ＤＤｏＳ攻擊和防御機制分類研究

摘 要：隨著Internet的迅速發展，網絡安全問題日益突出，其中分布式拒絕服務（DDoS）攻擊對Internet構成巨大威脅。在分析DDoS攻擊機理的基礎上，對攻擊和防御機制進行分類，以便有效地分析、認識分布式拒絕服務攻擊行為。

關鍵詞：分布式拒絕服務; 防御機制; 分類

中圖法分類號：TP393.08 文獻標識碼：A 文章編號：1001-3695(2006)10-0110-03

Research on Taxonomy of DDoS Attacks and Defense Mechanisms

WANG Qian1， WANG Lei2， XIE Shousheng1

(1.College of Engineering， AFEU.， Xi’an Shanxi 710038， China; 2.College of Information Science Engineering， Lanzhou University， Lanzhou Ganshu 730000， China）

Abstract:With the developing of Internet， network security is becoming more and more critical. Distributed Denial of Service(DDoS) attacks are an immense threat to the Internet. This paper introduces the mechanisms of DDoS attacks， and proposes a taxonomy of DDoS attacks and defense mechanisms， which can analyze and understand DDoS attack behavior effectively.

Key words:DDoS; Defense Mechanism; Taxonomy

隨著互聯網的迅速發展，網絡安全問題日益突出，各種黑客工具和網絡攻擊手段也隨之出現。網絡攻擊導致網絡和用戶受到侵害，其中分布式拒絕服務攻擊（DDoS）以其攻擊范圍廣、隱蔽性強、簡單有效等特點成為常見的網絡攻擊技術之一，極大地影響網絡的有效服務[1]。

1 DDoS攻擊概述

1．1 DDoS攻擊原理

DDoS試圖阻止主機或網絡為合法用戶提供服務，分布式拒絕服務攻擊部署多臺機器以達到此目的。通過向受害機器發送大量數據包，或攻擊者無限制訪問受害者機器，消耗關鍵資源，因此合法用戶的正常服務被拒絕，導致受害者機器蒙受損失。

1．2 DDoS攻擊產生原因

Internet本身的弱點及其總體上的不安全性，使得入侵者有機可乘。Internet設計之初主要考慮其功能性要求，而忽略了安全性。它提供了快速、簡便的通信機制，通過高層協議的加強確保信息傳遞和服務質量的可靠和及時。DDoS攻擊產生的原因有：①Internet采用端到端的設計模式，通信終端主機部署復雜功能，以實現期望的服務保證，而內部提供盡最大努力（BestEffort）的服務，沒有考慮QoS[2]；②網絡以一種分散的方式管理，無法實施公共安全策略；③網絡資源有限，當攻擊者的資源遠遠超過受害者的資源時，攻擊者對受害者的大量訪問會耗盡受害者的資源。

1．3 攻擊實施過程

在一個典型的DDoS攻擊中，攻擊的過程分為以下幾個步驟[3]：①攻擊者探測掃描大量主機以尋找可入侵的主機目標；②入侵有安全漏洞的主機并獲取控制權使之成為傀儡機；③在每臺傀儡機上安裝攻擊程序；④攻擊者向傀儡機發送控制信息，通過安裝在傀儡機上的攻擊工具指示這些機器向受害者發送大流量數據包。

2 攻擊分類

分布式拒絕服務攻擊事件逐年增多，表現形式多樣，對DDoS攻擊進行研究，首先就需對其進行合理分類，便于系統地分析DDoS攻擊。根據網絡攻擊操作流程，將攻擊前的準備、攻擊過程、攻擊結果三個方面作為分類的著眼點，作出如下分類。

2．1 基于攻擊前的準備的分類

在攻擊準備階段，攻擊者部署自動化腳本掃描，找出有漏洞的機器安裝攻擊代碼，然后主控端操縱攻擊代理向受害者發起攻擊。根據主控端與代理之間的通信機制，可將其分為直接通信和間接通信[4]。

（1）直接通信

最初的DDoS攻擊依靠不加密的會話連接相互通信。攻擊者、主控機與代理之間通過TCP連接直接交互攻擊信息，雖然這種通信方式是可靠的，但攻擊者存在很大的風險。主控端與代理之間的通信有可能被入侵檢測系統識別。通過監視網絡流量，一旦發現主控機和代理，就有可能發現整個攻擊網絡，危及攻擊者的安全。

（2）間接通信

在攻擊過程中，通過間接通信實施網絡攻擊，可以提高DDoS攻擊的生存能力，如采用加密通信、隱性控制、IRC通道等，代理通過符合協議的正常網絡服務，利用標準的服務端口同主控機建立連接，代理與主控端的通信與正常的網絡流量沒有區別，因此不易被發現。

2．2 基于攻擊過程的分類

TCP/IP協議在其制定過程中存在一些漏洞，攻擊者利用這些漏洞進行攻擊致使系統當機、掛起或崩潰。按照TCP/IP協議的層次劃分將攻擊作如下分類[5]：

（1）基于ARP的攻擊

ARP用于將以太網中的IP地址解析為MAC地址，其緩存中存儲著MAC地址與IP地址的映射表。當主機收到另一主機的ARP請求時，它會將請求包中的源地址信息（發送請求主機的IP地址和MAC地址映射關系）視為有效，并保存到ARP緩存中。另外，ARP是無連接的協議，即使在沒有ARP請求的情況下，收到攻擊者發送來的ARP應答，它將會接收ARP應答包中所提供的信息，更新ARP緩存。因此，含有錯誤源地址信息的ARP請求和含有錯誤目標地址信息的ARP應答均會使上層應用忙于處理這種異常而無法響應外來請求，使得目標主機喪失網絡通信能力，產生拒絕服務。例如ARP重定向攻擊就是基于ARP的攻擊。

（2）基于ICMP的攻擊

ICMP用于錯誤處理和傳遞控制信息，其主要功能是用于主機之間的聯絡。它通過發送一個回復請求(Echo Request)信息包請求主機響應，以判斷與主機之間的連接是否正常。攻擊者向一個子網的廣播地址發送多個ICMP Echo請求數據包，并將源地址偽裝成想要攻擊的目標主機的地址。這樣，該子網上的所有主機均對此ICMP Echo請求包作出答復，向被攻擊的目標主機發送數據包，使該主機受到攻擊，導致網絡阻塞。例如Ping洪水攻擊和Smurf攻擊就是典型的基于ICMP的攻擊。

（3）基于IP的攻擊

TCP/IP中的IP數據包在網絡傳遞時，數據包可以分成更小的片段，到達目的地后再進行合并重裝。在實現分段重新組裝的進程中存在漏洞，缺乏必要的檢查。利用IP報文分片后重組的重疊現象攻擊服務器，進而引起服務器內核崩潰，如Teardrop是基于IP的攻擊。

（4）基于UDP的攻擊

UDP是用來定義在網絡環境中提供數據包交換的無連接的傳輸層協議，處在TCP/IP中網絡層的上層。它為用戶程序之間的信息傳輸提供了簡便的協議機制，但不提供錯誤更正和重發，也不防止包的丟失或重復。由于UDP不會驗證其發送的數據報是否被正確接收就會發送新的數據報，因此可以偽造大量的數據報用于攻擊目標主機，如UDP Flood，UDP Echo，Fraggle等都是基于該協議的攻擊。

（5）基于TCP的攻擊

TCP是一個面向連接的傳輸協議，它在不可靠的IP層上提供了一個可靠的傳輸層。為了提供這種可靠的服務，TCP采用了超時重傳、發送和接收端到端的確認分組等機制。TCP要求在傳送數據前必須在服務器與客戶機之間經過三次握手建立連接，即服務器在接收到客戶機的SYN包后必須回應一個SYN/ACK包，然后等待客戶機再回應一個ACK包來確認，至此，TCP連接建立。而在建立TCP連接的過程中，如果在第二次握手以后故意不回應，服務器一般會重新發送SYN/ACK報文給客戶端，并在等待一段時間后丟棄這個沒有建立連接的請求。值得注意的是，服務器用于等待來自客戶機的ACK信息包的TCP/IP堆棧是有限的，如果緩沖區被等待隊列充滿，它將拒絕下一個連接請求，造成資源的大量消耗，無法向正常請求提供服務，如SYN Flood，Land攻擊等。

（6）基于應用層的攻擊

應用層包括SMTP，HTTP，DNS，RIP等各種應用協議。其中SMTP定義了如何在兩個主機間傳輸郵件的過程，基于標準SMTP的郵件服務器，在客戶端請求發送郵件時，是不對其身份進行驗證的。另外，許多郵件服務器都允許郵件中繼。攻擊者利用郵件服務器（允許匿名發信，允許郵件中繼）持續不斷地向攻擊目標發送垃圾郵件，大量侵占服務器資源，導致正常郵件的丟失，如電子郵件炸彈、Finger炸彈等。

2．3 基于攻擊結果的分類

分布式拒絕服務攻擊主要影響目標系統的可用性，按照攻擊對受害者的影響，我們將其分為以下兩種：

（1）性能下降攻擊

性能下降攻擊逐漸消耗受害者資源。此類攻擊不能導致完全的服務中斷，因而在相當長一段時間內不會被檢測到。

（2）破壞性攻擊

破壞性攻擊的目的是完全拒絕受害者為客戶提供服務，致使系統當機或崩潰。

3 防御機制分類

分布式拒絕服務攻擊對Internet造成了巨大影響，需要采取措施防御DDoS攻擊?？傮w來說，其防御機制包括防范機制和反應機制。

3．1 防范機制

防范機制的目標是消除拒絕服務攻擊發生的可能性，以及使得潛在的受害者能容忍攻擊，而不至于對合法用戶造成拒絕服務。因此將防范機制分為防范攻擊和防范拒絕服務。

3．1．1 防范攻擊

攻擊防范機制通過修改系統配置來消除拒絕服務攻擊，進一步將其分為系統安全機制和協議安全機制。

（1）系統安全

DDoS攻擊通過控制大量存在漏洞的主機，相互協作產生大流量數據包實現攻擊。因此要建立安全有效的防護，必須及時了解主機的安全漏洞，防患于未然，切斷攻擊路徑。系統安全機制包括監視關鍵資源的訪問列表、安裝補丁、防火墻、病毒掃描等。這些方法不可能100%有效，但是能夠降低DDoS攻擊的頻度和力度。

（2）協議安全

許多協議包含的操作是一個不公平的過程，服務器處于被動的地位。服務器一旦接收到一個客戶機的請求就得為它分配資源，并且等待客戶機的響應，而根本不管這個請求是否合法。這些協議如果被濫用，啟動大量的同步事務將消耗服務器的資源，如TCP SYN攻擊。協議安全防范機制包括設計安全協議、配置代理服務器等。

3．1．2 防范拒絕服務

拒絕服務防范機制使得受害者能容忍攻擊，而不會對合法用戶拒絕服務。通過增強資源消耗策略或者確保足夠的資源存在來保護合法用戶不受攻擊影響。因此可將其分為資源動態調度和資源倍增。

（1）資源動態調度[6]

通過資源動態調度來減少總資源的需求，如在網絡中設立專用服務器，站點受到攻擊時，將自己的服務復制過去從而繼續提供服務。但是復制服務特別是動態服務非常困難，且耗費時間和資源。

（2）資源倍增

通過增加系統資源，防止有限資源被過度消耗來承受DDoS攻擊帶來的系統性能降低，但是系統資源的增加是有限的。

3．2 反應機制

3．2．1 攻擊檢測

在防范策略的基礎上，還需要建立一套有效的攻擊檢測系統。根據檢測策略可將其分為特征檢測和異常檢測[7]。

（1）特征檢測

特征檢測將攻擊特征存儲在數據庫中，監視通信流量并與特征庫中的特征相比較來發現攻擊。特征檢測誤報率低，可以發現已知的攻擊行為。但是，這種方法檢測的效果取決于檢測特征庫的完備性。為此，特征庫必須及時更新。此外，這種方法無法發現未知的入侵行為。

（2）異常檢測

異常檢測建立系統或用戶的正常行為模式輪廓，通過被監測系統或用戶的實際行為模式與正常模式之間的比較和匹配來檢測入侵。其特點是不依賴于攻擊特征，具有較強的適應性，能夠檢測出未知入侵，但存在難以定義正常模式輪廓、虛警率高的缺點。

3．2．2 攻擊響應

檢測到攻擊之后，采用攻擊響應消除或減輕DDoS攻擊及其影響，可將其分為誘騙機制[3]和追蹤機制[8]。

（1）誘騙

在防范DDoS攻擊中引入誘騙技術，引誘攻擊者進入系統，減少攻擊者對網絡中其他系統的危害，同時記錄攻擊者的行為，為反擊攻擊者提供法律上的資料。這種技術也被稱為蜜罐。它模擬某些常見的漏洞，引誘攻擊者在其上安裝攻擊程序，通過不響應攻擊者發送給陷阱系統的控制信息，就可以切斷攻擊者與攻擊目標之間的攻擊鏈，控制攻擊者的攻擊行為，從而使攻擊失敗。

（2）反向追蹤

反向追蹤其基本思想是通過獲得數據經過的路徑信息來構建整個攻擊路徑圖、定位攻擊者、阻斷攻擊數據的轉發，并且可以對攻擊者進行懲罰等。

3．3 防范和反應機制之比較

防范機制在系統受到攻擊時可以在一段時間內、一定攻擊強度下較好地保持系統服務的連續性，但是經濟代價高。另外如果攻擊的強度持續增大，最終仍將使正常服務被阻塞，所以需要通過主動反應來阻止攻擊的發生或者減小攻擊的傳播范圍。

4 結論

分布式拒絕服務攻擊方式不斷變化，防御措施也在不斷發展。本文提出的攻擊分類和防范分類，旨在幫助我們更清晰地認識攻擊、分析攻擊，并引導我們找出更有效的防御措施。

參考文獻：

[1]Eric Cole.黑客——攻擊透析與防范[M].蘇雷，等.北京：電子工業出版社，2002.140142.

[2]Douglas E C.用TCP/IP進行網際互連（第1卷）[M].林瑤，蔣慧，杜蔚軒，等.北京：電子工業出版社，2000.65-66.

[3]曹愛娟，劉寶旭，許榕生.抵御DDoS攻擊的陷阱系統[J].計算機工程，2004，30(1):1013.

[4]David L， Whyte. A Strategy for Defending Against Distributed Denial of Service Attacks[D]. Carleton University， 2002.44-45.

[5]Ye Baoqing. Network DenialofService Classification， Detection， Protection[D]. Syracuse University， 2001.41-46.

[6]Jianxin Yan， Stephen Early. The XenoService：A Distributed Defeat for Distributed Denial of Service[C]. Proceedings of ISW，2000.

[7]卿斯漢，蔣建春，馬恒太. 入侵檢測技術研究綜述[J].通信學報，2004，25(7):19-29.

[8]徐鳴濤，陸松年，楊樹堂. 五種IP返回跟蹤拒絕服務攻擊方法的比較[J].計算機應用研究， 2004，21(3):237-238.

作者簡介：

王前（1978-），女，河南人，博士研究生，研究方向為網絡安全技術；王磊（1977-），男，河南人，碩士研究生，研究方向為網絡安全技術；謝壽生（1959-），四川人，教授，博士，研究方向為遠程故障診斷技術。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文