翟瑞+李丁蓬+付順順

摘要：在網絡攻擊日益泛濫的今天，分布式拒絕服務攻擊帶來的危害持續(xù)上升，其中最為典型的就是DRDoS攻擊（分布式反射拒絕服務攻擊），IPv6網絡也面臨這樣的危險。為了應對DRDoS攻擊帶來的嚴峻安全形勢，保障下一代互聯(lián)網通信的健康安全，在IPv4接入網源地址驗證的基礎上進行了改進。結合IPv6網絡特點實現(xiàn)動態(tài)過濾，引入域內攻擊測試服務器對數據包源地址進行驗證。實驗結果表明，該方案能有效識別偽造源地址的數據包，進而實現(xiàn)對DDRoS攻擊的有效防御。

關鍵詞：源地址驗證；分布式反射拒絕服務攻擊；防御方案；網絡安全

DOIDOI：10.11907/rjdk.172880

中圖分類號：TP309

文獻標識碼：A文章編號文章編號：1672-7800（2018）001-0199-03

Abstract：With the increasing proliferation of cyber attacks， the dangers of distributed denial of service attacks continue to rise. Which is currently the most typical is DRDoS attacks （distributed reflex denial of service attacks）， IPv6 network is also facing such a danger. In order to deal with the DRDoS attack to bring the severe security situation， to protect the next generation of Internet communication health and safety and stability. In this paper， based on the IPv4 address network source address authentication to improve， combined with the characteristics of IPv6 network to achieve dynamic filtering， and the introduction of domain attack test server to verify the source address of the packet. Through the experimental results， we can see that the scheme effectively identifies the packets with the source address， and realizes the effective defense of the DDRoS attack.

Key Words：source address verification； DRDoS attack； defense program； network security

0引言

IPv4地址已在全球分配完畢，IPv6網絡受到越來越多的國家重視，但IPv6網絡同樣面臨安全問題，也會受到分布式拒絕服務攻擊的威脅。DRDoS（分布式反射拒絕服務）是一個精心設計的分布式拒絕服務攻擊，其基本思想是通過使用UDP（用戶數據報協(xié)議）來調用大量服務（如DNS域名服務器、NTP服務器或在線視頻游戲協(xié)議）。利用UDP協(xié)議的特點，攻擊者可以使用第三方IP使數據包反彈并隱藏攻擊來源。雖然對DRDoS（分布式反射拒絕服務）攻擊的研究已經進行了多年，但實際網絡對此類攻擊的防范作用效果不明顯。信息安全公司Verisign最新發(fā)布的2017年第一季度DDOS攻擊趨勢報告[1]指出，基于UDP協(xié)議的攻擊類型在所有攻擊類型中占據了主要地位，最常見的UDP洪水攻擊均為DRDoS攻擊。

對DRDoS攻擊的檢測防御方法研究很多。如Peng等[2]提出了基于現(xiàn)有IP過濾偽造源IP的方案，但針對現(xiàn)有IP進行的攻擊則無能為力。Jin等[3]提出基于跳數映射的反射端監(jiān)測過濾方案，但方案實施復雜。針對請求回應包的檢測模型法[4]對過濾攻擊包有較好效果，但實施中可能導致開銷過大?；谡埱蟀c回應包比例異常[5]檢測DRDoS攻擊并實現(xiàn)過濾的方案，主要實現(xiàn)攻擊完成之后的檢測，防御效果不理想。

針對這些方案的不足，本文提出了一種基于源地址驗證的DRDoS攻擊防御方案，從源頭上遏制DRDoS攻擊的發(fā)生。

1DRDoS攻擊原理分析

在DRDoS攻擊中，攻擊主機向一些特定服務器發(fā)送請求數據包，而請求數據包中的源地址設置為DRDoS攻擊目標[6]。當服務器收到請求報文后，向攻擊目標的IP地址發(fā)送回應報文，但回應報文本身的大小是請求數據包大小的數倍[7]。當眾多的攻擊主機發(fā)送攻擊包時，則攻擊目標會收到來自特定服務器洪水般的回應報文，最終導致崩潰無法提供正常服務。那么只要將攻擊主機發(fā)出的偽造源地址報文攔截，就可實現(xiàn)對DRDoS攻擊的防御[8]。

如圖1所示，DRDoS攻擊中，攻擊主機與攻擊目標主機的位置基本分為兩種情況：①攻擊主機與攻擊目標主機位于同一子網內；②攻擊主機與攻擊目標主機位于不同的子網內[9]。兩種情況相比，第①種情況存在的概率微乎其微。本文針對第②種情況，提出了源地址驗證方案應對DRDoS攻擊。

2源地址驗證方案

本文的源地址驗證方案根據網絡中部署位置的不同分為兩層，分別是接入網IPv6源地址驗證、域內IPv6源地址驗證。

2.1接入網IPv6源地址驗證

傳統(tǒng)的接入網源地址驗證是在交換機端將局域網內的主機IP地址、MAC地址綁定在一起，對通過的報文進行過濾[10]。但目前的IP地址配置方案大多采用動態(tài)分配，如果采用之前的過濾方案，不僅無法過濾偽造IP地址的數據包，反而影響了正常的通信行為。另外，由于無法保證子網中的主機不發(fā)生變化，新增的主機必然無法通過綁定列表的過濾，這需要源地址驗證方案能適應不斷變化的網絡環(huán)境，在保證不影響正常通信的情況下實現(xiàn)偽造源地址數據包的識別與過濾。首先，基于DHCP服務的IP地址分配情況，動態(tài)配置綁定列表。對源IP地址及MAC地址不相符的數據包直接進行攔截。對于只有IP地址屬于綁定列表的情況，交換機轉發(fā)給路由器進行域內驗證。endprint

2.2域內IPv6源地址驗證方法

路由器對收到的新IP地址的報文首先保存在路由器緩存中，之后路由器發(fā)送以新IP地址為源IP地址、目的IP地址為域內測試服務器的IP地址測試報文。隨后路由器以自身IP地址向測試服務器發(fā)送測試報文。之后路由器監(jiān)聽轉發(fā)的報文中是否有源地址為測試服務器地址，目的IP地址為之前新IP地址的報文。若收到相應報文，則將之前保存的報文轉發(fā)出去，若直到路由器收到測試服務器對其回復時還未收到相應報文，則將此IP地址添加到黑名單，不再向外轉發(fā)源地址為此IP地址的報文。另外，在本域的邊界路由器上進行設置，當收到源IP地址為本域測試服務器的地址報文時，直接丟棄，如圖2所示。

算法過程如下：①交換機形成IP地址、MAC地址綁定列表；②交換機檢查報文中是否存在IP地址或MAC地址屬于綁定列表；若存在轉步驟③，若不存在則轉步驟④；③交換機對收到的報文IP地址、MAC地址以及端口信息與綁定列表的信息進行核對；若符合則轉發(fā)報文，不符合則將報文丟棄；④將報文轉發(fā)給路由器，路由器暫時將其保存在緩存中，并提取出報文的源IP地址IP1。以IP1為源IP地址，以本域測試服務器IP地址為目的IP地址發(fā)送測試報文。隨后以本路由器IP地址為源IP地址，向測試服務器發(fā)送測試報文；⑤本域測試服務器收到測試報文后，分別發(fā)送回應報文；⑥路由器在規(guī)定時間內監(jiān)測收到的回應報文情況，若收到測試服務器對IP1地址的回應報文，則將之前保存的報文轉發(fā)，并將IP1添加到白名單。若先收到測試服務器對路由器的回應報文，則結束等待，丟棄之前保存的報文，并添加到黑名單。若在規(guī)定時間未收到任何回應報文，則丟棄保存的報文；⑦邊界路由器對測試路由器發(fā)出的報文丟棄。

3實驗驗證

本文通過模擬仿真實驗的方式，對提出的IPv6下基于源地址驗證的DRDoS攻擊防御方案進行驗證。實驗環(huán)境：PC機配置為Intel（R）_Core（TM）_i5-3470@_3.20GHz，內存為8G；操作系統(tǒng)為Ubuntu14.04TLS；NS3.26。

本文使用虛擬化網絡仿真平臺NS3，可以實現(xiàn)對數百個網絡節(jié)點的仿真，并可對網絡中的路由器等模塊進行修改，搭建的網絡拓撲結構如圖3所示。

設計3種測試方案：①各主機之間正常發(fā)送IP報文；②偽造拓撲內主機源地址發(fā)送IP報文；③偽造拓撲外主機源地址發(fā)送IP報文。

在傳統(tǒng)接入網源地址驗證方案及IPv6下基于源地址驗證的DRDoS攻擊防御方案這兩種情況下進行實驗，分別進行100次實驗，每次實驗報文數量不少于1 000個，對不同測試下的轉發(fā)延時、源地址驗證成功率進行統(tǒng)計。通過對發(fā)出的數據包與在路由器處轉發(fā)的數據包進行比較分析，得出統(tǒng)計表1。

通過實驗可以看出，采用傳統(tǒng)接入網源地址驗證方案的實驗環(huán)境對偽造源地址的報文攔截效果較差，存在較大的誤攔截率。而IPv6下基于源地址驗證的DRDoS攻擊防御方案，不管是針對拓撲內偽造源地址還是拓撲外偽造源地址的報文，都能有效攔截，進而實現(xiàn)對DRDoS攻擊的防御。對拓撲外的地址驗證有時間限制，在遇到網絡阻塞情況下會導致超時丟棄報文。因此，本文的方案中允許再次發(fā)送報文進行驗證，直到完成驗證。另外，由于保證本文源地址驗證全部實現(xiàn)導致增加了轉發(fā)延時。

4結語

本文利用綁定列表過濾方案與測試源地址驗證方案相結合的方式，雖然增加了轉發(fā)延時，但可有效防御IPv6網絡中的DRDoS攻擊發(fā)生，可見本文方案是有效的DRDoS攻擊防御方案。下一步研究方向是在保證偽造源地址攔截率的基礎上，進一步降低轉發(fā)延時，提升效率，以及降低誤攔截率。

參考文獻：

[1]VERISIGN. Inc，Q1 2017： DDoS trends infographic[EB/OL].http：//www.verisign.com/assets/infographic-ddos-trends-Q12017_en_IN.pdf.

[2]PENG T， LECKIE C， RAMAMOHANARAO K. Detecting reflector attacks by sharing beliefs[J].Global Telecommunications Conference， GLOBECOM '03. IEEE，2003（3）：1358-1362.

[3]JIN C， WANG H， SHIN K， et al. An effective defense against spoofedtraffic [J]. ACM International Conference on Computer and Communications Confercnce SecUrity 2003（10）：30-41.

[4]OHTA K， YAMAMOTO A. Detecting DRDoS attacks by a simple response packet confirmation mechanism[J]. Computer Communications，2008，31（14）：3299-3306.

[5]何雪妮.一種改進的檢測算法[J].自動化與儀器儀表，2012，161（3）：150-151.

[6]賀燕.DRDoS攻擊檢測模型的研究[D].西安：陜西師范大學，2010.

[7]姜開達，章思宇，孫強.基于NTP反射放大攻擊的DDoS追蹤研究[J].通信學報，2014（s1）：153-156.

[8]李剛.基于流記錄的掃描和反射攻擊行為主機檢測[D].南京：東南大學，2016.

[9]張明清，揣迎才，唐俊，等.一種DRDoS協(xié)同防御模型研究[J].計算機科學，2013，40（9）：99-102.

[10]孫鵬.面向SDN的源地址驗證方法研究[J].電光與控制，2016（3）：49-53.

（責任編輯：杜能鋼）endprint