基于DDoS攻擊的防治策略

甄龍飛

摘要：為了強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)信息安全的重要性，針對(duì)威脅互聯(lián)網(wǎng)安全的慣性手段進(jìn)行研究，通過分析找尋對(duì)網(wǎng)絡(luò)攻擊行之有效的預(yù)防途徑或措施。以高隱蔽性、易操控性、強(qiáng)破壞性著稱的分布式拒絕服務(wù)（DDoS）攻擊為特例入手，通過研究其基本概念、特征和攻擊原理研究出有效避免和預(yù)防DDoS攻擊的方法，并通過實(shí)驗(yàn)進(jìn)行研究和分析。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全；DDoS攻擊；預(yù)警閾值；防范措施

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1008-1739（2020）07-69-3

0引言

網(wǎng)絡(luò)信息化時(shí)代的迅猛發(fā)展與革新，使計(jì)算機(jī)網(wǎng)絡(luò)已成為社會(huì)發(fā)展和人民生活中不可或缺的一部分，在潛移默化中影響著人們?nèi)粘５纳詈凸ぷ鳌Ｓ?jì)算機(jī)、智能機(jī)、無線網(wǎng)絡(luò)及智能家電等在人們的生活中隨處可見，為人們帶來了前所未有的方便與快捷，但在提供便捷的同時(shí)也帶來了網(wǎng)絡(luò)安全的挑戰(zhàn)。人們常以網(wǎng)絡(luò)攻擊、信息泄密及網(wǎng)絡(luò)黑客等作為日常談資，卻不明白真正的含義和危害性。

截止目前，我國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CERT發(fā)布了一份《2019年上半年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)》的報(bào)告，報(bào)告顯示現(xiàn)在最新、最流行的網(wǎng)絡(luò)攻擊方式以高隱蔽性、易操控性和強(qiáng)破壞性著稱的DDoS攻擊為主，肆虐網(wǎng)絡(luò)空間、竊取人們的隱私、入侵企業(yè)平臺(tái)、危害個(gè)人財(cái)產(chǎn)安全及攻擊國(guó)家網(wǎng)絡(luò)等，造成極為惡劣的影響，因此重視網(wǎng)絡(luò)安全極為重要。

1 DDoS攻擊

DDoS是指處于不同地域的多個(gè)攻擊方同時(shí)向一個(gè)或數(shù)個(gè)目標(biāo)發(fā)動(dòng)攻擊[1]，或一個(gè)攻擊者控制了位于不同方位的多臺(tái)網(wǎng)絡(luò)設(shè)備并利用這些設(shè)備對(duì)被攻擊對(duì)象同時(shí)實(shí)施攻擊的一種手段。由于攻擊的出發(fā)點(diǎn)分布在不同地域，這類攻擊統(tǒng)稱為分布式拒絕服務(wù)攻擊。最常見的攻擊方式[2]有：SYN Flooding攻擊、UDP Flood攻擊、ICMP Flood攻擊、HTTP Get攻擊及UDP DNS Query Flood攻擊等。

1.1攻擊原理

DDoS是以DoS攻擊為主的特殊形式的拒絕服務(wù)攻擊，是一種分布式大規(guī)模協(xié)同集群型的網(wǎng)絡(luò)攻擊。通過利用網(wǎng)絡(luò)協(xié)議和系統(tǒng)漏洞以欺騙和偽裝IP數(shù)據(jù)包的手段來進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備充斥大量要求回復(fù)的數(shù)據(jù)包，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)因負(fù)荷過載而癱瘓并終止正常服務(wù)[3]。與DoS相比，DDoS是借助成百上千臺(tái)傀儡機(jī)同時(shí)發(fā)起的集團(tuán)大規(guī)模攻擊行為，DDoS攻擊原理如圖1所示。

一個(gè)DDoS攻擊的完整體系[4]由攻擊者、主控端、傀儡端和攻擊目標(biāo)4個(gè)部分組成。主控端和傀儡端分別用于主機(jī)控制和實(shí)際發(fā)起攻擊的傀儡機(jī)，其中主控端只發(fā)布命令而不參與實(shí)際的攻擊，傀儡端發(fā)出DDoS的實(shí)際攻擊包。對(duì)于主控端和傀儡端的計(jì)算機(jī)，攻擊者對(duì)傀儡機(jī)具有實(shí)質(zhì)的控制權(quán)，但傀儡端計(jì)算機(jī)用戶并不知道自己的電腦已被控制，DDoS在攻擊過程中會(huì)利用各種手段隱藏自己而不被發(fā)現(xiàn)。真正的攻擊者一旦將攻擊的命令傳送到傀儡端，攻擊者就可以關(guān)閉計(jì)算機(jī)或離開網(wǎng)絡(luò)，而由主控端將命令發(fā)布到各個(gè)傀儡主機(jī)上，這樣攻擊者可以逃避追蹤。每一個(gè)傀儡端都會(huì)向目標(biāo)主機(jī)發(fā)送大量的服務(wù)請(qǐng)求數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過偽裝，無法識(shí)別它們的來源[5]，而且這些數(shù)據(jù)包所請(qǐng)求的服務(wù)要消耗大量的帶寬和系統(tǒng)資源，造成目標(biāo)主機(jī)無法為用戶提供正常服務(wù)，最終導(dǎo)致系統(tǒng)崩潰。

1.2 DDoS攻擊過程

攻擊者需要控制一臺(tái)或多臺(tái)計(jì)算機(jī)作為傀儡端，通過這些受控的計(jì)算機(jī)向有系統(tǒng)漏洞、安全漏洞的其他計(jì)算機(jī)或服務(wù)器發(fā)送偽裝的數(shù)據(jù)包來進(jìn)行入侵，并在神不知鬼不覺的情況下控制其設(shè)備作為傀儡，一般受到控制的計(jì)算機(jī)會(huì)異常響應(yīng)2聲后恢復(fù)正常。

攻擊者控制了傀儡機(jī)就會(huì)安裝相應(yīng)功能的攻擊程序[6]，有些攻擊程序具有定時(shí)性，也有一些是非定時(shí)的，需要攻擊者因時(shí)制宜地控制傀儡機(jī)，對(duì)目標(biāo)主機(jī)發(fā)起數(shù)據(jù)包攻擊。

發(fā)動(dòng)攻擊，通常有2種情況：①傀儡機(jī)群安裝的是預(yù)定時(shí)攻擊程序，則會(huì)在規(guī)定時(shí)間內(nèi)對(duì)攻擊目標(biāo)進(jìn)行狂轟亂炸，瘋狂地發(fā)送攻擊數(shù)據(jù)包使之陷入癱瘓或死機(jī)以終止服務(wù)；②手動(dòng)攻擊，攻擊者根據(jù)所需的時(shí)間、空間以及地理方位進(jìn)行隨機(jī)性攻擊。現(xiàn)實(shí)情況下一般黑客會(huì)選用前者以保護(hù)自己的身份不被泄露和發(fā)覺。

2實(shí)驗(yàn)

2.1實(shí)驗(yàn)準(zhǔn)備

實(shí)驗(yàn)需2臺(tái)作為路由網(wǎng)關(guān)的3層交換機(jī)，用以連接攻擊者、傀儡機(jī)群（多臺(tái)計(jì)算機(jī)）、受攻擊者（包括計(jì)算機(jī)和服務(wù)器）和正常網(wǎng)絡(luò)用戶（正常數(shù)據(jù)通信的計(jì)算機(jī)）。通過對(duì)比受攻擊者和正常網(wǎng)絡(luò)用戶的數(shù)據(jù)流量的實(shí)時(shí)變化情況，來實(shí)時(shí)監(jiān)測(cè)DDoS攻擊的流量突變情況，并對(duì)流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)與收集，通過科學(xué)計(jì)算校驗(yàn)出DDoS攻擊預(yù)警流量值再進(jìn)行預(yù)警以提高技術(shù)員對(duì)DDoS攻擊的防范意識(shí)，實(shí)驗(yàn)平臺(tái)的搭建如圖2所示。

2.2數(shù)據(jù)統(tǒng)計(jì)分析

以圖2的實(shí)驗(yàn)拓?fù)鋱D進(jìn)行DDoS攻擊的假設(shè)性實(shí)驗(yàn)，分別對(duì)不同對(duì)象進(jìn)行模擬攻擊，假設(shè)實(shí)驗(yàn)流程如圖3所示。通過圖2中的流量數(shù)據(jù)統(tǒng)計(jì)與分析服務(wù)器進(jìn)行數(shù)據(jù)采集和統(tǒng)計(jì)分析，采集數(shù)據(jù)包括SYN Flood攻擊、UDP Flood攻擊及ICMP Flood攻擊等的流量數(shù)據(jù)和異常數(shù)據(jù)包，以及正常用戶的流量值與數(shù)據(jù)包。用收集的實(shí)驗(yàn)數(shù)據(jù)進(jìn)行比對(duì)分析并進(jìn)行異常流量窗口值的計(jì)算，用以確定對(duì)DDoS攻擊的持續(xù)時(shí)間的最低預(yù)警閾值。所謂最低預(yù)警閾值是指當(dāng)計(jì)算機(jī)或服務(wù)器受到一定時(shí)間的DDoS攻擊，將異常數(shù)據(jù)流達(dá)到最低臨界窗口值作為定界標(biāo)準(zhǔn)，以判定是否為DDoS攻擊。當(dāng)前常用的DDoS攻擊預(yù)警值是當(dāng)攻擊流量在一定時(shí)間內(nèi)達(dá)到的最大峰值來進(jìn)行判定，如果用DDoS攻擊的異常流窗口值作為最低的預(yù)警閾值，可能會(huì)有意想不到的結(jié)果。

2.3科學(xué)計(jì)算及定界

眾所周知，Hurst指數(shù)是使用最廣泛、認(rèn)同度最高的表征自相似型的數(shù)學(xué)參數(shù)。Hurst指數(shù)是描述非函數(shù)長(zhǎng)周期的重要指標(biāo)，它反映的是一長(zhǎng)串相互聯(lián)系事件的結(jié)果。通過計(jì)算正常流和異常流的Hurst指數(shù)，可以得到不同種類的網(wǎng)絡(luò)流量的自相似特性，且能夠知道正常的網(wǎng)絡(luò)流量模型是符合自相似模型的[7]。通過與DDoS攻擊的異常流模型進(jìn)行比對(duì)，其標(biāo)準(zhǔn)的自相似特性將會(huì)發(fā)生改變，從而能判定網(wǎng)絡(luò)流量是否發(fā)生異常，因而能利用這一特點(diǎn)來檢測(cè)DDoS攻擊的發(fā)生。

通過對(duì)實(shí)驗(yàn)數(shù)據(jù)進(jìn)行Hurst值的計(jì)算和曲線圖的對(duì)照，利用Hurst指數(shù)的3種形式特性：①如果=0.5，表明時(shí)間序列可以用隨機(jī)游走來描述；②如果0.5< <1，表明時(shí)間序列存在長(zhǎng)期記憶性；③如果0≤<0.5，表明粉紅噪聲（反持續(xù)性），即均值回復(fù)過程，可判定并得出最低預(yù)警閾值。

3對(duì)DDoS攻擊的防范措施

DDoS攻擊之所以難以被清除或預(yù)防是因?yàn)椋孩貲DoS攻擊利用Internet的開放性和從任意源地址向任意目標(biāo)地址發(fā)送數(shù)據(jù)包的網(wǎng)絡(luò)通信模式[8]，這種開放式的網(wǎng)絡(luò)通信擴(kuò)大了DDoS攻擊包的入侵路徑，提升了受攻擊的輕重程度；②對(duì)隱藏在合法數(shù)據(jù)包通信流中的非法數(shù)據(jù)包的辨別和剔除有一定難度，增加了預(yù)防和消除DDoS攻擊的難度。因此，應(yīng)對(duì)DDoS攻擊要從網(wǎng)絡(luò)流量異常監(jiān)測(cè)、數(shù)據(jù)包的鑒定、系統(tǒng)漏洞周期性修復(fù)及網(wǎng)絡(luò)用戶應(yīng)遵守的規(guī)則等方面入手。

3.1流量異常監(jiān)測(cè)

DDoS攻擊是在短時(shí)間內(nèi)偽造大量的請(qǐng)求數(shù)據(jù)包發(fā)送給目標(biāo)設(shè)備，導(dǎo)致大量數(shù)據(jù)包在同一時(shí)間內(nèi)進(jìn)行請(qǐng)求連接，致使受攻擊設(shè)備沒有足夠的時(shí)間去處理這些請(qǐng)求包，因此就會(huì)使受攻擊設(shè)備的CPU利用率急劇上升導(dǎo)致其陷入癱瘓。基于此，DDoS攻擊者首先會(huì)試探性地攻擊目標(biāo)設(shè)備的系統(tǒng)漏洞，此時(shí)會(huì)在短時(shí)間內(nèi)產(chǎn)生較多的數(shù)據(jù)流量，經(jīng)過部署的安全軟件就會(huì)及時(shí)監(jiān)控網(wǎng)絡(luò)產(chǎn)生的異常流量流，并告警用戶辨別是否為DDoS攻擊以做好相關(guān)防范措施。

3.2數(shù)據(jù)包的鑒定

通過對(duì)數(shù)據(jù)包插入相應(yīng)的辨識(shí)幀以防非法用戶偽裝我方網(wǎng)絡(luò)的數(shù)據(jù)來入侵我方網(wǎng)絡(luò)或設(shè)備。一旦我方知曉有DDoS攻擊源正在攻擊網(wǎng)絡(luò)或設(shè)備時(shí)，就可以通過辨識(shí)幀來甄別非法數(shù)據(jù)包來達(dá)到消除過濾異常非法數(shù)據(jù)流的功用。這樣既不用終止網(wǎng)絡(luò)服務(wù)也不用將合法和非法數(shù)據(jù)包一同刪除或過濾，既能有效防范DDoS攻擊又能維持網(wǎng)絡(luò)服務(wù)正常運(yùn)行。

3.3系統(tǒng)漏洞周期性修復(fù)

系統(tǒng)漏洞[9]是一種網(wǎng)絡(luò)信息化安全的潛在威脅，主要有應(yīng)用程序漏洞、Web應(yīng)用漏洞、操作系統(tǒng)漏洞、網(wǎng)絡(luò)設(shè)備漏洞及數(shù)據(jù)庫漏洞等，涉及的方式有信息泄露、權(quán)限繞過、遠(yuǎn)程代碼執(zhí)行及弱口令等。系統(tǒng)漏洞在網(wǎng)絡(luò)或設(shè)備中比較常見，如360安全、金山毒霸、瑞星殺毒等安全軟件就常提醒計(jì)算機(jī)用戶去修復(fù)漏洞為系統(tǒng)打補(bǔ)丁，其實(shí)這就為預(yù)防網(wǎng)絡(luò)攻擊奠定堅(jiān)實(shí)基礎(chǔ)[10]。因此互聯(lián)網(wǎng)用戶要定期掃描檢測(cè)網(wǎng)絡(luò)設(shè)備是否有重大安全隱患的系統(tǒng)漏洞，以及時(shí)修復(fù)來保障網(wǎng)絡(luò)或設(shè)備通信的安全性。

3.4網(wǎng)絡(luò)用戶守則

網(wǎng)絡(luò)用戶要注意使用正規(guī)的、安全的網(wǎng)絡(luò)設(shè)備，提高網(wǎng)絡(luò)安全意識(shí)，遵守有關(guān)網(wǎng)絡(luò)安全措施。及時(shí)升級(jí)系統(tǒng)以提高系統(tǒng)抗攻擊的能力并在系統(tǒng)中安裝防火墻、入侵檢測(cè)工具（如NIPC，NGREP），經(jīng)常掃描檢查系統(tǒng)解決系統(tǒng)漏洞，對(duì)系統(tǒng)文件和應(yīng)用程序進(jìn)行加密，并定期檢查這些文件的變化[11]。也可以根據(jù)IP地址對(duì)數(shù)據(jù)包進(jìn)行過濾、為系統(tǒng)訪問提供更高級(jí)別的身份驗(yàn)證，以及使用安全工具軟件檢測(cè)不正常的高信息流量來防范DDoS攻擊。

4結(jié)束語

本文主要通過對(duì)DDoS攻擊的研究來強(qiáng)調(diào)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性，并從DDoS攻擊入手研究其攻擊原理、過程方式、危害手段等來探尋出預(yù)防DDoS攻擊的策略規(guī)則，并通過設(shè)計(jì)模擬實(shí)驗(yàn)來進(jìn)行驗(yàn)證。基于此，在設(shè)計(jì)模擬實(shí)驗(yàn)中需統(tǒng)計(jì)收集正常用戶和受攻擊設(shè)備的數(shù)據(jù)流量，用科學(xué)計(jì)算的方式與Hurst值進(jìn)行比較來判斷其是否符合自相似性。若計(jì)算值被判定為符合自相似性，則確定是正常的數(shù)據(jù)通信，反之則可判定為受到了DDoS攻擊，其中判定為受攻擊的流量窗口值可作為預(yù)警閾值。這種新的判定方式將比傳統(tǒng)檢測(cè)方式更為有效。進(jìn)而對(duì)預(yù)防DDoS攻擊提出幾點(diǎn)預(yù)防建議，來輔助用戶或網(wǎng)絡(luò)運(yùn)維人員及時(shí)防范DDoS攻擊。

參考文獻(xiàn)

[1]劉遠(yuǎn)生，辛一.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社， 2009.

[2]王麥玲.分布式拒絕服務(wù)攻擊與防范措施[J].辦公自動(dòng)化， 2008（18）：42-43.

[3]滕建，陳駿君，趙英.基于用戶網(wǎng)絡(luò)行為模型的DDoS攻擊檢測(cè)[C]//中國(guó)計(jì)算機(jī)用戶協(xié)會(huì)網(wǎng)絡(luò)應(yīng)用分會(huì)2018年第二十二屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會(huì)論文集，2018-10，中國(guó)江蘇蘇州：出版社不詳，2018：22-26.

[4]李仲龍，司瑾.分布式拒絕服務(wù)攻擊淺析[J].電腦知識(shí)與技術(shù)，2010，6（10）：2373-2374.

[5]趙隴，王志勃，章萬靜.基于DDoS安全區(qū)的偽造IP檢測(cè)技術(shù)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2019，29（9）：106-109.

[6]王麥玲.分布式拒絕服務(wù)攻擊與防范措施[J].辦公自動(dòng)化， 2008（18）：42-43.

[7]王志猛.基于流量相似性的DDoS攻擊檢測(cè)的研究[D].合肥：合肥工業(yè)大學(xué)，2018.

[8]馮國(guó)禮，李蓉，王曄.淺析數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)與設(shè)計(jì)要求[J].信息系統(tǒng)工程，2017（3）：132-134.

[9]吳倩倩.綜合型漏洞掃描系統(tǒng)的研究與設(shè)計(jì)[D].保定：華北電力大學(xué)，2015.

[10]鄒俊威.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范措施[J].電子技術(shù)與軟件工程，2019（17）：188-189.

[11]劉輝.分布式拒絕服務(wù)攻擊的特點(diǎn)與防御[J].新課程（教育學(xué)術(shù)），2012（2）：164.