智慧可信網(wǎng)絡(luò)DDoS攻擊防御策略研究

，

(1. 許昌學(xué)院 電氣機(jī)電工程學(xué)院，河南 許昌461000；2. 許昌市公安局，河南 許昌461000)

近年嚴(yán)重危害的網(wǎng)絡(luò)安全事件頻出，勒索病毒網(wǎng)絡(luò)武器幾小時(shí)內(nèi)就影響了全球數(shù)十個(gè)國(guó)家并急速蔓延至150多個(gè)國(guó)家；英特爾芯片曝出多個(gè)安全漏洞可受遠(yuǎn)程攻擊等．各類網(wǎng)絡(luò)安全事件已經(jīng)深刻影響了政治、經(jīng)濟(jì)、軍事、生活等各個(gè)層面．隨著嵌入式物聯(lián)網(wǎng)、智慧城市的推進(jìn)和普及，網(wǎng)絡(luò)攻擊者在設(shè)備擁有者不知情的情況下，利用嵌入式物聯(lián)網(wǎng)設(shè)備的漏洞傳播惡意代碼或創(chuàng)建僵尸網(wǎng)絡(luò)，將非 PC 嵌入式設(shè)備作為攻擊目標(biāo)．海量嵌入式物聯(lián)網(wǎng)終端將逐漸成為 DDoS 攻擊主要來源，已可形成超高容量的 DDoS 攻擊源，攻擊的規(guī)模、頻度、復(fù)雜性、影響和損失正快速增長(zhǎng)[1]．海量嵌入式物聯(lián)網(wǎng)設(shè)備的應(yīng)用給傳統(tǒng)互聯(lián)網(wǎng)絡(luò)安全領(lǐng)域帶來了挑戰(zhàn)也拓展了許多可研究探索的空間．

1 技術(shù)背景

新型DDoS攻擊在智慧網(wǎng)絡(luò)中表現(xiàn)體現(xiàn)為：攻擊者主動(dòng)發(fā)出大量新標(biāo)識(shí)數(shù)據(jù)，接入交換路由組件接收到這些數(shù)據(jù)后，被動(dòng)的向映射解析服務(wù)組件發(fā)送請(qǐng)求，進(jìn)而得到轉(zhuǎn)發(fā)映射指令．由于數(shù)據(jù)流量大，映射解析服務(wù)組件會(huì)接收到巨量反饋消息，并被迫對(duì)所有消息進(jìn)行處理．在消息處理過程中，映射解析服務(wù)組件的各項(xiàng)資源被惡意占用、消耗，致使映射解析組件無法正常工作，達(dá)到足夠量即使網(wǎng)絡(luò)癱瘓崩潰．

2 技術(shù)分析

與傳統(tǒng)拒絕服務(wù)攻擊方式相比，智慧網(wǎng)絡(luò)技術(shù)環(huán)境下的新型DDoS攻擊的檢測(cè)和防御都非常難易有效的去確認(rèn)和針對(duì)[2]．首先，攻擊者在初起發(fā)動(dòng)DDoS攻擊時(shí)，傾向于使用低流量的數(shù)據(jù)．隨著攻擊的持續(xù)，無論數(shù)據(jù)總量高或低，接入交換路由組件封裝的只是其中極少部分，然后轉(zhuǎn)發(fā)至映射解析服務(wù)組件，剩余數(shù)據(jù)部分不會(huì)影響映射解析．因此，降低自身消耗，提高攻擊效率，攻擊者不然會(huì)采取低流量數(shù)據(jù)手段．伴隨著大量正常數(shù)據(jù)進(jìn)行接入請(qǐng)求時(shí)，網(wǎng)絡(luò)同樣會(huì)產(chǎn)生阻塞．所以僅依賴輸入數(shù)據(jù)流隊(duì)列，映射解析組件并不足以判斷是否遭受拒絕服務(wù)攻擊．其次、攻擊數(shù)據(jù)流平均分布在各個(gè)子設(shè)備網(wǎng)絡(luò)，在不同接入子網(wǎng)環(huán)境下，通過接入不同交換路由組件發(fā)送攻擊數(shù)據(jù)，分散的數(shù)據(jù)在接入交換路由組件的總量中占比很低，此類攻擊難易檢測(cè)．

通過以上分析，與傳統(tǒng)拒絕服務(wù)攻擊方式相比，智慧網(wǎng)絡(luò)技術(shù)環(huán)境中的新型DDoS攻擊的檢測(cè)和防御都比較難易有效的確認(rèn)及針對(duì). 基于此，提出了面向網(wǎng)絡(luò)DDoS攻擊的接入網(wǎng)流檢測(cè)與防御方法，以進(jìn)一步提高面對(duì)DDoS攻擊的防御能力．

3 方法研究

針對(duì)傳統(tǒng)拒絕服務(wù)攻擊方式，可以選擇對(duì)網(wǎng)絡(luò)控制組件的數(shù)據(jù)進(jìn)行過濾，實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)控域．這種防御方法要求，交換路由設(shè)備向網(wǎng)絡(luò)控制端發(fā)送數(shù)據(jù)前，先要進(jìn)行數(shù)據(jù)頭的字段值統(tǒng)計(jì)，并過濾雷同字段包．但是，針對(duì)此類非傳統(tǒng)拒絕服務(wù)攻擊方式，攻擊者會(huì)生成與已記錄數(shù)據(jù)字段值不同的數(shù)據(jù)包，方法效果有限．還有一種基于信息熵的DDoS攻擊檢測(cè)方法[3]．該方法假設(shè)正常數(shù)據(jù)的目的IP地址均勻分布，而在攻擊數(shù)據(jù)流中，威脅IP會(huì)集中出現(xiàn)．但攻擊者又總是會(huì)采取生成大量不同IP數(shù)據(jù)，消耗網(wǎng)絡(luò)控制組件的資源，從而達(dá)到攻擊的目的．所以，已知的方法在檢測(cè)、防御新型的DDoS攻擊方式上存在不足．新型的DDoS攻擊方式，會(huì)驅(qū)動(dòng)大量僵尸設(shè)備．傀儡端攻擊過程中，通常只會(huì)遵從攻擊的指令進(jìn)行數(shù)據(jù)發(fā)送[4]．而網(wǎng)絡(luò)基本的通信響應(yīng)，傀儡端很難做出針對(duì)性反應(yīng)．我們從該特征點(diǎn)著手，在接入交換路由組件的接入端口增加連接檢測(cè)功能．當(dāng)映射解析服務(wù)組件檢測(cè)到網(wǎng)絡(luò)遭受攻擊，通過面向網(wǎng)絡(luò)DDoS攻擊的接入網(wǎng)流檢測(cè)方法確定了接入交換路由組件的脆弱端口時(shí)，可以啟動(dòng)脆弱端口的連接檢測(cè)功能[5]．

連接檢測(cè)功能可以通過簡(jiǎn)單網(wǎng)絡(luò)協(xié)議，進(jìn)行收發(fā)包檢測(cè)實(shí)現(xiàn)，如TCP的握手協(xié)議．脆弱端口向己接收數(shù)據(jù)包的源端發(fā)起TCP連接請(qǐng)求[6]．如果源端設(shè)備響應(yīng)SYN/ACK數(shù)據(jù)包，那么脆弱端口向其發(fā)送ACK數(shù)據(jù)包，結(jié)束此次連接；如果源端設(shè)備沒有響應(yīng) SYN/ACK數(shù)據(jù)包，則表示未能建立連接，那么中止與該端口的通信．連續(xù)數(shù)次的觀測(cè)到即可確定檢測(cè)到攻擊如圖1所示．僅在連接檢測(cè)功能擴(kuò)展后，就足以排除大量的傀儡段攻擊包，大大釋放交換路由組件與映射解析組件之間的信息流．

4 結(jié)語(yǔ)

傳統(tǒng)檢測(cè)、防御DDoS攻擊方式方法上存在不足．結(jié)合智慧網(wǎng)絡(luò)工作的特性，面向網(wǎng)絡(luò)DDoS攻擊的接入網(wǎng)流檢測(cè)與防御方法，將數(shù)據(jù)流區(qū)分兩種類型：正常數(shù)據(jù)流和低流量數(shù)據(jù)流具，進(jìn)行檢測(cè)可以有效針對(duì)利用接入交換路由與映射解析之間通信特征的網(wǎng)絡(luò)攻擊，方法準(zhǔn)確、高效．