基于GUARD的DDOS攻擊防護(hù)策略

夏元軼++趙俊峰

摘 要 分布式拒絕服務(wù)（distributed denial of service，簡(jiǎn)稱DDOS）攻擊是當(dāng)今互聯(lián)網(wǎng)的重要威脅之一?；诠舭幘W(wǎng)絡(luò)層次，將DDOS攻擊分為網(wǎng)絡(luò)層DDOS攻擊和應(yīng)用層DDOS攻擊，介紹了基于GUARD的DDOS攻擊防護(hù)策略，最后分析了現(xiàn)有檢測(cè)和控制方法應(yīng)對(duì)DDOS攻擊的不足，并探究了GUARD在DDOS攻擊防護(hù)中的應(yīng)用與發(fā)展趨勢(shì)。

【關(guān)鍵詞】DDOS攻擊 GUARD技術(shù)

1 DDOS攻擊與防護(hù)的現(xiàn)狀

大多數(shù)情況下，網(wǎng)絡(luò)中的數(shù)據(jù)包利用TCP/IP協(xié)議傳輸，這些數(shù)據(jù)包遵循正常的協(xié)議規(guī)范，是無(wú)害的，但是如果出現(xiàn)過(guò)多的異常數(shù)據(jù)包，就會(huì)造成網(wǎng)絡(luò)設(shè)備或者服務(wù)器過(guò)載；或者數(shù)據(jù)包利用了某些協(xié)議的缺陷，人為的不完整或畸形，就會(huì)造成網(wǎng)絡(luò)設(shè)備或服務(wù)器無(wú)法正常處理，迅速消耗了系統(tǒng)資源，造成拒絕服務(wù)，這就是DDOS的工作原理。DDOS攻擊之所以難以防范，就在于攻擊流和正常流混合在一起，很難有效地分辨出攻擊流。

2 傳統(tǒng)防護(hù)方案的不足

傳統(tǒng)安全設(shè)備對(duì)DDOS的防護(hù)策略為“簡(jiǎn)單閾值策略”，“簡(jiǎn)單閾值策略”是一種基于網(wǎng)絡(luò)層的檢測(cè)機(jī)制，即統(tǒng)計(jì)單位時(shí)間（通常以秒為單位時(shí)間）內(nèi)來(lái)自同一源IP的數(shù)據(jù)包數(shù)量，當(dāng)單位時(shí)間內(nèi)來(lái)自同一源IP的數(shù)據(jù)包數(shù)量超過(guò)臨界值時(shí)，就認(rèn)為該IP為隱患攻擊源，并拒絕來(lái)自該IP的所有數(shù)據(jù)請(qǐng)求。

這種“簡(jiǎn)單閾值策略”的檢測(cè)和清洗方式存在以下弊端：“簡(jiǎn)單閾值策略”只統(tǒng)計(jì)數(shù)量，不觀察數(shù)據(jù)包的特征，當(dāng)出現(xiàn)正常訪問(wèn)流量高峰時(shí)會(huì)產(chǎn)生誤判和誤殺；傳統(tǒng)安全設(shè)備的“簡(jiǎn)單閾值策略”的每次計(jì)數(shù)都需要經(jīng)過(guò)CPU處理，當(dāng)DDOS攻擊源分散且流量大時(shí)，安全設(shè)備會(huì)先因CPU能力不足而崩潰，原本用于防護(hù)的設(shè)備反而成為了網(wǎng)絡(luò)中的第一故障點(diǎn)。傳統(tǒng)安全設(shè)備通常串行于主干線路，串行連接即故障隱患。

3 GUARD在DDOS攻擊防護(hù)中的應(yīng)用

3.1 DDOS防護(hù)技術(shù)檢測(cè)聯(lián)動(dòng)和旁路清洗

DDOS防護(hù)技術(shù)應(yīng)采用一種更先進(jìn)的，規(guī)避上述三種弊端的技術(shù)，具備更智能的檢測(cè)和防護(hù)策略，設(shè)備應(yīng)通過(guò)多種機(jī)制檢測(cè)數(shù)據(jù)的合法性，避免誤判和誤殺；

具備獨(dú)立的用于檢測(cè)和防護(hù)DDOS攻擊的芯片，而不是以消耗CPU為代價(jià)的冒險(xiǎn)式防護(hù)；避免設(shè)備串行于主干線路中，網(wǎng)絡(luò)正常時(shí)數(shù)據(jù)不需要流經(jīng)設(shè)備，只有發(fā)生攻擊時(shí)，設(shè)備才成為流量路徑上的關(guān)卡。

抗DDOS由檢測(cè)設(shè)備和清洗設(shè)備兩種設(shè)備組成。檢測(cè)設(shè)備采用旁路分光或鏡像模式，確保在物理和邏輯上均不會(huì)成為網(wǎng)絡(luò)中的串行節(jié)點(diǎn)。清洗設(shè)備采用旁路模式，出現(xiàn)攻擊時(shí)可通過(guò)自動(dòng)改變路由成為網(wǎng)絡(luò)中的串行節(jié)點(diǎn)，起到流量清洗的作用。

高效的異常流量檢測(cè)和清洗技術(shù)，以支持深度包檢測(cè)技術(shù)，兩者以進(jìn)一步確定隱藏在后臺(tái)的流量攻擊報(bào)文，輸出NetStreamFlow流量的NetFlow的網(wǎng)絡(luò)設(shè)備的信息，通過(guò)分析和對(duì)流量的檢測(cè)，以實(shí)現(xiàn)準(zhǔn)確的高效地鑒定。高度的使用和分發(fā)多核硬件配置，以便產(chǎn)生一個(gè)高性能清洗異常業(yè)務(wù)到因特網(wǎng)，可以通過(guò)智能多裝置簇群集方法來(lái)實(shí)現(xiàn)自動(dòng)牽引和業(yè)務(wù)流的靈活重新注入。路由器/交換機(jī)到DDOS攻擊，當(dāng)發(fā)現(xiàn)異常流量的清洗設(shè)備的鄰位路由器。 BGP路由更新通過(guò)線路自動(dòng)發(fā)布，快速使用用戶流量。在另一方面，基于策略的路由的MPLS VPN中和通過(guò)GRE的VPN清洗設(shè)備，二層透明傳輸，清洗等方法并重新注入高速流量用戶后，正常的流量不會(huì)受到影響。

3.2 異常流量清洗設(shè)備的指紋識(shí)別防護(hù)

當(dāng)網(wǎng)絡(luò)出現(xiàn)異常的時(shí)候，會(huì)有某一種指紋分布出現(xiàn)波動(dòng)，超過(guò)我們建立的分布模型值，這時(shí)就可以根據(jù)這個(gè)指紋特征對(duì)異常報(bào)文進(jìn)行過(guò)濾。如果僅采用單個(gè)指紋特征的進(jìn)行防護(hù)的效果不會(huì)理想（單個(gè)指紋特征就像“簡(jiǎn)單閾值防護(hù)”），所以可采用多個(gè)報(bào)文特征聚合成一個(gè)指紋特征的方法，例如源IP和TTL組合成一個(gè)整體，作為一個(gè)指紋進(jìn)行統(tǒng)計(jì)過(guò)濾，這樣對(duì)于一些復(fù)雜的異常流量攻擊會(huì)有更好的效果。流量清洗防護(hù)將成為專業(yè)的，日常和攻擊時(shí)都不會(huì)影響業(yè)務(wù)的防護(hù)模式。

4 總結(jié)與展望

在某些情況下，機(jī)器可能成為所有者同意的DDOS攻擊的一部分，在操作回收中，這些攻擊可以使用不同類型的互聯(lián)網(wǎng)分組，如TCP，UDP，ICMP等。這些系統(tǒng)泄漏者的集合被稱為僵尸網(wǎng)絡(luò)/根服務(wù)器。像Stacheldraht這樣的DDOS工具仍然使用以IP欺騙和放大為中心的經(jīng)典DoS攻擊方法，如smurf攻擊和脆弱攻擊（這些攻擊也稱為帶寬消耗攻擊），也可以使用SYN洪水。較新的工具可以使用DNS服務(wù)器用于DoS目的。與MyDoom的DDOS機(jī)制不同，僵尸網(wǎng)絡(luò)可以針對(duì)任何IP地址。腳本小子使用它們來(lái)拒絕合法用戶知道的網(wǎng)站的可用性。更復(fù)雜的攻擊者使用DDOS工具來(lái)勒索，甚至針對(duì)他們的業(yè)務(wù)競(jìng)爭(zhēng)對(duì)手，簡(jiǎn)單的攻擊如SYN洪水可能出現(xiàn)與廣泛的源IP地址，給出一個(gè)分布良好的DoS的外觀。這些泛洪攻擊不需要完成TCP三次握手，并嘗試耗盡目標(biāo)SYN隊(duì)列或服務(wù)器帶寬。由于源IP地址可能被輕易地欺騙，攻擊可能來(lái)自有限的一組源，或甚至可能源自單個(gè)主機(jī)。堆棧增強(qiáng)（例如syn cookie）可能有效減輕SYN隊(duì)列溢出，但是完全的帶寬耗盡可能需要涉及。如果攻擊者從單個(gè)主機(jī)加載攻擊，則會(huì)被歸類為DoS攻擊，事實(shí)上，任何對(duì)可用性的攻擊都將被歸類為拒絕服務(wù)攻擊。另一方面，如果攻擊者使用許多系統(tǒng)同時(shí)對(duì)遠(yuǎn)程主機(jī)發(fā)起攻擊，這將被歸類為DDOS攻擊。檢測(cè)和防御DDOS攻擊仍舊是一個(gè)艱巨的課題。而區(qū)分DDOS攻擊流和正常的突發(fā)流就成了問(wèn)題的關(guān)鍵。

參考文獻(xiàn)

[1]吳楊，祝凱捷，李偉，王凱，王東霞.DDOS攻擊檢測(cè)誤報(bào)警去除策略研究[J].信息工程大學(xué)學(xué)報(bào)，2016（04）.

[2]賈斌，馬嚴(yán)，趙翔.基于組合分類器的DDOS攻擊流量分布式檢測(cè)模型[J].華中科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2016（S1）.

[3]張瑋.防御和控制DDOS攻擊新方法的研究[J].黑龍江科技信息，2016（32）.

[4]莊建兒.淺析網(wǎng)絡(luò)DDOS攻擊與治理[J].通訊世界，2015（01）.

作者單位

國(guó)網(wǎng)江蘇省電力公司信息通信分公司 江蘇省南京市 210024