基于GUARD的DDOS攻擊防護策略

夏元軼++趙俊峰

摘 要 分布式拒絕服務（distributed denial of service，簡稱DDOS）攻擊是當今互聯網的重要威脅之一?；诠舭幘W絡層次，將DDOS攻擊分為網絡層DDOS攻擊和應用層DDOS攻擊，介紹了基于GUARD的DDOS攻擊防護策略，最后分析了現有檢測和控制方法應對DDOS攻擊的不足，并探究了GUARD在DDOS攻擊防護中的應用與發展趨勢。

【關鍵詞】DDOS攻擊 GUARD技術

1 DDOS攻擊與防護的現狀

大多數情況下，網絡中的數據包利用TCP/IP協議傳輸，這些數據包遵循正常的協議規范，是無害的，但是如果出現過多的異常數據包，就會造成網絡設備或者服務器過載；或者數據包利用了某些協議的缺陷，人為的不完整或畸形，就會造成網絡設備或服務器無法正常處理，迅速消耗了系統資源，造成拒絕服務，這就是DDOS的工作原理。DDOS攻擊之所以難以防范，就在于攻擊流和正常流混合在一起，很難有效地分辨出攻擊流。

2 傳統防護方案的不足

傳統安全設備對DDOS的防護策略為“簡單閾值策略”，“簡單閾值策略”是一種基于網絡層的檢測機制，即統計單位時間（通常以秒為單位時間）內來自同一源IP的數據包數量，當單位時間內來自同一源IP的數據包數量超過臨界值時，就認為該IP為隱患攻擊源，并拒絕來自該IP的所有數據請求。

這種“簡單閾值策略”的檢測和清洗方式存在以下弊端：“簡單閾值策略”只統計數量，不觀察數據包的特征，當出現正常訪問流量高峰時會產生誤判和誤殺；傳統安全設備的“簡單閾值策略”的每次計數都需要經過CPU處理，當DDOS攻擊源分散且流量大時，安全設備會先因CPU能力不足而崩潰，原本用于防護的設備反而成為了網絡中的第一故障點。傳統安全設備通常串行于主干線路，串行連接即故障隱患。

3 GUARD在DDOS攻擊防護中的應用

3.1 DDOS防護技術檢測聯動和旁路清洗

DDOS防護技術應采用一種更先進的，規避上述三種弊端的技術，具備更智能的檢測和防護策略，設備應通過多種機制檢測數據的合法性，避免誤判和誤殺；

具備獨立的用于檢測和防護DDOS攻擊的芯片，而不是以消耗CPU為代價的冒險式防護；避免設備串行于主干線路中，網絡正常時數據不需要流經設備，只有發生攻擊時，設備才成為流量路徑上的關卡。

抗DDOS由檢測設備和清洗設備兩種設備組成。檢測設備采用旁路分光或鏡像模式，確保在物理和邏輯上均不會成為網絡中的串行節點。清洗設備采用旁路模式，出現攻擊時可通過自動改變路由成為網絡中的串行節點，起到流量清洗的作用。

高效的異常流量檢測和清洗技術，以支持深度包檢測技術，兩者以進一步確定隱藏在后臺的流量攻擊報文，輸出NetStreamFlow流量的NetFlow的網絡設備的信息，通過分析和對流量的檢測，以實現準確的高效地鑒定。高度的使用和分發多核硬件配置，以便產生一個高性能清洗異常業務到因特網，可以通過智能多裝置簇群集方法來實現自動牽引和業務流的靈活重新注入。路由器/交換機到DDOS攻擊，當發現異常流量的清洗設備的鄰位路由器。 BGP路由更新通過線路自動發布，快速使用用戶流量。在另一方面，基于策略的路由的MPLS VPN中和通過GRE的VPN清洗設備，二層透明傳輸，清洗等方法并重新注入高速流量用戶后，正常的流量不會受到影響。

3.2 異常流量清洗設備的指紋識別防護

當網絡出現異常的時候，會有某一種指紋分布出現波動，超過我們建立的分布模型值，這時就可以根據這個指紋特征對異常報文進行過濾。如果僅采用單個指紋特征的進行防護的效果不會理想（單個指紋特征就像“簡單閾值防護”），所以可采用多個報文特征聚合成一個指紋特征的方法，例如源IP和TTL組合成一個整體，作為一個指紋進行統計過濾，這樣對于一些復雜的異常流量攻擊會有更好的效果。流量清洗防護將成為專業的，日常和攻擊時都不會影響業務的防護模式。

4 總結與展望

在某些情況下，機器可能成為所有者同意的DDOS攻擊的一部分，在操作回收中，這些攻擊可以使用不同類型的互聯網分組，如TCP，UDP，ICMP等。這些系統泄漏者的集合被稱為僵尸網絡/根服務器。像Stacheldraht這樣的DDOS工具仍然使用以IP欺騙和放大為中心的經典DoS攻擊方法，如smurf攻擊和脆弱攻擊（這些攻擊也稱為帶寬消耗攻擊），也可以使用SYN洪水。較新的工具可以使用DNS服務器用于DoS目的。與MyDoom的DDOS機制不同，僵尸網絡可以針對任何IP地址。腳本小子使用它們來拒絕合法用戶知道的網站的可用性。更復雜的攻擊者使用DDOS工具來勒索，甚至針對他們的業務競爭對手，簡單的攻擊如SYN洪水可能出現與廣泛的源IP地址，給出一個分布良好的DoS的外觀。這些泛洪攻擊不需要完成TCP三次握手，并嘗試耗盡目標SYN隊列或服務器帶寬。由于源IP地址可能被輕易地欺騙，攻擊可能來自有限的一組源，或甚至可能源自單個主機。堆棧增強（例如syn cookie）可能有效減輕SYN隊列溢出，但是完全的帶寬耗盡可能需要涉及。如果攻擊者從單個主機加載攻擊，則會被歸類為DoS攻擊，事實上，任何對可用性的攻擊都將被歸類為拒絕服務攻擊。另一方面，如果攻擊者使用許多系統同時對遠程主機發起攻擊，這將被歸類為DDOS攻擊。檢測和防御DDOS攻擊仍舊是一個艱巨的課題。而區分DDOS攻擊流和正常的突發流就成了問題的關鍵。

參考文獻

[1]吳楊，祝凱捷，李偉，王凱，王東霞.DDOS攻擊檢測誤報警去除策略研究[J].信息工程大學學報，2016（04）.

[2]賈斌，馬嚴，趙翔.基于組合分類器的DDOS攻擊流量分布式檢測模型[J].華中科技大學學報（自然科學版），2016（S1）.

[3]張瑋.防御和控制DDOS攻擊新方法的研究[J].黑龍江科技信息，2016（32）.

[4]莊建兒.淺析網絡DDOS攻擊與治理[J].通訊世界，2015（01）.

作者單位

國網江蘇省電力公司信息通信分公司 江蘇省南京市 210024