（计算机应用技术专业论文）基于包标记技术ddos防御机制研究.pdf

哈尔滨理工大学工学硕士学位论文 基于包标记技术d d o s 防御机制研究 摘要 分布式拒绝服务攻击是网络中潜在的威胁和破坏性最大的一种黑客攻击 方式。近几年来，分布式拒绝服务攻击防御技术研究成为了网络安全领域的 热点问题。在当前条件下，如何保障关键应用技术的不间断服务，尤其是如 何抵御分布式拒绝服务攻击，具有相当重要的意义。 在分布式拒绝服务攻击中，攻击者通常采用l p 欺骗技术来隐藏其身 份，针对这种类型的攻击，本文提出了一种新的包标记计划来保护t c p 服 务。每个到达边界路由器的数据包都携带一个标记，标记由两部分组成：源 i p 地址和由中间路由器填写在i p 首部的1 6 比特标识域的路径标识符。在 客户完成t c p 三次握手之后，边界路由器动态地将路径标识符和客户对应 的口地址添加到数据库。携带有效标记的数据包可以获得准许到达目的 地。标记证明了该数据包是一个已存在的t c p 连接的一部分。更重要的 是，一个有效的标记证明了数据包首部的信息是正确的。这就使过滤设备能 以更高程度的确定性识别流量。实验证明这种新的包标记计划能有效地防御 i p 欺骗分布式拒绝服务攻击，并且可以防御反射式分布式拒绝服务攻击。 围绕基于路径标识的攻击包区分和过滤技术，本文提出了改进路径标识 方案。参与标记的路由器不是像已有的路径标识方案中那样静态地插入1 或 2 位的本地标识，而是先根据待转发数据包中的t r l 值推算其已经过的跳 数，相应地生成不同长度的本地节点标记，然后插入到数据包中。从而最大 程度上实现了对标记域空间的有效利用，而且路径标识的区分程度更高。基 于真实因特网的大规模拓扑数据的仿真实验表明，本方案可以有效地区分和 过滤攻击包，当攻击路径和合法路径彼此交错程度较大时和已有的其它路径 标识方案相比性能有明显提高。 关键词分布式拒绝服务攻击；i p 欺骗；包标记；路径标识 哈尔滨理工人学t 学硕十学位论文 r e s e a r c ho nd d o sd e f e n s em e c h a n i s mb a s e do n p a c k e tm a r k i n g a b s t r a c t d d o s ( d i s t r i b u t e dd e n i a lo fs e r v i c e ) a t t a c ki so n eo ft h em o s tt h r e a t e n i n g a n dd e v a s t a t i n gm e t h o d so fa t t a c k s d d o s d e f e n s et e c h n o l o g yh a sb e c o m ea s p o t l i g h ti nn e t w o r ks e c u r i t ya r e ai nr e c e n ty e a r s i t so fu t m o s ti m p o r t a n c et o s e c u r et h es u s t a i n e ds e r v i c eo fk e ya p p l i c a t i o nt e c h n o l o g y e s p e c i a l l yd e f e n d i n g a g a i n s td d o s a t t a c k s i nad d o sa t t a c k ，t h ea t t a c k e ro f t e nu s ei p s p o o f i n gt o h i d eh i s h e r i d e n t i t y t od e f e n ds u c hd d o sa t t a c k s ，t h i sd i s s e r t a t i o np r e s e n t san e wp a c k e t m a r k i n gs c h e m et op r o t e c tt c ps e r v i c e s e v e r yp a c k e ta r r i v i n ga tap e r i m e t e r r o u t e rc a r r i e sat o k e n t h et o k e ni sc o m p o s e do ft h es o u r c ei pa d d r e s sa n dap a t h i d e n t i f i e rs t a m p e db yi n t e r m e d i a t er o u t e r si nt h e16 - b i ti d e n t i f i c a t i o nf i e l do ft h e i ph e a d e r a f t e rt h ec l i e n tc o m p l e t e st h et c pt h r e e w a yh a n d s h a k e ，t h ep e r i m e t e r r o u t e rd y n a m i c a l l ya d d st h ep a t hi d e n t i f i e ra n dt h ec o r r e s p o n d i n gi pa d d r e s so f t h ec l i e n tt ot h ed a t a b a s e ap a c k e tc a r r y i n gav a l i dt o k e nh a sp e r m i s s i o nt or e a c h t h ed e s t i n a t i o n at o k e np r o v i d e sas t r o n gp r o o ft h a tt h ep a c k e ti sap a r to fa l l e x i s t i n gt c pc o n n e c t i o n m o r ei m p o r t a n t l y , a v a l i dt o k e n p r o v e s t h a tt h e i n f o r m a t i o ni nt h ep a c k e th e a d e ri sc o r r e c t t h i sm a k e st h ef i l t e r i n gd e v i c e s i d e n t i f yi n d i v i d u a lf l o w sw i t hah i g h e rd e g r e eo fc e r t a i n t y s i m u l a t i o n ss h o wt h a t t h en e wp a c k e tm a r k i n gs c h e m ec a l ld e f e n da g a i n s ti ps p o o f i n ga n dr e f l e c t i v e d d o sa t t a c k se f f e c t i v e l y t h i s d i s s e r t a t i o n p r e s e n t s a n a p p r o a c h c a l l e d i p i ( i m p r o v e d p a t h i d e n t i f i c a t i o n ) t h r o u g hr e s e a r c ho na t t a c kp a c k e t si d e n t i f i c a t i o na n df i l t e r i n g t e c h n o l o g yb a s e do np a t hi d e n t i f i c a t i o n i n s t e a do fi n s e r t i n go n eo rt w ob i t so f t o k e nl i k ep r e v i o u sp i ( p a t hi d e n t i f i c a t i o n ) t e c h n i q u e s ，t h er o u t e rd e t e r m i n e st h e h o p st h ep a c k e tt ob ef o r w a r d e dh a st r a v e l e da c c o r d i n gt ot h et t lv a l u ei nt h e p a c k e t h e a d e r t h e nt h er o u t e r g e n e r a t e s t h et o k e nw i t haf l e x i b l e l e n g t h u 哈尔滨理1 二大学t 学硕t j 学位论文 a c c o r d i n g l y , a n di n s e r t si ti n t ot h ep a c k e t i p iu t i l i z e st h em a r k i n gs p a c ef u l l ya n d t h ep a t hi d e n t i f i c a t i o nh a sa h i g h e rd i f f e r e n t i a t i o ni n d e x s i m u l a t i o n sb a s e do n a c t u a l i n t e r n e tt o p o l o g i e ss h o wt h a tm a l i c i o u sp a c k e t sc a nb ei d e n t i f i e da n d f i l t e r e db yi p im o r ee f f e c t i v e l y , a n di p ih a sao b v i o u s l yb e t t e r p e r f o r m a n c e c o m p a r i n gt ot h ep r e v i o u sp ia p p r o a c hw h e nt h ea t t a c kp a t h sa n dt h el e g i t i m a t e p a t h sh a v em o r eo v e r l a pr o u t e s k e y w o r d sd i s t r i b u t e dd e n i a lo fs e r v i c ea t t a c k ，i ps p o o f i n g ，p a c k e tm a r k i n g ，p a t h i d e n t i f i 【c a t i o n i i i 哈尔滨理工大学硕士学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文基于包标记技术d d o s 防御 机制研究，是本人在导师指导下，在哈尔滨理工大学攻读硕士学位期间独立进 行研究工作所取得的成果。据本人所知，论文中除已注明部分外不包含他人已 发表或撰写过的研究成果。对本文研究工作做出贡献的个人和集体，均已在文 中以明确方式注明。本声明的法律结果将完全由本人承担。 作者签名：栖 墙 日期：知7 年弓月功日 哈尔滨理工大学硕士学位论文使用授权书 基于包标记技术d d o s 防御机制研究系本人在哈尔滨理工大学攻读硕 士学位期间在导师指导下完成的硕士学位论文。本论文的研究成果归哈尔滨理 工大学所有，本论文的研究内容不得以其它单位的名义发表。本人完全了解哈 尔滨理工大学关于保存、使用学位论文的规定，同意学校保留并向有关部门提 交论文和电子版本，允许论文被查阅和借阅。本人授权哈尔滨理工大学可以采 用影印、缩印或其他复制手段保存论文，可以公布论文的全部或部分内容。 本学位论文属于 保密口，在年解密后适用授权书。 不保密团。 ( 请在以上相应方框内打) 作者签名：物砖 导师签名： 1 红j 叭 1 日期：知c 年3 月加日 日期：知7 年；月加日 哈尔滨理工大学工学硕士学位论文 第1 章绪论 1 1论文研究的背景与意义 1 1 1 网络安全概述 网络技术是计算机技术和通信技术发展到一定程度相结合的产物，因特网 的出现更是将网络技术和人类社会生活予以紧密的结合。首先简单回顾一下因 特网的历史。 2 0 世纪6 0 年代末，美国军方开始建设a r p a n e t ，t c p i p 协议在1 9 7 4 年问世，1 9 8 6 年美国国家科学基金会( n s f ) 在a r p a n e t 基础上组建了 n s f n e t ，其正式运营以及与其他网络连接，成为因特网的基础。进入2 0 世 纪9 0 年代以后，因特网随着计算机技术的普及得到快速发展。尤其最近1 0 余 年来，在各种层出不穷的网上应用的有力推动下，网络技术迅猛发展，因特网 日益普及。人们对网络尤其是因特网的依赖性越来越强，因特网已经成为人们 生活中不可缺少的一个部分，其影响和地位越发重要。目前社会生活的许多方 面已经无法离开网络的支持，在此背景下，网络尤其是因特网的安全有着极其 重要的意义。无论对于学术界、工业界、政府还是普通大众而言，网络安全都 是一个能够引起广泛关注的领域。 网络安全从其本质上来讲就是网络上的信息安全。凡涉及到网络上信息的 保密性、完整性、可用性、真实性相关的问题，都属于网络安全研究的领域。 通常指网络系统的软硬件及其系统中的数据受到保护，不受偶然的或者恶意的 原因而遭到破坏、更改、泄漏，使系统连续可靠地运行，保证网络服务不中 断。 网络安全是一个十分复杂的课题，般来讲包括物理安全和逻辑安全两个 方面。对于前者主要是加强机房及设备管理，如门卫、钥匙等硬件安全手段。 而对于后者，主要指采用口令认证、权限等访问控制方法来实现。网络安全的 具体含义随着“视角角度”的变化而变化。比如：从用户( 个人、企业等) 的角 度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密 性、完整性和真实性的保护，避免其他人或对手利用窃听、冒充、篡改、抵赖 等手段侵犯用户的利益和隐私，同时也希望当用户的信息保存在某个计算机系 哈尔滨理工大学工学硕士学位论文 统上时，不受其他非法用户的非授权访问和破坏。从网络运行和管理者角度 说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现 病毒、非法存取、拒绝服务、网络资源非法占用和非法控制等威胁，制止和防 御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及 国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害， 对国家造成巨大损失。 从学术意义角度讲，网络安全可以看成是攻击者和防御者之间的竞争和比 赛。“魔高一尺、道高一丈”，一方面，攻击者出于追求经济或其它利益等原 因，会不断尝试对网络中的信息、主机、设备、链路等进行各种形式的攻击； 另一方面，为了有效地抵御攻击，网络安全的研究者们需要深入地分析各种攻 击行为，探求可能的解决之道。可以预料，这场矛与盾的攻击将伴随网络的继 续发展而得以长期存在。 按照攻击的性质、手段、结果等可以将网络攻击大致分为窃取机密攻击、 非法访问、计算机病毒、恶意攻击等几大类。其中窃取机密攻击指攻击者( 黑 客) 非法访问主机或网络，从而窃取机密信息，防御对策主要是应用密码学技 术。非法访问指非法用户通过未授权的方式访问主机或网络资源，相应的对策 包括身份认证和访问控制等。计算机病毒则是具有感染性和破坏性的可执行代 码，借助网络进行传播，从而造成破坏，反病毒软件和加强自我保护是目前常 用的防御方式。而恶意攻击一类中最为突出的就是拒绝服务( d e n i a lo f s e r v i c e ，d o s ) 攻击。d o s 攻击往往通过洪泛级的通信流量来造成目标主机的链 路和资源堵塞，从而造成合法访问无法进行的“拒绝服务”局面。 d o s 攻击具有便于实施、难以追踪等特点，更得益于众多现成的工具程 序，近年来呈日益蔓延之势。其进一步发展就是分布式拒绝服务( d i s t r i b u t e d d e n i mo fs e r v i c e ，d d o s ) 攻击：攻击者操纵一批傀儡主机，从多条路径以更大 规模的可变流量来堵塞链路。d d o s 攻击更难以对付，成为当前网络安全领域 中的要害问题之一。 1 1 2d d o s 攻击研究背景 随着以网络为核心的信息技术日新月异的发展，尤其是i n t e r n e t 在全球的 迅速普及和电子商务、电子政务的兴起，网络安全问题正日益为人们所关注。 在网络应用环境中，网络攻击行为日益加快，大规模攻击行为时有发生，所产 生的网络安全问题和影响范围也越来越严重。特别是近年来在拒绝服务攻击基 哈尔滨理工大学丁学硕士学位论文 础上发展起来的分布式拒绝服务攻击，成为互联网上最为严重的威胁之一。 d o s 攻击是以一台接入互联网的单机向目标发动攻击，消耗目标主机( 受 害者) 或者目标网络的资源，从而干扰或者完全阻止为合法用户提供服务。而 d d o s 攻击通常采用几百台甚至几千台分布的主机并发地对单个或多个目标进 行攻击。这种攻击可以非常容易地实现，任何普通的用户都能从网上下载 d d o s 攻击工具，并且成功地实现d d o s 攻击。而且，攻击者通常采用假冒源 i p 地址的方式，被发现的概率很小。 d d o s 攻击发动容易而追踪难的特点导致了d d o s 攻击的广泛发生( 根据报 道，全球每周有1 2 0 0 0 起的d d o s 攻击) 。国外很多著名网站都遭受过d d o s 攻击，1 9 9 9 年8 月，一种叫t f i n o o 的d d o s 攻击程序，攻击了美国明尼苏达 州大学的一台机器，使这台机器关闭了两天：2 0 0 0 年2 月7 日一9 日，美国的 y a h o o ! 、b u y c o m 、e b a y 、a m a z o n 、d a t e ke t r a d e 、新闻网站c n n 等众多网 站相继受到身份不明的黑客发动的d d o s 攻击，系统瘫痪达几十小时之久，造 成了高达1 2 亿美元的经济损失；2 0 0 2 年1 0 月2 1 日，互联网的核心，位于美 国、瑞典、英国、日本的1 3 台肩负互联网数据传输重任的根服务器遭到来历 不明的网络攻击、攻击者发送了数百万条虚假信息请求，使服务器淹没在这些 请求中，造成了9 台根服务器瘫痪，服务中断l 小时。2 0 0 3 年1 月1 5 日，攻 击者采用了一种新型的d d o s 攻击手段，对北美、欧洲、亚洲等地的互联网发 动了攻击，据估计至少有2 2 万台网络服务器和2 5 万台计算机遭到了攻击。受 灾最严重的韩国甚至举国网络瘫痪了整整2 4 个小时，造成了难以挽回的巨大 损失。 根据“2 0 0 3 年f b i 计算机犯罪与安全调查 显示，d d o s 攻击是排名第二 的网络犯罪，并且数量不断攀升。2 0 0 6 年上半年的c n c e r t c c 的报告中指出 “中国大陆地区有七百多万个i p 地址的主机被僵尸网络控制，其中节点数大于 5 0 0 0 的僵尸网络有1 9 9 个。根据监测，最大的t o x b o t 僵尸网络累计感染1 8 0 多 万个客户端( 不区分动态i p ) ”。这些“僵尸主机随时可能成为发动d d o s 攻击 的罪魁祸首。因此，如何防范d d o s 攻击，确保网络运行的顺畅，是近年来网 络安全领域研究的重点。 1 2 国内外研究现状 在针对d d o s 攻击防御的研究中，国外代表性主要研究包括：美国国家自 然科学基金n f s 在2 0 0 4 年资助加州伯克利大学( t h eu n i v e r s i t yo fc a l i f o r n i a 哈尔滨理工大学工学硕士学位论文 b e r k e l e y ) ，南加州大学信息系统研究所( u n i v e r s i t y o fs o u t h e r nc a l i f o r n i a - i n f o r m a t i o ns y s t e m si n s t i t u t e ) 等几所大学和微软、i b m 、i n t e l 以及惠普等公司启 动的d e t e r 项目。该项目的一个研究重点就是d d o s 攻击防御研究，并在全 美国内部署了用于研究真实d d o s 攻击行为的封闭网络。 1 2 1 国外d d o s 攻击的研究现状 在发动d d o s 攻击时，为了避免被定位，有经验的黑客常常会以匿名的方 式，使用伪造的源i p 地址。为了有效地与之对抗，被攻击方必须快速准确地找 出攻击者真实的位置，与之相关的定位技术称为攻击源追踪或i p 追踪( i p t r a c e b a c k ) 技术。 s a v a g e 等人提出了一种概率包标记的方法，其基本原理是：路由器对i p 数 据包进行标记，被攻击方可以通过分析一定数量的这种数据包中的标记信息，完 成攻击路径的有效重构。由于该方法往往作为众多研究人员的指导性方法，因 此也被称为基本包标记方法。然而，在分布式拒绝服务中存在多攻击路径情况 下的高误警率和高计算复杂度使得这种方法的实用性较差。s o n g 等人采用分 段标记策略针对基本包标记方法的缺陷进行了较大改进，同时考虑了追踪方法 本身的安全性，分别提出了高级包标记方法和带认证的标记方法乜1 ，但这两个方 法同时又引入了追踪方法对i s p 网络拓扑的依赖性，也造成了追踪方法的实用性 不高。s n o e r e n 等人提出了一种使用审计技术的源路径隔离引擎( s p i e ) ，可以 对单个分组进行源追踪n 1 。流量审计通过计算和存储每个分组的3 2b i t 哈希摘要 来进行，而不需要存储分组本身。它一方面降低了存储需求，另一方面又避免 了s p i e 被用于窃听网络流量的内容。然而这种方法由于需要对每个数据包都进 行追踪，难免造成存储的累积负担较大，而且在大数据流量的情况下，由于散列 值的碰撞会造成严重误警。d e a n 等人提出了一种基于线性代数和编码理论的 代数标记追踪方法h 1 ，其缺点也在于无法有效地处理多攻击路径的问题。 基于伪造i p 地址检测也是d d o s 防御的主要方式之一。e f e r g u s o n 和 d s e n i e 等人最早提出了基于伪造i p 地址检测的d d o s 防御思想。并在文献 f 5 】中定义了伪造流量( f o r g e dt r a f f i c ) 和详细描述了伪造i p 地址过滤设备所应该 具有的功能，最终形成了r f c 2 8 2 7 。s d i e t r i c h 等人在最近的对于d d o s 攻 击工具的研究中也证实了伪造i p 地址在d d o s 攻击中使用的广泛性1 。 s t e v e nj t e m p l e t o n 等人通过研究i p 地址和t t l ( t i m et ol i v e ) 值的映 射关系发现，由于有线网络中网络拓扑相对固定，在较长时间尺度内，主机之 哈尔滨理工大学工学硕士学位论文 间通信的端到端跳数是相对稳定的n 1 ，这种特性可以用来对伪造i p 地址进行检 测。h a i n i n gw a n g 等对经过4 7 个路由器的t r a c er o u t e 数据进行了统计m 1 ， 测量结果显示，在其观测链路上通过数据包i p 地址与跳数的映射是相对稳定 的。据此，h a i n i n gw a n g 等提出了一个轻量级的可以粗略进行d d o s 防御 的防御模型h c f ( h o pc o u n tf i l t e r i n g ) 。这种方法在训练完全的情况下能够 以较低的系统开销过滤掉大部分的d d o s 攻击。不幸的是，基于i p 协议的数 据、视频、音频，尤其是以p 2 p 为基础的实时流媒体、即时通讯、文件共享等 大量新业务层出不穷，网络流量呈现复杂的非线性增长趋势，其构成等相比先 前有了显著的不同。尤其是p 2 p 流量的大量增加，理论上增加了链路上观测到 的i p 地址数目，同时由于p 2 p 系统的节点的动态性，也增加了链路上所能观 测i p 地址的动态性，增加了h c f 的训练难度。因此在短时间内，甚至较长时 间，h c f 算法都很难训练完全。 在应用层d d o s 攻击防御方面，m i t ( 麻省理工学院) 的m i c h a e lw a l f i s h 等人提出了s p e a k u p 计划悖1 ，在这个计划中受害服务器鼓励所有客户在资源允 许的条件下自动发送更高容量的通信。由于假定攻击者已经使用了他们的上行 带宽的大部分，所以不能对这种激励做出反应；而合法客户有空闲的上行带 宽，因此会迅速以大容量的通信来响应这种激励，结果是合法客户把攻击者挤 出去，即比之前占有更多的服务器资源。 将蜜罐应用于d d o s 攻击防御方面，m a r t i n n 川等人提出的系统复制服务 使之实现在完全不同的服务器平台上，采用一种投票机制( v o t i n gm e c h a n i s m ) 检测到未知攻击的发生，这时并不关闭被攻陷的组件而是将被攻陷的组件转化 成一个蜜罐，从而为受害服务器赢得采取安全措施的宝贵时间。a n j a l i s a r d a n a 1 等人提出动态的蜜罐路由和重定向机制，由识别出的攻击触发， 自动生成足够的节点响应客户的请求同时生成蜜罐和攻击者交互。 1 2 2 国内d d o s 攻击的研究现状 在i p 追踪方面，国内有很多学者进行了研究。朱晓建等在基本包标记的基 础上，提出了非重复包标记的方法，并运用自适应策略分析标记概率，有效地 减少了路径重构所需的数据包数和路由器的标记工作量，提高了路径重构的效 率n 引。中国科学院软件研究所信息安全国家重点室的曲海鹏等人提出了一种基 于有序标记的i p 包追踪方案，该方案通过存储每个目标i p 地址的标记状态，对 包标记的分片进行有序发送，使得在d o s 发生时，受害者重构路径所需收到的标 哈尔滨理工大学工学硕士学位论文 记包的数目大大降低，从而提高了对d o s 攻击的响应时间和追踪准确度。该算 法的提出进一步提高了包标记方案在实际应用中的可行性n 引。魏军等人提出了 一种新型的边采样方法“路由器矢量边采样”( r v e s ) ，使得概率包标记设备容 易实现和部署。在图论模型上，r v e s 以网络接口替代路由器作为顶点，以路 由器“矢量边”替代传统采样边n 引。该方法实施简单，标记概率的策略配置灵 活，可以有效解决分布式拒绝服务攻击的重构问题。 在应用层d d o s 攻击研究方面，李军利等人对d n s 流量攻击行为类别进行 了分析，讨论了针对d n s 流量攻击的应对措施n 引。中山大学的谢逸等提出一种 基于w e b 用户访问行为的异常检测方案，用于检测应用层上的分布式拒绝服务 攻击，并以具有非稳态流特性的大型活动网站为例，进行了应用研究。根据w e b 页面的超文本链接特征和网络中各级w e b 代理对用户请求的响应作用，用隐半 马尔可夫模型来描述服务器端观测到的正常w e b 用户的访问行为，并用与大多 数正常用户访问行为特征的偏离作为一个流的异常程度的测量“引。提出的模型 和检测算法可以很好地描述w e b 用户的正常浏览行为，有效地检测应用层分布 式拒绝服务攻击。 李更生提出了一种基于时间序列分析的d d o s 攻击检测方法。该方法利用 网络流量的自相似性，建立w e b 流量时间序列变化的自回归模型，通过动态分 析w e b 流量的突变来检测针对w e b 服务器的d d o s 攻击引。上海交通大学的韩竹 等提出了一种新型的基于源端检测的d d o s 防御机制n 引。它能够比较精确地识 别d d o s 攻击数据流，对d d o s 攻击进行有效地防御，同时不会对网络性能造 成比较大的影响，不会影响用户对网络的正常使用。 1 3 论文研究的内容 本课题来源于黑龙江高校学术骨干项目：基于生物免疫机制的入侵检测系 统研究1 1 5 1 g 0 1 2 】。 本文通过广泛调研和对大量国内外文献的分析，针对i p 欺骗d d o s 攻击 的防御方法进行了深入的研究，完成了以下几方面的研究工作： 首先，对d d o s 攻击的原理和常见的攻击类型进行了阐述，分析了d d o s 攻击的发展趋势； 其次，对基于数据包标记的d d o s 攻击防御技术研究现状进行了分析，分 别从攻击路径追溯技术和攻击包区分和消除技术两个方面进行了讨论； 再次，提出了一种新的包标记计划( s i m p l et o k e ns c h e m e ，s t s ) 。这种技术 哈尔滨理工大学工学硕士学位论文 能保护在大规模d d o s 攻击下，目标主机的t c p 服务的可用性。提出的方法 能阻挡所有使用欺骗源i p 地址的数据包。这种方法对客户是完全透明的，而 且不需要对i n t e m e t 协议做任何修改。 最后，对已有的路径标识( p a t hi d e n t i f i c a t i o n ，p i ) 方案进行了改进，提出了 改进路径标识( i m p r o v e dp i ，i p i ) 方案，最大程度上实现了对标记域空间的有效利 用，而且路径标识的区分程度更高。基于真实因特网的大规模拓扑数据的仿真 实验表明，i p i 可以有效地区分和过滤攻击包，和已有的其它p i 方案相比性能 有明显提高。 兰至篓型三查兰三兰曼当兰堡篁三 2 1 引言 第2 章d d o s 攻击原理概述 本章详细介绍了d d o s 攻击的原理。首先对d o s 和d d o s 攻击进行了概 述，分析了d d o s 现象发生的根源，总结了i n t e r n e t 设计中的几个容易引起拒 绝服务攻击的安全问题，并从社会的层面分析了d d o s 攻击的目的；然后介绍 了d d o s 攻击的步骤；之后介绍了各种常见的d d o s 攻击类型；最后指出了 d d o s 攻击的发展趋势。 2 2d o s 和d d o s 概述 从网络攻击的各种方法和所产生的破坏情况来看，拒绝服务算是一种很简 单但又很有效的进攻方式。它的目的就是拒绝用户的服务访问，破坏组织的正 常运行，最终它会使用户的部分i n t e m e t 连接和网络系统失效。d o s 攻击方式 有很多种，最基本的d o s 攻击就是利用合理的服务请求来占用过多的服务资 源，从而使合法用户无法得到服务。d o s 攻击原理如图2 - 1 所示。 图2 - 1d o s 攻击原理 f i g 2 - 1p r i n c i p l eo f d o s d o s 攻击的基本过程如下：首先攻击者向服务器发送众多的带有虚假地址 哈尔滨理工大学t 学硕士学位论文 的请求，服务器发送回复信息后等待回传信息，由于地址是伪造的，所以服务 器一直等不到回传的消息，分配给这次请求的资源就始终没有被释放。当服务 器等待一定的时间后，连接会因超时而被切断，攻击者会再度传送新的一批请 求，在这种反复发送伪地址请求的情况下，服务器资源最终会被耗尽。与之不 同的是，d d o s 攻击是利用一批受控制的机器向一台机器发起攻击，这样来势 迅猛的攻击令人难以防备，因此具有较大的破坏性。 分布式拒绝服务攻击的危险性往往超出人们的预想，以前，发动网络攻击 的多为经过长时间磨练的比较专业的人员，攻击程序特别是较大规模的攻击程 序的调试、配置和实现也要花费一定的时间和精力，而现在，即使是刚刚用计 算机的普通人也能通过傻瓜d d o s 攻击工具向顶级专业网站发动大威力的攻 击，更何况网上还隐藏着大量随时可能发动的自动攻击代码。 对d d o s 攻击的防御也显得特别困难，尽管人们进行了大量开发研究，从 为了阻止入侵的可信计算基础、访问控制和物理安全、多级安全、密码使用， 到防火墙、入侵检测系统、边界控制器、虚拟专用网、公钥异构系统等的入侵 检测系统和降低损失方案，甚至直接到现在研究攻击的实时检测和响应、系统 功能和安全成本的实时权衡、入侵的容忍度等。但在网络上，特别是i n t e m e t 上，各种软硬件安全性能不同，使用者的专业水平和安全意识也不尽相同，另 外存在大量随时可能自动发动并扩散的攻击代码，对d d o s 攻击的研究和开发 应用仍将是一个重要挑战。 2 2 1d d o s 现象发生的根源 拒绝服务现象不是源于简单的i n t e m e t 的设计缺陷，可以通过微小的协议 修改或在特定目标节点设置复杂的防御系统所能弥补的，而是根源于i n t e r n e t 的核心架构。i n t e m e t 的设计可以追溯至几十年前，这些非凡的设计在带给我 们信息财富和信息共享的同时，也带来了拒绝服务的潜在威胁。 i n t e m e t 的设计是基于功能的，而不是安全，在这方面i n t e r n e t 的设计无疑 是成功的。它通过各种协议在网络层提供给每一个参与者快速、简单和廉价的 “尽最大努力 传输的通信服务机制。i n t e r n e t 试图从发送端到目的端尽最大 努力传输数据包。数据包的丢失、重组、损坏、i n t e r n e t 的资源共享、不同流 具有不同服务级别等性能问题由发送者和接受者主机设置的高层传输协议处 理。总之，“尽最大努力服务”和“端到端机制”是i n t e m e t 建立的两个原则。 由i p 协议提供的简单的基本服务和“尽最大努力”的原则是无数高层传输协 哈尔滨理工大学工学硕士学位论文 议，例如可靠连接协议的t c p ，流媒体协议的r t p 、r t c p 和r t s p ，控制协 议的i c m p 等等建立的基础和各种性能的保证。端到端机制可以使用户按照自 己的要求灵活地管理数据通信，增加例如加密和鉴权等功能，而中间的网络仍 然可以保持简单和高效。 而如果端到端模式下其中一端不怀好意，蓄意去破坏另一端的时候，问题 就出现了。在这种情况下，端到端机制会阻止中间网络监控恶意数据流，中间 网络只能消极地向目标主机转发数据包，消耗对端的资源。 1 9 8 6 年1 0 月，当i n t e m e t 发生一系列的拥塞事故时，这个问题才被首次 暴露出来。尽管通过设计和实施了一些t c p 拥塞控制协议，问题马上得到了 处理。但端到端的流管理无法保证在有攻击倾向( 例如：没有设置拥塞控制) 流 存在情况下资源的公平分配。这个问题最终依靠中间网络的路由器在各流之间 监控、分配带宽来保证公平性。现在路由器上的拥塞避免算法有两个：活动队 列管理和公平调度算法。还有一种类似的方法需要中间网络的路由器联合参与 队列管理来解决d d o s 问题。 下面总结了i n t e m e t 设计中的几个容易引起拒绝服务攻击的安全问题： 1 i n t e m e t 安全的相互依赖性d d o s 攻击往往在缺乏安全机制而被俘获的 傀儡机处发起，因此不管被攻击者采取怎样的安全措施，都有可能被位于被攻 击者之外的i n t e m e t 中没有采取安全措施的其它网络攻击。 2 i n t e m e t 管理的分散性i n t e m e t 的管理是分散的，每个网络都按本地所 有者的策略管理。这就意味着：无法强制设置一种全球化的安全机制或策略； 同时，因为涉及隐私，研究网络间( c r o s s n e t w o r k ) 的流特性也是不可能的。 3 i n t e m e t 资源的有限性每一种网络实体( 主机，网络，服务) 的资源都是 有限的，可以被许多用户使用。这就意味着：如果攻击者得到充足的傀儡机， 任何的d d o s 攻击，在缺乏防御机制的情况下都可以成功。 4 攻击者资源相对于被攻击者资源的优势如果攻击者的资源总量超过被 攻击者的资源总量，有多个攻击源协同并发的攻击行为可对任何被攻击者产生 影响。 5 设计重点与资源的不协调性端到端的通信机制导致了大量的设计放在 了终端主机的服务保证方面，而中问网络的处理量很小，这样可以保证数据包 以最小的代价被快速转发。同时，大流量的需求导致了高带宽网路的设计，终 端网络只需按它的需要申请带宽即可。因此，恶意客户可以利用毫不知情的中 间网络冗余带宽传播恶意流量。 6 责任的易逃避性i p 包头的源地址字段用来填充产生包的主机的源i p 地 哈尔滨理工大学工学硕士学位论文 址。而填充的是否是真实地址，在从源端到目的端的路由器上通常不加验证。 这就产生了源i p 地址欺骗( i ps p o o f i n g 卜伪造数据包的源i p 地址。源i p 地 址欺骗是个强大的攻击手段，使攻击者逃避攻击责任，有时甚至激励了攻击事 件( 反射攻击，例如s m u r f 攻击) 的发生。 2 2 2d d o s 攻击目的 d d o s 攻击的目的是使被攻击者遭受损失。通常隐藏其后的动机都是出于 个人的原因：相当数量的d d o s 攻击是针对个人计算机的、出于报复目的、或 者声望、对知名网络服务器的成功攻击会赢得黑客团体的尊重。然而出于物质 利益( 损坏计算机资源，例如2 0 0 4 发生的l i n u x 爱好者攻击s c o 就是因为它起 诉i b m ) 或政治原因( 一个国家在战时可以调用国内的部分计算资源对敌国的关 键性资源发动攻击) 的d d o s 攻击也不是不可能的。有时候攻击的真正受害者 可能并不是攻击数据包的直接攻击目标，而是接受被攻击者连接资源服务的其 他用户。例如：2 0 0 2 年9 月，d d o s 攻击导致i n t e r n e t 基础设施过载，而不是 特定的被攻击者。 d d o s 攻击还频繁地作为其他恶意行为的副产品出现，例如随着蠕虫的传 播而附带发生。不能高效传播的蠕虫会产生大量的流量，造成i n t e m e t 的阻 塞，对广大用户产生拒绝服务效应。 一般情况下，家庭用户不会像大型公司的网络一样成为d d o s 攻击的目 标，但也不是能够完全免除d d o s 的威胁。也许下次攻击的目标就是 a o l ( a m e r i c a no n l i n e ) 的服务器，拒绝所有家庭用户；下一种蠕虫就会更严重 地阻塞i n t e m e t ，没有人能够享受服务。总之，d d o s 是个遍及i n t e m e t 的问 题，需要网络的每一方协作来解决。 2 3d d o s 原理 在一个典型的d d o s 攻击中，攻击的过程分为以下几个步骤： 首先，攻击者利用扫描或其它自动工具选择i n t e m e t 上一个或多个机器用 以执行攻击，这样的机器称为代理。代理通常位于攻击目标网络和发动攻击网 络域以外，这是为了避免目标网络对攻击的有效响应和攻击被跟踪检测。代理 机器具有一定脆弱性以便攻击者能访问到，并具有足够资源能发动强大攻击 流。攻击者访问到代理机器后，植入攻击代码，通过重命名且隐藏在系统目录 中，构造系统任务计划的一部分、实现代码钝化便于以后启动。代理通过处理 哈尔滨理工大学工学硕士学位论文 机即控制攻击的主控机，向攻击者汇报它们的有关信息，主控机的i p 地址被 编入攻击代码中，主控机以文件形式存储并加密有关代理信息。攻击者通常根 据主控机及其与代理的通信发动攻击。攻击目标、持续时间等特性能通过类 型、长度、t t l 、端口等被定制，分组、分组头、通信信道等都有可能在攻击 过程中被改变。 最后，代理端向攻击目标发送垃圾分组，使用分组u d p , t c p , s y n 和 i c m p 响应请求等，实现d d o s 攻击。 d d o s 攻击的流程如图2 2 所示。 将窃取的账号建成一个仓库为 攻击做准备 大范围扫描以发现潜在漏洞 创建一个s c r i p t 来实施 攻击并报告结果 从建立的列表中选择合 适的被攻击服务器 s c r i p t 程序自动在被攻陷服务器 上安装所需要的攻击工具 选择安装r o o t k i t 以隐藏行踪 图2 - 2d d o s 攻击流程示意图 f i g 2 - 2p r o c e d u r eo fd d o sa t t a c k d d o s 攻击分为3 层“引：攻击者、主控端、代理端，三者在攻击中扮演着 不同的角色。 1 攻击者( a t t a c k e r ) 攻击者所用的计算机是攻击主控台，可以是网络 上的任何一台主机，甚至可以是一个活动的便携机。攻击者操纵整个攻击过 程，它向主控端发送攻击命令。 2 主控i 1 而t l j ( m a s t e r ) 主控端是攻击者非法侵入并控制的一些主机，这些主 机还分别控制大量的代理主机。主控端主机的上面安装了特定的程序，因此它 哈尔演理工大学工学硕士学位论文 们可以接收攻击者发来的特殊指令，并且可以把这些命令发送到代理主机上。 3 代理端( a g e n t ) 代理端同样也是攻击者侵入并控制的一批主机，在它 们上面运行攻击程序，接收和运行主控端发来的命令。代理端主机是攻击的执 行者，真正向受害者主机发送攻击。 d o s 攻击的主要特征是攻击者试图阻止合法用户对有限资源的获取和使 用，因此攻击者试图通过以下方法达到目的： 1 通过使用无用的流量占满带宽而阻止合法的网络活动； 2 通过阻断两个部门之间的连接而拒绝某种服务； 3 阻止某个特定用户对某种服务的访问； 4 打断特定系统或服务。 d d o s 也是依据这种路线，但它更有效并且更难防御，因为它在整个攻击 中加入了多对一的攻击策略。 2 4 常见的攻击类型 有许多攻击方法可以产生拒绝服务现象，其中常见的几种制造了迄今为止 绝大多数的d d o s 攻击事件。 2 4 1u d p 洪水攻击 遭受这种攻击的被攻击者，其网络带宽会被洪水一样的u d p 包充斥，这 些数据包通常较大，足以耗尽被攻击者的带宽。这种攻击非常容易实施，不需 要发现或利用任何被攻击者的缺陷，只需要足够多的傀儡机，攻击就可成功。 由于许多被攻击者的站点不会有太多的u