DDoS攻击原理及其防御机制的研究

1、 2010 年第 04 期,第 43 卷 通 信 技 术 Vol.43,No.04,2010 总第220 期 Communications Technology No.220,Totally DDoS 攻击原理及其防御机制的研究 李 蓬 (北京建筑工程学院 电气与信息工程学院,北京 100044 【摘 要】DDoS 攻击是一种被黑客广泛应用的攻击方式,它以破坏计算机系统或网络的可用性为目标,危害性极大。本文首先介绍了 DDoS 攻击的攻击原理,接着从 DDoS 攻击的攻击手段和攻击方式两个方面对 DoS 攻击进行分类介绍,然后针对 DDoS 攻击的方式,提出了一种检测和防御 DDoS攻击的模型

2、,最后利用入侵检测技术和数据包过滤技术,设计了一个针对DDoS 攻击的检测与防御系统,该系统具有配置简单、易于扩展、实用性较强等优点。 【关键词】分布式拒绝服务攻击;特征检测;流量分析;数据过滤 【中图分类号】TP393 【文献标识码】A【文章编号】1002-0802(201004-0096-03 Study on DDoS Attacks and Defense Mechanisms LI Peng (Institute of Electricity and Information Engineering, Beijing Institute of Civil Engineering and

3、 Architecture, Beijing 100044, China 【Abstract】DDoS attack is a widely-used attack mode by hacker. It takes the availability of computer system and network as the target and is of great danger. This paper first gives the principle of DDoS attack, and then, from means and mode of attack, classifies t

4、he DoS attack. Based on this, a model of DDoS detection and defense is proposed. Finally, by using intrusion detection and packet filtering, a system of DDoS detection and defense is designed, which is simple in deployment, easy in expansion, and strong in practicability. 【Key words】DDoS attack; cha

5、racteristic detection; flow analysis; data filtering 0 引言 目前,拒绝服务(Denial of Service,DoS 攻击是一种被黑客广泛应用的系统攻击方式,其通过耗尽 CPU、网络带宽以及磁盘空间等系统资源,来达到减弱或阻止正常用户对系统授权使用的目的1。2006 年,根据CSI/FBI 的调查,有 25%的用户遭受过不同类型的 DoS 攻击。随着攻击技术的不断发展,出现了分布式拒绝服务(Distributed Denial of Service,DDoS 攻击2。在 DDoS 攻击中,一个攻击者控制着大量的主机对目标同时发起攻击。由

6、于 DDoS 攻击会给用户造成极大的危害,所以检测和防御 DDoS 攻击具有重要的意义。 本文首先给出 DDoS 攻击的原理和分类,然后针对 DDoS 攻击的方式,提出了一种检测和防御 DDoS 攻击的模型,本文还利用入侵检测和数据包过滤技术,设计了一个 DDoS 攻击的检测与防御系统,该系统具有配置简单、易于扩展等优点。1 DDoS 攻击 1.1 DDoS 攻击原理 DDoS 攻击原理是:攻击者首先控制“攻击僵尸机”,在其上面安装拒绝服务攻击软件,然后控制“控制僵尸机”,在该机上安装控制软件。这样“控制僵尸机”就能根据攻击者指令激发大量的“攻击僵尸机”同时向目标发动拒绝服务攻击,其攻击结构如

7、图 1 所示。这时攻击者能够很好地隐藏自己3。 图 1 DDoS 攻击体系结构 DDoS 攻击的攻击过程为:攻击者首先利用扫描程序和各种渗透技术,寻找安全性差的计算机;然后在那些未受保护 收稿日期:2009-02-19。 作者简介:李 蓬(1975-,男,硕士,讲师,主要研究方向为网络安全。攻击者 控制僵尸机 被攻击目标 攻击僵尸机 96 的计算机上安装控制软件和攻击软件;这样攻击者利用加密后的指令,控制这些控制软件和攻击软件,使大量的攻击软件同时向被攻击者发起攻击。此时,被攻击目标由于忙于处理大量的攻击数据包,而无法响应正常的服务请求,严重的可能导致整个网络瘫痪。 1.2 常见的 DDoS

8、攻击 DDoS 攻击手段有许多种,现对最常见的 DoS 攻击进行分析。 (1TCP SYN 攻击 TCP SYN 攻击是多台攻击主机向目的主机发送 SYN 包,在收到被攻击主机的 SYN ACK 后不发送确认,这样被攻击主机就在缓存中建立了大量连接队列,造成了系统资源的消耗而无法向正常请求提供服务。 (2Land 攻击 Land 攻击是攻击者向被攻击主机发送一个经过特殊构造的 TCP 数据报。该数据报带有 SYN 标志,同时具有相同的源 IP 地址和目的 IP 地址及相同的源端口号和目的端口号。IP 地址和端口号都为被攻击主机的,这样当被攻击主机收到这样的 TCP 数据报后,就会在本地不断的收

9、发 SYN 包和 ACK 包,从而导致被攻击主机崩溃。 (3Teardrop 攻击 Teardrop 攻击是利用数据包分解实现的。攻击者向被攻击目标发送两个连续的 IP 数据报。由于这两个数据包是相互重叠的,导致在目的系统发生大量的数据复制,从而耗尽被攻击主机的 CPU 和内存资源,导致拒绝服务。 (4Smurf 攻击 Smurf 攻击采用发送源地址是被攻击主机的 IP 地址,目的地址为广播地址的 ICMP 数据包。目的系统收到 ICMP 数据包后,返回 ICMP 应答包。这样将会向被攻击主机返回大量的应答包,造成被攻击主机资源耗尽。 (5UDP 淹没攻击 由于 UDP 协议是一个面向无连接的

10、传输层协议,所以数据传送过程中,不需要建立连接和进行认证。UDP Flood 攻击正是利用这一点,攻击主机向被攻击主机发送大量的 UDP 数据包,这样一方面会使被攻击主机所在的网络资源被耗尽,还会使被攻击主机忙于处理 UDP 数据包,而使系统崩溃。 1.3 DDoS 攻击的分类 从攻击方式来看,可以把 DDoS 攻击分为畸形数据报攻击和淹没攻击4两种形式。畸形数据报攻击是指利用操作系统、TCP/IP 网络协议、应用程序等的缺陷,构造某种特殊的数据包,使系统停止对正常用户的访问请求或使操作系统、应用程序崩溃。主要的攻击形式有:Land 攻击、TCP SYN 攻击、Ping of Death 攻击

11、、Teardrop 攻击等。淹没攻击是指攻击者利用比被攻击网络更大的带宽,生成大量发向被攻击网络的数据包,从而耗尽被攻击网络的有效带宽,使被攻击网络发生拥塞。主要的攻击形式有:Smurf 攻击、UDP 淹没攻击、ICMP 淹没攻击、DNS 淹没攻击等。 2 DDoS 攻击的检测与防御 由上面的分析可以看出,要实现对 DDoS 攻击的检测,既要实现对畸形数据报攻击的检测,又要实现对淹没攻击的检测。 2.1 总体思想 对于畸形数据包攻击,由于其数据包中带有较明显的特征(如 Smurf 攻击,其数据包的目的 IP 地址为广播地址,所以可以采用入侵特征匹配的方法进行检测。其具体做法是:对已知网络攻击特

12、征进行提取,构建特征规则库,将捕获到的数据包与特征规则库进行匹配,如匹配则说明存在 DDoS 攻击。 对于淹没攻击,利用统计学的方法,对被保护网络的正常流量进行统计分析,计算网络的正常流量行为,由此得出网络的正常流量模型。通过检测被保护网络的实际流量,当发现实际流量与正常流量发生偏离后,即认为网络受到了淹没攻击5。 2.2 系统结构 为了实现对 DDoS 的检测和防御,把基于特征检测的误用检测与基于统计学的异常检测结合起来,构成一个完整的入侵检测系统。为了提高检测结果的效率和准确性,数据在提交之前需要预处理去掉无用和干扰数据。DDoS 攻击检测与防御模型如图 2 所示。 图 2 DDoS 攻击

13、检测与防御模型 2.3 检测与防御 首先将捕获到的数据送到预处理器进行处理,预处理器分析数据,过滤那些特大及数据报碎片等不合法的数据,如特大型的 ICMP、UDP 数据包等。然后数据送交特征检测器进行进一步处理。对于特征检测,如果数据包的特征与特征域漏洞库一致,则说明是攻击数据包,立即发出警告信息,通知路由器截断攻击流6。然后对通过特征检测的数据流进行流量统计检测,将数据流量与正常流量模型比较,如果出现明显超出网络正常流量的极限流量或短时间内出现大量相同的数据包,则说明存在淹没攻击,立刻发出警告信息,通知路由器截断攻击流。 3 DDoS 攻击检测与防御系统 根据前面提出的检测和防御模型,文章结

14、合入侵检测技 97 术、IP 数据报过滤技术,设计了在一个园区网内部防御 DDoS 攻击的系统。该系统具有可以有效防御各类常见的 DDoS 攻击,且具有易于部署、可扩展性强、系统开销小等优点。 该系统采用分布式结构,各功能部件在一个分布式的环境下利用安全的通信协议协同工作。图 3 描述了该系统的架构。 因特网 因特网 内网 网络管理器 图 3 DDoS 检测与防御系统 该系统包括以下部分:网络检测引擎、网络管理器和路由器。其中,分布在各处的网络检测引擎和网络管理器构成一个分布式的入侵检测系统。网络检测引擎的功能是截获网络上的数据流,进行实时的数据流分析,匹配安全规则。网络管理器的主要功能是控制

15、检测引擎,生成安全规则,接受报警和日志信息,同时控制边界路由器。路由器具有数据包过滤功能,可以根据规则或网络管理器的指令过滤数据包。 网络检测引擎安放在如下位置:首先是 DMZ 区,这是攻击者首要攻击的目标;然后是内网入口,这里可以检测突破路由器过滤规则的攻击;还有内网,可以检测内网的异常活动,防止攻击者在内部进行攻击。如果内部网络比较复杂,可以在每个子网部署一个检测引擎。 该系统的工作过程是:当分布在各处的网络检测引擎检测到针对主机或网络的 DDoS 攻击时,向网络管理器发出攻击警告信息。网络管理器负责接收 DDoS 攻击警 告信息,并控制具有数据包过滤功能的边界路由器。路由器收到过滤指令之

16、后,则对攻击流进行过滤,从而阻止 DDoS 攻击。 4 结语 目前,各种类型的 DDoS 攻击对系统造成了极大的危害。尽管路由器和防火墙能够在网络边界执行检测和防御的功能,抵御 DDoS 攻击。但是由于DDoS 攻击手段多样化,攻击工具种类繁多,且数据的通信经过保密,所以检测和防御 DDoS 攻击十分困难。本文根据 DDoS 攻击的方式,利用入侵检测和数据过滤技术,提出了一个在园区网内部检测和防御 DDoS 攻击的方法,该方法具有易于配置、扩展性强等优点。 参考文献 1 吕振肃,薛力伟.一种新的分布式拒绝服务攻击检测方法J.通信技 术,2008,41(11:129-130. 2 盖凌云,黄树来

17、. 分布式拒绝服务攻击及防御机制研究J.通信技 术,2007,40(06:40-41. 3 Dietrich S, Long N, Dittrich D. Analyzing Distributed Denial of Service Attack Tools:The Shaft CaseC.In:14th Systems Administration Conference.CA.USA: USENIX Association Berkeley, 2000:329-340. 4 Lee R B.CE-L2003-003,Taxonomies of Distributed Denial of S

18、ervice Networks. Attacks, Tools and CountermeasuresR. New Jersey:Department of Electrical Engineering, Princeton University, 2003. 5 Barford P, Kline J, Plonka D.A Signal Analysis of Network Traffic AnomaliesC/ Proceedings of ACM SIGCOMM Internet Measurement Workshop.NY,USA:ACM,2002:71-82. 6 Park K, Lee H. On the Effectiveness of Route-ba