針對DoS攻擊的端信息跳變防護技術研究

◆田 楠 蒲 江

（中國人民解放軍91977部隊 北京 100841）

拒絕服務攻擊（DoS，Denial of Service）是當前網(wǎng)絡攻擊中影響最大、危害最深的攻擊方式之一。根據(jù)2017年電子犯罪調(diào)查顯示，在所有網(wǎng)絡攻擊手段中，DoS攻擊占到了一半左右。美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）專門對DoS攻擊給出了明確定義：DoS是一種通過耗盡CPU、內(nèi)存、帶寬、磁盤空間等系統(tǒng)資源，來阻止或削弱對網(wǎng)絡、系統(tǒng)、應用程序等授權操作的行為[1]。

傳統(tǒng)的“封堵查殺”等網(wǎng)絡安全防護技術手段，在應對DoS攻擊時存在明顯的不足。例如防火墻、入侵檢測技術等，其主要工作原理是通過監(jiān)測分析具有異常特征行為的數(shù)據(jù)流量，并過濾掉異常流量對主機的訪問實現(xiàn)防護。但是隨著DoS攻擊的升級，這些防護手段在面對DDoS攻擊時存在明顯的不足，DDoS攻擊規(guī)模理論上沒有上限，用有限的計算資源來監(jiān)測分析無限的攻擊流量，這本身就形成了一種拒絕服務攻擊。

為了更好地應對DoS攻擊，研究人員也提出了一些抵御DoS攻擊的方法，如蜜罐技術、隱藏減緩技術、SYN Cookie技術等，這些技術的基本思想都是通過隱藏目標主機的地址，使攻擊者無法找到攻擊目標，從而實現(xiàn)防護。正是在這一思路的啟發(fā)下，提出產(chǎn)生了端信息跳變技術。

1 端信息跳變技術

1.1 基本原理

端信息跳變技術是指在通信時，通信雙方按照預先約定的協(xié)議，偽隨機地改變通信地址、端口、加密算法參數(shù)等信息，從而使攻擊者無法獲得目標主機的信息，無法實施攻擊，從而實現(xiàn)網(wǎng)絡防護。

端信息跳變可以是單方的端信息跳變，也可以是通信主機雙方對等的端信息跳變。由于雙方的跳變系統(tǒng)實現(xiàn)很復雜，目前的研究和原型系統(tǒng)大都集中于服務器單方面的端信息跳變。

1.2 相關工作

近年來，基于端信息跳變的防御技術逐漸引起了研究人員的關注，在網(wǎng)絡安全防護方面也開展了相關應用。美國軍方在2003年開展的 APOD[2][3]項目中研發(fā)了一種基于虛假端口地址跳變的抗端口掃描和抗 DoS攻擊的網(wǎng)絡防護方法。該方法中采用了端口和地址跳變的混合跳變防御策略，在數(shù)據(jù)傳輸通信中使用虛假地址和端口對真實地址和端口進行隱藏。在國內(nèi)，南開大學林楷、賈春福等人[4][5][6]提出了基于端信息跳變的主動網(wǎng)絡防護系統(tǒng)模型，該模型通過偽隨機地改變端地址信息，破壞攻擊者干擾，實現(xiàn)網(wǎng)絡防護。Lee H C J[7]團隊將網(wǎng)絡通信時間劃分為等間隔的離散時隙，以時隙作為生成因子，由時隙和生成函數(shù)來生成網(wǎng)絡通信的端口，從而使攻擊者無法鎖定攻擊的目標端口。Mills D L[8]等人則利用端口跳變實現(xiàn)通信端口的隱蔽，探討了端口跳變在實現(xiàn)過程中需要解決的密鑰管理、端口同步等問題。

2 端信息跳變防御系統(tǒng)模型

本節(jié)以服務端一方的端信息跳變?yōu)槔?，簡要介紹基于端信息跳變防御系統(tǒng)模型以及工作模式，其示意圖如圖1所示。

圖1 端信息跳變防御模型

端信息防御系統(tǒng)包括四個模塊：服務模塊、控制模塊、同步模塊和客戶端模塊。

（1）服務模塊是由多個具有相同硬件性能與軟件系統(tǒng)的服務器，采用服務器集群的方式組織起來協(xié)同工作。服務模塊是各種網(wǎng)絡服務的提供者，如Web服務，F(xiàn)TP服務等，客戶端通過遠程訪問服務器獲取網(wǎng)絡服務。服務模塊中的每臺服務器具有不同的 IP地址，其上運行相同的服務實例，用戶的訪問請求可以在不同的服務器間跳轉(zhuǎn)，從而隱藏服務器的真實端信息。當客戶端請求的服務具有時間延續(xù)性時，服務模塊需要通過服務遷移技術，實現(xiàn)網(wǎng)絡服務在不同服務器上的熱遷移，保證服務的延續(xù)性。

（2）控制模塊負責控制服務在不同服務器之間跳轉(zhuǎn)。根據(jù)預定的時隙設置，控制模塊將下一跳服務器的地址等各類端口信息發(fā)送給同步模塊，同步模塊協(xié)同控制模塊將服務遷移到下一跳服務器。

（3）同步模塊是整個跳變系統(tǒng)的中樞，其中包含同步策略和控制機制，同步策略明確通信雙方以何種方式實現(xiàn)端信息的偽隨機變換，控制機制則根據(jù)同步策略制定的辦法，實現(xiàn)通信對端的端信息跳變。

（4）客戶端模塊中部署有與控制模塊相同的同步策略與控制機制，通過與同步模塊協(xié)同，實現(xiàn)端信息的同步。

3 關鍵核心技術

在端信息跳變系統(tǒng)中，端端之間的同步策略和服務端的服務遷移技術是難點，同時也是系統(tǒng)的關鍵核心技術。

3.1 同步策略

常見的同步策略有嚴格時間同步和ACK應答同步。

（1）嚴格時間同步實現(xiàn)簡單。服務端將開啟服務的時間段，以等長的時間片段切片，指明每個時間段內(nèi)提供服務的節(jié)點端信息，并形成時間表發(fā)布給客戶端?？蛻舳苏埱蠓諘r，根據(jù)系統(tǒng)時間及時間表規(guī)定的端信息，訪問指定服務端。

（2）ACK報文應答同步

ACK應答同步是在客戶端和提供服務的同步模塊上同時維護一個 ACK報文計數(shù)器，計數(shù)器記錄的是已成功發(fā)送完成的ACK報文數(shù)量，將ACK報文數(shù)量作為生成因子來決定此時應該提供服務的端節(jié)點。ACK應答同步的缺點是將報文計數(shù)放在通信協(xié)議中，容易被攻擊者截獲。

為了克服嚴格時間同步和ACK報文應答同步的缺陷，本文提出一種基于時間戳的同步策略。其工作模式如圖2所示。

圖2 基于時間戳的同步流程

基于時間戳的同步策略將時間戳作為同步因子，在同步模塊和客戶端模塊存儲有相同的同步策略算法：

1）同步模塊讀取系統(tǒng)時間戳，以時間戳為生成因子，通過同步策略算法計算獲得新服務器的標識信息，并將服務器標識發(fā)送至控制模塊；

2）控制模塊收到服務器標識信息和啟動指令后，關閉舊服務器，啟動新服務器，完成服務切換，并將結(jié)果反饋給同步模塊；

3）同步模塊收到新服務啟動成功指令后，更新時間戳；

4）客戶端模塊向同步模塊發(fā)送訪問請求；

5）同步模塊向客戶端模塊返回時間戳；

6）客戶端模塊通過同步策略算法和新的時間戳，計算出當前服務的端信息并請求服務。

基于時間戳同步的策略思路源于嚴格時間同步，相比于嚴格時間同步，能有效應對網(wǎng)絡環(huán)境下的時間延遲問題。

3.2 服務切換技術

服務切換技術是端信息跳變系統(tǒng)的另一大關鍵難點，目前主要的技術手段是通過在客戶端和服務器之間部署跳變代理實現(xiàn)服務的切換。服務端服務器的 IP地址為內(nèi)部地址，外部客戶端無法直接訪問服務器，客戶端對服務器的訪問都通過跳轉(zhuǎn)代理實現(xiàn)，每個跳轉(zhuǎn)代理具有獨立的外部 IP地址，具有接收和發(fā)送數(shù)據(jù)包的功能?？蛻舳税l(fā)送訪問請求時，首先通過同步模塊得到服務端信息，與對應的跳轉(zhuǎn)代理進行通信。跳轉(zhuǎn)代理介于客戶端和服務器之間完成數(shù)據(jù)轉(zhuǎn)發(fā)。

4 結(jié)論

端信息跳變系統(tǒng)通過協(xié)商通信雙方的同步策略，隱藏通信雙方的端信息，是一種動態(tài)網(wǎng)絡防御技術，與傳統(tǒng)的“老三樣”防護技術相比具有較強的抗攻擊性和抗截獲性。目前，該技術的研究成果尚處于理論研究和原型系統(tǒng)驗證階段。但其理論研究與實驗結(jié)果表明，該技術在防御難度大的 DoS攻擊時具有較好的主動防護性能。未來針對同步策略、跳變策略等重難點技術可進一步展開有效的理論和實踐研究，從而能夠?qū)Ψ雷o DoS攻擊產(chǎn)生積極效果。