◆程杰仁 鄧奧藍(lán) 唐湘滟
(海南大學(xué)信息科學(xué)技術(shù)學(xué)院 海南 571101)
分布式拒絕服務(wù)攻擊與防御技術(shù)綜述
◆程杰仁 鄧奧藍(lán) 唐湘滟
(海南大學(xué)信息科學(xué)技術(shù)學(xué)院 海南 571101)
分布式拒絕服務(wù)(Distributed Denial of Service,DDoS)攻擊防御技術(shù)是網(wǎng)絡(luò)空間安全領(lǐng)域研究的難點(diǎn)和熱點(diǎn)。本文根據(jù)攻擊發(fā)生的網(wǎng)絡(luò)層次將DDoS攻擊技術(shù)分為網(wǎng)絡(luò)層/傳輸層的DDoS攻擊和應(yīng)用層DDoS攻擊,從攻擊的自動(dòng)化程度、漏洞利用情況、攻擊源網(wǎng)絡(luò)、攻擊速率以及受害者類型等六個(gè)方面分析了兩類攻擊的主要特點(diǎn)。為了便于應(yīng)用部署各種防御技術(shù),針對(duì)攻擊防御節(jié)點(diǎn)部署位置將現(xiàn)有的網(wǎng)絡(luò)層/傳輸層的DDoS攻擊的防御技術(shù)分成基于源的檢測(cè)技術(shù)、基于網(wǎng)絡(luò)的檢測(cè)技術(shù)、基于目標(biāo)的防御技術(shù)和混合技術(shù)等四類;將應(yīng)用層的DDoS攻擊的防御技術(shù)分成基于目標(biāo)的技術(shù)和混合技術(shù)兩類,分析了現(xiàn)有的DDoS防御方法,并提出了DDoS 攻擊防御技術(shù)的未來發(fā)展趨勢(shì)和相關(guān)技術(shù)難點(diǎn)。
網(wǎng)絡(luò)安全;分布式拒絕服務(wù);防御技術(shù);僵尸網(wǎng)絡(luò)
互聯(lián)網(wǎng)互聯(lián)著數(shù)十億臺(tái)電腦、平板電腦和智能手機(jī),提供了一個(gè)全球性的通信、存儲(chǔ)和計(jì)算基礎(chǔ)設(shè)施[1]。人們對(duì)互聯(lián)網(wǎng)高度依賴,而攻擊者利用互聯(lián)網(wǎng)的弱點(diǎn)來破壞它[2,3]。DDoS攻擊是一種協(xié)同大量攻擊源向攻擊目標(biāo)發(fā)送大量無用的攻擊報(bào)文以使攻擊目標(biāo)產(chǎn)生拒絕服務(wù)的攻擊。攻擊者先識(shí)別網(wǎng)絡(luò)中的漏洞,用來在多臺(tái)機(jī)器上安裝惡意軟件程序?qū)崿F(xiàn)控制。然后,攻擊者不需要了解攻擊目標(biāo),便可以使用這些被攻擊的主機(jī)向受害者發(fā)送攻擊數(shù)據(jù)包。DDoS攻擊者的目的就是破壞網(wǎng)絡(luò),使得受害者不能為合法用戶提供任何服務(wù)。攻擊者通常需要遵循以下四個(gè)基本步驟:(1)掃描網(wǎng)絡(luò)進(jìn)行信息收集,找到易受攻擊的主機(jī),然后使用它們發(fā)動(dòng)攻擊;(2)通過破壞主機(jī),在被攻擊的主機(jī)上(稱為僵尸)安裝惡意軟件和惡意程序,使它們只能由攻擊者控制;(3)發(fā)動(dòng)攻擊命令,向受害者發(fā)送指定強(qiáng)度的攻擊數(shù)據(jù)包;(4)進(jìn)行清理,從內(nèi)存中刪除所有的記錄或歷史文件。由于DDoS攻擊仍然是最常見且最具破壞性的攻擊之一,因此DDoS攻擊的防御引起了工業(yè)界和學(xué)術(shù)界的廣泛關(guān)注。
本文綜述了DDoS攻擊與防御技術(shù)的進(jìn)展。本文第二節(jié)介紹了DDoS攻擊的分類;第三節(jié)闡述了DDoS攻擊的防御技術(shù)的分析;第四節(jié)對(duì)DDoS攻擊及其防御技術(shù)的未來研究方向進(jìn)行了展望;第五節(jié)總結(jié)全文。
DDoS攻擊者為了發(fā)起攻擊通常會(huì)建立僵尸網(wǎng)絡(luò),如GTbot[4],Asprox[5],RBot[6],Spybot[7],Waledac[8],Torpig[9],F(xiàn)esti[10],TDL-4[11]等。本節(jié)根據(jù)攻擊發(fā)生的網(wǎng)絡(luò)層次將DDoS攻擊技術(shù)分為網(wǎng)絡(luò)層/傳輸層的DDoS攻擊和應(yīng)用層DDoS攻擊[12]。
(1)網(wǎng)絡(luò)層/傳輸層的DDoS攻擊。這類攻擊大多使用了TCP、UDP、ICMP和DNS協(xié)議的數(shù)據(jù)包,通過耗盡受害人的網(wǎng)絡(luò)帶寬,集中破壞合法用戶的連接[12]。
(2)應(yīng)用層DDoS攻擊。這類攻擊通過耗盡服務(wù)器資源(例如套接字、處理器、內(nèi)存、磁盤/數(shù)據(jù)庫帶寬、輸入/輸出帶寬),專注于破壞合法用戶的服務(wù)[13]。
在過去的十年中,DDoS攻擊的規(guī)模和頻率都大幅上升,攻擊者利用僵尸網(wǎng)絡(luò)技術(shù)和其他的最新高速互聯(lián)網(wǎng)接入技術(shù)消耗其攻擊目標(biāo)的資源。Igure等人[14]為計(jì)算機(jī)系統(tǒng)中的攻擊和漏洞做了分類。Arbor第八屆全球基礎(chǔ)設(shè)施安全報(bào)告報(bào)道了2005(10 Gbps)到2010(100 Gbps)期間,最大的DDoS攻擊的大小增長了10倍。由于DDoS攻擊急劇的增長,網(wǎng)絡(luò)安全防御者必須重點(diǎn)防御網(wǎng)絡(luò)層/傳輸層的DDoS攻擊和應(yīng)用層DDoS攻擊。
1.1 網(wǎng)絡(luò)層/傳輸層的DDoS攻擊特點(diǎn)
這種類型的攻擊的主要目標(biāo)是通過發(fā)送大量的攻擊流量淹沒由服務(wù)器、路由器和交換機(jī)網(wǎng)絡(luò)組成的基礎(chǔ)設(shè)施。這些攻擊可以利用協(xié)議的漏洞來產(chǎn)生。網(wǎng)絡(luò)層/傳輸層的攻擊可以根據(jù)自動(dòng)化程度、漏洞利用、使用的網(wǎng)絡(luò)攻擊的類型、攻擊速率、受害者的類型和攻擊的影響等方面進(jìn)一步分析各種網(wǎng)絡(luò)層/傳輸層攻擊類型。
(1)自動(dòng)化程度。DDoS攻擊者可以嘗試手動(dòng),自動(dòng)或半自動(dòng)的執(zhí)行網(wǎng)絡(luò)層,傳輸層和應(yīng)用層DDoS攻擊。在手動(dòng)攻擊中,攻擊者通過掃描網(wǎng)絡(luò)來安裝惡意程序,從而收集主機(jī)上的漏洞信息。這些被攻擊的主機(jī)隨后被用來響應(yīng)手動(dòng)指令以發(fā)送攻擊數(shù)據(jù)包到受害者機(jī)器。在自動(dòng)網(wǎng)絡(luò)層/傳輸層攻擊的情況下,攻擊者和被入侵的機(jī)器之間不存在直接通信。根據(jù)預(yù)先指定的攻擊開始時(shí)間、攻擊的類型、持續(xù)時(shí)間和受損機(jī)器的源IP,這種攻擊會(huì)自動(dòng)啟動(dòng)。半自動(dòng)攻擊介于上述兩類之間,攻擊目標(biāo)的地址、攻擊類型和攻擊持續(xù)時(shí)間在攻擊發(fā)生時(shí)手動(dòng)指定。
(2)漏洞利用。網(wǎng)絡(luò)中的各種類型的漏洞被攻擊者用來發(fā)起特定攻擊,包括利用所使用協(xié)議的漏洞,如TCP,UDP,ICMP,HTTP,F(xiàn)TP和TELNET等協(xié)議漏洞。這些漏洞可能會(huì)導(dǎo)致諸如泛洪、放大或畸形報(bào)文的攻擊,即使用大量的網(wǎng)絡(luò)流量淹沒受害者機(jī)器的服務(wù)。
(3)攻擊源網(wǎng)絡(luò)。在這個(gè)類型的攻擊中,攻擊者可以使用或租用被攻擊的機(jī)器組成的網(wǎng)絡(luò)來發(fā)動(dòng)網(wǎng)絡(luò)層/傳輸層DDoS攻擊。攻擊網(wǎng)絡(luò)可以分為幾種類型,如代理處理器、IRC網(wǎng)絡(luò)及P2P網(wǎng)絡(luò)。在代理處理器的情況下,攻擊者控制了處理器之后,它使用代理向受害網(wǎng)絡(luò)發(fā)送攻擊流量。IRC網(wǎng)絡(luò)類型包含了大量被稱為“僵尸”的被攻擊的節(jié)點(diǎn),這些節(jié)點(diǎn)連接起來形成被叫做僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò),由一個(gè)僵尸主控機(jī)控制。在P2P網(wǎng)絡(luò)中,每個(gè)節(jié)點(diǎn)都能夠直接與網(wǎng)絡(luò)中的其他節(jié)點(diǎn)進(jìn)行通信。在這個(gè)網(wǎng)絡(luò)中,不存在集中控制技術(shù)。
(4)攻擊速率。網(wǎng)絡(luò)層或傳輸層的DDoS攻擊可以通過各種攻擊速率啟動(dòng)。它可以是恒定的速率,增長的速率或可變的速率[15]。在一個(gè)恒定的速率攻擊中,攻擊者通常在有限的范圍內(nèi)進(jìn)行微小的變化,以一個(gè)穩(wěn)定的速率發(fā)送攻擊流量到受害端。在增長的攻擊速率中,傳入受害者端的攻擊流量逐漸或急劇增加,并一直持續(xù)下去直到信道的帶寬被完全占用。這樣的攻擊類型可以很容易地檢測(cè)到。再者,在一個(gè)可變速率的攻擊中,如脈沖式攻擊的情況下,攻擊流量通常反復(fù)由幾個(gè)巨大的定期或不定期地短時(shí)間的突發(fā)數(shù)據(jù)組成。這種攻擊類型的一個(gè)重要特征是脈沖的振幅和高度可以是恒定的或隨機(jī)的。第四種類型,即一個(gè)分組的攻擊是可變速率網(wǎng)絡(luò)層/傳輸層的DDoS攻擊的一個(gè)變種,是脈沖和恒定速率攻擊類型的組合。
(5)受害者類型。根據(jù)受害者的類型,如主機(jī)、主機(jī)網(wǎng)絡(luò)、資源或應(yīng)用程序,攻擊者可以采取各種行動(dòng),發(fā)動(dòng)網(wǎng)絡(luò)層或傳輸層的DDoS攻擊。
(6)影響。在一個(gè)網(wǎng)絡(luò)層或傳輸層的DDoS攻擊中,根據(jù)攻擊流量的使用量,對(duì)受害者的機(jī)器或網(wǎng)絡(luò)的損傷程度可以有所不同。這是由于DDoS攻擊的破壞性或使性能下降所造成的影響。
1.2 應(yīng)用層的DDoS攻擊特點(diǎn)
應(yīng)用層DDoS攻擊通常是針對(duì)HTTP協(xié)議的,目標(biāo)是耗盡Web服務(wù)器有限可用的資源。相比網(wǎng)絡(luò)層/傳輸層的攻擊,這些攻擊消耗較低的帶寬。攻擊者通常自定義的指定一個(gè)特定的web應(yīng)用程序,通過發(fā)送請(qǐng)求來占用受影響的網(wǎng)絡(luò)的內(nèi)部資源。這些攻擊者只需要有限的網(wǎng)絡(luò)連接就能完成它們的惡意設(shè)計(jì)。通常情況下,這種攻擊并不容易識(shí)別,因?yàn)樗鼈兛雌饋眍愃朴诤戏髁?,而且它的業(yè)務(wù)量也不是太大。檢測(cè)這種類型的DDoS攻擊很困難,背后有三個(gè)主要原因[16],(1)攻擊中,合法的TCP和UDP連接的使用,使得很難區(qū)分出它是否為非法的流量。(2)效率,只需要較少的連接來成功地啟動(dòng)一個(gè)攻擊,使它效率很高。(3)致命性,它可以迅速的淹沒服務(wù)器的資源,導(dǎo)致拒絕服務(wù)而不管主機(jī)的硬件的能力如何。如網(wǎng)絡(luò)層/傳輸層攻擊一樣,應(yīng)用層攻擊也可以根據(jù)自動(dòng)化程度、漏洞利用、網(wǎng)絡(luò)攻擊類型、攻擊速率、受害者的類型和攻擊的影響等方面進(jìn)一步分析各種應(yīng)用層攻擊類型。
(1)自動(dòng)化程度。攻擊可以是手動(dòng)的,也可以是半自動(dòng)的,這取決于攻擊時(shí)所使用的自動(dòng)化程度。當(dāng)手動(dòng)DDoS攻擊主要集中在應(yīng)用層上時(shí),確定易受攻擊的主機(jī)被攻擊后,攻擊者通過指揮控制并執(zhí)行應(yīng)用程序。另一方面,在半自動(dòng)的DDoS攻擊中,識(shí)別受害機(jī)器后,攻擊者手動(dòng)指定攻擊速度,攻擊類型和攻擊持續(xù)時(shí)間。攻擊的產(chǎn)生仍然是靠自動(dòng)使用受到攻擊的主機(jī)。雖然自動(dòng)的應(yīng)用層DDoS攻擊是不常見的,但是在自動(dòng)執(zhí)行的惡意代碼的幫助下生成攻擊流量是可能的。
(2)利用漏洞。應(yīng)用層DDoS攻擊是利用協(xié)議的弱點(diǎn),比如針對(duì)服務(wù)器或主機(jī)的HTTP,F(xiàn)TP和TELNET協(xié)議。這類DDoS攻擊的一些常見的例子是會(huì)話泛洪和請(qǐng)求泛洪。在一個(gè)會(huì)話泛洪攻擊中,攻擊者的目的是以比正常用戶更高的速度發(fā)送會(huì)話,導(dǎo)致受害服務(wù)器發(fā)生故障。而在請(qǐng)求泛洪中,攻擊者以高于正常用戶的速度發(fā)送大量的請(qǐng)求數(shù)據(jù)包給受害機(jī)器,從而破壞機(jī)器。
(3)攻擊源網(wǎng)絡(luò)。在應(yīng)用層DDoS攻擊中,攻擊者也可以通過創(chuàng)建或租用一個(gè)受害網(wǎng)絡(luò)來發(fā)動(dòng)攻擊。這樣的網(wǎng)絡(luò)攻擊通常有三種類型,即代理處理器網(wǎng)絡(luò)、RC網(wǎng)絡(luò)和P2P網(wǎng)絡(luò)。不像代理處理器和IRC架構(gòu),在P2P網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)都可以與網(wǎng)絡(luò)中的任何節(jié)點(diǎn)通信。攻擊者的目的是欺騙大量的客戶機(jī)運(yùn)行P2P軟件來從DDoS攻擊的目標(biāo)中請(qǐng)求一個(gè)文件,從而用流量淹沒目標(biāo)地址。
(4)攻擊速率。像網(wǎng)絡(luò)層/傳輸層的DDoS攻擊,根據(jù)隨時(shí)間推移所產(chǎn)生的流量模式,HTTP GET泛洪攻擊流量也可以有幾種類型。一般來說有四種不同的類型:①增長率,隨著時(shí)間的推移,攻擊率逐漸增加;②偽隨機(jī)泛洪,攻擊者試圖通過隨機(jī)的改變流量強(qiáng)度來淹沒受害者;③狡猾的攻擊者通過周期性地發(fā)送HTTP GET脈沖請(qǐng)求,而不是通過流量的增加率或隨機(jī)變化的大量請(qǐng)求流量來發(fā)動(dòng)攻擊;④爆炸泛洪,這是由持續(xù)很長時(shí)間的高容量流量發(fā)起的攻擊請(qǐng)求。
(5)受害者類型。在應(yīng)用層攻擊過程中,攻擊者可以選擇任何服務(wù)器,例如Web服務(wù)器,組織的郵件服務(wù)器,網(wǎng)絡(luò)中的任何主機(jī)或者流行的網(wǎng)站都可以成為攻擊的受害者。使用HTTP GET或POST泛洪請(qǐng)求,攻擊者可能會(huì)破壞服務(wù)器或者使一個(gè)網(wǎng)站關(guān)閉。
(6)影響。應(yīng)用級(jí)的泛洪攻擊可能會(huì)試圖耗盡服務(wù)器的資源,從而無法為合法客戶端提供服務(wù)。這樣的應(yīng)用層DDoS攻擊在退化攻擊中產(chǎn)生破壞。攻擊者試圖讓服務(wù)器宕機(jī),使其性能下降。
自從雅虎、亞馬遜等知名網(wǎng)站經(jīng)歷了2000年的DDoS攻擊后,研究人員便提出了一些方法試圖削弱DDoS攻擊。文獻(xiàn)中已經(jīng)提出了DDoS攻擊的防御技術(shù)的幾個(gè)分類[17-19]。本節(jié)依據(jù)DDoS攻擊發(fā)生網(wǎng)絡(luò)層次將目前DDoS攻擊防御技術(shù)分成網(wǎng)絡(luò)層/傳輸層DDoS攻擊防御技術(shù)和應(yīng)用層DDoS攻擊防御技術(shù)兩類,并根據(jù)攻擊防御節(jié)點(diǎn)部署位置對(duì)兩種防御技術(shù)進(jìn)一步細(xì)分,以便應(yīng)用部署各種防御技術(shù)。
2.1 網(wǎng)絡(luò)層/傳輸層DDoS攻擊防御技術(shù)
網(wǎng)絡(luò)層/傳輸層的DDoS攻擊的防御技術(shù)根據(jù)部署位置可以分為下面四類[17]。
(1)基于源的檢測(cè)技術(shù)?;谠吹臋z測(cè)技術(shù)是被部署在攻擊源的附近,防止網(wǎng)絡(luò)客戶產(chǎn)生DDoS攻擊[17]?;谠醇夹g(shù)的例子包括入口/出口過濾,它是在有效的IP地址范圍內(nèi)的網(wǎng)絡(luò)[20]和源地址有效性強(qiáng)制執(zhí)行(SAVE)協(xié)議的源邊緣路由器上的偽造IP地址過濾包[21]。
(2)基于網(wǎng)絡(luò)的檢測(cè)技術(shù)。這些技術(shù)被部署在網(wǎng)絡(luò)內(nèi),而且主要是在路由器的自治系統(tǒng)中(ASs)。一般有兩類的DDoS攻擊檢測(cè)技術(shù)。第一類被稱為DDoS攻擊特定檢測(cè)。在局域網(wǎng)路由器上采用流量熵來監(jiān)測(cè)網(wǎng)絡(luò)流量來檢測(cè)局域網(wǎng)中獨(dú)立的DDoS攻擊,當(dāng)流量熵在短時(shí)間內(nèi)快速下降時(shí),提高對(duì)潛在的DDoS攻擊的警報(bào)[31]。此外,信息距離用來區(qū)分突發(fā)訪問中的DDoS攻擊。一般來說,一個(gè)DDoS攻擊會(huì)話的攻擊流量是由一個(gè)僵尸網(wǎng)絡(luò)中的大量“僵尸”產(chǎn)生的,并且所有的“僵尸”都執(zhí)行相同的攻擊程序。因此,攻擊流量之間的相似性比突發(fā)訪問的要高,這是由大量隨機(jī)的用戶產(chǎn)生的。第二類被稱為基于異常的檢測(cè)[22,36]。Yuan 等人提出了采用Cross-Correlation 和Weight Vector方法分析骨干網(wǎng)節(jié)點(diǎn)流量[27],檢測(cè)DDoS 攻擊的方法。此方法能夠有效檢測(cè)多種攻擊,如恒速流量攻擊、增速流量攻擊、Pulsing 攻擊或TCP-Target 攻擊等。
(3)基于目標(biāo)的防御技術(shù)。在目標(biāo)為基礎(chǔ)的防御技術(shù)中,檢測(cè)和響應(yīng)主要是在攻擊的目標(biāo)處(即受害者)[17,34,35]完成。基于目標(biāo)的防御技術(shù)的一些例子包括輸入調(diào)試[23],概率包標(biāo)記[24],以及基于哈希的IP追蹤技術(shù)[25]?;贒DoS 攻擊會(huì)導(dǎo)致流量大幅度增加的特征[28],Sekar 等人提出了一種兩級(jí)DDoS 檢測(cè)技術(shù),能夠及時(shí)發(fā)現(xiàn)被攻擊地址。采用Snmp 測(cè)量路由器接口流量,并與歷史流量數(shù)據(jù)進(jìn)行比對(duì),能夠發(fā)現(xiàn)流量的異常變化,然后利用Netflow 信息,提取被攻擊地址。文獻(xiàn)[29]采用CUSUM方法來檢測(cè)攻擊,對(duì)TCP SYN Flood 攻擊的檢測(cè)仍然基于三次握手的完成情況。為了區(qū)分是偽造固定地址攻擊(或采用了真實(shí)地址)、偽造子網(wǎng)地址攻擊,還是隨機(jī)偽造地址攻擊,采用了Bloom Filter來統(tǒng)計(jì)源地址分布情況。DDoS 攻擊通常由僵尸網(wǎng)絡(luò)發(fā)動(dòng),而蜜罐是捕獲僵尸程序的重要手段。通過分析僵尸程序和僵尸網(wǎng)絡(luò)控制者發(fā)送的命令,能夠?qū)崿F(xiàn)對(duì)DDoS 攻擊的提前檢測(cè),并且能夠準(zhǔn)確地獲取DDoS 攻擊類型等信息[30,33]。
(4)混合(分布式)技術(shù)。混合防御系統(tǒng)部署(或其組成部分分布在多個(gè)位置)在多個(gè)位置,例如來源,目的地或中間網(wǎng)絡(luò),多個(gè)部署點(diǎn)之間通常會(huì)合作[17,32]。Chen 等人采用CAT(change-aggregation tree)方法[26],對(duì)流經(jīng)同一個(gè)ISP 網(wǎng)絡(luò)中的路由器流量進(jìn)行協(xié)同分析,根據(jù)路由器每個(gè)接口的流量分布情況發(fā)現(xiàn)流量異常,流量異常報(bào)警信號(hào)發(fā)送給CAT 構(gòu)建服務(wù)器,由CAT 構(gòu)建服務(wù)器對(duì)報(bào)警信號(hào)進(jìn)行協(xié)同分析融合處理,實(shí)現(xiàn)對(duì)攻擊的快速、準(zhǔn)確識(shí)別。
2.2 應(yīng)用層DDoS攻擊防御技術(shù)
應(yīng)用層的DDOS攻擊的防御技術(shù)可以根據(jù)防御節(jié)點(diǎn)的部署位置被分為兩類[17]:
(1)基于目標(biāo)(服務(wù)器端)的技術(shù)。例如,DDoS攻擊防護(hù)使用統(tǒng)計(jì)方法來檢測(cè)HTTP會(huì)話的特性,并采用限制速率為主要防御技術(shù)[17,21]。基于緩解網(wǎng)絡(luò)層DDoS攻擊的自適應(yīng)選擇性驗(yàn)證(ASV)防御的應(yīng)用層DDoS攻擊(ADDoS)防御技術(shù)可以有效地防御DDoS攻擊,使用統(tǒng)計(jì)模型檢驗(yàn)器PVeStA來進(jìn)行了驗(yàn)證來防止ADDoS。即使在大量攻擊者存在的情況下,運(yùn)行該防御技術(shù)的應(yīng)用程序仍具有很高的可用性[39]。
(2)混合(分布式)技術(shù)。例如,全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試(CAPTCHA)[37,38]。分別從基于驗(yàn)證的方法、基于成員管理的方法、基于信譽(yù)的方法和受害者端的方法四個(gè)方面得出基于P2P的DDoS攻擊的防御方法[40]。一個(gè)動(dòng)態(tài)資源分配策略可以用來應(yīng)對(duì)個(gè)人云客戶中的DDoS攻擊。當(dāng)一個(gè)DDoS攻擊發(fā)生時(shí),利用閑置的云資源為受害者克隆大量的入侵防御服務(wù)器,從而快速的過濾掉攻擊數(shù)據(jù)包,同時(shí)保證對(duì)合法用戶的服務(wù)質(zhì)量[41-43]。
雖然在過去的二十年中,大量的防御解決方案已被引入到抵御日益復(fù)雜的DDoS攻擊中,但是仍然有一些已經(jīng)公開但尚未解決的重要問題和研究挑戰(zhàn),未來可進(jìn)一步研究的方向有如下幾點(diǎn):
(1)現(xiàn)有的方法雖然已被設(shè)計(jì)為有效的檢測(cè)低速率和高速率的DDoS攻擊,但通常不能同時(shí)滿足兩者。所以,開發(fā)一個(gè)方法用來同時(shí)實(shí)時(shí)的檢測(cè)這兩種類型的攻擊,仍然是一個(gè)值得研究的問題。
(2)大多數(shù)方法的性能依賴于網(wǎng)絡(luò)條件,其性能也受到多個(gè)用戶參數(shù)的影響。因此,從這些限制中,盡可能的開發(fā)出一個(gè)防御解決方案是一個(gè)重要的研究方向。
(3)由于缺乏公正的評(píng)價(jià)框架,包括基準(zhǔn)數(shù)據(jù)集,使得正在開發(fā)的方法的性能難以正確評(píng)估。因此,創(chuàng)建一個(gè)公正的框架來適當(dāng)?shù)脑u(píng)估一個(gè)防御解決方案,是需要研究的一個(gè)重要的問題。
(4)開發(fā)一個(gè)通用的解決方案來防御使用各種協(xié)議類型的DDoS攻擊應(yīng)該是一個(gè)新的研究方向。
(5)大多數(shù)的防御方法只對(duì)已知的攻擊有效。雖然一些防御方法采用了動(dòng)態(tài)技術(shù),但它仍然難以找到一個(gè)從接近實(shí)時(shí)的、未知的攻擊中保護(hù)網(wǎng)絡(luò)資源的預(yù)防機(jī)制。
(6)如何開發(fā)一個(gè)追蹤機(jī)制以確保集成多個(gè)特定支持的追蹤機(jī)制,在檢測(cè)過程中,允許提取信息的重用。
DDoS攻擊防御技術(shù)是網(wǎng)絡(luò)安全領(lǐng)域的難點(diǎn)問題,隨著DDoS攻擊技術(shù)和防御技術(shù)的不斷發(fā)展,該問題一直受到研究人員的廣泛關(guān)注,本文綜合學(xué)術(shù)界近年來的相關(guān)研究成果,主要分析了DDoS攻擊的及其防御機(jī)制的類型,提出了DDoS攻擊的防御機(jī)制仍存在一些尚未解決的問題,及其未來發(fā)展趨勢(shì)和相關(guān)技術(shù)難點(diǎn)。
[1]C.-H.Yu,K.Doppler,C.B.Ribeiro,and O.Tirkkonen,“Resource sharing optimization for device-to-device communicat ion underlaying cellular networks,” Wireless Communications,I EEE Transactions on,vol.10,no.8,pp.2752–2763,2011.
[2]N.Hoque,D.Bhattacharyya,and J.Kalita,“MIFS-ND:A mutual information-based feature selection method,” Expert Systems with Applications,vol.41,no.14,pp.6371–6385,2014.
[3]D.K.Bhattacharyya and J.K.Kalita,Network anomaly detection:A machine learning perspective.CRC Press,2013.
[4]G.Macesanu,T.Codas,C.Suliman,and B.Tarnauca,“Development of gtbot,a high performance and modular indoor robot,” in Automation Quality and Testing Robotics(AQTR),2010 IEEE International Conference on,vol.1.IEEE,2010.
[5]R.Borgaonkar,“An analysis of the asprox botnet,” in Emerging Security Information Systems and Technologies(SECURWARE),2010 Fourth International Conference on.IEEE,2010.
[6][Online].Available:http://ruby-rbot.org/.
[7]C.Li,W.Jiang,and X.Zou,“Botnet:Survey and case study,” in Innovative Computing,Information and Control(ICICIC),2009 Fourth International Conference on.IEEE,2009.
[8]L.Trolle Borup,“Peer-to-peer botnets:A case study on waledac,” Ph.D.dissertation,Technical University of Denmark,DTU,DK-2800 Kgs.Lyngby,Denmark,2009.
[9]B.Stone-Gross,M.Cova,B.Gilbert,R.Kemmerer,C.Kruegel,and G.Vigna,“Analysis of a botnet takeover,” Security & Privacy,IEEE,vol.9,no.1,pp.64–72,2011.
[10]M.Intelligence,“Annual security report,” Symantec Corp,2010.
[11]S.Greengard,“The war against botnets,”Communications of the ACM,vol.55,no.2,pp.16–18,2012.
[12]S.T.Zargar,J.Joshi,and D.Tipper,“A survey of defen se mechanismsagainst distributed denial of service(DDoS)floo ding attacks,”IEEE Commun.Surveys Tuts.,vol.15,no.4,pp.2046–2069,4th Quart.2013.
[13]S.Ranjan,R.Swaminathan,M.Uysal,and E.W.Knightl y,“DDoSresilientscheduling to counter application layer attacks under imperfectdetection,” in Prof.IEEE INFOCOM,Apr.2006.
[14]V.Igure and R.Williams,“Taxonomies of attacks and vulnerabilities in computer systems,” Communications Surveys & Tutorials,IEEE,vol.10,no.1,pp.6–19,2008.
[15]J.Yuan and K.Mills,“Monitoring the macroscopic effe ct of DDoS flooding attacks,” Dependable and Secure Comp uting,IEEE Transactions on,vol.2,no.4,pp.324–335,2005.
[16] M.Fakrul Alam,“Application layer ddos a practical a pproach &mitigation techniques,” bdHUB Limited,2014.
[17]S.T.Zargar,J.Joshi,and D.Tipper,“A survey of defen se mechanisms against distributed denial of service(DDoS)flo oding attacks,” IEEE Commun.Surveys Tuts.,vol.15,no.4,p p.2046–2069,4th Quart.2013.
[18]“Riorey taxonomy of DDoS attacks,” RioRey Inc.,Bethesda,MD,USA,Tech.Rep.Rioreytaxonomy rev 2.3 201 2,2012.[Online].Available:http://www.riorey.com/x-resourc es/2012/RioReyTaxonomyDDoSAttacks2012.eps
[19]S.Farahmandian et al.,“A survey on methods to defen d against DDoS attack in cloud computing,” in Proc.Recent Adv.Knowl.Eng.Syst.Sci.,F(xiàn)eb.2013,pp.185–190.
[20]P.Ferguson,“Network ingress filtering:Defeating denia l of service attacks which employ IP source address spoofin g,” Internet Eng.Task Force(IETF),F(xiàn)remont,CA,USA,I nternet RFC 3704,2000.
[21]J.Li et al.,“SAVE:Source address validity enforcement protocol,” in Proc.IEEE INFOCOM,2002.
[22]T.Peng,C.Leckie,and K.Ramamohanarao,“Survey of network-based defense mechanisms countering the DoS and DDoS problems,” ACMComput.Surveys,vol.39,no.1,pp.1–42,Apr.2007.
[23]R.Stone et al.,“Centertrack:An IP overlay network f or tracking DoS floods,” in Proc.USENIX Security Symp.,2000.
[24]S.Savage,D.Wetherall,A.Karlin,and T.Anderson,“Pr actical network support for IP traceback,”SIGCOMM Compu t.Commun.Rev,vol.30,no.4,pp.295–306,Aug.2000.
[25]A.C.Snoeren et al.,“Hash-based IP traceback,” SIGC OMM Comput.Commun.Rev.,vol.31,no.4,pp.3–14,2001.
[26] Chen Y,Hwang K.Collaborative change det-ection of DDoS attacks on community and ISP net-works.In:Proc.of the IEEE Int’l Symp.on Collaborative T-echnologies and S ystems(Special Sessions on Col- lab-oration Grids and Commu nity Networks).Las Veg-as,2006.401?410.[doi:10.1109/CTS.2006.27]
[27]Yuan J,Mills K.Monitoring the macroscopic effect o f DDoS flooding attacks.IEEE Trans.on Dependable and Secur e Computing,2005,2(4):324?335.[doi:10.1109/TDSC.20 05.50]
[28]Sekar V,Duffield N,Merwe JVD,Zhang H.LADS:Large-scale automated DDoS detection system.In:Proc.of the USENIX Annual Technical Conf.Santa Clara,2006.
[29]Chen W,Yeung DY.Defending against TCP S-YN flooding attacks under different types of IP spo-ofing.In:Proc.of the Int’l Conf.on Networking,Syst- ems,Mobile Commu nications and Learning Technologies.Washington,2006.
[30]Weiler N.Honeypots for distributed denial of service attacks.In:Proc.of the 11th IEEE Int’l Work- shops on Enab ling Technologies:Infrastructure for C-ollaborative Enterprises.Pittsburgh,2002.
[31]Siegler S,,Moskowitz G D,F(xiàn)reedman W,. DDoS Attack Detection at Local Area Networks Using Information Th eoretical Metrics[C]// IEEE International Conference on Trust,Se curity and Privacy in Computing and Communications.2013.
[32]LI Qiao,HE Hui,FANG Bin-Xing.Awareness of the Network Group Anomalous Behaviors Based on Network Tr ust.Chinese Journal of Computers,2014.
[33]Sun Zhi-Xin,Jiang Ju-Liang,Jiao Lin.DDoS Attack Detecting and Defending Model.Nanjing Univ-ersity of Posts and Telecommunications,2007.
[34]H.C.J.Suh,T.Y.W.Yoon,T.Kwon,and Y.Choi,“Imple mentation of a content-oriented networking architecture(CO NA):A focus on DDoS countermeasure,” in Prof.Eur.NetF PGA Develop.Workshop,2010.
[35]Yang Xiang,,Zhongwen Li,"An Analytical Model for DDoS Attacks and Defense," Computing in the Global I nformation Technology,International Multi-Conference on,p.66,International Multi-Conf-erence on Computing in the Gl obal Information Te- chnology -(ICCGI'06),2006.
[36]YANG Xin-Yu YANG Shu-Sen LI Juan.A Floo-di ng-Based DDoS Detection Algorithm Based on N-on-Linear Preprocessing Network Traffic Predicted Method.Chinese Jo urnal of Computers,2011,34(02):395-405(in Chinese).
[37]A.Kolupaev and J.Ogijenko,“Captchas:Huma-ns vs.b ots,” IEEE Security Privacy,vol.6,no.1,pp.68–70,Jan.2008.
[38]R.Datta,J.Li,and J.Wang,“Exploiting the hu-manmachine gap in image recognition for designing c-aptchas,” IEE E Trans.Inf.ForensicsSecurity,vol.4,no.3,pp.504–518,Sep.2009.
[39]Dantas Y G,Nigam V,F(xiàn)onseca I E.A Selecti-ve De fense for Application Layer DDoS Attacks[C]// IEEE Joint In telligence and Security Informatics Conf-erence,JISIC.2014.
[40]LIU Min-Xia,YU Jie,LI Qiang.Research on P2-Pas ed DDoS attacks and their defense mechanism.Ap-plication Res earch of Computers,2011.
[41]C.YuHunag,T.MinChi,C.YaoTing,C.YuChieh,an d C.YanRen,“A novel design for future on-demandservice an d security,” in Proc.12thIEEE Int.Conf.Commun.Technol,20 10.
[42]A.Lara,A.Kolasani.a(chǎn)nd B.Ramamurthy.Network innovat ion usingopenflow:A survey.IEEE Commun.S-urveys Tuts..vo l.15,no.4,pp.2046–2069,4th Quart.2013.
[43]Yu S,Tian Y,Guo S,et al.Can We Beat DDoS Attac ks in Clouds[J].IEEE Transactions on Parallel & Distributed Sy stems,2014.
國家自然科學(xué)基金(61363071,61379145,61471169);海南省自然科學(xué)基金(614220);湖南省教育科學(xué)十二五規(guī)劃課題資助項(xiàng)目(XJK011BXJ004);海南大學(xué)博士啟動(dòng)基金(kyqd1328).海南大學(xué)青年基金(qnjj1444)。