基于生存性的ＤｏＳ攻擊防御方案

（1．溫州大學 計算機學院， 浙江 溫州 325027； 2．電子科技大學 計算機學院， 四川 成都 610054）

摘 要：拒絕服務攻擊(DoS)是Internet中常見的一種攻擊形式，提出一種基于覆蓋網絡的防御DoS攻擊的方案。通過覆蓋網絡中的冗余資源和自恢復功能確保系統在遭到DoS攻擊時仍能提供一定性能的服務，并可自動從攻擊中恢復正常。

關鍵詞：拒絕服務攻擊； 覆蓋網絡； 可生存性

中圖法分類號：TP393．08文獻標識碼：A

文章編號：1001-3695(2006)08-0139-03



Scheme to Prevent Denial of Service Attacks Based on Survivability

ZENG Ling hua1， OUYANG Kai cui1， ZHOU Ming tian2

(1.School of Computer Science Engineering， Wenzhou University， Wenzhou Zhejiang 325027， China; 2.School of Computer Science Engineering， University of Electronic Science Technology of China， Chengdu Sichuan 610054， China)

Abstract:Denial of Service(DoS) is a usual attack action in the Internet. This paper presents a scheme to prevent DoS attacks based on overlay networks. The system can provide services when it encounter a DoS attack by the redundancy resource and self recover of the overlay network.

Key words:DoS(Denial of Service); Overlay Networks; Survivability

1引言

拒絕服務(Denial of Service， DoS)攻擊是Internet面臨的一個重大威脅，是網絡中盛行的一種攻擊形式。所謂DoS攻擊，是指攻擊者利用系統的缺陷，通過執行一些惡意的操作消耗大量的資源，使得合法的系統用戶不能及時得到應得的服務或系統資源。一些著名的站點如雅虎、亞馬遜及美國白宮網站，都曾經因遭遇拒絕服務攻擊而被迫關閉。

與其他類型的網絡攻擊相比較，DoS攻擊具有如下特點：①很難判斷是否發生了拒絕服務攻擊，用戶在自己的服務得不到及時響應時，并不認為自己（或系統）受到攻擊，反而可能認為是系統故障造成一時的服務失效。②正常請求服務隱藏拒絕服務攻擊的過程，即受害者很難區分拒絕服務攻擊行為和正常的請求服務行為。③由于計算機資源有限，拒絕服務攻擊相當容易實現。④由于軟件所固有的復雜性，設計實現難以確保軟件沒有缺陷，因而攻擊者有機可乘[7]。

由于從Internet上可以很方便地獲取各種用于發起DoS攻擊的軟件，DoS的攻擊者不像其他攻擊方式的發起者那樣需要掌握專門的技術，即使一個普通人也可以很容易地發起DoS攻擊。另外，DoS攻擊通常對源地址進行欺騙。目前網絡體系無法對數據包的來源作任何確認，在轉發數據包時也沒有任何記錄信息，這使得僅從數據包本身得不到來源信息，也得不到任何路徑信息，因而很難追蹤到DoS攻擊者。以上原因導致了DoS攻擊在Internet上的盛行。

2防御DoS攻擊的一般方式

DoS攻擊可分為基礎設施層攻擊(Infrastructure level Attacks)和應用層攻擊(Application level Attacks) [2]?；A設施層攻擊是通過使網絡基礎設施過載而達到攻擊的目的，該攻擊方式通過發送大量的數據包使受害者的網絡達到飽和，從而無法對合法用戶提供服務，如DDoS攻擊、ICMP攻擊等。應用層攻擊通過請求大量的應用層服務或者利用應用層的弱點來實現攻擊，如SYN Flood攻擊、UDP Flood攻擊、Teardrop攻擊、IGMP攻擊等。

解決網絡DoS攻擊問題采取的一般方案大致如下：監控可能成為攻擊目標的主機或網絡的通信流量，等待攻擊行為的發生。當識別出目標主機或網絡遭受到攻擊（典型地通過流量模式分析或者數據包的頭部分析來識別出是否出現攻擊行為），就會啟動通信過濾器，過濾掉有害的通信流量，達到阻止對目標進行攻擊活動的目的。

文獻[3，4]提出在路由器處進行源地址合法性的確認并過濾來自不合法地址的數據包的思想。文獻[3]是在邊界路由器處根據已知的局部網絡中合法地址塊信息進行判斷，文獻[4]則提出路由器建立源地址和入端口的對應表，通過比較源地址和其入端口是否符合來判斷。但是此類方案在IP隧道、移動IP情況下將會失效，而且大多數攻擊者通常會使用隨機的IP源地址。

文獻[5，10]提出基于流量DoS攻擊檢測方法。這種方法根據發生攻擊活動時，進出受害者的雙向數據流量顯著不平衡性來判斷是否發生攻擊行為，并進行丟棄，但是在攻擊者廣泛分布時，這種檢測方式很難生效。而攻擊者廣泛分布正是分布式拒絕服務攻擊的特點。

文獻[9]提出一種基于流連接密度變化對DDoS攻擊進行檢測的方法，其基本原理是發生拒絕服務攻擊時，網絡流量將會發生變化，從而檢測出攻擊行為。

以上防御DoS攻擊的方法主要是通過尋找符合已知攻擊模式或通過統計異常通信量的方式來發現是否發生了DoS攻擊。但是，通過改變攻擊模式和掩蓋異常的通信量，上述方法就會失效。此外，通過統計異常通信量的方式來發現DoS攻擊還有可能把正常的通信量也過濾掉。另一種防御DoS方案是如文獻[11]提出的IP地址追蹤方案，其基本思想是通過獲得攻擊數據經過的路徑信息來構建整個攻擊路徑圖，追蹤到攻擊源，從而阻止DoS攻擊。

但是，由于Internet是一個跨越若干管理域和管理權限的網絡，通過聯系最靠近攻擊源的網絡管理員來阻止攻擊，如果說不是完全不可能，通常也是非常困難的。實際上，這種攻擊行為不能被及時地予以打擊，因為這經常需要花費幾個小時的時間。況且即使我們能及時找到一個攻擊節點，但是該節點可能并不是攻擊的發動者，而僅僅是被遠程攻擊者入侵和控制的傀儡機；或者即使我們阻止了一個攻擊節點的攻擊，然而攻擊者仍然可以利用其他被控制的傀儡機繼續攻擊。

由于以上防御DoS攻擊的方案均存在局限性，所以本文提出一種新的方案。該方案的設計思想是：在受害者遭受DoS攻擊時，仍然能維持具有一定性能的服務。這是一種基于網絡生存性的解決方案。

3基于覆蓋網絡的DoS防御方案

生存性是指對網絡系統基本服務可用性的保障，即在遭受惡意攻擊和發生故障時仍能按照需求及時完成任務的能力，或重新配置基本服務的能力。實際上，可生存性意味著冗余資源的調度問題[6]。

DoS攻擊者是通過使用受害者的IP地址來對網絡服務器發動拒絕服務攻擊的，因而在發動攻擊前，攻擊者必須先掌握受害者的IP地址。所以，防御DoS攻擊需要解決兩個關鍵問題：隱藏應用服務器的IP地址；在遭受攻擊時，彈回(Resilient)DoS攻擊。

一般情況下，Internet中網絡服務器的部署方式如圖1所示。每一臺為網絡用戶提供服務的服務器在Internet中均有其相應的IP地址，為方便用戶通過Internet訪問網絡服務，網絡服務器的IP地址需要通過某種方式（如通過DNS）公布到Internet上，在用戶可通過使用該IP地址訪問網絡服務的同時，該服務器也成為攻擊者的攻擊目標。

為解決由于網絡服務器IP地址暴露在Internet中而成為DoS攻擊目標的問題，我們需要隱藏服務器的位置（即服務器的IP地址），而為了能讓網絡用戶訪問到網絡服務，服務器的IP地址又必須公開。為解決這一對矛盾，可以在Internet與網絡資源之間增加覆蓋網絡(Overlay Network）或叫做代理網絡(Proxy Network)，實現服務器與Internet的隔離。其部署方案如圖2所示。

3．1覆蓋網絡原理

在服務器與Internet之間增加覆蓋網絡以后，網絡用戶通過覆蓋網絡中的代理服務器來訪問網絡服務器，而不直接與服務器通信，也不需要知道服務器的IP地址，只需要知道覆蓋網絡邊界上的代理服務器的IP地址即可實現對網絡服務的訪問，達到隱藏應用服務器IP地址的目的。

覆蓋網絡由邊界節點、內部節點和最靠近應用服務器的安全節點三類節點組成，如圖3所示。

（1）邊界節點。位于覆蓋網絡與Internet之間的邊界代理服務器，代理用戶與應用服務器通信。

（2）內部節點。位于覆蓋網絡內部，主要用作路由器，使用戶與應用服務器之間的通信能穿過覆蓋網絡。

（3）安全節點。位于覆蓋網絡與應用服務器之間，用于對進入應用服務器的通信量進行檢查，以發現入侵或攻擊的跡象。

覆蓋網絡中的節點有以下三種狀態：

（1）暴露狀態。節點的IP地址已被攻擊者掌握，在未來有可能成為攻擊者的攻擊目標。

（2）損害狀態。節點已被攻擊者入侵，攻擊者可從節點中偷竊所需要的各種信息，包括與該節點相鄰的所有其他節點的位置信息。所以當某一節點處于損害狀態，則與其相鄰的所有節點將變為暴露狀態。

（3）完好狀態。如果一個節點既沒有處于暴露狀態，也沒有處于損害狀態，那它就處于完好狀態，即處于安全狀態。

3．2穿過覆蓋網絡的攻擊

在增加覆蓋網絡以后，攻擊者若要對應用服務器發動攻擊，首先需要穿過覆蓋網絡，侵入到與應用服務器相鄰的代理服務器上，以獲得應用服務器的IP地址，然后才能對應用服務器發動攻擊。

在通常情況下，覆蓋網絡中的邊界代理服務器處于暴露狀態，其他節點均處在完好狀態。所以攻擊者對應用服務器的攻擊過程實際上是從邊界代理服務器開始，通過一系列的入侵活動以尋找到一條通向應用服務器的路徑，最終能對應用服務器進行攻擊。

如圖3所示，一個攻擊者從邊界代理服務器開始的攻擊過程可能會經歷如下步驟：

（1）由于邊界代理服務器A的IP地址是公開的，所以A處于暴露狀態；攻擊者通過入侵A使其變為損害狀態，從而能獲得B的IP地址，節點B變為暴露狀態。

（2）在節點B變為暴露狀態后，攻擊者通過入侵B從而得到相鄰的下一節點C的IP地址。

（3）重復步驟（2），最后通過入侵節點D獲得應用服務器的IP地址。

（4）對應用服務器進行攻擊。

3．3防御機制

若僅僅采用覆蓋網絡，雖然攻擊者在發動攻擊時需要多花費一些時間，但攻擊者最終總是能夠獲得應用服務器的IP地址。圖4為從邊界代理服務器到應用服務器的一條長度為 d 的路徑。假設攻擊者入侵一個節點平均需要花費 T 時間，由于代理網絡內的拓撲結構及節點的IP地址不變，所以只需要時間 dT 即可攻破該路徑上的所有節點，獲得應用服務器的IP地址，即攻擊者所需要花費的時間與該路徑上的節點數成線性關系。因此，在使用覆蓋網絡防御DoS攻擊時，需要與其他的防御方式配合使用。

一種簡單的解決方案是通過對覆蓋網絡中的節點進行重新配置，在保持網絡的拓撲結構不變的情況下，動態改變節點的IP地址。有兩種情況會觸發節點改變地址：①若運行入侵和攻擊檢測軟件的安全節點發現有攻擊行為或者有可疑的通信量時，則啟動IP地址重新配置過程；②雖然沒有發現可疑行為，為了確保安全，覆蓋網絡內的每個節點每隔一段隨機時間，會自動啟動重新配置的過程。

在攻擊者入侵過程中，其入侵路徑中的任意節點啟動了重新配置過程就會使攻擊者的本次攻擊失敗，從而確保應用服務器的IP地址不泄露。圖4中，假設攻擊者已入侵節點2，獲得了節點3的IP地址，這時若節點3啟動了重新配置過程，使其IP地址發生了遷移，攻擊者獲得的節點3的位置信息就會失效。攻擊者不能夠繼續后續的攻擊行為，除非他重新獲得節點3的位置信息。此外，原來處于暴露或損害狀態的節點，在重新配置后，其狀態會轉變為安全狀態。節點狀態變遷如圖5所示。

節點的重新配置過程由內側節點啟動。先由內側節點隨機選擇一個IP地址，外側節點則在此基礎上隨機選擇同一網段的另一個IP地址。圖6所示的節點X，Y的A，B端口的IP地址重配置過程如圖7所示。在對話完成后，端口A，B以新的IP地址開始工作。

覆蓋網絡節點的每一個端口均有一個初始的IP地址，而且相鄰節點知道彼此的初始地址。在覆蓋網絡啟動時，每個節點均以初始IP地址開始工作。此外，由于某種原因未能完成相鄰節點端口地址的重新配置，如內側節點未能收到外側節點的響應或者外側節點超過預先設定的時間還未收到內側節點要求重新配置IP地址的請求，則會以初始地址開始重新配置。正常情況下，每一對節點端口地址的重新配置均獨立地進行。若重新配置過程是由安全節點啟動的，則從內向外依次啟動重新配置過程。

為進一步提高安全性，我們還可以定時地分別重啟各節點，以重新裝載干凈的系統。

3．4覆蓋網絡對攻擊的容忍

從邊界代理服務器到應用服務器存在著多條路徑，因而，當某一條路徑遭受攻擊或某些節點處于重新配置和重啟狀態時，仍然有部分路徑可以正常工作，系統可以維持對外提供的服務，只是性能有所降低。當引發異常的原因消失后，系統將自動恢復正常工作，這樣實現了網絡服務的可生存性，可使系統能夠容忍一定強度的攻擊。

4結論

本文探討了一個利用覆蓋網絡來防御DoS攻擊的架構。通過覆蓋網絡可以隱藏應用服務器的IP地址，使其避免攻擊者的直接攻擊；利用覆蓋網絡的冗余資源，在發生DoS攻擊的情況下，系統仍然可以對外維持一定性能的服務，而且通過重新配置和重啟可以使系統自動從被攻擊狀態中恢復過來，實現了系統的可生存性。

參考文獻：

[1]Angelos D Keromytis， Janak Parekh， Philip N Gross，et al.A Holistic Approach to Service Survivability[C]. Proceedings of the 1st ACM Workshop on Survivable and Self Regenerative Systems， 2003.

[2]Ju Wang， Linyuan Lu. Tolerating Denial of Service Attacks Using Overlay Networks: Impact of Overlay Network Topology[C]. Procee dings of the 1st ACM Workshop on Survivable and Self Regenerative Systems， 2003.

[3]E Ferguson， D Senie. Network Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing[S]. RFC 2827， 2000.

[4]John Ioannidis. Implementing Pushback Router based Defense Against DDoS Attacks[C].Proceedings of Network and Distributed System Security Symposium， 2002.

[5]Thomer M Gil， Massimiliano Poletto. Multops: A Data Structure for Bandwidth Attack Detection[C]. USENIX’01， 2001.

[6]林闖，彭雪海. 可信網絡研究[J]. 計算機學報， 2005，28(5):751-758.

[7]卿斯漢，蔣建春.網絡攻防技術原理與實踐[M]. 北京:科學出版社， 2004.191-194.

[8]胡小新，王穎，羅旭斌. 一種DDoS攻擊的防御方案[J]. 計算機工程與應用， 2004，40(12):160-163.

[9]孫欽東，張德運，孫朝暉，等. 基于流連接密度的分布式拒絕服務攻擊檢測[J]. 西安交通大學學報， 2004，38(10):1048-1051.

[10]莊肖斌，蘆康俊，王理，等. 一種基于流量統計的DDos攻擊檢測方法[J]. 計算機工程， 2004，24(22):127-128，183.

[11]Stefan Savage， David Wetherall， Anna Karlin，et al.Network Support for IP Traceback[J]. IEEE/ACM Transactions on Networking， 2001，9(3):226-237.

作者簡介：曾令華（1968-），男，貴州黃平人，講師，主要研究方向為網絡與信息系統安全及中間件技術；歐陽開翠（1967-），女，貴州黃平人，講師，主要研究方向為網絡與信息系統安全及中間件技術；周明天（1939-），男，廣西容縣人，教授，博導，主要研究方向為計算機網絡、網絡與信息系統安全、并行分布處理、計算機支持的協同工作和計算機系統與軟件等。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。