attack;TCP/SYN attack;built-in protection function

2016- 09- 23

羅軍(1980-)，男，工程師。研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。

10.16180/j.cnki.issn1007-7820.2017.08.035

TN915.08

A

1007-7820(2017)08-128-03