蜜罐技术在防御DDoS中的应用

1、总第176期计算机与现代化2010年第4期JISUAN JI YU X IAN DA IHUA文章编号：1006-2475( 2010) 04-0070-03蜜罐技术在防御DDoS中的应用汪北阳(长江大学计算机科学学院,湖北荆州434023)摘要通过分析DDoS击的基本原!本文提出蜜罐技术在防御分布绝服务(D istr ibu ted D oS, D攻OS中的一种应用，并在实验环境下对其性能进行了分析。关键词:拒绝服务攻击；蜜罐；DD oS;网络安全中图分类号 T P309文献标识码：Ado:i 10. 3969 / .issn. 1006-2475. 2010. 04. 020A pplic

2、ati on of H on ey-pot System in efensi ng DDoSWANG Be-iya ng(Com puter Sc ience Schoo l of Y ang tze U niversity Jing zhou 434023, Ch ina)Abstract: B ased on analysis of thip basfiDponctacks, this paper presentsian tappfldeses o® atticksv ia honeypot techno Iqgyand ana ly zes the e ffectiveness

3、 under the laborato ry cond itions.Ke/ w ords: deniaerice flack; H oneypSDS;new ork seityur总第176期总第176期0引言拒绝服务(Den ial of Service, DoS攻击手段多样、攻击简单、危害大、防范难，是目前互联网上攻击最频繁，防范难度最大的攻击方式之一1。目前,在技术手段上尚无完全有效的防范方法2。蜜罐技术是一种陷阱技术，能够用来吸引攻 击者 3。本文重点研 究利用蜜罐技 术引诱攻击者,避免受保护主 机受到DoS攻击的方法，并对该方法的效果进行仿真分析。1 DD oS攻击原理拒绝服务是以

4、一台接入互联网的单机向目标发 动攻击,消耗目标主机或目标网络的资源，从而干扰或完全阻止为合法用户提供服务4。目前，DoS攻击5都是以DDoS的攻击方式来实施的。DDoS攻击是利用一批主机对目标进行攻击，所以需要事先入侵一(1) 耗竭服务器缓冲区，使其无法接收新的服务 请求；(2) IP欺骗，迫使服务器将合法用户的连接复 位,影响合法用户的连接。2应用蜜罐技术防御DD oS攻击总第176期批主机，植入木马并控制这些主机进行攻击7DDoS攻击原理如图 1所示，由攻击者指挥控制傀 儡机,然后再由控制傀儡机命令攻击傀儡机向目标发 起攻击。两种类型的傀儡机都是被攻击者入侵并控2. 1物理结构DDoS攻击

5、的防御就是要切断它的攻击链，方法 有两个【9:(1)使攻击者得不到足够数量的受控主机发动总第176期总第176期收稿日期：2009-08-06作者简介汪北阳(1973-)男,湖北仙桃人长江大学计算机科学学院讲颜土研究方向网络安全软件工程。朴-克4 * £賣女丸强* Li八為汕让匚*r *覺11 ifc * F醐hhi瞇仃#去l *和畳*血 A胪* 4iwe*律甘门®* *.*險十.*|亡+201(年第4期汪北阳蜜罐技术在防御DD oS中的应用71具有足够威胁的攻击；10(2)使攻击者攻击不到真正的目标。具体方式是切断图1中的两个控制信息流中的任意一个，或者切断攻击流。蜜罐布

6、置如图 2所示的网络结构，在 DM Z区有 W eb、E-m ail、DNS、FTP四个服务器，这些服务器是 向外提供In ternet服务的，在DM Z区同时也布置一些蜜罐系统，这些蜜罐系统中也分别配置成以上四种服务器中的一种，DM Z区与In terne t用一个防火墙隔离。这些蜜罐的作用是代替真实服务器接收由攻击傀儡机发送的攻击包。内部局域网被一个防火墙与DMZ区隔离,包括若干台主破防火墙,这时蜜罐就能起到混淆攻击者,诱骗这些 攻击流进入蜜罐系统。蜜罐系统将这些攻击行为记 录加密后发送到日志服务器，这台服务器是低交互并 加固的,很难被入侵 13。3应用蜜罐技术防御D oS攻击的性能 分析

7、ddos 攻击器 对上述方案进行了攻击防范实验。攻击采用分布式的SYN F lood,设置攻击傀儡机的攻击速度从2.2M bps开始逐渐提高，网络带宽为100M bps。服务器 方由4个真实系统和4个伪装成服务器的蜜罐主机201(年第4期汪北阳蜜罐技术在防御DD oS中的应用71201(年第4期汪北阳蜜罐技术在防御DD oS中的应用71机和伪装成存在安全漏洞的局域网主机的蜜罐。在防火墙中同时运行入侵检测、攻击扫描和网络数据包向机制11。.图2蜜罐布置图201(年第4期汪北阳蜜罐技术在防御DD oS中的应用712. 2安全防范框架前主流(的防火技有防范测dDdo攻攻击的作能:1目 ,在【12防火

8、墙检测到 DDoS攻击后启用重定向功能，将攻击 流重定向到蜜罐主机(切断攻击流)；o同时蜜罐主 机由于也配置有服务器相同的服务软件 ，并且由于蜜 罐系统具有相对容易攻击的特点，可以吸引黑客的攻 击,稀释对受保护主机的攻击；？吸引黑客入侵蜜罐， 以蜜罐主机为控制傀儡机，由蜜罐系统控制这些信息 流(切断控制信息)；？蜜罐系统内安装安全日志，可图4单个服务器主机和蜜罐受到的攻击流量低安全措避免被攻漏洞的察1实系统里所选用的蜜罐设置为啬发【14现攻击者在试图搜寻或入侵网络主机，就会通过地址重定向将这些信息发送到合适的蜜罐，蜜罐将根据初 始设置向攻击者发送他所期待的应答，使攻击者认为 该主机已经被控制。

9、攻击者将使用这些/受控主 机0,在蜜罐上安装攻击软件并向这些蜜罐发送控制 信息。设攻击者在搜索和入侵有漏洞主机时被入侵检测系统发现并重定向到蜜罐的概率为P, 个网络中有普通主机数k,每一台主机被成功入侵的概率 为P2,伪装成漏洞主机的蜜罐数为g,可得到入侵真实主机成功的概率为P2 ( 1-P1 ) k / ( k+ g )，入侵蜜罐的概率是 P1 + ( 1-P1 ) g / ( k+ g>201(年第4期汪北阳蜜罐技术在防御DD oS中的应用71201(年第4期汪北阳蜜罐技术在防御DD oS中的应用71ddos 攻击器 201(年第4期汪北阳蜜罐技术在防御DD oS中的应用71图3网络

10、安全系统框图(2)利用蜜罐技术防范 DDoS攻击的原理，如图 3所示。防火墙系统将攻击流量重定向到蜜罐 ，由蜜 罐系统做出回应并进行日志记录。有些攻击可能突通过分析蜜罐日志所得的信息加强入侵检测、加固主机,可以不断提高入侵检测系统发现攻击行为的 概率P1,降低主机被入侵的概率 P2。由图4可见,采 用上述蜜罐方案，能明显降低攻击者通过入侵足够数量的主机发起高强度 DDoS攻击的概率，并能够有效 地降低服务器主机所受到的攻击强度。72计算机与现代化2010年第4期4结束语本文提岀了蜜罐技术防御DDoS攻击的一种方案，同时收集攻击者的信息，并利用这些信息来加强系统的安全性。当然这种方案在防御网络资

11、源耗竭 型的DDoS攻击中的作用要小得多，对于这种网络耗 竭型的攻击需要更多的参与方来共同防御。蜜罐技 术可以从不同方面来参与防范DDoS攻击,使得这种技术在防范DDoS攻击中体现岀明显的优势。ddos 攻击器 参考文献：1 Com puter C rim e R esearch Cen ter. 2003 CSI /FB I Compu terCr im e and Secur ity Survey EB /OL . http: / /www.cr im eresearch. o rg /news /01. 06. 2004 /283 /, 2004-06-01.2 Pe rvasive T

12、 echno logy L abs at Ind iana U n ive rsity.A dvancedN e tw ork ing M anagem ent L ab( ANM L ) D istr ibutedD en ia l ofServ ice A ttacks( DD oS) R esources EB /O L . http / /www. arunl. iu. edu/DDoS / tools. htlm2009-03-16.3 Dittrich D av. TheStackreahtCiDtributed D enf iServ-ice A ttack l TEB /OL

13、http: / / staf.f wash ingdu /di-ttr ich /m isc /stache ldrah.t analysis. tx ,t 2009-04-08.4 H ow ard John D. A n A na lysis o f Secur ity Inc idents on theInterrte D . P ittsburgh, PA, U S: C/laTogUenivers-ity 1998.5 FQnst引 L, SchnackegiDl? Blapar R, et a.l tSticaapproaches to DD oS a tta ck dete ct

14、ion and response C / /P roceedings of the DARPA Info rma tion Surv iv ab ility Con-ference and Expos ition( D ISCEX. 03) . 2003: 303-314.6 D ittr ich D av id. T he / T r ibe F lood N etowtekDDDfe-istrn ia of Serice A ttackrT EB /O_ http: / /staf.f w ashington. edu / dittrich /rtfriscanalysis. txt, 1

15、999-10-21.7 G ibson Steve. DRDoS, D istributed R eflection D enial of Serv-ice EB /OL. http: / /grc. com /dos/drdos. htm, 2008-07-07.8 黄传河，杜瑞颖，张沪寅，等.网络安全M .武汉:武汉大学出版社，2004.9 Barlow J, T hrow er W. TFN 2K-An A na lysis EB /OL . h-ttp: / /www. pacom secuty. com / distributed/TFN 2k _ A nalysis-1. 3. t

16、X2008-02-25.10 Kuznetsov V adim, Sandstr - m H e lena, Sim kin Andre.i A n e- vauation of d iffe rent IP traceback approarohes C / /P ceedings of the 4th tioedirtaonference onr rIfonand Comm un ica tions Security. 2002: 37-48.11 WilerN. H oneypotar distributed de nfiservce attacksC / /P roceedings o

17、 f the 11th IEEE Inte rna tiona l W ork- shops on Enabling T echno log ies. 2002: 109-114.12 赛迪资讯顾问公司.2006-2007中国网络安全软件市场研究年度报告R . 2007.13 CooperaAseoc iation for Internet D ata Analysis( CA 1DA ).The K itterirfiject EB /JDLhttp: / /wwwi.daca orgools/m easurem ent/ sk itter /, 2008-09-12.14 Chen Zha

18、ole, Lee M oon-Chuen. A n IP traceback techniqueaganst D en iaServce attacks C / /ProceeUdthg19 th A nnua l Com pute r Security A pp lications Con ference (IEEE ACSA C03). 2003: 96.72计算机与现代化2010年第4期(上接第63页)平台高效存储、播放、传输的目的。但该方法还有不 完善的地方，在面对较复杂的动画信息的存储时，不能够高效地记录其信息，难以满足复杂动画的存储需 求,还有待以后继续研究。参考文献：1 黄大赛.论动漫产业的知识产权法律保护J重庆邮电大学学报社会科学版),2007, 19( 3): 45-48.2 赵丽鲜,苏鸿根.M PEG-4视频编解码器的模型分析、实现及其应用策略J.计算机应用与软件，2008, 25( 10):127-129.3 刘峰.视频图像编码技术及国际标准M .北京:北京邮电大学出版社,2005: 78-225.4 徐殿武.A/ I文件格式及其应用研究J.现代电子技术,2008, 31( 2) : 119-122.5 贝雨馨，徐晓霞.用Jav语言实现G IF图像文件的编码曲 削 J延边大学学报，2002, 28( 2): 121-1