基于區塊鏈技術的DDoS協同防御方法研究

趙嬋　張瑞生

摘? 要：針對DDoS攻擊，文章提出了一種基于區塊鏈的分布式防御架構，利用分散在各處的閑置網絡帶寬和計算資源進行DDoS流量的轉發和清洗處理。首先，將閑置網絡帶寬和計算資源上鏈，實現DDoS防御能力的全網共享;然后，依據鏈上共享的能力對發往受害者的流量進行轉發清洗;最后，依據上鏈的流量清洗記錄以及帶寬使用記錄進行獎勵。該方案以分布式的網絡帶寬及計算資源有效應對大規模的DDoS攻擊流量，提高了防御的時效性。通過服務能力聚合，充分利用閑置帶寬和處理能力，顯著降低DDoS防御的成本;基于DDoS防御貢獻的公正記錄進行獎勵，構成協同防御的有效正反饋。

關鍵詞：DDoS攻擊;區塊鏈;分布式

中圖分類號：TP311.13;TP309? ? 文獻標識碼：A 文章編號：2096-4706（2020）05-0152-04

Research on DDoS Cooperative Defense Method Based on Blockchain

ZHAO Chan，ZHANG Ruisheng

（School of Information Science and Engineering，Lanzhou University，Lanzhou? 730000，China）

Abstract：Aiming at DDoS attacks，this paper proposes the distributed defense architecture based on blockchain that utilizes idle network bandwidth and computing resources scattered around to forward and clean DDoS traffic. First，idle bandwidth and idle computing resources are proposed onto blockchain to realize DDoS defense capability sharing across the network. Then，the traffic sent to the victim is forwarded and cleaned according to the capacity on blockchain. Finally，the processing records and bandwidth usage on blockchain are used for rewards. This solution uses distributed network bandwidth and computing resources to effectively resolve large-scale DDoS attack，realizing traffic offloading，and improve the timeliness of defense. Through service capacity aggregation and full use of idle bandwidth and processing capabilities，DDoS defense cost is significantly reduced;reward based on the fair records of DDoS defense contributions forms an effective positive feedback on collaborative defense.

Keywords：DDoS attack;blockchain;distributed

0? 引? 言

DoS（Denial of Service）攻擊通過消耗存儲、帶寬或可用的其他服務資源來阻塞通信[1]。在此基礎上升級演變而來的DDos攻擊（分布式拒絕服務）危害更大，是當前主流網絡攻擊方式之一。2018年2月，全球著名的代碼托管網站GitHub遭受到有史以來規模最大的DDoS攻擊，為有效應對攻擊，GitHub只能向國際著名CDN服務商Akamai求助，為此付出了高昂的服務費用[2]。

傳統的DDoS防御方式包括檢測和清洗兩步。檢測的目的是確認目標受害者是否遭受了DDoS攻擊，清洗則將發往目標受害者的所有流量（包括正常流量和DDoS流量）轉發到清洗服務器進行清洗。這種集中式防御方式無法高效處理DDoS攻擊，不僅存在滯后性，而且流量清洗成本較高，同時在清洗DDoS流量時容易導致網絡堵塞[3]。

區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算機技術的新型應用模式，具有分布式基礎架構與計算范式[4]，可有效應對分布式網絡攻擊。本文利用分布的閑置帶寬和計算資源來應對DDoS攻擊的流量，形成了DDoS協同防御效果。

1? 背景知識

1.1? DDoS主流攻擊方式和防御方式

按照攻擊發起方式的差異，DDoS攻擊可分為3類[5]。

1.1.1? 流量型攻擊

通過產生大量的數據流量消耗網絡帶寬，大量表面看似合法的TCP、UDP或ICMP數據包被傳送到特定目的地，常常同時使用源地址欺騙，即不停地變化源地址。這種攻擊因特征明顯，目前比較容易識別。

1.1.2? 連接型攻擊

利用TCP和HTTP等協議定義漏洞來不斷占用計算資源，以阻止計算機處理正常的事務和請求。

1.1.3? 流量+連接混合型攻擊

既利用了協議、系統的缺陷，又具備了海量的攻擊流量，是當前的主流攻擊方式。

主流的DDoS防御方式是采用被稱為高防服務器構建的DDoS攻擊防護系統[6]。在被防護網站發生攻擊時，將攻擊流量導流至高防IP節點。高防IP節點的DDoS清洗設備對流量進行清洗，保障被防護網站正常對外提供服務。因高防IP的數量有限，在應對巨大流量的DDoS攻擊時，時效性會降低，同時流量清洗代價較大。

1.2? 區塊鏈相關知識介紹

區塊鏈是由多方共同維護的分布式數據記錄，具有四大特性[7]：

（1）多方寫入，實時共享：區塊鏈參與方通過共識算法對上鏈數據進行確認，確認一致后數據會同時寫入各參與方的賬本，從而實現了數據的實時共享;

（2）分布式信任體系：節點之間互不信任，但依托于區塊鏈的共識機制，多中心構建分布式信任關系，各節點之間可以就上鏈數據達成信任;

（3）可追溯：區塊鏈以時間戳的形式按順序記錄了所有的操作記錄;

（4）防篡改：區塊內容和時序通過密碼學技術進行保護，任何一方難對其進行篡改、抵賴、造假。

2? 相關工作介紹

同濟大學和中科院計算技術研究所團隊[8]研究了物聯網場景下區塊鏈底層技術以及區塊鏈物聯網所面臨的問題與挑戰，認為分布式網絡環境下的身份驗證、數據隱私、網絡安全等問題非常突出。RUKAVITSYN A團隊[9]利用Netflow協議收集有關網絡流量的數據，并利用新數據重新自我學習檢測模型的方式進行DDoS攻擊檢測。張桐[10]結合區塊鏈的去中心化、公開透明、信息很難篡改和匿名性等特點，從身份驗證、數據保密性和完整性、環節DDoS攻擊、保護隱私信息、更安全的DNS共5個方面介紹了區塊鏈的應用安全。畢宇[11]從參與者、智能合約要約、運行流程3個方面設計了基于區塊鏈智能合約的PKI-CA體系，較好地解決了傳統PKI-CA認證體系所面臨的難題，提出了防止DDos攻擊的思路，但該方案未證明可操作性和可行性。陳飛[12]等結合DDoS攻擊的特性，提出下一代網絡安全體系構建仍然存在兩類問題，即DDoS早期的高精確度識別問題和安全體系中各環節的信任以及安全性保障問題。陳旭等[13]提出了基于區塊鏈技術的網絡DDoS聯合防御方法。在公有區塊鏈基礎上，解決了跨組織聯合防御的實施難題。但沒有對方案進行驗證。楊翊[14]等采用區塊鏈技術進行分布式存儲和共享，設計了一種新的防御DDoS攻擊的模型，但實際應用效果未做驗證。

為響應國家號召，落實網絡強國戰略，培養高水平網絡空間安全人才，2018年初蘭州大學成立了“蘭州大學網絡空間安全研究院”，依托蘭州大學信息科學與工程學院，開展網絡安全教學與科研工作。針對上述仍存在的問題，本文設計了基于區塊鏈技術的DDoS協同防御方法，有效利用閑置帶寬和計算資源應對DDoS攻擊，形成了協同防御的機制。

3? 方法總體介紹

目前在互聯網上特定時段存在大量閑置帶寬和計算資源，可以通過區塊鏈技術進行整合利用，并用于DDoS攻擊的防御。

如圖1所示，方案總體思路如下：

第1步：公司或個人等首先在區塊鏈網絡中登記閑置資源，提供在應對DDoS攻擊時可提供最大能力的閑置資源配置。各個計算中心（節點1，2，…，N）的閑置資源在區塊鏈網上進行全網共享;

第2步：當檢測到DDoS攻擊時，根據區塊鏈網絡上的閑置資源登記情況，將發往目標受害者的混合流量（包含正常流量及DDoS流量）轉發至具有閑置帶寬和計算資源的計算中心（節點1，2，…，N）;

第3步：計算中心（節點1，2，…，N）依據清洗規則，對DDoS攻擊流量進行清洗，過濾掉DDoS流量，并將正常流量返回給目標，同時將清洗記錄以及帶寬使用情況向區塊鏈全網進行廣播，經過共識機制確認后記錄到區塊鏈網絡上。

上述同時，建立并運行合理的評價激勵體系，依據鏈上不可篡改的流量清洗記錄以及帶寬使用記錄，對貢獻閑置帶寬和計算資源的計算中心實體進行獎勵。

4? 設計與實現

4.1? 閑置資源參數定義與上鏈

對目前互聯網上閑置的帶寬和閑置計算資源進行登記，將相關信息通過固定數據格式向區塊鏈網絡發布。數據格式定義為：

（閑置資源屬主ID，閑置資源類型，可用時間段，最大可用能力）。

對閑置資源類型，取值為0或1，0代表帶寬資源，1代表計算資源。例如（0001，0，8：00-17：00，20 M）代表ID為0001的用戶，在每天的8：00～17：00期間帶寬資源閑置，最大可用帶寬為20 M。

將具有閑置資源的計算機數據記錄向全網進行廣播，所有接收節點對數據記錄的合法性進行校驗，通過共識機制校驗后數據記錄被納入區塊鏈網絡中儲存。通過此方式，閑置資源在整個區塊鏈網絡中進行了共享。

4.2? 依托區塊鏈網絡登記信息轉發DDoS流量

當目標受害者疑似受到攻擊時，需要將目標受害者接收的混合流量，通過閑置帶寬將流量轉發給具有閑置資源的計算中心。比如，從DDoS攻擊的受害者，經過帶寬線路X、帶寬線路Y和帶寬線路Z），最終到達閑置計算中心A。如果某閑置計算中心無法利用閑置帶寬搭建從目標受害者到該計算中心的通路，則該計算中心不可用，不參與DDoS防御。根據閑置資源參數中“最大可用能力”定義，在流量轉發時分配不超過最大帶寬、最大計算資源的混合流量。

4.3? 對混合流量進行清洗并將處理記錄上鏈

計算中心依據特定的DDoS判定規則，過濾DDoS攻擊流量，將正常流量返回給目標受害者。計算中心完成混合流量清洗后，將本次處理記錄向區塊鏈網絡發布，經過校驗后記錄上鏈。上鏈數據定義為（計算中心屬主ID，帶寬使用記錄，本次處理的混合流量的體量，惡意DDoS攻擊流量的體量，處理時長）。

例如（0001，[帶寬線路X，帶寬線路Y，帶寬線路Z]，100 M，80 M，5 h），代表通過[帶寬線路X，帶寬線路Y，帶寬線路Z]將流量轉發給0001的計算中心，該計算中心處理的混合流量為100 M/s，其中DDoS攻擊流量為80 M/s，流量清洗時間為5 h。

4.4? 依據區塊鏈網絡登記信息進行獎勵

為形成良性協同防御正反饋，需對提供帶寬和計算資源的實體，以積分或其他形式進行獎勵。DDoS攻擊的目標受害者，根據區塊鏈上的流量清洗記錄進行計算，提供獎勵積分，發送給參與協同防御的實體。區塊鏈不可篡改的特性，可確保建立公正公平的記錄信息。

5? 測評與分析

以太坊（Ethereum）[15]是一個開源的有智能合約功能的區塊鏈平臺，提供去中心化的以太虛擬機（Ethereum Virtual Machine）來處理點對點合約，支持自定義創世區塊，創建私有鏈。為了驗證本文思路，我們利用以太坊區塊鏈平臺環境，搭建區塊鏈網絡進行了仿真驗證，并對結果進行了綜合分析評價。

5.1? 驗證環境和參數

在區塊鏈上，共有15個計算機節點（虛擬機），模擬互聯網上存在的15個閑置的計算中心。每個計算中心安裝Ubuntu 16.04操作系統。

將所有計算中心組成區塊鏈網絡，并部署智能合約。其中，智能合約涵蓋了主要的幾個操作步驟：

（1）將閑置資源配置情況記入區塊鏈的操作;

（2）DDoS攻擊發生時，依據計算中心的位置及可用帶寬進行流量轉發的操作;

（3）計算中心將處理結果記入區塊鏈的操作。

5.2? 驗證步驟

（1）在各計算中心節點（共15個）安裝cbm網絡帶寬監控工具，部署自定義Shell腳本程序。設置每個節點定時（每1 min）采集當前節點的CPU使用率（cpuinfo）和網絡帶寬信息（transmit），經過計算后按照4.1節數據格式將閑置的資源（帶寬、CPU計算資源）情況登記到區塊鏈網絡，在整個區塊鏈網絡共享;

（2）在各計算中心節點（共15個）安裝Anti-DDoS開源程序（https：//github.com/anti-ddos/Anti-DDOS），通過配置iptables規則，對特定IP 地址的數據包進行轉發，以實現流量清洗的效果;

（3）指定計算中心節點中的1臺A計算機作為DDoS攻擊的目標，指定另一臺B計算機安裝LOIC工具，產生DDoS攻擊流量，作為DDoS攻擊的發動方，對A主機發起持續1 h的DDoS攻擊。

5.3? 驗證結果

（1）通過Wireshark軟件的流量統計功能，可以看到發往目標主機的所有流量依據區塊鏈記錄的資源配置情況分別轉發給15個計算中心。在驗證環境中，由于各虛擬節點配置參數相同，因此轉發到各個節點的混合流量水平接近相同;

（2）各計算中心對流量進行有效過濾，只保留了特定IP（A主機和B主機）的流量，過濾掉了DDoS流量。正常流量返回給了目標主機A;

（3）目標主機A提供的150個積分平均分配給了15個參與協同防御的計算中心（在實際生產情況中，會依據計算中心的能力及實際處理流量體量的不同，進行獎勵分配）。

5.4? 綜合分析和評價

本方案與現有流行的抗DDoS方案（阿里云云盾服務、知道創宇抗D保服務、騰訊云大禹服務）相比，都能防御常見的各類DDoS攻擊。同時本方案有以下優勢：

（1）時效性和擴展性更佳。本文方案采用分布式的防御，防御的時效性和擴展性在生產環境中將更佳;

（2）流量清洗的成本更低。現有的抗DDoS方案需要額外的流量引流網絡以及流量清洗設備，因此成本較高。根據阿里云、騰訊云等官網服務報價，20 GB的流量清洗帶寬報價在1.5萬/月以上。本文方案通過利用閑置帶寬和計算資源，采用合作共贏的方式，沒有增加額外的帶寬和計算資源費用，流量清洗成本相對較低。

但本方案也存在問題需要繼續優化。由于仿真資源受限，本文只通過小規模的資源從可行性和有效性方面對方案進行了驗證，仿真的DDoS攻擊與現實中的DDoS攻擊在流量規模方面存在較大差距。后續需進一步在大規模部署條件下進行驗證和分析。

6? 結? 論

本文提出了一種基于區塊鏈技術的DDoS攻擊防御架構，利用分散在互聯網上的閑置網絡帶寬和計算資源，對DDoS流量進行清洗。通過區塊鏈聚合閑置帶寬和處理能力，應對DDoS攻擊流量，提高了防御的時效性，降低了DDoS防御的成本。同時，本文提出基于DDoS防御貢獻的公正記錄進行獎勵，構成了有效的協同防御正反饋。

參考文獻：

[1] 黃強.基于分布式的DDoS攻擊及防范技術研究 [D].合肥：合肥工業大學，2011.

[2] The GitHub Blog. February 28th DDoS Incident Report [EB/OL].（2018-03-01）.https：//github.blog/2018-03-01-ddos-incident-report/.

[3] 滕建，陳駿君，趙英.基于用戶網絡行為模型的DDoS攻擊檢測 [C]//中國計算機用戶協會網絡應用分會2018年第二十二屆網絡新技術與應用年會，2018.

[4] 袁勇，王飛躍.區塊鏈技術發展現狀與展望 [J].自動化學報，2016，42（4）：481-494.

[5] 賈斌.基于機器學習和統計分析的DDoS攻擊檢測技術研究 [D].北京：北京郵電大學，2017.

[6] 鄧詩釗.DNS域名安全實時檢測的研究 [D].成都：電子科技大學，2015.

[7] 王元地，李粒，胡諜.區塊鏈研究綜述 [J].中國礦業大學學報（社會科學版），2018，20（3）：74-86.

[8] 何正源，段田田，張穎，等.物聯網中區塊鏈技術的應用與挑戰[J].應用科學學報，2020，38（1）：22-33.

[9] RUKAVITSYN A，BORISENKO K，SHOROV A. Self-learning method for DDoS detection model in cloud computing [C]//Young Researchers in Electrical & Electronic Engineering.IEEE，2017：544-547.

[10] 張桐.區塊鏈技術與網絡安全 [C]//數字中國 能源互聯——2018電力行業信息化年會論文集.中國電機工程學會電力信息化專業委員會：人民郵電出版社電信科學編輯部，2018：312-314.

[11] 畢宇.基于區塊鏈智能合約的PKI-CA體系設計 [J].金融科技時代，2018（7）：44-46.

[12] 陳飛，畢小紅，王晶晶，等.DDoS攻擊防御技術發展綜述 [J].網絡與信息安全學報，2017，3（10）：16-24.

[13] 陳旭.基于區塊鏈技術的網絡DDoS聯合防御方法研究 [J].網絡安全技術與應用，2017（11）：29-30+39.

[14] 楊翊，彭揚，矯毅.基于區塊鏈的DDoS防御云網絡 [EB/OL].北京：中國科技論文在線.（2016-11-04）.http：//www. paper.edu.cn/releasepaper/content/201611-59.

[15] 以太坊網站.What is Ethereum. [EB/OL].[2020-02-06].https：//ethereum.org.

作者簡介：趙嬋（1986.06-），女，漢族，新疆塔城人，在讀碩士研究生，主要研究方向：網絡空間安全;張瑞生（1962. 06-），男，漢族，甘肅天水人，教授，博士生導師，主要研究方向：高性能計算、服務計算技術等。