對DDOS攻擊的研究與防范

吳嘉豪 唐賓徽

摘? 要：由于DDOS攻擊比DOS攻擊具有更強大的破壞力，因此基于DDOS攻擊衍生出多種防范措施，如基于網絡流量的異常檢測，通過收集到的正常連接數據運用數學函數生成一個閾值，超過此閾值，即發出警報，或者快速檢測偽造 IP 的方法。為了達到該目的，通過流量分析系統評估正常流量的 TTL，作為可訪問主機的參考。若所收到的數據包其中TTL與正常TTL不符，則判定此源Ip為偽造Ip。本文提出一種基于web訪問路徑的DDOS攻擊防御模型（UAP），UAP部署在web服務器與應用服務器之間，通過對請求路徑、請求分布、路徑循環、行為時隙與路徑長度進行異常檢測，檢測結果能分辨DDOS攻擊與正常用戶訪問，并且基于SDN架構來防范DDOS攻擊，在SDN架構中簡化了數據轉發分組的過程，通過中心控制器連接了所有交換機，從而能實時獲取網絡中信息因此能對DDOS攻擊做出快速反應。該文針對DDOS攻擊中通過UDP包攻擊的基本原理及其種類，包括對Trinoo攻擊的檢測及防范為例，對分布式拒絕服務攻擊的若干問題展開探討。

關鍵詞：DDOS攻擊? 原理? 檢測? 防范策略

中圖分類號：TP393.0 ? ? ? ? ? 文獻標識碼：A 文章編號：1674-098X（2020）07（c）-0169-03

Absrtact： Because DDOS attack is more powerful than DOS attack， many kinds of preventive measures are derived based on DDOS attack， such as： anomaly detection based on network traffic， generating a threshold value by using mathematical function through the collected normal connection data， exceeding this threshold value， that is， sending out an alarm， or quickly detecting forged IP. In order to achieve this goal， TTL of normal traffic is evaluated by traffic analysis system as a reference of accessible host. If the TTL of the received packets does not match the normal TTL， the source IP is determined to be forged IP. This paper proposes a DDOS attack defense model （UAP） based on Web access path. UAP is deployed between web server and application server， and anomaly detection is carried out on request path， request distribution， path cycle， behavior timeslot and path length. The detection results can distinguish DDOS attacks and normal user access， and prevent DDOS Attacks Based on SDN architecture. In SDN architecture， the process of data forwarding and grouping is simplified， and all switches are connected through the central controller， so that the information in the network can be obtained in real time， so it can make rapid response to DDOS attacks. Aiming at the basic principle and types of UDP packet attacks in DDOS attacks， including the detection and prevention of trinoo attacks， this paper discusses some problems of distributed denial of service attacks.

Key Words： DDOS attack; Principle; Detection; Prevention strategy

1? DDOS攻擊的基本原理剖析

普通的DOS攻擊均為一臺機器設備對特定目標發動攻擊，反觀當前的DDOS攻擊通常是由大量的設備借助高寬帶通過傳送眾多數據包對同一個目標進行攻擊和控制，如此一來，便更容易擊潰目標網站[1]。除此之外，DDOS攻擊模式的自動化屬性更強，攻擊者能夠將自身程序同時植入到目的僵尸網絡，通過對僵尸網絡攻擊命令的下達，這部分設備就可以對目標網站進行攻擊。這一過程大致可以分成下列幾個步驟：第一，攻擊者通過嗅探軟件尋找出可以被攻擊的計算機;第二，DDOS借助現階段互聯網協議中的各種安全漏洞。即便DDOS攻擊并不是必須借助這些安全漏洞，然而這部分漏洞的存在確實令DDOS攻擊模式的威力更強大。主要的安全漏洞涵蓋了：緩沖區溢出、源IP地址能夠自如更改、SYN海量連接、流攻擊、認證數據的故意丟失、包頭偏址或者其它壞包對IP棧的攻擊等等[2]。攻擊者侵入至存在安全漏洞的主機中并竊取根目錄的控制權，這部分主機通常被叫做“主控端”，一般而言有十幾到幾十臺，且大部分都是UNIX平臺運作的服務器。第三，在每一臺被侵入的主機里裝配主控端程序。在默認端口上，利用TCP以及UDP協議分別和攻擊端、分布端進行通訊。第四，進一步展開入侵與掃描作業，目的是管控成百上千臺的分布端，在分布端裝配守護程序，分布端在收到攻擊指令后便會對目標對象發動攻擊[3]。

2? DDOS攻擊的主要類型研究

到目前為止，攻擊者最普遍采取的分布式拒絕服務攻擊程序一般包含了Trinoo、TFN2K、TFN以及Stacheldraht等幾類，下面我們對這些主要的攻擊類型進行更加細致的探究。

2.1 Trinoo攻擊

Trinoo本質上屬于UDP包的其中一類，并以此屬性對指定目標網絡展開攻擊的一種工具軟件。當攻擊體系創建起來后，攻擊端利用Telnet程序遠程操控并登入主控端，然后發送一系列的攻擊指令。而主控端則是通過27665/tcp端口接收攻擊端發來的指令，通常而言這一執行程序是需要設定密碼的，與此同時主控端與分布端建立連接，等待分布端傳來的UDP報文。在此基礎上，分布端攻擊守護程序收到flood命令后通過對目標主機發送數目龐大的UDP報文來執行攻擊命令。它們收到命令之后同一時間對目標主機發動UDP flood攻擊，從而令寬帶消耗殆盡。大部分的DDOS攻擊時針對某特定端口的普通UDP flood攻擊，而Trinoo攻擊是隨機地指向目標端的UDP端口，從而使目標主機產生眾多ICMP無法到達報文，嚴重占用主機的寬帶，最終令正常訪問的數據包難以到達目標主機[4]。

2.2 Stacheldraht攻擊

Stacheldraht對指令來源作假，同時能夠抵御某些路由器借助RFC2267過濾。如果檢測出存在過濾的情況，其便會只做假IP地址的最后8位，目的是使用戶無法真正找出究竟是哪幾個網段的哪些設備被攻擊。除此之外，它也具備自動更新的功能，Stacheldraht可以伴隨著軟件更新進行自主的更新。并且， Stacheldraht攻擊融入了Trinoo攻擊的部分特征，也就是其是由分布端、主控端、攻擊端三者共同構成。 Stacheldraht攻擊也融合了TFN、TFN2K的特性，可以同時借助多類手段對目標主機發起攻擊，增加了主控端與攻擊端二者間的密切通訊能力。另外，這種攻擊模式可以自動更新代理程序，并且其代碼當中不包括“on Demand”，這一點和早期的TFN、TFN2K是存在巨大差異的。

2.3 TFN、TFN2K攻擊

首先，TFN即為借助ICMP給主控端或者分布端傳遞指令，它的來源方便作假。其能夠發起SYN flood、UDP flood、ICMP flood等多種攻擊。其次，作為TFN攻擊的升級版，TFN2K的主要特征為：對指令數據包進行加密操作、指令來源作假、難以查詢指令內容等。除了上述攻擊特點外，TFN2K也具有如下特點：新添加了MIX、TARGA3等攻擊模式;借助誘騙包操控客戶端進程端口;對客戶端的TCP、UDP或者ICMP的通訊方式進行加密操作等。

3? DDOS攻擊的防范策略及若干實現

從根本上講，DDOS與DOS攻擊不存在差異，但不同的是，DDOS攻擊在方法上更加隱蔽，成功幾率更大，令對其的檢測防范更具難度。以Trinoo攻擊為例，對DDOS攻擊的檢測、防范做出了研究，并提出：檢測及防范DDOS攻擊體系應當從目標端、主控端和分布端分別展開。

3.1 目標端的檢測防范對策與實現

當前，盡管有掃描與殺死主控端、分布端程序的專用軟件，但網絡當中仍然存在大量有安全漏洞的PC機。所以，在目標端的檢測和防御尤為關鍵。具體來講，主要涵蓋了入侵檢測以及防火墻過濾兩種最關鍵的網絡安全技術。前者是被動、動態的監視系統，而后者是按照預定的規則，本質上是主動防范手段。在實際的操作環節，我們不妨將二者有機結合起來，并努力構建起縝密科學的防控體系。換言之，由IDS監視網絡UDP流量，若是超過限定值，即刻報警，同時借助System函數及時添加相應的規則到Firewall中，把非法UDP流阻擋于邊界路由器之外，最終發揮防護目標主機的根本目的。當攻擊結束后，這一體系把新添加的規則刪掉，并允許正常的UDP流自由進出LAN。

3.2 分布端和主控端的防范策略及其實現

分布端和主控端主機需要檢測和防范被攻擊者的入侵，同時進行更好的利用。尋找到master.h以及ns.c并及時刪除，是二者檢測及防范的關鍵[5]。通常而言，主控端會利用27665/tcp端口來接收攻擊端的指令，使用31335/udp端口和分布端保持通訊;分布端則是借助端口27444/udp來接收主控端的指令，也就是AttackertoMasters。在主控端與分布端通信時，他們會使用udp數據包進行溝通而udp包一般都是幾個字節到十幾個字節，控制信息就在這十幾個字節中[6]。因為在控制信息流中即使偽造了源Ip地址也無法偽造目標Ip，不然的話分布端就不會收到來自主控端的攻擊信息，當Daeon被成功安裝，就會向Master發出含有字符串*HELLO*的UDP數據包用Ngrep程序檢測得到#U172.18.16.254：32887->192.168.1.1：31335*HELLO*表明分布端主機172.18.16.254正在向主控端主機192.168.1.1發送安裝成功的消息。還有種方法在計算機上安裝了lsof對其進行檢測：

# lsof egrep″：27444″ns 1316 root 3u inet 2502 udp*：27444

表明該計算機已被安裝了Trinoo的分布端程序（ns.c）

#lsof egrep″：31335 ：27665″master 1292 root 3u inet 2460 UDP *：31335

master 1292 root 4u inet 2461 TCP *：27665

就表明該機已被安裝主控端程序（master.c）

在攻擊端與主控端，主控端與分布端它們之間通信的數據包，當中會有特殊的字符串，當找到該數據包便可以確定此計算機正在遭受DDOS攻擊，并且能判斷該計算機處于DDOS網絡中主控端或是分布端。

4? 結語

總而言之，對DDOS攻擊的檢測與防范作為一種整體、共同行為，一臺網絡主機不僅要注意防止自己成為主控端與分布端，也要注意成為DDOS攻擊的攻擊目標。當然在現有階段下，仍舊不能從根本上遏制這類攻擊，然而DDOS攻擊自身存在的缺陷卻可以被加以利用，從而實現對它的防范。

參考文獻

[1] 余思陽，楊佑君，李長連.基于DPDK的DDoS攻擊防御技術分析與實現[J].郵電設計技術，2020（1）：70-74.

[2] 趙隴，王志勃，章萬靜.基于DDoS安全區的偽造IP檢測技術研究[J].計算機技術與發展，2019（9）：106-109.

[3] 任皓，許向陽，馬金龍，等.基于Web訪問路徑的應用層DDoS攻擊防御檢測模型[J].河北科技大學學報，2019（5）：404-413.

[4] 何亨，胡艷，鄭良漢，等.云環境中基于SDN的高效DDoS攻擊檢測與防御方案[J].通信學報，2018（4）：139-151.

[5] 劉俊杰.SDN網絡安全的研究與實現[D].南京：南京郵電大學，2019.

[6] 楊玉蘭.基于DDoS高防IP系統預防DDoS攻擊的原理[J].電腦知識與技術，2019（32）：57-58，71.