通信安全课程论文分布式拒绝服务攻击.docx

1、通信安全课程论文分布式拒绝服务攻击研究生课程论文(2015-2016学年第一学期)分布式拒绝服务攻击成绩评定： 分任课教师签名： 年 月 日说明1、课程论文要有题目、作者姓名、摘要、关键词、正文及参考文献。论文题目由研究生结合课程所学内容选定；摘要500字以下，博士生课程论文要求有英文摘要；关键词35个；参考文献不少于10篇，并应有一定的外文文献。2、论文要求自己动手撰写，如发现论文是从网上下载的，或者是抄袭剽窃别人文章的，按作弊处理，本门课程考核成绩计0分。3、课程论文用A4纸双面打印。字体全部用宋体简体，题目要求用小二号字加粗，标题行要求用小四号字加粗，正文内容要求用小四号字；经学院同意，

2、课程论文可以用英文撰写，字体全部用TimesNewRoman，题目要求用18号字加粗；标题行要求用14号字加粗，正文内容要求用12号字；行距为2倍行距（方便教师批注）；页边距左为3cm、右为2cm、上为2。5cm、下为2。5cm；其它格式请参照学位论文要求。4、学位类别按博士、硕士、工程硕士、MBA、MPA等填写。5、篇幅、内容等由任课教师提出具体要求。摘 要分布式拒绝服务攻击一直是网络安全领域的研究难点。本文在进一步分析分布式拒绝服务攻击的危害及其原因的基础上，重点综述了对该问题的研究和解决方案，主要包括：基于网络服务提供商的网络过滤、基于校验工作、基于重叠网络和基于网络功能。并对这几种方案

3、的优缺点进行了讨论。关键字：分布式拒绝服务，僵尸网络，内容分发网络CDN, 重叠网络1 引 言 分布式拒绝服务(Distributeddenialofservice，DDoS)攻击依然是目前Internet很大的威胁。调查显示，网络服务提供商(ISP)头号运营威胁是僵尸网络，其次是DDoS攻击，且僵尸网络往往被用来进行DDoS攻击。因此，DDoS攻击被认为是ISP目前最大的运营危害。DDoS攻击相对容易发生，因为目前Internet缺乏有效的认证机制，其开放结构使得任意数据包都可以到达目的地，加上网络上已有现成的工具可被利用，为发起DDoS攻击创造了便利。精心构造的攻击甚至能够达到24Gbps

4、的攻击流量，足以充斥任一服务器的接入带宽。因此，DDoS攻击的解决方案一直是网络安全研究领域的难点问题。2 DDoS攻击背景分析和攻击分类2.1 DDoS攻击现状和危害 拒绝服务攻击的目的是通过各种手段阻止系统服务于正常用户，可分为两种形式，一是利用目标系统或软件漏洞，发送一个或多个精心构造的数据包给目标系统，让被攻击系统崩溃、运行异常或重启等，导致无法为正常用户提供服务；另一种称为洪泛攻击，它让无用的信息占去系统的带宽或其他资源，使得系统不能服务于合法用户。第一种攻击可以通过给系统打补丁、找出系统漏洞的方法进行防御，第二种攻击比较难解决。这两种形式的攻击也可结合，本文偏向于第二种形式的攻击。

5、DDoS攻击是DoS攻击中数据包来自不同的攻击源端，即利用网络中不同的主机同时发起DoS攻击，使得被攻击对象不能服务于正常用户。DDoS攻击因为使用了不同的攻击源，攻击效果被大为放大。2.2 DDoS攻击分类和存在原因 典型的DDoS攻击包含四方面要素：1)实际攻击者；2)用来隐藏攻击者身份的机器，可能会被隐藏好几级，该机器一般用于控制僵尸网络(实际发起攻击的机器)并发送攻击命令；3)实际进行DDoS攻击的机器群，一般属于僵尸网络；4)被攻击目标即受害者。在DDoS反射攻击中，还利用IP源地址伪造，迫使合法的反射/放大方(如DNS服务器)向受害者发起攻击。就攻击包的内容而言，DDoS可分为两类

6、：基于网络传输协议的攻击和应用层的攻击。前者比较流行的有SYN洪泛(包括SYN/ACK、Rerest洪泛)，ICMP洪泛，UDP洪泛和IP包分片洪泛。后者主要是在应用层上进行洪泛和资源占用攻击，常见的有HTTP洪泛，如MyDoom蠕虫，SIP洪泛和DNS请求洪泛，资源占用攻击包括数据库资源消耗如利用脚本查询数据库，及利用SMTP、SSL、VPN等进行攻击。就攻击效果而言，基于网络传输层协议的攻击主要以消耗攻击者带宽为目的，大部分应用层攻击以消耗CPU、内存、数据库等资源为目的。以下分析DDoS攻击存在的原因。需要指出，这些原因恰好是Internet获得成功和快速发展的设计理念。首先，Inter

7、net是一个开放的资源共享系统，理论上任何Internet上的用户都可以将数据包发往任一网络可达的目的端，任一目的端可以自行决定是否响应收到的数据包，但其自身却不能控制外界向本目的端发送IP包；其次，Internet设计的基本原则是核心简单和边缘复杂，核心网络最基本的功能甚至仅仅是路由转发数据包，故任一目的端无法控制网络数据数据包的到达。Internet的设计理念使它得以快速发展，并且承载不断涌现的新业务，然而，就网络服务质量和网络安全问题，因没有核心网络的有效参与，一直很难解决。另外，网络缺乏有效的认证措施，即很难验证数据包是否为包中源IP地址所发出，导致很容易伪造源IP地址而进行网络攻击；

8、而且，大多数接入端的带宽都要远小于核心端的带宽，如目前核心主干已经达到10Gbps速率，而接入带宽大多数均小于1Gbps，来自核心主干链路上的聚合流量很容易阻塞接入链路。DDoS攻击正是利用了这个特性，从不同的地方向攻击目标发送无用的数据，并且这些数据聚集后很容易超过攻击目标的接入带宽。3 DDoS攻击解决方案分类 DDoS攻击的解决方案已有很多，可归纳为解决两方面的问题：1) 区分正常和攻击流量。可根据正常流量和攻击流量的不同行为、统计特征等进行区别，也可通过认证的方式让所有用户付出一定的代价，如计算、人工参与输入认证码等来区别；2) 控制流量到达受害者，即解决带宽占用问题，通常情况，仅靠被

9、攻击者是很难解决带宽占用攻击的，因为目前的Internet设计无法让接收端本身控制IP包的到达，只能使其选择是否处理或者响应到达的IP包。解决带宽占用有三种思路：1)不改变现有网络核心的前提下，尽量少的对边缘路由器进行改动，利用ISP及其联合来过滤攻击流量。2)从整个Internet设计的角度考虑DDoS攻击，即重新设计Internet，如在核心路由器中增加认证丢包等机制。3) 采用CDN或者重叠网络来吸收流量。本文将DDoS解决方案分成如下几类：1)从源头上预防和消除，指解决IP源地址伪造和僵尸网络的问题；2)追踪攻击源，指源IP追踪，尽量找到实际的攻击者；3)DDoS攻击检测：包括利用各种

10、行为特征进行DDoS攻击检测；4)基于校验工作区分攻击流量；5)网络过滤：包括传统的基于路由器拥塞控制及基于ISP的过滤；6)基于网络功能的解决方式；7)基于重叠网络和CDN的解决方式。前三类本身并不能解决DDoS攻击。然而，DDoS攻击跟IP地址伪造、僵尸网络有着密切的联系，如果能够消除IP源地址伪造，尽量减少可被作为攻击工具的僵尸网络主机的数量，将极大缓解DDoS攻击强度；如果能够追踪到攻击者，可以诉诸法律，对发起DDoS攻击者具有很强的威慑作用；DDoS攻击检测需要跟某种抵御方案合作才能消除DDoS攻击。抵御方案中，基于网络功能和让核心路由器参与网络过滤的方法属于从重新设计Interne

11、t的角度考虑DDoS攻击。一般情况下，DDoS攻击的解决方案均是针对开放的服务器，但也有解决方案如重叠网络针对能区分合法用户(如经过用户身份认证)的通讯系统，其研究目标主要是如何控制流量到达受害者。IP源地址伪造、IP追踪问题、传统的DDoS攻击的检测和基于行为特征的包过滤以及部份重叠网络的研究都是以前研究的热点，详细介绍可以参阅文献7，本文仅对它们做简要介绍，以便对DDoS解决方案的整体了解。本文综述的重点是2005年后新出现的DDoS攻击解决方案，主要包括：基于自治系统AS的IP源地址认证、基于ISP的网络过滤、基于校验工作、基于重叠网络和基于网络功能的解决方式。3.1 源头上预防从源头上

12、预防和消除基于切断DDoS攻击依赖的攻击源，包括消除源IP地址伪造、消除僵尸网络的危害以及从攻击端进行检测和防御。消除源IP地址伪造，以前的研究包括：入出口过滤、uRPF、SAVE协议、HCF和基于路由器标记的方法如PI等。简要介绍前三种。入出口过滤过滤部署在ISP的边缘路由器上，主要思想是：对于到本AS的数据包，检测数据包的源IP是否来自本AS或者其他不合法的IP。uRPF即单播反向路径转发检测，当路由器的某个端口收到一个IP包后，查看以此源IP地址作为目的地址的IP包，是否可以通过接收端口转发出去，从而判断该IP包是否伪造。SAVE主要解决了uRPC的缺陷，需要路由器更新某个端口运行出现的

13、源IP地址或者范围。消除IP源地址的研究，大多都侧重于如何提高方法的激励，能够增量式部署，并且解决多路由、ISP之间的问题。但是，这些方法均很难解决同一个子网或AS内的IP伪造。另外，消除IP源地址伪造并不能直接消除DDoS攻击，目前DDoS攻击大多数由僵尸网络发起的，僵尸网络往往直接使用真实的源IP进行攻击，应用层的DDoS攻击无法伪造源IP地址。3.2 攻击者追踪 从威慑攻击者角度而言，如何找到攻击源是非常重要的问题。定位攻击者有如下限制：1)IP源地址容易伪造；2)路由器的路由是无状态的，只知道下一跳地址，不记录经过该路由器的IP包；3)由于真正的攻击者往往隐藏很深，采用僵尸网络进行直接

14、攻击，即使找到了某些直接攻击源即僵尸网络，也很难找到真正的攻击者。针对如何找到攻击源，尤其是IP源地址伪造的问题，以前的研究主要集中在IP追踪上，提出了很多方法，如基于概率的包标记PPM、FIT和基于hash的IP包追踪。3.3 DDoS攻击的检测 DDoS攻击的检测是传统的DDoS攻击解决方案之一，并得到了广泛的研究，它分为两类，第一类是基于某种具体的DDoS攻击的检测，第二类是借用入侵检测系统进行异常检测。第一类检测中，有代表性的有：MULTOPS监控入和出链路的流量，当流量比异常时，认为可能有DDoS攻击发生；SYN和FIN包比例最早用于SYN洪泛攻击检测；另外，还有一些基于时间序列、光

15、谱分析、小波分析和统计特性等来检测DDoS攻击的，后面所述的这些检测方法往往需要有一个或者多个假设，如光谱分析假设攻击流量没有周期性的特征并仅对TCP流有效、时间序列分析仅对部分已知的攻击有效，这些假设有时候可能不成立，并且，DDoS攻击完全可以采用与正常流量一样的流量，这使得以上检测方法的适用性变弱。基于特征行为模型的包过滤与检测DDoS攻击的某些方法相类似，如基于统计特性和机器学习等来区分正常流量和攻击流量，既可以检测DDoS攻击，也可以用于作为特征进行攻击包过滤。3.4 基于校验工作的认证方式 基于检验工作的认证方式有两类研究，1)用户如果想要获得服务，必须付出某种“货币”，如CPU(解

16、难题如大数分解问题等)、内存，甚至带宽资源；2)基于认证如反向图灵测试来区分攻击者和正常用户。用户需要付出某种代价才能获得服务，最早的研究是付出计算资源，即解难题，难题需要满足的基本条件有：服务器端较容易的生成和验证难题，能够控制难题难度的级别；难题大多数情况下能被一般的客户端所解，不能让客户端能预解难题；整个过程对于服务器端是无状态的。另一种需要用户付出资源的典型是利用带宽作为“货币”，如speak-up。speak-up假定网络带宽足够，尤其是被攻击目标接入带宽丰富，并假定被用来攻击的机器都占用完了它们的带宽用做攻击。当发生DDoS攻击时，被攻击目标让所有的客户端(包含正常用户和攻击机器)

17、都增大带宽，因为实施攻击的机器已经用完了它们的带宽，只有合法的客户端才能增大带宽，从而让合法的客户端获取更多的服务。该方法有一些局限性，仅针对应用层非带宽占用的攻击，且在发生DDoS攻击时，让所有的客户端都增大带宽，有可能使情况越来越糟，并对网络其余部分造成负面影响基于校验工作的另一种方法是反向图灵测试。图灵测试原本用于人工智能中人来区分计算机和人脑，现在希望通过计算机(被攻击的服务器)通过测试来区分是计算机自动访问还是正常人访问，因此，称之为反向图灵测试或者CAPTCHA技术。CAPTCHA的基本形式是利用机器难以自动识别的图片(图片上有人可以容易识别的字母，而机器很难辨认)来区分是否为自动

18、访问，或者恶意访问。反向图灵测试能够以较低的成本来区分攻击者和正常用户，但不能每次都使用，否则正常用户每次都需要被打扰。另外，CAPTCHA图片也有被自动识别的可能性。基于校验工作的方法均是针对应用层的DDoS攻击，即占用被攻击对象的资源，它不能单独用于解决基于洪泛的DDoS攻击，但是，基于付出资源如CPU和带宽的方法提供了有效的服务器端资源分配的方法，而反向图灵测试提供了简单的识别攻击者和正常用户的方法，容易部署。这类方法可与其他方法结合起来用于DDoS防御。3.5 基于网络过滤的防御 网络过滤的想法很直观，如果能区分攻击流量和正常流量，则尽量早的将攻击流量过滤掉，有助于缓解甚至消除DDoS

19、攻击。最理想的方式是在攻击源的附近部署过滤装置，在被攻击目标处或者附近部署检测DDoS攻击的装置，过滤和检测装置定优势，但部署激励很小；进行分布式系统联合防御一样也存在激励很小的问题，且整个系统协同工作也会很困难。但网络过滤依然得到重视，研究者转向基于路由器或基于ISP及ISP联合的思想，前者利用网络中的核心路由器来控制流量，后者依据ISP的带宽容量远大于被攻击者的接入带宽，且在被攻击者所在的ISP上部署有很强的激励作用，当本地ISP无法有效防御DDoS带宽攻击时，可以求助于上一级或者对等ISP。之前的研究主要有Pushback，它利用路由器的拥塞程度，当某个路由器拥塞到一定程度时，开始丢包，

20、丢弃那些去往同一个目的地的数据包，并发送一个Pushback消息给相连的路由器，让它们也限制去此目的地的包，最终目的希望能够在攻击包进入网络时即被丢弃，以最大程度的减轻攻击危害；Pushback方法的假阳性(即不是DDoS攻击包，也可能被丢弃)很大，因为它不能区分攻击包和正常包。基于ISP的防御方法大多数都是利用ISP的带宽优势来吸收DDoS洪泛攻击，一般在ISP或ISP间部署中间代理层，由中间层隐藏被保护的服务器，攻击者和正常用户的流量都由中间层代理处理。这种方式如果精心设计，在抵御DDoS带宽攻击上会起到比较好的作用。3.6 基于网络功能的认证方式 基于网络功能(NetworkCapabi

21、lities)的防御假设整个Internet的路由器是可以改变的，即利用核心路由器来防御DDoS攻击。网络功能指IP包中携带的信息，该信息可以被路由器检验并确认该包是否为目的地所需要。基于网络功能的方法主要有：SIFF、TVA和Portcullis。其中SIFF和TVA的主要思想是：发送方X和接收方Y，如果X想与Y进行通信，X必须首先获得Y的同意，即向Y申请Capabilities，如果Y不同意与X通信，可以忽略请求，否则，Y返回网络功能给X，以后X发送给Y的IP包内都需要附上网络功能。网络功能由X与Y之间的路由器负责校验，不正常时路由器可以丢包。网络功能需要解决的问题有：如何保证获取网络功能

22、的路径不被DDoS攻击，如何保证网络功能不被假冒，且路由器以较低的代价验证。3.7 基于CDN和重叠网络的解决方式 以前的研究中，利用重叠网来抵御DDoS攻击。其目标是用重叠网络隐藏被攻击服务器，仅适用于非开放性的服务。OverDoSe将客户端与被攻击的服务器在IP层隔离，只有重叠网络的节点才能访问服务器端，客户端不能直接访问服务器端，它只需要在服务器端所属的ISP进行部署，ISP可以部署MPLS、VPN等隧道的方式让重叠网络与服务器互相访问，在一定程度上能减轻DDoS攻击。OverDoSe需要服务器端通过应用层验证的方式区分攻击者，然后通知重叠网络的节点过滤掉这些攻击流量。CDN即内容分发网

23、，用于加快网络访问速率和质量，一般会在不同ISP内部署节点，形成很大的分布式网络，将用户请求自动指向到健康可用且距离用户最近CDN节点上。由于具有很大的带宽，CDN具有防御DDoS带宽消耗攻击的能力，尤其对静态和动态可缓存的页面非常适合，但对于动态不可缓存的页面，CDN节点也需要从原始的服务器实时访问获取信息，然后提供给用户，如果攻击者大量的请求此类页面，也可能造成DDoS攻击。与重叠网络相比，CDN除了提供网络可访问性，还提供应用层服务。4 结 论综合已有的研究，在不改变目前Internet整体构架下，即接收端无法控制IP包是否到达的情况下，DDoS攻击彻底解决是比较困难的。而改变Inter

24、net的框架，如基于网络功能的解决方案，部署上有存在很大的问题。极端情况下，攻击者可以采用与正常用户一样的攻击流量，这使DDoS攻击的防御变成了如何构建吸收大量流量的网络分布式系统的问题。总结而言，可部署的DDoS解决方案如基于CDN、基于ISP及其联合过滤只能在一定程度上抵御DDoS攻击，在这两种已有的框架下，还存在一些问题需要进一步研究和解决。 参考文献1 孙知信, 李清东. 路由器端防范 DDos 攻击机制综述J .南京邮电大学 学报. 2007, 27.2 徐恪, 徐明伟, 吴建平. 分布式拒绝服务攻击研究综述J . 小型微型计算 机系统. 2004 , 25.3 诸葛建伟, 韩心慧, 周勇林, 等. 僵尸网络研究J . 软件学报. 2008, 19.4 李金明, 王汝传. 基于VTP方法的 DDoS 攻击实时检测技术研究J . 电 子学报. 2007, 35.5 李德全,冯登国.拒绝服务攻击对策及网络追踪的研究J.计算机应用技 术.2004.6 李俐颖,秦志光.分布式拒绝服务攻击检测技术研究J.电子科技大学.2007.