基于DDoS攻擊的防治策略

甄龍飛

摘要：為了強(qiáng)化計算機(jī)網(wǎng)絡(luò)信息安全的重要性，針對威脅互聯(lián)網(wǎng)安全的慣性手段進(jìn)行研究，通過分析找尋對網(wǎng)絡(luò)攻擊行之有效的預(yù)防途徑或措施。以高隱蔽性、易操控性、強(qiáng)破壞性著稱的分布式拒絕服務(wù)（DDoS）攻擊為特例入手，通過研究其基本概念、特征和攻擊原理研究出有效避免和預(yù)防DDoS攻擊的方法，并通過實驗進(jìn)行研究和分析。

關(guān)鍵詞：計算機(jī)網(wǎng)絡(luò)安全；DDoS攻擊；預(yù)警閾值；防范措施

中圖分類號：TP393文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2020）07-69-3

0引言

網(wǎng)絡(luò)信息化時代的迅猛發(fā)展與革新，使計算機(jī)網(wǎng)絡(luò)已成為社會發(fā)展和人民生活中不可或缺的一部分，在潛移默化中影響著人們?nèi)粘５纳詈凸ぷ?。計算機(jī)、智能機(jī)、無線網(wǎng)絡(luò)及智能家電等在人們的生活中隨處可見，為人們帶來了前所未有的方便與快捷，但在提供便捷的同時也帶來了網(wǎng)絡(luò)安全的挑戰(zhàn)。人們常以網(wǎng)絡(luò)攻擊、信息泄密及網(wǎng)絡(luò)黑客等作為日常談資，卻不明白真正的含義和危害性。

截止目前，我國國家互聯(lián)網(wǎng)應(yīng)急中心CERT發(fā)布了一份《2019年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢》的報告，報告顯示現(xiàn)在最新、最流行的網(wǎng)絡(luò)攻擊方式以高隱蔽性、易操控性和強(qiáng)破壞性著稱的DDoS攻擊為主，肆虐網(wǎng)絡(luò)空間、竊取人們的隱私、入侵企業(yè)平臺、危害個人財產(chǎn)安全及攻擊國家網(wǎng)絡(luò)等，造成極為惡劣的影響，因此重視網(wǎng)絡(luò)安全極為重要。

1 DDoS攻擊

DDoS是指處于不同地域的多個攻擊方同時向一個或數(shù)個目標(biāo)發(fā)動攻擊[1]，或一個攻擊者控制了位于不同方位的多臺網(wǎng)絡(luò)設(shè)備并利用這些設(shè)備對被攻擊對象同時實施攻擊的一種手段。由于攻擊的出發(fā)點分布在不同地域，這類攻擊統(tǒng)稱為分布式拒絕服務(wù)攻擊。最常見的攻擊方式[2]有：SYN Flooding攻擊、UDP Flood攻擊、ICMP Flood攻擊、HTTP Get攻擊及UDP DNS Query Flood攻擊等。

1.1攻擊原理

DDoS是以DoS攻擊為主的特殊形式的拒絕服務(wù)攻擊，是一種分布式大規(guī)模協(xié)同集群型的網(wǎng)絡(luò)攻擊。通過利用網(wǎng)絡(luò)協(xié)議和系統(tǒng)漏洞以欺騙和偽裝IP數(shù)據(jù)包的手段來進(jìn)行網(wǎng)絡(luò)攻擊，使網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備充斥大量要求回復(fù)的數(shù)據(jù)包，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)因負(fù)荷過載而癱瘓并終止正常服務(wù)[3]。與DoS相比，DDoS是借助成百上千臺傀儡機(jī)同時發(fā)起的集團(tuán)大規(guī)模攻擊行為，DDoS攻擊原理如圖1所示。

一個DDoS攻擊的完整體系[4]由攻擊者、主控端、傀儡端和攻擊目標(biāo)4個部分組成。主控端和傀儡端分別用于主機(jī)控制和實際發(fā)起攻擊的傀儡機(jī)，其中主控端只發(fā)布命令而不參與實際的攻擊，傀儡端發(fā)出DDoS的實際攻擊包。對于主控端和傀儡端的計算機(jī)，攻擊者對傀儡機(jī)具有實質(zhì)的控制權(quán)，但傀儡端計算機(jī)用戶并不知道自己的電腦已被控制，DDoS在攻擊過程中會利用各種手段隱藏自己而不被發(fā)現(xiàn)。真正的攻擊者一旦將攻擊的命令傳送到傀儡端，攻擊者就可以關(guān)閉計算機(jī)或離開網(wǎng)絡(luò)，而由主控端將命令發(fā)布到各個傀儡主機(jī)上，這樣攻擊者可以逃避追蹤。每一個傀儡端都會向目標(biāo)主機(jī)發(fā)送大量的服務(wù)請求數(shù)據(jù)包，這些數(shù)據(jù)包經(jīng)過偽裝，無法識別它們的來源[5]，而且這些數(shù)據(jù)包所請求的服務(wù)要消耗大量的帶寬和系統(tǒng)資源，造成目標(biāo)主機(jī)無法為用戶提供正常服務(wù)，最終導(dǎo)致系統(tǒng)崩潰。

1.2 DDoS攻擊過程

攻擊者需要控制一臺或多臺計算機(jī)作為傀儡端，通過這些受控的計算機(jī)向有系統(tǒng)漏洞、安全漏洞的其他計算機(jī)或服務(wù)器發(fā)送偽裝的數(shù)據(jù)包來進(jìn)行入侵，并在神不知鬼不覺的情況下控制其設(shè)備作為傀儡，一般受到控制的計算機(jī)會異常響應(yīng)2聲后恢復(fù)正常。

攻擊者控制了傀儡機(jī)就會安裝相應(yīng)功能的攻擊程序[6]，有些攻擊程序具有定時性，也有一些是非定時的，需要攻擊者因時制宜地控制傀儡機(jī)，對目標(biāo)主機(jī)發(fā)起數(shù)據(jù)包攻擊。

發(fā)動攻擊，通常有2種情況：①傀儡機(jī)群安裝的是預(yù)定時攻擊程序，則會在規(guī)定時間內(nèi)對攻擊目標(biāo)進(jìn)行狂轟亂炸，瘋狂地發(fā)送攻擊數(shù)據(jù)包使之陷入癱瘓或死機(jī)以終止服務(wù)；②手動攻擊，攻擊者根據(jù)所需的時間、空間以及地理方位進(jìn)行隨機(jī)性攻擊?，F(xiàn)實情況下一般黑客會選用前者以保護(hù)自己的身份不被泄露和發(fā)覺。

2實驗

2.1實驗準(zhǔn)備

實驗需2臺作為路由網(wǎng)關(guān)的3層交換機(jī)，用以連接攻擊者、傀儡機(jī)群（多臺計算機(jī)）、受攻擊者（包括計算機(jī)和服務(wù)器）和正常網(wǎng)絡(luò)用戶（正常數(shù)據(jù)通信的計算機(jī)）。通過對比受攻擊者和正常網(wǎng)絡(luò)用戶的數(shù)據(jù)流量的實時變化情況，來實時監(jiān)測DDoS攻擊的流量突變情況，并對流量數(shù)據(jù)進(jìn)行統(tǒng)計與收集，通過科學(xué)計算校驗出DDoS攻擊預(yù)警流量值再進(jìn)行預(yù)警以提高技術(shù)員對DDoS攻擊的防范意識，實驗平臺的搭建如圖2所示。

2.2數(shù)據(jù)統(tǒng)計分析

以圖2的實驗拓?fù)鋱D進(jìn)行DDoS攻擊的假設(shè)性實驗，分別對不同對象進(jìn)行模擬攻擊，假設(shè)實驗流程如圖3所示。通過圖2中的流量數(shù)據(jù)統(tǒng)計與分析服務(wù)器進(jìn)行數(shù)據(jù)采集和統(tǒng)計分析，采集數(shù)據(jù)包括SYN Flood攻擊、UDP Flood攻擊及ICMP Flood攻擊等的流量數(shù)據(jù)和異常數(shù)據(jù)包，以及正常用戶的流量值與數(shù)據(jù)包。用收集的實驗數(shù)據(jù)進(jìn)行比對分析并進(jìn)行異常流量窗口值的計算，用以確定對DDoS攻擊的持續(xù)時間的最低預(yù)警閾值。所謂最低預(yù)警閾值是指當(dāng)計算機(jī)或服務(wù)器受到一定時間的DDoS攻擊，將異常數(shù)據(jù)流達(dá)到最低臨界窗口值作為定界標(biāo)準(zhǔn)，以判定是否為DDoS攻擊。當(dāng)前常用的DDoS攻擊預(yù)警值是當(dāng)攻擊流量在一定時間內(nèi)達(dá)到的最大峰值來進(jìn)行判定，如果用DDoS攻擊的異常流窗口值作為最低的預(yù)警閾值，可能會有意想不到的結(jié)果。

2.3科學(xué)計算及定界

眾所周知，Hurst指數(shù)是使用最廣泛、認(rèn)同度最高的表征自相似型的數(shù)學(xué)參數(shù)。Hurst指數(shù)是描述非函數(shù)長周期的重要指標(biāo)，它反映的是一長串相互聯(lián)系事件的結(jié)果。通過計算正常流和異常流的Hurst指數(shù)，可以得到不同種類的網(wǎng)絡(luò)流量的自相似特性，且能夠知道正常的網(wǎng)絡(luò)流量模型是符合自相似模型的[7]。通過與DDoS攻擊的異常流模型進(jìn)行比對，其標(biāo)準(zhǔn)的自相似特性將會發(fā)生改變，從而能判定網(wǎng)絡(luò)流量是否發(fā)生異常，因而能利用這一特點來檢測DDoS攻擊的發(fā)生。

通過對實驗數(shù)據(jù)進(jìn)行Hurst值的計算和曲線圖的對照，利用Hurst指數(shù)的3種形式特性：①如果=0.5，表明時間序列可以用隨機(jī)游走來描述；②如果0.5< <1，表明時間序列存在長期記憶性；③如果0≤<0.5，表明粉紅噪聲（反持續(xù)性），即均值回復(fù)過程，可判定并得出最低預(yù)警閾值。

3對DDoS攻擊的防范措施

DDoS攻擊之所以難以被清除或預(yù)防是因為：①DDoS攻擊利用Internet的開放性和從任意源地址向任意目標(biāo)地址發(fā)送數(shù)據(jù)包的網(wǎng)絡(luò)通信模式[8]，這種開放式的網(wǎng)絡(luò)通信擴(kuò)大了DDoS攻擊包的入侵路徑，提升了受攻擊的輕重程度；②對隱藏在合法數(shù)據(jù)包通信流中的非法數(shù)據(jù)包的辨別和剔除有一定難度，增加了預(yù)防和消除DDoS攻擊的難度。因此，應(yīng)對DDoS攻擊要從網(wǎng)絡(luò)流量異常監(jiān)測、數(shù)據(jù)包的鑒定、系統(tǒng)漏洞周期性修復(fù)及網(wǎng)絡(luò)用戶應(yīng)遵守的規(guī)則等方面入手。

3.1流量異常監(jiān)測

DDoS攻擊是在短時間內(nèi)偽造大量的請求數(shù)據(jù)包發(fā)送給目標(biāo)設(shè)備，導(dǎo)致大量數(shù)據(jù)包在同一時間內(nèi)進(jìn)行請求連接，致使受攻擊設(shè)備沒有足夠的時間去處理這些請求包，因此就會使受攻擊設(shè)備的CPU利用率急劇上升導(dǎo)致其陷入癱瘓。基于此，DDoS攻擊者首先會試探性地攻擊目標(biāo)設(shè)備的系統(tǒng)漏洞，此時會在短時間內(nèi)產(chǎn)生較多的數(shù)據(jù)流量，經(jīng)過部署的安全軟件就會及時監(jiān)控網(wǎng)絡(luò)產(chǎn)生的異常流量流，并告警用戶辨別是否為DDoS攻擊以做好相關(guān)防范措施。

3.2數(shù)據(jù)包的鑒定

通過對數(shù)據(jù)包插入相應(yīng)的辨識幀以防非法用戶偽裝我方網(wǎng)絡(luò)的數(shù)據(jù)來入侵我方網(wǎng)絡(luò)或設(shè)備。一旦我方知曉有DDoS攻擊源正在攻擊網(wǎng)絡(luò)或設(shè)備時，就可以通過辨識幀來甄別非法數(shù)據(jù)包來達(dá)到消除過濾異常非法數(shù)據(jù)流的功用。這樣既不用終止網(wǎng)絡(luò)服務(wù)也不用將合法和非法數(shù)據(jù)包一同刪除或過濾，既能有效防范DDoS攻擊又能維持網(wǎng)絡(luò)服務(wù)正常運行。

3.3系統(tǒng)漏洞周期性修復(fù)

系統(tǒng)漏洞[9]是一種網(wǎng)絡(luò)信息化安全的潛在威脅，主要有應(yīng)用程序漏洞、Web應(yīng)用漏洞、操作系統(tǒng)漏洞、網(wǎng)絡(luò)設(shè)備漏洞及數(shù)據(jù)庫漏洞等，涉及的方式有信息泄露、權(quán)限繞過、遠(yuǎn)程代碼執(zhí)行及弱口令等。系統(tǒng)漏洞在網(wǎng)絡(luò)或設(shè)備中比較常見，如360安全、金山毒霸、瑞星殺毒等安全軟件就常提醒計算機(jī)用戶去修復(fù)漏洞為系統(tǒng)打補(bǔ)丁，其實這就為預(yù)防網(wǎng)絡(luò)攻擊奠定堅實基礎(chǔ)[10]。因此互聯(lián)網(wǎng)用戶要定期掃描檢測網(wǎng)絡(luò)設(shè)備是否有重大安全隱患的系統(tǒng)漏洞，以及時修復(fù)來保障網(wǎng)絡(luò)或設(shè)備通信的安全性。

3.4網(wǎng)絡(luò)用戶守則

網(wǎng)絡(luò)用戶要注意使用正規(guī)的、安全的網(wǎng)絡(luò)設(shè)備，提高網(wǎng)絡(luò)安全意識，遵守有關(guān)網(wǎng)絡(luò)安全措施。及時升級系統(tǒng)以提高系統(tǒng)抗攻擊的能力并在系統(tǒng)中安裝防火墻、入侵檢測工具（如NIPC，NGREP），經(jīng)常掃描檢查系統(tǒng)解決系統(tǒng)漏洞，對系統(tǒng)文件和應(yīng)用程序進(jìn)行加密，并定期檢查這些文件的變化[11]。也可以根據(jù)IP地址對數(shù)據(jù)包進(jìn)行過濾、為系統(tǒng)訪問提供更高級別的身份驗證，以及使用安全工具軟件檢測不正常的高信息流量來防范DDoS攻擊。

4結(jié)束語

本文主要通過對DDoS攻擊的研究來強(qiáng)調(diào)計算機(jī)網(wǎng)絡(luò)安全的重要性，并從DDoS攻擊入手研究其攻擊原理、過程方式、危害手段等來探尋出預(yù)防DDoS攻擊的策略規(guī)則，并通過設(shè)計模擬實驗來進(jìn)行驗證?；诖耍谠O(shè)計模擬實驗中需統(tǒng)計收集正常用戶和受攻擊設(shè)備的數(shù)據(jù)流量，用科學(xué)計算的方式與Hurst值進(jìn)行比較來判斷其是否符合自相似性。若計算值被判定為符合自相似性，則確定是正常的數(shù)據(jù)通信，反之則可判定為受到了DDoS攻擊，其中判定為受攻擊的流量窗口值可作為預(yù)警閾值。這種新的判定方式將比傳統(tǒng)檢測方式更為有效。進(jìn)而對預(yù)防DDoS攻擊提出幾點預(yù)防建議，來輔助用戶或網(wǎng)絡(luò)運維人員及時防范DDoS攻擊。

參考文獻(xiàn)

[1]劉遠(yuǎn)生，辛一.計算機(jī)網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社， 2009.

[2]王麥玲.分布式拒絕服務(wù)攻擊與防范措施[J].辦公自動化， 2008（18）：42-43.

[3]滕建，陳駿君，趙英.基于用戶網(wǎng)絡(luò)行為模型的DDoS攻擊檢測[C]//中國計算機(jī)用戶協(xié)會網(wǎng)絡(luò)應(yīng)用分會2018年第二十二屆網(wǎng)絡(luò)新技術(shù)與應(yīng)用年會論文集，2018-10，中國江蘇蘇州：出版社不詳，2018：22-26.

[4]李仲龍，司瑾.分布式拒絕服務(wù)攻擊淺析[J].電腦知識與技術(shù)，2010，6（10）：2373-2374.

[5]趙隴，王志勃，章萬靜.基于DDoS安全區(qū)的偽造IP檢測技術(shù)研究[J].計算機(jī)技術(shù)與發(fā)展，2019，29（9）：106-109.

[6]王麥玲.分布式拒絕服務(wù)攻擊與防范措施[J].辦公自動化， 2008（18）：42-43.

[7]王志猛.基于流量相似性的DDoS攻擊檢測的研究[D].合肥：合肥工業(yè)大學(xué)，2018.

[8]馮國禮，李蓉，王曄.淺析數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)與設(shè)計要求[J].信息系統(tǒng)工程，2017（3）：132-134.

[9]吳倩倩.綜合型漏洞掃描系統(tǒng)的研究與設(shè)計[D].保定：華北電力大學(xué)，2015.

[10]鄒俊威.計算機(jī)網(wǎng)絡(luò)安全技術(shù)與防范措施[J].電子技術(shù)與軟件工程，2019（17）：188-189.

[11]劉輝.分布式拒絕服務(wù)攻擊的特點與防御[J].新課程（教育學(xué)術(shù)），2012（2）：164.