仇必青 牟春旭 閆申

摘 要：分布式拒絕服務(wù)（DDoS）攻擊深刻影響網(wǎng)絡(luò)安全和數(shù)據(jù)安全，對(duì)行業(yè)的影響包括服務(wù)癱瘓、品牌聲譽(yù)損失等，其背后的動(dòng)機(jī)包括勒索、攻擊能力演示、故意破壞、政治糾紛、黑客活動(dòng)、商業(yè)競(jìng)爭(zhēng)、干擾過濾以及其他數(shù)據(jù)盜竊活動(dòng)等。文章從 DDOS 攻擊和防御 2個(gè)角度分析其技術(shù)發(fā)展趨勢(shì)，首先分別介紹了DDoS 攻擊和防御的相關(guān)概念及工作原理，然后總結(jié) DDOS 攻擊和防御的各類技術(shù)特征，最后展望了 DDoS 攻擊和防御的技術(shù)發(fā)展趨勢(shì)。

關(guān)鍵詞：DDoS攻擊; DDoS 防御：;技術(shù)特征;發(fā)展趨勢(shì)

中圖法分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A

１ 引言

隨著云計(jì)算、大數(shù)據(jù)、人工智能（ＡＩ）、視頻直播等的高速發(fā)展，互聯(lián)網(wǎng)已深度融入人們的日常工作生活，給人們提供各種數(shù)據(jù)支持和網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)帶寬也隨之不斷增高。物聯(lián)網(wǎng)（ＩｏＴ）和網(wǎng)絡(luò)連接的進(jìn)步無意中促進(jìn)了分布式拒絕服務(wù)（ＤＤｏＳ）攻擊的發(fā)展，其數(shù)量、頻率和強(qiáng)度都有所增長(zhǎng)，已成為影響網(wǎng)絡(luò)安全和數(shù)據(jù)安全的重大威脅。微軟報(bào)告稱，２０２２ 年該公司遭受ＤＤｏＳ 攻擊的峰值達(dá)到每秒３．４７ 太比特；而騰訊的報(bào)告稱，２０２２ 年該公司遭受ＤＤｏＳ 攻擊的峰值達(dá)到每秒１．４５ 太比特，ＤＤｏＳ 攻擊造成的嚴(yán)重破壞事件仍不斷增加。由此可見，每一秒都是抵御ＤＤｏＳ 攻擊的關(guān)鍵。目前，安全系統(tǒng)仍缺乏針對(duì)ＤＤｏＳ 攻擊的有效防御方法。需要研究者分析攻擊的發(fā)展態(tài)勢(shì)，并構(gòu)建識(shí)別、防御、緩解全過程管理體系。

２ ＤＤｏＳ 攻擊

２．１ ＤＤｏＳ 攻擊的概念

（１）ＤＤｏＳ 攻擊的定義。

ＤＤｏＳ 攻擊由拒絕服務(wù)（ＤｏＳ）攻擊發(fā)展而來，攻擊者在一段時(shí)間內(nèi)利用分布在網(wǎng)絡(luò)上的各類設(shè)備對(duì)目標(biāo)發(fā)起看似合法的請(qǐng)求，占據(jù)大量服務(wù)資源，使網(wǎng)絡(luò)服務(wù)無法正常提供。僵尸主機(jī)是一種連接到互聯(lián)網(wǎng)并且被感染惡意軟件的設(shè)備，可執(zhí)行編程任務(wù)。僵尸主機(jī)執(zhí)行的操作包括發(fā)送大量垃圾郵件、嗅探流量、捕獲敏感信息、網(wǎng)絡(luò)釣魚、點(diǎn)擊欺詐、密鑰記錄、傳播加密貨幣挖掘軟件以及發(fā)起攻擊。

（２）ＤＤｏＳ 攻擊的工作原理。

發(fā)起攻擊的僵尸主機(jī)通過管理肉雞控制流量，使各種肉雞向受害者的基礎(chǔ)設(shè)施發(fā)送攻擊流量。攻擊者利用ＩｏＴ 等互聯(lián)網(wǎng)連接設(shè)備的各種弱點(diǎn)傳播其制作的惡意代碼，互聯(lián)網(wǎng)連接設(shè)備感染后將逐步成為攻擊者的肉雞，攻擊者發(fā)送命令讓其控制的肉雞執(zhí)行。當(dāng)攻擊者發(fā)起攻擊時(shí)，會(huì)指示肉雞創(chuàng)建與受害者基礎(chǔ)設(shè)施的連接，使各種肉雞向受害者的基礎(chǔ)設(shè)施發(fā)送攻擊流量，攻擊者通過管理肉雞控制流量，不斷消耗受害者所有可用網(wǎng)絡(luò)資源。

２．２ ＤＤｏＳ 攻擊的分類

（１）資源消耗型攻擊。

中央處理器（ＣＰＵ）、內(nèi)存、網(wǎng)絡(luò)帶寬、套接字等是攻擊者嘗試消耗的主要資源。此外，消耗對(duì)互聯(lián)網(wǎng)運(yùn)行至關(guān)重要的基礎(chǔ)設(shè)施的所有帶寬和計(jì)算資源也是攻擊者的常用方式。一般情況下，資源消耗型攻擊通過協(xié)議漏洞攻擊或格式錯(cuò)誤的數(shù)據(jù)包攻擊實(shí)現(xiàn)。其中，協(xié)議漏洞攻擊是利用包括ＴＣＰ，ＵＤＰ，ＩＣＭＰ，ＨＴＴＰ等在內(nèi)的各種協(xié)議來消耗服務(wù)交付所需的重要資源，主要的攻擊類型包括ＴＣＰ ＳＹＮ 攻擊、ＴＣＰ ＰＵＳＨ 混合ＡＣＫ 碎片攻擊、ＵＤＰ 洪泛攻擊、ＩＣＭＰ 洪泛攻擊、ＨＴＴＰ洪泛攻擊、ＳＩＰ 洪泛攻擊和慢速ＨＴＴＰ 攻擊等。

（２）零日攻擊。

零日ＤＤｏＳ 攻擊是指攻擊者利用未被大眾發(fā)現(xiàn)的安全漏洞或病毒發(fā)起攻擊。除了利用的安全漏洞或病毒未知，攻擊的影響也是未知的，只有在攻擊發(fā)起之后，才有可能識(shí)別攻擊的安全漏洞或病毒，并有針對(duì)性地提出適當(dāng)?shù)姆烙胧?。保持系統(tǒng)最新和正確的配置可以一定程度上減少未知漏洞，從而進(jìn)一步減少零日攻擊的機(jī)會(huì)。

（３）融合攻擊。

融合攻擊是指攻擊者融合包括ＩｏＴ、工業(yè)互聯(lián)網(wǎng)、勒索等在內(nèi)的不同新型技術(shù)手段或攻擊策略來加強(qiáng)攻擊，并使系統(tǒng)難以檢測(cè)和減輕攻擊。攻擊者可以組合不同類型的洪泛攻擊，或者可以將不同的放大攻擊與新型攻擊混合。其中，在融合ＩｏＴ 攻擊中，攻擊者將存在漏洞的攝像頭、智能電視、智能音箱、智能手表等ＩｏＴ 設(shè)備與目標(biāo)受害者創(chuàng)建連接，并消耗其可用資源；勒索ＤＤｏＳ 攻擊（ＲＤＤｏＳ）利用ＤＤｏＳ 攻擊變體進(jìn)行破壞，攻擊者的主要目的是讓受害者支付贖金，以換取暫?；虿粚?duì)受害者發(fā)起進(jìn)一步的攻擊；經(jīng)濟(jì)可持續(xù)性否認(rèn)（ＥＤｏＳ）是利用ＤＤｏＳ 攻擊迫使受害者為網(wǎng)絡(luò)分配更多的計(jì)算資源，增加了受害者保持服務(wù)運(yùn)行所需的成本。

２．３ ＤＤｏＳ 攻擊發(fā)展趨勢(shì)

ＤＤｏＳ 攻擊已經(jīng)從單純的資源比拼演進(jìn)成競(jìng)技斗爭(zhēng)。攻擊者為了繞過防御措施，偽裝自己（ＣＣ 攻擊）、低頻掃射、ＲＤＤｏＳ 、ＥＤｏＳ 等新型融合技術(shù)層出不窮。從多個(gè)ＣＣ 攻擊案例可以分析，攻擊已逐步顯現(xiàn)出多ＩＰ 疊加低ＱＰＳ 的特征，通過惡意移動(dòng)應(yīng)用控制移動(dòng)終端，并使其變成肉雞，進(jìn)一步獲得海量的可用攻擊ＩＰ 源，海量連接需求讓服務(wù)器壓力劇增并逐步崩潰。隨著地緣沖突的持續(xù)發(fā)酵，新型融合技術(shù)導(dǎo)致攻擊持續(xù)升級(jí)，以關(guān)鍵信息基礎(chǔ)設(shè)施為目標(biāo)的攻擊也將與日俱增。一是資源消耗型攻擊將異軍突起。比如ＵＤＰ Ｆｒａｇｍｅｎｔ Ｆｌｏｏｄ 類型的大流量攻擊顯著增多，百Ｇｂ 級(jí)別以上的大流量攻擊將越來越普遍，呈現(xiàn)出大流量攻擊增長(zhǎng)幅度高于整體威脅增長(zhǎng)幅度的態(tài)勢(shì)。資源消耗型攻擊將繼續(xù)在Ｔｂ 級(jí)別的大流量攻擊中扮演重要角色。二是零日ＤＤｏＳ 攻擊等新型攻擊手段將不斷涌現(xiàn)，由于利用的安全漏洞或病毒未被公布，攻擊造成的不利后果將無法估計(jì)。三是攻擊目標(biāo)將趨于明確，攻擊持久性將持續(xù)加強(qiáng)。受害者一旦被攻擊者選為攻擊目標(biāo)，將更容易遭受多次攻擊，從目標(biāo)被攻擊頻次來看，將呈現(xiàn)不斷上升態(tài)勢(shì)。受害者目標(biāo)被攻擊的周期將不斷變長(zhǎng)，攻擊持久性也將持續(xù)加強(qiáng)。

３ ＤＤｏＳ 防御

３．１ ＤＤｏＳ 防御的概念

（１）ＤＤｏＳ 防御的定義。

ＤＤｏＳ 防御是指為應(yīng)對(duì)攻擊者發(fā)起的侵略、保障網(wǎng)絡(luò)服務(wù)持續(xù)進(jìn)行或者因網(wǎng)絡(luò)可能即將被攻擊而發(fā)出警戒以減少外部侵略傷害的行為。

（２）ＤＤｏＳ 防御的工作原理。

防御攻擊的最終目標(biāo)是預(yù)防。在攻擊前后，防御的必要工作包括預(yù)防、檢測(cè)、緩解。

預(yù)防攻擊是指在攻擊者發(fā)動(dòng)攻擊之前采用禁用不必要的服務(wù)、資源限制、安全加固等手段進(jìn)行預(yù)防，以避免或縮小攻擊的負(fù)面影響。最常用的預(yù)防策略是使用多層防火墻預(yù)防攻擊。

檢測(cè)攻擊是指當(dāng)攻擊者發(fā)起攻擊后，發(fā)現(xiàn)過載信號(hào)或攻擊造成損害，并第一時(shí)間判斷已發(fā)生攻擊行為的措施。檢測(cè)發(fā)現(xiàn)攻擊者，然后阻止攻擊者制造的虛假流量是防御ＤＤｏＳ 攻擊的主要方法?？梢允褂妹酃薇O(jiān)控器和ＩＤＳ 機(jī)制，也可以通過協(xié)議特性、系統(tǒng)特性、請(qǐng)求特性等進(jìn)行檢測(cè)，同時(shí)，連續(xù)網(wǎng)絡(luò)監(jiān)控也可以用于攻擊告警檢測(cè)。

緩解攻擊是指檢測(cè)識(shí)別到ＤＤｏＳ 攻擊后，采取適當(dāng)、必要的措施來應(yīng)對(duì)并減輕（響應(yīng)）攻擊造成的不利后果，以避免或最小化服務(wù)遭受的損害。在ＤＤｏＳ 攻擊期間，系統(tǒng)管理員很難訪問網(wǎng)絡(luò)的路由器和服務(wù)器。因此，有必要組建一個(gè)能夠進(jìn)行入侵響應(yīng)的專業(yè)團(tuán)隊(duì)。入侵響應(yīng)團(tuán)隊(duì)能夠在攻擊發(fā)生后收集數(shù)據(jù)，及時(shí)追蹤構(gòu)成ＤＤｏＳ 網(wǎng)絡(luò)的主機(jī)并關(guān)閉這些主機(jī)的連接服務(wù)［１～２］ 。

３．２ ＤＤｏＳ 防御分類

（１）基于信息熵的ＤＤｏＳ 檢測(cè)防御。

在網(wǎng)絡(luò)的正常狀態(tài)下，所有網(wǎng)絡(luò)節(jié)點(diǎn)接收的流量速率相對(duì)穩(wěn)定，并且信息熵的值最大。在ＤＤｏＳ 攻擊下，一個(gè)或多個(gè)主機(jī)獲得的流量會(huì)明顯超過正常速率，在這種情況下，熵值會(huì)下降。根據(jù)網(wǎng)絡(luò)節(jié)點(diǎn)的信息熵值是否超過設(shè)定的閾值來判斷網(wǎng)絡(luò)是否遭受ＤＤｏＳ 攻擊。

（２）基于ＴＣＰ 代理的ＤＤｏＳ 檢測(cè)防御。

ＴＣＰ 代理機(jī)制主要針對(duì)ＴＣＰ ＳＹＮ 洪泛攻擊，ＴＣＰＳＹＮ 請(qǐng)求不直接到達(dá)服務(wù)器，而是通過代理過濾該請(qǐng)求。當(dāng)ＴＣＰ ＳＹＮ 請(qǐng)求到達(dá)過濾設(shè)備時(shí)，該設(shè)備不會(huì)將其直接移交給后續(xù)服務(wù)器，而是應(yīng)答“ＳＹＮ＋ＡＣＫ”響應(yīng)，并等待客戶端回復(fù)。如果請(qǐng)求來自合法用戶，客戶端將響應(yīng)“ＳＹＮ＋ＡＣＫ”，清洗設(shè)備與受保護(hù)服務(wù)器建立ＴＣＰ 連接，并將該連接添加到信任列表中，合法的用戶和服務(wù)器可以通過清洗設(shè)備進(jìn)行正常的數(shù)據(jù)通信。如果請(qǐng)求來自攻擊者，由于攻擊者通常不會(huì)響應(yīng)，這將導(dǎo)致半開放連接，過濾設(shè)備將暫時(shí)保存半開的連接，并在超時(shí)后將其丟棄。

（３）基于統(tǒng)計(jì)分析的ＤＤｏＳ 檢測(cè)防御。

基于統(tǒng)計(jì)分析技術(shù)的預(yù)測(cè)通過對(duì)匯總收集的包含網(wǎng)絡(luò)特征的各類數(shù)據(jù)進(jìn)行數(shù)學(xué)統(tǒng)計(jì)及整理、分析，以求最準(zhǔn)確地預(yù)測(cè)攻擊發(fā)生可能性。分別統(tǒng)計(jì)正常合法請(qǐng)求的數(shù)據(jù)特征、攻擊者發(fā)起的非法請(qǐng)求的數(shù)據(jù)特征，計(jì)算常規(guī)流量的統(tǒng)計(jì)模型，然后使用統(tǒng)計(jì)推斷測(cè)試來確定新的流量是否屬于該模型。若與統(tǒng)計(jì)模型不一致，則將該流量實(shí)例分類為不一致，需要后期進(jìn)一步分析、證實(shí)該流量是否屬于正常流量。根據(jù)數(shù)據(jù)特征屬性統(tǒng)計(jì)結(jié)果的差異，進(jìn)一步檢測(cè)判斷是否發(fā)生ＤＤｏＳ 攻擊。

（４）基于機(jī)器學(xué)習(xí)的ＤＤｏＳ 檢測(cè)防御。

基于機(jī)器學(xué)習(xí)的檢測(cè)防御是一種使用學(xué)習(xí)模型進(jìn)行ＤＤｏＳ 攻擊預(yù)測(cè)的方法，該模型是經(jīng)所有可用數(shù)據(jù)集合提煉而成。根據(jù)使用數(shù)據(jù)集合是否標(biāo)記，可以分為有監(jiān)督和無監(jiān)督２ 種。其中，有監(jiān)督是在一個(gè)學(xué)習(xí)模型的基礎(chǔ)上，給出一定的數(shù)據(jù)樣本集合，系統(tǒng)根據(jù)已知的輸入，經(jīng)過處理，能夠得到正確的輸出結(jié)果；無監(jiān)督是沒有一個(gè)固定的學(xué)習(xí)模型，需要在數(shù)據(jù)集合的基礎(chǔ)上進(jìn)行提煉，以得到學(xué)習(xí)模型，然后利用模型對(duì)數(shù)據(jù)進(jìn)行處理。機(jī)器學(xué)習(xí)涉及貝葉斯決策理論、多元技術(shù)、聚類、多層感知器、線性判別、局部模型、分類樹、強(qiáng)化學(xué)習(xí)、隱馬爾可夫模型（ＨＭＭ）等技術(shù)。各種檢測(cè)方法主要包括貝葉斯網(wǎng)絡(luò)、模糊邏輯、遺傳算法、Ｋ?ＮＮ 算法、神經(jīng)網(wǎng)絡(luò)、軟件代理技術(shù)、ＳＶＭ 等。

（５）基于人工神經(jīng)網(wǎng)絡(luò)的ＤＤｏＳ 檢測(cè)防御。

人工神經(jīng)網(wǎng)絡(luò)（ＡＮＮ）具有自學(xué)習(xí)、自組織、良好的容錯(cuò)性和魯棒性、并行性等優(yōu)點(diǎn)，因此受到了越來越多的關(guān)注。因ＡＮＮ 不僅可以識(shí)別現(xiàn)有的攻擊模式，還可以識(shí)別未知的攻擊模式，被越來越多的研究人員用于檢測(cè)ＤＤｏＳ 攻擊。該技術(shù)提高了入侵檢測(cè)系統(tǒng)（ＩＤＳ）的智能性和適應(yīng)性。自組織映射（ＳＯＭ）、精確ＳＴＯＲＭ、反向傳播神經(jīng)網(wǎng)絡(luò)（ＢＰＮＮ）、卷積神經(jīng)網(wǎng)絡(luò)（ＣＮＮ）、遞歸神經(jīng)網(wǎng)絡(luò)（ＲＮＮ）、長(zhǎng)短期記憶（ＬＳＴＭ）等算法被越來越多的研究人員用于檢測(cè)網(wǎng)絡(luò)中的ＤＤｏＳ 攻擊。

３．３ ＤＤｏＳ 防御發(fā)展趨勢(shì)

針對(duì)ＤＤｏＳ 攻擊新型融合手段的不斷升級(jí)，防御技術(shù)逐步向新技術(shù)融合的方向發(fā)展。一是基于ＴＣＰ代理的檢測(cè)防御將繼續(xù)在ＴＣＰ ＳＹＮ 洪泛攻擊中發(fā)揮獨(dú)特作用，減少可疑流量對(duì)服務(wù)器資源的占用。二是防御技術(shù)逐步向新型動(dòng)態(tài)防護(hù)方向發(fā)展。首先設(shè)置符合系統(tǒng)實(shí)際情況的防護(hù)方案，再基于統(tǒng)計(jì)分析和機(jī)器學(xué)習(xí)，發(fā)現(xiàn)可用ＩＰ 信息，并判斷是否屬于肉雞，然后對(duì)肉雞實(shí)施限速，同時(shí)對(duì)ＪＳ 實(shí)施校驗(yàn)，并對(duì)肉雞實(shí)施封禁，針對(duì)請(qǐng)求偽造和字符不易匹配等問題，結(jié)合ＡＩ 等新技術(shù)進(jìn)行特征分析，及時(shí)進(jìn)行策略配置和業(yè)務(wù)調(diào)整。三是單純依靠某一類技術(shù)已很難防御不斷演化發(fā)展的新型攻擊，需要研究者結(jié)合信息熵、ＴＣＰ 代理、機(jī)器學(xué)習(xí)、統(tǒng)計(jì)分析、人工神經(jīng)網(wǎng)絡(luò)等創(chuàng)新技術(shù)，從地理區(qū)域、訪問頻率、請(qǐng)求特征等多個(gè)維度，獲取流量的特征，利用融合創(chuàng)新技術(shù)，主動(dòng)感知可疑流量，不斷優(yōu)化、調(diào)整防御措施，建立實(shí)時(shí)監(jiān)控與動(dòng)態(tài)防御相結(jié)合的立體防護(hù)手段。

４ 結(jié)束語(yǔ)

網(wǎng)絡(luò)功能虛擬化（ＮＦＶ）、物聯(lián)網(wǎng)（ＩｏＴ）、５Ｇ 和云計(jì)算等技術(shù)的快速發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)也不斷演進(jìn)，導(dǎo)致ＤＤｏＳ 攻擊的質(zhì)量和數(shù)量都顯著增加。本文從攻擊和防御２ 個(gè)角度分析ＤＤｏＳ 攻防的技術(shù)發(fā)展趨勢(shì)，首先分別介紹了ＤＤｏＳ 攻擊和防御的相關(guān)概念及工作原理，然后總結(jié)ＤＤｏＳ 攻擊和防御的各類技術(shù)特征，最后展望了ＤＤｏＳ 攻擊和防御的技術(shù)發(fā)展趨勢(shì)。

參考文獻(xiàn)：

［１］ ＤＩＬＭＵＲＯＤ Ｔ．Ｃｌａｓｓｉｆｉｃａｔｉｏｎ ｏｆ ＤＤｏＳ ａｔｔａｃｋｓ［Ｊ］．ＡＣＡＤＥＭＩＣＩＡ：Ａｎ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｍｕｌｔｉｄｉｓｃｉｐｌｉｎａｒｙ Ｒｅｓｅａｒｃｈ Ｊｏｕｒｎａｌ， ２０２２， １２（１１）：５５－５７．

［２］ ＫＵＭＡＲ Ｒ Ｂ，ＨＡＲＩ Ｓ．Ｏｎ ｉｍｐｒｏｖｉｎｇ ｔｈｅ ｐｅｒｆｏｒｍａｎｃｅ ｏｆ ＤＤｏＳａｔｔａｃｋ ｄｅｔｅｃｔｉｏｎ ｓｙｓｔｅｍ［Ｊ］．Ｍｉｃｒｏｐｒｏｃｅｓｓｏｒｓ ａｎｄ Ｍｉｃｒｏｓｙｓｔｅｍｓ，２０２２，９３：１－１６．

作者簡(jiǎn)介：

仇必青（１９８７—），碩士，高級(jí)信息系統(tǒng)項(xiàng)目管理師／ 研究員，研究方向：網(wǎng)絡(luò)安全、數(shù)據(jù)安全。

閆申（１９９３—），碩士，研究方向：密碼學(xué)（通信作者）。