（计算机科学与技术专业论文）渐缓式ddos防弹墙关键技术研究与应用.pdf

国防科学技术大学研究生院硕士学位论文 摘要 由于攻击实施的门槛不断降低以及攻击所带来的巨大危害，d d o s 攻击成为网 络攻击者所青睐的攻击方式，利用这种攻击手段进行敲诈勒索也逐渐成为一条产 业链，d d o s 攻击事件的发生在近年来呈上升趋势。研究d d o s 有效防御技术是目 前信息安全领域紧迫的任务之一。本文提出的d d o s 防弹墙系统是一种基于分布 式防御策略以及点面结合的防御策略思想的d d o s 防御系统，系统包括用户层、 验证调度层、连接调度层以及服务器群四个防御层次，本文重点实现了d d o s 防 弹墙系统中验证调度层的功能。主要工作包括以下几个方面： ( 1 ) 分析了国内外d d o s 攻击防御技术，提出了渐缓式d d o s 防弹墙模型， 即通过构建多层防御体系、用户端认证技术、插件技术、临时通行证、动态白名 单、隐藏服务器、l v s 分流等机制对d d o s 攻击效果进行层层削弱，最大限度地 保证受保护服务器的持续工作。提出分布式防御策略，从逻辑及物理的角度阐述 了该防御策略对防御d d o s 攻击有着较好的功效；提出点面结合的防御策略，构 建由点及面的防御体系。 ( 2 ) 对d d o s 防弹墙验证调度层的功能进行了详细的说明，提出验证调度层 的设计目标，同时对该层结构进行了模块化处理，介绍了验证调度层的工作流程。 验证调度层实现了系统的验证与调度的功能，解决了目前大部分主流防御系统中 的验证机制简单及覆盖网络面临攻击时节点适应性差及节点扰动的缺点。 ( 3 ) 使用基于c h o r d 协议的覆盖网络来构成系统的底部结构。在对c h r o d 协 议的相关内容进行深入研究的基础上，提出基于“节点负载”c h o r d 系统负载均衡 算法，使用改进的c h o r d 协议构成系统的骨干网络。设计了各层间的专用通信协 议。对验证调度层所提供的服务如插件管理、防止自动验证、临时通行证技术以 及服务器节点的调度进行了设计及实现，实现了系统程序的算法及相应的主要函 数。 ( 4 ) 编写模拟客户端，对验证调度层进行了功能测试和性能测试，重点对基 于“节点负载的c h o r d 系统负载均衡算法进行了实验，并同未修改的c h o r d 算 法进行了对比，得出性能明显优于后者的结果。 本文的主要成果是8 6 3 项目“基于全息机制的网络可生存性系统模型及关键 技术研究重要组成部分，对d d o s 防御体系的进一步研究与设计必将具有潜在 的科学价值和应用前景。 主题词：d d o s 防弹墙，层层削弱，验证调度层 第i 页 国防科学技术大学研究生院硕士学位论文 4b s t r a c t d u et ot h el o w e rt e c h n i c a lr e q u i r e m e n t sa n dh u g ed a m a g e si tc a l lc a u s e ，d d o s a t t a c k si sb e c o m i n gi n c r e a s i n g l yp r e f e r r e db yh a c k e r sa n da r eo nt h er i s ei nr e c e n ty e a r s t h e r ea l s of o r m sa ni n d u s t r i a lc h a i no fe x t o r t i n gf r o mt h a tk i n do fa t t a c k s t h e r e f o r e ， t h es t u d yo fd d o sd e f e n s et e c h n o l o g yb e c o m e so n eo ft h em o r eu r g e n ti nt h es e c u r i t y r e s e a r c ha r e a t h ep a p e rp r o p o s e sd d o sb u l l e t p r o o fw a l ls y s t e m ，w h i c hc o v e r st h e c l i e n tl a y e r v a l i d a t i o na n dd i s p a t c hl a y e r ，c o n n e c t i o nd i s p a t c hl a y e ra n ds e v e r s b a s e d o nd i s t r i b u t e dd e f e n s es t r a t e g ya n d “p o i n tt os i d e ”d e f e n s es t r a t e g y ，t h ep a p e ra i m st o i l l u s t r a t et h es y s t e m sf u n c t i o ni nv a l i d a t i o na n dd i s p a t c hl a y e r 1 1 1 em a i nw o r ki n c l u d e s t h ef o l l o w i n ga s p e c t s ： f i r s t l y ， i t a n a l y z e s d e f e n s e t e c h n o l o g y t od d o sa t t a c k sa th o m ea n d a b r o a d ，p r o p o s e st h ei d e ao fw e a k e nl e v e lu p o nl e v e lt od e f e n dd d o sa t t a c k s ，b y b u i l d i n gam u l t i - l a y e rd e f e n s es y s t e m ，h i d i n gt h es e r v e r s ，v e r i f y i n gt h ec l i e n t ，p l u g i n t e c h n o l o g y ，d y n a m i cw h i t el i s t ，a n dl v st e c h n o l o g i e se t c ，w h i c hc a l ls u c c e s s i v e l y w e a k e nt h ee f f e c t so fd d o sa t t a c k sa n de n s u r et h ep r o t e c t e ds e r v e r so n g o i n gw o r k w e p r o p o s ead i s t r i b u t e dd e f e n s es t r a t e g y w h i c hw o r k sw e l li nd e f e n dt od d o sa t t a c k s v i e w i n gf r o mt h el o g i c a la n dp h y s i c a lp e r s p e c t i v e ，w h i l et h ed e f e n s es t r a t e g yp r o p o s e d b y “p o i n tt on e t ”a n df r o mp o i n t st on e t w o r kc o n s t i t u t e sad e f e n s es y s t e m s e c o n d l y t h ef u n c t i o no ft h ev a l i d a t i o na n dd i s p a t c hl a y e ri sd i s c u s s e di nd e t a i la n d ad e f i n i t i o nf o rt h eg o a lo ft h e v a l i d a t i o nl a y e ri sm a d e t h ec o n s t r u c t i o ni sm o d u l a r i z e d w ei n t r o d u c ew o r k f l o wo ft h ev a l i d a t i o na n dd i s p a t c hl a y e r t h ev a l i d a t i o na n d d i s p a t c hl a y e rm a i n l yi m p l e m e n t st h ef u n c t i o no fv a l i d a t i o na n dd i s p a t c h ，s o l v e st h e d i s a d v a n t a g e st h a tt h ev a l i d a t i o ni st o os i m p l ea n da d j u s t a b i l i t yi si n s u f f i c i e n c yw h i c hi s f a c e dw i t ha t t a c k s t h i r d l y ，t h ep a p e rc o n s t r u c t st h es t r u c t u r eo ft h es y s t e mb yt h eo v e r l a yn e t w o r k b a s e do nc h o r dp r o t o c 0 1 a f t e ri nd e p t h d i s c u s s i o no fr e l e v a n tc o n t e n to ft h ec h o r d p r o t o c o l ，i tp r o p o s e st h ea l g o r i t h mw h i c hi sb a s e do n ”l o a do fn o d ”i nc h o r ds y s t e m l o a d b a l a n c i n ga n dm o d i f i e st h ec h o r dp r o t o c o lw h i c hc o n s t i t u t e st h eb a c k b o n eo ft h e s y s t e mn e t w o r k w ed e s i g nas p e c i a lc o m m u n i c a t i o np r o t o c o lb e t w e e nt h el a y e r s i n t h i sp a p e rw ei m p l e m e n tt h es e r v i c eo fv a l i d a t i o na n dd i s p a t c hl a y e r , s u c ha st h ep l u g i n m a n a g e m e n t ，p r e v e n t i o no ft h ea u t o m a t i cv e r i f i c a t i o n ，t e m p o r a r ya c c e s st e c h n o l o g y ， a n da c t u a l i z et h es e r v e rd e p l o y m e n ta n ds e r v i c e s w ei m p l e m e n tt h ea l g o r i t h ma n d f u n c t i o na sw e l l f i n a l l y ，t h ep a p e rp r o g r a m st h es i m u l a t e dc l i e n t ，a n dt e s t sh o wt h es y s t e mw o r k si n v a l i d a t i o na n dd i s p a t c hl a y e r w ec o n d u c ta l le x p e r i m e n tb a s e do nl o a d b a l a n c i n g a l g o r i t h ma n dc o m p a r et h er e s u l t st ot h a to ft h eo r i g i n a lc h o r da l g o r i t h m w ec o m et o t h ec o n c l u s i o nt h a tt h en e wa l g o r i t h mh a sb e t t e rp e r f o r m a n c e 功ew o r ki st h ei m p o r t a n tp a r to f8 6 3p r o j e e t “刀，er e s e a r c ho nt h em o d e la n dk e y t e c h n o l o g i e so fn e t w o r ks u r v i v a b i l i t ys y s t e mb a s e do nh o l o g r a p h i cp r i n c i p l e ”n l e 第i i 页 国防科学技术大学研究生院硕士学位论文 r e s e a r c ho ft h ed d o sd e f e n s es y s t e mf o rt h ef u r t h e rs t u d ya n dd e s i g nw i l lh a v et h e p o t e n t i a ls c i e n t i f i cv a l u ea n da p p l i c a t i o np r o s p e c t k e yw o r d s ：d d o sb u l l e t p r o o fw a l l ，s u c c e s s i v e l yw e a k e n i n ga t t a c k s ， v a l i d a t i o na n dd i s p a t c hl a y e r 第i i i 页 国防科学技术大学研究生院硕士学位论文 表目录 表1 1 部分技术指标比较4 表4 1 公式参数说明2 5 表4 2 算法参数说明2 7 表4 3 客户端至验证服务器通信协议表2 8 表4 4 验证服务器至客户端通信协议表2 8 表4 5 验证服务器至负载服务器通信协议表2 8 表4 6 验证服务器至连接服务器通信协议表2 9 表4 7 相关结构体3 7 表4 8t h r e a dm a i n ( ) 的定义3 8 表4 9 l o a d a v g o 的定义3 9 表4 10r e q _ v a l i d a t e _ l o a d 0 及r e q _ l i n k _ l o a d 的定义3 9 表4 1 1 v a l i d a t ei d 0 的定义。4 l 表4 1 2v a l i d a t e 的定义41109in0 表4 1 3 l o a d s e r v 0 的定义4 2 表5 1模拟客户端算法4 5 表5 2 防御系统的主要功能5 0 表5 3d d o s 防弹墙性能对比5 2 附录表：f i n g e r 表6 1 第1 i i 页 国防科学技术大学研究生院硕士学位论文 图1 1 图1 2 图1 3 图1 4 图2 1 图2 2 图2 3 图2 4 图2 5 图2 6 图3 1 图3 2 图3 3 图3 4 图4 1 图4 2 图4 3 图4 4 图4 5 图4 6 图4 7 图4 8 图4 9 图4 1 0 图4 1 1 图4 1 2 图4 1 3 图4 1 4 图5 1 图5 3 图5 4 图5 5 图目录 d o s 攻击示意图1 d d o s 攻击示意图。2 s o s 系统结构图3 a i d 系统结构图3 系统逻辑结构图1o 系统物理结构图1 0 点面结合防御策略1 1 系统工作时序图1 2 d d o s 防弹墙对攻击的逐层削弱过程1 3 攻击报文分流图1 4 功能示意图16 模块示意图18 模块关系图l9 工作流程2 0 c h o r d 查询图2 3 修改后c h o r d 工作图2 5 修改的t c p “三次握手 过程2 9 插件构成图3 0 过渡标志位更新图3 1 临时通行证l 构成3 2 临时通行证l 的验证过程3 3 临时通行证生存周期3 4 数据包分流图3 5 算法流程图3 6 t h r e a dm a i n 0 函数流程图3 8 v a l i d a t ei d 函数流程图4 0 v a l i d a t e _ l o g i n ( ) i 垂i 数流程图4 l l o a d s e r v ( ) i 函数流程图4 2 实验环境拓扑图4 4 系统测试l ( 服务端启动) 4 9 系统测试2 ( 模拟客户端测试插件验证失败示例) 4 9 系统测试3 ( 模拟客户端测试插件验证成功示例) 4 9 第1 v 页 国防科学技术大学研究生院硕士学位论文 图5 6 系统测试4 ( 模拟客户端回答语义问题) 4 9 图5 7 系统测试5 ( 模拟客户端成功与连接调度节点连接) 5 0 图5 8 系统测试6 ( 模拟客户端回答问题错误次数达到上限) 5 0 图5 9 系统测试7 ( 修改与未修改的c h o r d 网络性能对比) 5 1 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研 究成果尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已 经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教育机构的学 位或证书而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文 中作了明确的说明并表示谢意 学位论文题目： 逝缓式垒垒q 墨陵竖揸差毽越苤珏究生廑用 学位论文作者签名：刖魂 日期：砷年产月，日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定本人授权国 防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文档，允 许论文被查阅和借阋；可以将学位论文的全部或部分内容编入有关数据库进行检索， 可以采用影印，缩印或扫描等复制手段保存，汇编学位论文 ( 保密学位论文在解密后适用本授权书。) 学位论文题目： 逝缓塞旦旦q 墨陵登撞羞毽撞盎砑究生廑囝 学位论文作者签名：至竺型墨： 日期：v 刁年，、月，日 作者指导教师签名：益童囡日期：7 。9 年1 2 月7 6 日 国防科学技术大学研究生院硕士学位论文 第一章绪论 随着i n t e m e t 的发展，网络应用涉及到越来越多的领域，在网络中，类型重要 的、敏感的数据逐渐增多，军事、金融、工农业、科学研究以及人们的日常生活 中，网络应用无处不在，当前，计算机网络已经发展成为一个分布的无边界网络， 传统的安全技术在网络的飞速发展中已经显得力不从心，信息安全领域所面临的 挑战也越来越严峻。 1 1 研究背景 d d o s ( d e n i a lo fs e r v i c e ) 攻击事件的发生率在近年来呈现上升趋势，攻击的流 量也明显增大，网络安全形势十分严峻，超过1 g 的攻击流量频频出现， c n c e r t c c 掌握的数据表明，最高时甚至达到了1 2 g t l l ，对网络造成了极大的危 害。更为严峻的是，利用d d o s 攻击手段进行敲诈勒索也逐渐形成了一条黑色产 业链。 由于这种攻击的攻击方式具有隐蔽性、高效性以及易于操作性f 2 】，攻击一旦实 施便会给目标网络造成很大的危害，所以一直是攻击者所青睐的攻击方式【3 】。 d d o s 攻击产生的根源有三个方面：软件实现漏洞、协议漏洞以及计算资源的 容量和性能被动于客户访问的增长【4 】。在将来很长的一段时间里，这些根源将还会 存在，因此，d d o s 攻击的威胁将很难完全消除。 本课题的研究是在“8 6 3 项目“基于全息机制的网络可生存性系统模型及关 键技术研究的支持下进行的。 1 2i ) d o s 攻击介绍 d o s 攻击即称为拒绝服务攻击，“s e c u r i t yf a q ”给出其定义：“拒绝服务( d e n i a l o fs e r v i c e ) 攻击就是消耗目标主机或者网络的资源，从而干扰或者瘫痪其为合法 用户提供的服务【5 1 。 图1 1 为传统的d o s 攻击示意图。 且标主麓 图1 1d o s 攻击示意图 第1 页 国防科学技术大学研究生院硕士学位论文 d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e ) 是在传统的拒绝服务攻击的基础之上产 生的一类分布式拒绝服务攻击 6 1 ，d d o s 攻击利用大量的傀儡主机在同一时刻对某 一个目标发动攻击，使目标网络充斥大量无用的信息，消耗网络带宽或系统资源， 使目标网络系统负荷过载直至瘫痪从而停止正常的网络服务 7 1 。 链路缀 c 阮 目标蠢务器 ：。! 图1 2d d o s 攻击示意图 d d o s 攻击主要有两种表现方式，一种为流量攻击，即针对网络带宽的攻击， 利用大量攻击包阻塞目标网络，合法数据包被虚假的攻击包所淹没而无法到达主 机，从而使目标产生拒绝服务的效果；另一种为资源耗尽型攻击，主要是针对服 务器主机的攻击，即通过大量攻击包而导致主机的内存耗尽，c p u 被内核及应用 程序完全占用而无法提供网络服纠8 1 。 d d o s 攻击的主要特点是攻击强度大、持续时间长，并且开始与恶意代码攻击 相结合【9 1 。病毒、蠕虫、木马等恶意代码的快速传播为d d o s 发展其客户端的规模 提供了自动化的、有效性高的、时效性强的技术支撑条件。而其傀儡机的规模是 影响其攻击效果的最重要因素【l 们。 1 3 研究现状 目前具有代表性的d d o s 防御系统主要有s o s 防御系统、w e b s o s 防御系统、 a i d 防御系统等。 1 3 1s o s 以及w e b s o s 防御系统 s o s 防御系统即s e c u r eo v e r l a ys e r v i c e s 防御系统的简称【1 ，这是一种基于覆 盖网络的通用d d o s 防御系统，其底层使用p 2 p 结构构建，分别有s o a p ( s e c u r e o v e r l a ya c c e s sp o i n t ) 层、b e a c o n 及s e c r e ts e r v l e t 层，隐藏t a r g e t 服务器，如图1 3 所示，层之间采用s s l 安全协议。 第2 页 国防科学技术大学研究生院硕士学位论文 用户要访问目标服务器，首先需要经过s o s 覆盖层节点，经过一定的验证， 通过c h o r d 算法定位到s o s 系统中的b e a c o n 节点后再经过b e a c o n 节点定位到 s e c r e ts e r v l e t 节点，通过该节点和目标服务器通信。这种方法初步利用了o v e r l a y 来减弱攻击，但验证机制简单，当恶意用户通过自动验证便可进行多点攻击，因 此难以应对对于多个节点发起的d d o s 攻击。 _ ，鞠缒硝i 嘲，1 图1 3s o s 系统结构图 w e b s o s 防御系统是一种保护w e b 服务器不受d d o s 攻击的方案【1 2 】，这种方 案不需要修改客户端和受保护的服务器，利用了由浏览器支持的代理功能和t l s 安全访问功能，类似于s o s 系统，运用覆盖性网络来减弱甚至消除外部攻击，利 用b e a c o n 及s e c r e ts e r v l e t 层来隐藏服务器节点。但是c h o r d 算法的自修复机制会导 致w e b s o s 提供的中转服务受到影响，当w e b 服务负荷较大并受到攻击时，该方 法会影响到正常服务的进行。 1 3 2a i d 防御系统 a i d 防御系统是ag l o b a la n t i d o ss e r v i c e 防御系统的简称，即一种全局对抗 d o s 服务【1 3 1 ，如图1 4 所示为a i d 系统的结构图。 图1 4a i d 系统结构图 a i d 系统提出了一种基于随机覆盖网的可动态启用的d o s 对抗服务。该服务 第3 页 国防科学技术大学研究生院硕士学位论文 需要用户注册后才能使用，正常情况下，注册用户无需使用此服务，当服务器受 到攻击时，注册用户通过a i d 服务访问服务器，而非注册用户流量则会受到阻止。 对于注册用户中的恶意用户，a i d 使用分布式的基于虚拟时钟的数据包调度算法 来丢弃。这种方法不需要更改用户客户端和服务器端，但是要增加大量的覆盖网 节点，同时需要部署专门的设备用于建立v p n 连接和进行连接控制。服务器节点 对所有用户公开，当发生攻击时，服务器的安全取决于a i d 服务和部署在服务器 前的专门的防护设备这两者中的短板。虽然系统提供了对于未注册用户产生的攻 击流量的处理方法，但是这种方法在实际使用时需要i s p 配合才能起到更好的作 用，在现实中部署较难。 1 3 3 m a y d a y 防御系统 m a y d a y 是一种用于互联网服务的分布式过滤机制【1 4 1 ，其中提出了一种基于覆 盖网的分布式过滤d d o s 攻击的机制。在m a y d a y 中，用户首先需要通过覆盖网 中节点的认证并要通过协议验证，通过后，用户仍需通过一个轻量级的认证环中 的节点的认证，最后通过后，用户的访问才会被中转到服务器上，之后用户才能 享受服务。 1 3 4 系统比较 综合对上述几种防御系统的描述，将四个防御系统对比如下表所示： 表1 1 部分技术指标比较 节点在面临 系统类型用户验证系统部署攻击时的自服务节点隐藏 适应 s o s 防御系统 差 好差 差 w e b s o s 防御系统差好差差 a i d 防御系统 好 差差好 m a y d a y 防御系统 好好差差 1 4 现有技术的不足 综上所述，目前防御d d o s 攻击的技术有以下不足： d d o s 攻击的强度大，采用分布式攻击的方法，利用多点进行攻击，现行 的防御手段也采用了一些分层防御的手段，但大多系统的整合性不好，不 能有效地将资源进行集成并且难以部署【15 1 ，a i d 防御系统就存在着这样的 问题，由于需要i s p 配合才能起到更好的作用，在现实中部署较难。 第4 页 国防科学技术大学研究生院硕士学位论文 与传统的防火墙易成为首要的攻击目标样，d d o s 攻击的防御系统往往 也会在第一时间里承受攻击的压力 1 6 】，对于系统本身的防御来说，自身具 有良好的鲁棒性也是很重要的，目前许多防御系统采用了o v e r l a y 来减弱 攻击保护防御系统自身的安全，但往往其入口的验证系统较为简单，难以 应对多层次发起的攻击。s o s 系统及w e b s o s 系统存在着这些方面的问 题。 大多采用传统的通信协议，对于基于协议的攻击不能有效进行防范。 防御系统中节点的自适应能力较差，1 3 节所述的四个系统都不同程度地 存在着这个问题。 本文提出的d d o s 防弹墙针对流量型d d o s 攻击，提出分布式防御的思想， 将攻击报文的流量进行分流，从系统本身及系统分布出发，提高系统对抗流量攻 击的能力。其次从上述d d o s 防御技术的不足出发，设计d d o s 防弹墙的验证调 度层着重解决防御系统的认证、高压力环境下的节点自适应问题、协议协商等问 题。 1 5 论文结构 本文主要分为六章内容： 第一章诸论，阐述了目前防御d d o s 攻击的研究形势，介绍了国内外的研究 成果，并讨论了其优缺点。 第二章介绍了d d o s 防弹墙系统，对系统各层的功能进行了详细的说明，提 出了分布式防御及点面结合的防御策略，具体对渐缓式防御思想进行了说明。 第三章详细说明了验证调度层的体系结构，并将验证调度层进行模块化，讨 论了其工作流程。 第四章介绍了p 2 p 覆盖网络的设计，通过修改c h o r d 协议构建了系统的底层 结构，协商了通信协议。阐述了验证调度层提供的各项服务，主要有插件管理服 务、验证服务及服务器调度服务，最后对主程序的算法及关键函数进行了说明。 第五章对验证调度层的各项性能进行了测试。 第六章对全文进行了总结。 1 6 小结 d d o s 攻击以其强悍的攻击力以及强大的破坏能力著称，目前国内外在防御 d d o s 攻击方面都有了长足的发展【1 8 】，但总的来说，对d d o s 攻击的防御还是一个 无法真正解决的问题。d d o s 的攻击与防御问题归根到底就是攻击方与防御方计算 第5 页 国防科学技术大学研究生院硕士学位论文 能力的对抗【1 9 】，因此对抗分布式攻击最好的方法就是用分布式防御的方法，同时 采用渐缓式防御的思想，在允许一定耗费的情况下，最大限度地减小攻击所带来 的危害。 本文主要研究的对象是：提出分布式、点面结合的防御思想，对d d o s 攻击 效果进行逐层削弱；构建整个系统的底层网络，重点实现验证调度层的功能与应 用，通过结合用户插件与连接调度层最大限度地削弱d d o s 攻击所带来的危害， 使受保护的服务器可以在受到攻击的环境下持续可用，达到防御d d o s 攻击的效 果。 第6 页 国防科学技术大学研究生院硕士学位论文 第二章d d o s 防弹墙系统 d d o s 防弹墙是针对流量攻击型的d d o s 攻击提出的一种防御系统，在允许一 定耗费的情况下，运用立体式的基于多层p 2 p 覆盖网络协同的d d o s 防御系统。 本章从全局的角度对d d o s 防弹墙系统进行说明，分析各子系统的功能及作用， 提出分布式防御策略及点面结合的防御策略，最后详细说明了渐缓式防御策略。 2 1 系统结构与组成 d d o s 防弹墙采用了系统防御的策略，利用分布式防御的机制来抵御d d o s 攻 击。防弹墙系统运用四层结构将外部攻击逐层进行削弱，同时遵循服务最小化以 及服务冗余的原则，提高防御系统本身的生存能力。 整个防御系统共分为四个子系统，分别是：客户端插件、验证调度层、连接 调度层和服务器群备份及迁移系统。 2 1 1用户层 用户群由合法用户及潜在的恶意用户组成，系统设定为二者皆可下载到合法 的客户端插件，该层主要使用客户端插件技术提供自身安全性检查以及协助验证 调度层进行验证。 客户端插件的功能主要有： 提供客户端自身安全性的检查更新：依据发布时自身所带的m d 5 值进行 自身实体完整性验证。m d 5 值在插件发布时由生成程序加密写入插件的执 行体中，写入位置动态生成，在验证时插件动态解密并读取该值和本身值 对比。更新过程与验证调度层节点进行交互协同完成。 协助验证调度层，完成对客户端的验证：主要包括两个部分：( 1 ) 对客户端 自身发出的流量的安全性的验证；( 2 ) 对客户端是程序自动操作还是人为操 作的验证。第二部分的验证将和验证调度层协同完成。只有验证通过的客 户端插件才会得到连接调度层服务器的地址并进行进一步的连接。 截获并解析客户端请求t 发现有客户端相应软件( 如i e 浏览器) 运行时， 进行线程插入，截获用户输入的服务器地址，而后从预先存储的验证服务 器地址列表中随机选取一个进行连接验证，其后所有操作均由插件完成。 用户层主要完成的工作是通过安装插件识别一般用户与特殊用户，同时进行 自身的安全性检查。 第7 页 国防科学技术大学研究生院硕士学位论文 2 1 2 验证调度层 验证调度层构建p 2 p c h o r d 网络，通过改进c h o r d 协议提高系统整体的生存 能力，同时验证用户的合法性，区分合法用户与非法用户，为连接调度层过滤恶 意用户提供支持，同时根据各服务器负载状况动态调节可用于服务的节点。 验证调度层主要的功能有： 生成客户端插件并发布到相应的站点以供客户下载使用。 更新客户端插件，根据预先设置的安全策略，对客户端插件进行定时更新。 构建p 2 p c h o r d 覆盖网络，修改c h o r d 协议，将验证调度层的整体构成一 个环状覆盖性网络，使验证调度层的本身具有一定程度的抗攻击能力。 验证客户端插件，过滤非法用户，提供语义问题以验证客户端是程序自动 操作还是人为操作。 协助连接调度层过滤客户端用户，当客户端验证通过后，验证服务器节点 将会启动选举算法，得到用于客户端连接的连接调度层节点。用于选举的 各个节点的性能指标需要定时进行计算，并在内部可以访问的主机上保 存，以便访问时可尽量实时得到。 记录包括验证调度层和连接调度层所有节点的负载情况。 生成两种临时通行证，保证用户与验证调度层交互时其身份的合法性，同 时协助连接调度层完成对其对用户身份的验证。 采用自定的网络协议，阻隔已获取安全插件的恶意用户的攻击。 验证调度层在整个系统中起到承上启下的作用，其本身服务并不具备抵抗 d d o s 攻击的能力，但其底层的经过修改的c h o r d 网络可以防御一定规模的攻击， 将其独立为一层加强了系统整体的验证调度功能，同时遵循了服务最小化原则。 2 1 3 连接调度层 连接调度层实现服务的中转以及通过动态白名单技术与防火墙联动屏蔽恶意 的访问节点，起过滤非法数据包的作用。 连接调度层的主要功能有： 动态白名单机制：防止恶意用户通过嗅探等手段得到连接调度层节点地 址，从而进行针对应用层的攻击。连接调度层只对同时满足两个条件的客 户服务：白名单列表上存在的i p 地址以及持有合法的临时通行证2 。 连接调度及分配：连接调度层节点将连接请求序列化，再进行i p 隧道封 装，转发给真正提供服务的服务层节点。进行碑隧道封装后的请求，在 经过服务层节点处理后，将直接返回给客户端。 第8 页 国防科学技术大学研究生院硕士学位论文 基于空闲时“端口i p 对”轮换的协同检测和屏蔽机制：由于连接调度层 节点相对于验证调度层服务器节点负载相对较重，因此，当受到攻击时， 遭受的损失会更大。使用该机制，即动态改变节点的口地址和端口可以 更好地增强系统防御d d o s 攻击的能力。 2 1 4 服务器群 服务器群由提供各种正常服务的服务器及相关的数据备份服务器组成，可提 供服务备份及适时迁移的安全服务。 2 2 1 分布式防御策略 2 2 系统防御策略 做以下定义以方便说明： “逐出一机制：当c h o r d 系统中某一或多个节点受到外部攻击，其节点负载 达到设定的阈值下限后，该节点将暂时退出c h o r d 系统，即“逐出 ，这种“逐 出是节点主动做出的。 d d o s 攻击的主要特点是分布式攻击，因此只有进行分布式防御，提高整体防 御的计算能力才能从根本上较好地抵御攻击。将防御力量分布在多点上，各点间 保持反馈机制，能够很大程度地增强系统的整体防护能力。 从系统的逻辑结构上讲，系统本身分为客户端插件、验证调度层、连接调度 层以及服务器群自主防护四个层次，将攻击的威胁逐步减小，各层分别承担一定 的压力，其本身就体现了良好的分布性。 例如对于验证调度层来说，利用p 2 p c h o r d 来搭建其底层结构，本身就体现 了良好的分布性，对c h o r d 协议进行修改，利用“逐出 机制，可以很好地分流 外部攻击所带来的压力。其他的层次有着同样类似的结构。 第9 页 国防科学技术大学研究生院硕士学位论文 ! ! 艉户群 验证调度屡 。连接讽度屡 。 晨务器拜 ( 客户端插件) 图2 1 系统逻辑结构图 从系统所在的物理结构上讲，某一层上的服务器节点可以在不同的城市，利 用不同服务供应节点来分流攻击，例如，对于验证调度层与连接调度层，前者有 三台服务器节点，分别位于不同的三个城市，同时连接调度层三个服务器节点位 于两个不同的城市，此时从物理结构来看，验证调度层与连接调度层服务器基本 分离，对于攻击者来说，要完全攻陷d d o s 防御系统则需要对多个不同的服务供 应节点进行攻击，同时相对于在同一服务供应节点下其所付出的代价将远远增大。 因此，从物理结构上，将各服务节点进行分布式部署，可以较好地抵御一定规模 的d d o s 攻击。 图2 2 系统物理结构图 2 2 2 点面结合的防御策略 服务器群 p 蝴度墓疆嬲 毫连攮谭度盛曩务量 整个d d o s 防弹墙系统采用点面结合的防御策略，各服务节点都同时具备一 第1 0 页 国防科学技术大学研究生院硕士学位论文 定防御能力，而后各点成面构成完整的防御体系。 豫产整 验证调度层 连接调度层 服务器群 图2 3 点面结合防御策略 2 2 2 1 点防御策略 采用服务最小化原则。将各服务节点上不必要的服务端口关闭，根据各层 之间预先协商的通信协议，只打开必须的端口。 对验证调度层等各服务节点安装防火墙，保证各服务节点基本的安全性。 经常性系统更新。对各服务节点进行经常性的软件更新升级，系统更新安 全补丁。 各层间设置专用协议。验证调度层和客户端交互协议采用基于u d p 的自 定义验证协议，降低协议方面造成的d d o s 攻击，如t c ps y n 攻击、i c m p 泛洪攻击；验证调度层与连接调度层之间采用t c p 协议，保证白名单的 成功传递。 各服务器节点构成了整个防御系统的底层基础，对于d d o s 防弹墙系统的整 体防御能力是非常重要的。 2 2 2 2 面防御策略 由各服务节点构成完整的防御体系，具体分布于客户端、验证调度层、连接 调度层以及服务器群之上，四个层次相互联合，构成完整的防御体系。 面防御功能启动于系统通信发生之时，由四个层合作完成。整个系统的时序 图如下： 第1 l 页 国防科学技术大学研究生院硕士学位论文 用户层验i 芷调度层连接璃度层 藏务器群 图2 4 系统工作时序图 系统运行： 用户从指定的网站下载安全插件并安装； 插件安装完毕后进行自身安全性检查，并向验证调度层发送连接请求； 验证调度层首先检查自身是否达到服务的要求，若未达到则向验证调度层 中的负载服务器发送其他服务器地址请求；若达到要求则进行包含下一 步； 验证调度层对用户进行一系列验证，若通过，则给用户发送临时通行证同 时给连接调度层发送用户白名单； 用户与连接调度层进行通信，连接调度层节点判断用户地址是否在白名单 内以及判断用户通信协议是否符合要求、临时通行证是否正确； 连接调度层节点查询服务器地址，将客户端插件的请求进行i p 隧道封装， 转给相应服务器 服务器处理完请求之后，将结果回送给连接调度层中的另外的节点( s e c r e t s e r v l e t “r e s p o n s e ”) ，再由该节点将结果中转给客户端插件，由插件显示 给浏览器。 系统的点防御策略重在对各服务器节点自身的安全性进行加强，使自身具备 一_ _ 第1 2 页 国防科学技术大学研究生院硕士学位论文 定的防御攻击的能力，点策略也是整个防御系统的基础，加强各节点的防御能 力是对整体防御能力的加强；面防御策略则重在形成系统构成防御体系，主要作 用于系统内通信发生时，面策略是整个防