◆唐坤劍

（鄭州輕工業(yè)學院易斯頓美術學院 河南 451450）

0 引言

DDos(Distributed Denial OfService)攻擊，即分布式拒絕服務攻擊，也稱為洪水攻擊，其攻擊危害巨大、難以防御。DDoS攻擊具有突發(fā)性，會致使被攻擊主機負載的急劇增加,而基于異常的檢測是該類攻擊最為有效的檢測手段之一。網(wǎng)絡攻防中信息的攻取是攻防對抗中的第一步，也是非常關鍵的一步，從哪里攻取，獲取什么樣的信息，直接影響著隨后的防護和對抗質(zhì)量，因此進行網(wǎng)絡異常的檢測，尤其是進行攻擊檢測是進行防范的關鍵所在。

進行異常檢測的核心問題是怎樣實現(xiàn)負載正常狀態(tài)的描述?，F(xiàn)在普遍的做法是進行大量樣本數(shù)據(jù)的采集，然后基于統(tǒng)計方法對樣本數(shù)據(jù)進行分析，從分析結(jié)果中抽取出正常的模式。這種方法獲得的正常行為描述建立在歷史數(shù)據(jù)之上，時效性較差，以此為依據(jù)進行的異常判斷的準確性并不太高。

1 常見的DDoS攻擊方式

DDoS的攻擊方式有很多種，最基本的攻擊就是利用合理的服務請求來占用有限的服務資源，使合法用戶無法得到正常響應。

1.1 SYNACK Flood攻擊

SYNACK Flood攻擊利用TCP協(xié)議實現(xiàn)上的不足，發(fā)送大量偽造源IP和源端口的SYN或ACK包，從而致使目標服務器的緩存資源被耗盡，進而阻止合法用戶進行正常訪問。很多操作系統(tǒng)，甚至防火墻、路由器都很難有效地阻止這種攻擊，再因它可以方便地偽造源地址，追查起來比較困難。但這種攻擊實施起來有一定難度，需要高帶寬的僵尸主機支持。

1.2 UDP/ICMP Flood報文攻擊

UDP協(xié)議是無連接狀態(tài)不可靠的通道傳輸協(xié)議，本身不提供協(xié)調(diào)的消息反饋機制，其可靠性需要依賴其承載的應用程序來進行保障。基于UDP協(xié)議的DDoS攻擊比較簡單易行，攻擊者只需偽造大量IP地址和小字節(jié)的UDP報文，針對特定的應用服務器及端口大量發(fā)包，這些攻擊報文將致使目標服務器始終處在繁忙狀態(tài)，從而影響正常UDP消息的收發(fā)。ICMP Flood的攻擊原理和ACK Flood原理相似，屬于流量型攻擊，都是利用大流量給服務器帶來較大的負載，從而影響服務器的正常服務。

1.3 應用層資源消耗型

應用層攻擊并非依靠大量的流量取勝，而是通過模擬用戶發(fā)送請求，對特定的應用或服務進行資源的消耗和占用，再利用較小的流量攻擊就可達到耗盡應用層資源進而拒絕提供服務的目的，其典型代表有HTTP GET和DNSQuery攻擊等。

（1）HTTP GET攻擊

HTTP GET攻擊主要通過端口掃描程序在互聯(lián)網(wǎng)上尋找匿名的HTTP代理或者SOCKS代理，并構(gòu)造多個IP地址和服務器建立有效的 TCP連接，再不斷向目標服務器特定頁面發(fā)起 HTTP GET請求，實現(xiàn)諸如數(shù)據(jù)庫的注冊、查詢、刷新等操作以消耗服務器資源，當發(fā)送的頻率足夠高的時候?qū)⒅率狗掌鱾?cè)忙于響應這些請求致使 CPU資源不足，從而使得其他的正常請求得不到處理。

（2）DNSQuery攻擊

DNS服務作為互聯(lián)網(wǎng)的域名查詢業(yè)務，對于互聯(lián)網(wǎng)的訪問非常重要。攻擊者通過模擬大量IP地址發(fā)起大量的DNS域名查詢請求，致使DNS服務器資源被大量消耗，網(wǎng)絡帶寬被占用耗盡，使得無法傳送正常的 DNS查詢請求；或者發(fā)送大量非法域名查詢報文引起 DNS服務器持續(xù)進行迭代查詢，從而達到用小流量實現(xiàn)攻擊的效果。由于 DNS服務器在網(wǎng)絡中的特殊位置，小規(guī)模的DNS拒絕服務攻擊很可能也演變成大流量的沖擊事件。

2 DDoS攻擊的檢測方法

基于DDoS攻擊的特性利用基于負載預測的DDoS檢測方法，能有效檢測網(wǎng)絡異常和DDos攻擊。首先預測待檢測時刻的服務請求數(shù)，將其作為待測時段內(nèi)正常服務的計數(shù)值，然后，以此為參照進行異常判斷，這樣不僅可以提高預測的準確性，而且還可以縮減歷史記錄存儲量。為此提出以下針對常見的DDoS攻擊方式提出可行性較高的檢測方法。

2.1 SYNACK Flood的檢測

一般情況下網(wǎng)絡中傳輸?shù)腟YN包和SYN ACK包的數(shù)量是相等的，即使有網(wǎng)絡延遲時其數(shù)量相差也不大。針對SYNACK Flood攻擊時網(wǎng)絡中充斥著大量的SYN ACK包的特點，檢測方法如下：

設定一個定時器clock，計數(shù)器syn_ack_num和閥值alarm；在每一個時間片段開始，令syn_ack_num= 0；

當收到一個SYN包，syn_ack_num =syn_ack_num -1；

當收到一個SYN ACK包，syn_ack_num = syn_ack_num + 1，同時，檢測syn_ack_num是否大于 alarm，如果大于則表明有TCP SYN ACK Flood攻擊發(fā)生。

2.2 UDP Flood 的檢測

UDP Flood攻擊是攻擊者向被攻擊主機發(fā)送大量的UDP包。Trinoo中UDP Flood攻擊的特點是使用真實的源地址向攻擊目標的任意端口發(fā)送UDP包。一般情況下，服務器開啟的UDP端口數(shù)量有限，對于UDP包服務器都要返回一個端口不可達的ICMP包，所以可以統(tǒng)計單位時間內(nèi)從服務器來的到同一 IP地址的端口不可達的ICMP包的數(shù)量是否超過預先設定的一個閥值。因此，對于這種攻擊的檢測方法是：

設定一個計時器clock，計數(shù)器udp_num和閥值 alarm。在每一個時間片斷內(nèi)，執(zhí)行以下操作：在時間片段開始令udp_num =0，然后每接受一個端口不可達的 ICMP包，相應的目的地址對應的udp_num值增加1，并檢查udp_num的值是否大于alarm，如果大于，則表明有攻擊發(fā)生。

2.3 ICMP Flood 的檢測

ICMP Flood攻擊是攻擊守護進程向攻擊目標發(fā)送大量的ICMP_ECHOREQUEST包，攻擊特點是被攻擊網(wǎng)絡中充斥著大量的ICMP_ECHOREQUEST包。因此對于這種攻擊的檢測方法為：

設定定時器clock，計數(shù)器icmp_num和閥值 alarm，在每一個時間片段開始時令 icmp_num = 0；當收到一個ICMP_ECHOREQUEST包時，icmp_num = icmp_num +1，同時檢測icmp_num是否大于alarm，若大于則表明有ICMP Flood攻擊發(fā)生。從以上對各類攻擊的檢測可以看出，其檢測思路是：根據(jù)各種攻擊發(fā)送報文的特征和流量特征，來計算每一種包發(fā)送的速率是否大于一個閥值。

3 正常流量和攻擊流量的區(qū)分方法

從以上對常見DDoS攻擊程序所采用的流量攻擊方法的特征分析和檢測方法來看，每種攻擊形式都有明顯的特征，下面依次介紹對每種攻擊方法所產(chǎn)生的流量和正常流量進行區(qū)分的方法。

3.1 SYN ACK Flood流量的識別

客戶端在返回一個SYNACK包前，一定有一個來自于服務器的SYN包。因此，可以記錄所有來自于服務器的SYN包信息。使用哈希表可以節(jié)省存儲空間和提高檢索效率，以SYN包的IP頭的部分字段，包括源地址，目的地址，源端口和目的端口作為哈希表的索引。該哈希表的每一個記錄只需要1bit，值為1表明收到了一個SYN包，為0表示沒有。當收到一個SYN ACK包時將其 IP頭中的部分字段，包括目的地址、源地址、目的端口和源端口作為索引，檢索上面的哈希表，若相應位置為1，則表明前面有一個來自于服務器的SYN包，該SYN ACK包是正常流量，然后將該位置0，反之，則是 SYN ACK Flood流量。

3.2 UDP Flood 流量的識別

在檢測UDP Flood時，可以看出UDP Flood流量已經(jīng)有了明顯的特征。當檢測出trinoo發(fā)起的UDP時，立即識別出攻擊發(fā)起的主機地址。因此，直到檢測到UDP Flood攻擊結(jié)束前，從該主機發(fā)送來的所有UDP包都是UDP Flood流量。當檢測到TFN、TFN2K和stacheldaht的UDP Flood攻擊發(fā)生時，根據(jù)數(shù)據(jù)包的源端口和目的端口的特征則可以區(qū)分出UDP Flood流量。

3.3 ICMP Flood流量的識別

雖然ICMP Flood攻擊非常容易檢測，但是ICMP Flood攻擊流量和正常流量卻沒有明顯的差別，因為ICMP Flood是對正常協(xié)議的濫用。由于ICMP協(xié)議只是IP協(xié)議的輔助協(xié)議，所以當檢測到有 ICMP Flood攻擊時，可以過濾掉所有的ICMP_ECHOREQUEST包，為進一步過濾這些惡意報文提供了依據(jù)。當檢測到某種攻擊發(fā)生時，可根據(jù)區(qū)分相應攻擊流的方法，啟動相應的過濾器過濾惡意流量，直到攻擊結(jié)束。

4 結(jié)束語

基于負載預測DDoS攻擊的檢測方法以預測值作為未來時段內(nèi)網(wǎng)絡正常行為的描述，改進了正常行為描述的時效性，提高了攻擊的檢測預期，并具有低延時性，對分布式拒絕服務攻擊的檢測有一定的指導性。

[1]姚淑萍胡昌振.基于負載預測的分布式拒絕服務攻擊檢測方法研究[J].科技導報，2005.

[2]龔冉.基于SDN的負載均衡和DDOS攻擊檢測技術的研究[D].安徽大學，2016.

[3]徐斌.DDOS攻擊方式和防護方法的研究[J].網(wǎng)絡安全技術與應用，2014.

[4]王振明，張亞娥.一種DDoS攻擊檢測方法[J].甘肅科技，2007.