拒绝服务攻击原理与检测技术综述

拒绝服务攻击原理与检测技术综述 计研六 朱思宇 2007210722 摘要 拒绝服务攻击（DoS）已经成为 Internet 上最主要的攻击方式，其实施的 简单性以及预防的困难性都使得其极具威胁性。最近两年来，DoS 的攻击 方法 快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载 和 工具变得越来越复杂，越来越有效，追踪真正的攻击者也越来越困难。从攻击防 范的角度来说，现有的技术仍然不足以抵御大规模的攻击。本文即对于 DoS 的原 理，以及对 DoS 的攻击的检测，包括 DoS 攻击的识别以及攻击源的追踪，进行一 简单的综述，以便对这一问题有个粗略的认识。 关键词 拒绝服务攻击 DoS 检测 追踪 1. 引言 网络应用的普及使我们的工作生活越来越离不开网络。办公自动化软件极大 的提高了我们工作的效率；通过网络可以找到各种工作、学习资料；我们上网交 电话费，查看银行帐户；我们上网交友娱乐，等等。这些都离不开网络上的服务 提供商，一旦服务提供商不再能够提供服务，那么我们将变得没有服务可用，无 法查找资料，无法进行交易，无法娱乐，等等。如果有不怀好意的人对服务提供 商发起攻击，使得攻击的效果在普通用户看来就是无法使用提供商的服务了，我 们就说服务器遭到了 DoS攻击。 DoS（Denial of Service），拒绝服务攻击。攻击方式可以有很多种，从广义上 来说，任何可以通过合法的方式使服务器不能提供正常服务的攻击手段都属于 DoS 攻击的范畴。最基本的 DoS 攻击手段就是利用合理的服务请求来占用过多 的服务器资源，从而使合法用户无法得到服务器的响应。被攻击的受害者可以包 括联网主机、路由器或者是整个网络。 近年来、拒绝服务攻击给社会经济生活造成了巨大的破坏，越来越多的公共 站点成为拒绝服务攻击的对象，比如 2000年的 Yaho、ebay；2001年的Microsoft 域名服务器，2002年的全球 DNS根服务器；2003年的 sco公司的服务器等[1]。 Yankee 小组的 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 人员指出，仅 2004 年的拒绝服务攻击造成了 27 亿美元的经 济损失[2]。 随着互联网络技术的发展，拒绝服务攻击工具也在不断演化，变得更加智能 化。实施一次拒绝服务攻击只需要简单的几个命令，且可以同时构造不同类型的 攻击，以攻击不同层次的网络服务。为了降低拒绝服务攻击，特别是分布式拒绝 服务攻击的危害，关于其检测和防御成了近年来的研究热点。本文就拟对拒绝服 务攻击的原理、检测与追踪等技术进行一简单的综述。 2. DoS简述 最简单的攻击方法是利用系统的设计漏洞，比如 ping-of-death。由于在早期 的阶段，路由器对所传输的分组的最大长度都有限制，许多操作系统的 TCP/IP 实现对 ICMP分组长度都 规定 关于下班后关闭电源的规定党章中关于入党时间的规定公务员考核规定下载规定办法文件下载宁波关于闷顶的规定 为不超过 64KB，并且在对分组头部进行读取之后， 要根据头部信息里包含的信息来为有效载荷生成缓冲区，一旦收到畸形即声称自 己的尺寸超过 ICMP上限的分组，也就是加载的尺寸超过 64KB 上限时，就会出 现内存分配错误，导致 TCP/IP 堆栈崩溃，致使接收方死机。这种攻击方式主要 针对Windows 9X操作系统，而 Unix、Linux、Solaris、MacOS等操作系统都具 有抵抗一般 ping-of-death攻击的能力。类似的攻击手段还有 teardrop，它主要是 利用系统重组 IP分组过程中的漏洞。一个 IP分组在 Internet的传输过程中可能 出现分片。这些分片分组中的每一个都拥有最初的 IP 分组的报头，同时还拥有 一个偏移字节来标识它拥有原始数据分组中的哪些字节。通过这些信息，一个被 正常分割的数据报文能够在它的目的地被重新组装起来，并且网络也能够正常运 转而不被中断。当一次 Teardrop 攻击开始时，被攻击的服务器将受到拥有重叠 的偏移字段的 IP 数据分组的轰炸。如果被攻击的服务器或是路由器不能丢弃这 些数据包而且如果企图重组它们，服务器就会很快瘫痪。这种利用系统漏洞的攻 击方式可以通过安装补丁程序进行防范。 另一种类型的攻击方式是利用计算量很大的任务耗尽被攻击主机的 CPU 资 源，比如加密解密操作和基于 Diffie-Hellman 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 的密钥计算等等。目前常见的 Internet安全协议都包括了预防这些攻击的措施。比如 Internet Key Exchange协议 [3]中采用了 cookie机制，IPSec协议[4]中引入了防止重现算法(anti-replay)等等。 DDoS（Distriubted Denial of Service），分布式 DoS攻击是本文将重点介绍的 DoS攻击方式。这种攻击方式和上面的两种不同，它不依赖于任何特定的网络协 议，也不利用任何系统漏洞。通常的攻击方式是攻击者首先利用系统的管理漏洞 逐渐掌握一批傀儡主机的控制权，当攻击者觉得时机成熟时，他控制这些傀儡主 机同时向被攻击主机发送大量无用的分组，这些分组或者耗尽被攻击主机的CPU 资源，或者耗尽被攻击主机的网络连接带宽，或者两者都耗尽，导致被攻击主机 不能接受正常的服务请求，从而出现拒绝服务现象。 3. DDoS攻击的方法 DDoS 攻击可以粗略地分成两大类：直接攻击(Direct Attacks)和反射攻击 (Reflector Attacks)。 3.1 直接攻击 直接攻击是攻击者直接向被攻击主机发送大量攻击分组。攻击分组可以是各 种类型，比如 TCP，ICMP和 UDP，也可以是这些分组的混合。使用 TCP作为 攻击分组时，最常见的攻击方式是 TCPSYN洪泛(SYN Flooding)，这种攻击利用 了 TCP的三次握手机制[5]。使用这种攻击方式的攻击者向被攻击主机的 TCP服 务器端口发送大量的 TCP SYN分组。如果该端口正在监听连接请求，那么被攻 击主机将通过发送 SYN-ACK分组对每个 TCP SYN分组进行应答。由于攻击者 发送的分组的源地址往往是随机生成的，因此，SYN-ACK分组将被发往对应随 机源地址的主机，当然也就不可能建立 TCP 连接。这种情况下服务器端一般会 重试，再次发送 SYN-ACK给客户端，并等待一段时间后丢弃这个未完成的连接， 这段时间的长度我们称为 SYN超时周期，一般来说这个时间是分钟的数量级（大 约为 30秒到 2分钟）。一个用户出现异常导致服务器的一个线程等待 1分钟并不 是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将 为了维护一个非常大的半开连接（half-open connections）列表而消耗非常多的资 源——数以万计的半开连接，即使是简单的保存并遍历也会消耗非常多的 CPU 时间和内存，何况还要不断对这个列表中的 IP 进行 SYN-ACK 的重试。实际上 如果服务器的 TCP/IP 协议栈不够健壮，最后的结果往往是堆栈溢出导致系统崩 溃。即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的 TCP 连接请求而无暇理睬客户的正常请求，毕竟在被攻击时客户端的正常请求比率非 常之小。此时从正常客户的角度看来，作为被攻击主机的服务器失去响应，也就 是说，服务器受到了拒绝访问攻击。 另一种基于 TCP的攻击是用大量分组消耗被攻击主机输入链路的带宽，这时 被攻击主机只会对 RST分组做出响应，也发出 RST分组并导致某个正常连接被 切断，正常连接的客户方将再次发起连接，导致情况进一步恶化。ICMP分组 echo requests和 time stamp requests以及 UDP分组也可以用来进行这种带宽攻击，这 时被攻击主机通常会发回 ICMP应答和错误消息和相应的 UDP分组作为响应。 [6]中提到，超过 94%的攻击采用 TCP 分组，UDP 分组攻击占 2%，ICMP 分组 攻击占 2%。一般来说，通过 SYN-ACK分组的异常增加可以判断出系统是否遭 受了 SYN洪泛攻击。 在进行直接攻击之前，攻击者首先建立一个 DDoS攻击网络，攻击网络由一 台或者多台攻击主机，一些控制傀儡机和大量的攻击傀儡机组成。攻击主机是攻 击者实际控制的主机，攻击者通过攻击主机运行扫描程序来寻找有安全漏洞的主 机并植入 DDoS 的傀儡程序（例如 Trinoo，Tribe Flood Network2000 和 Stacheldraht)。每台攻击主机控制一台或者多台控制傀儡机，每台控制傀儡机又 和一组攻击傀儡机相连。当攻击网络准备就绪后，攻击主机就可以向控制傀儡机 下达攻击命令了，攻击命令包括被攻击主机的 IP 地址，攻击的周期和攻击的方 法等内容。在 Trinoo中，攻击主机和控制傀儡机之间的通信是基于 TCP的，而 在 Stacheldrhat 中甚至采用了加密信道。在接受攻击命令后，控制傀儡机将通知 攻击傀儡机展开攻击。目前的 DDoS攻击工具可以同时发起对多个被攻击主机的 攻击，并且针对不同的被攻击主机可以采用不同的攻击分组类型。 3.2 反射攻击 反射攻击是一种间接攻击，在反射攻击中，攻击者利用中间结点(包括路由器 和主机，又称为反射结点)进行攻击。攻击者向反射结点发送大量需要响应的分 组，并将这些分组的源地址设置为被攻击主机的地址。由于反射结点并不知道这 些分组的源地址是经过伪装的，反射结点将把这些分组的响应分组发往被攻击主 机。真正发往被攻击主机的攻击分组都是经过反射结点反射的分组，如果反射结 点数量足够多，那么反射分组将淹没被攻击主机的链路。反射攻击并不是一种全 新的攻击方法。Smurf 就是一种传统的反射攻击。Smurf 攻击通过向被攻击主机 所在的子网的广播地址发送 ICMP的 echo request分组（也就是 Ping包）来触发。 该 ICMP分组的源地址被设置为被攻击主机的源地址。这样，子网中的每台主机 都会向被攻击主机发回响应分组导致被攻击主机被拥塞。严格地说，Smurf并不 是 DDoS攻击，因为攻击源（反射结点）位于攻击者所在的子网。Smruf攻击可 以通过过滤发向子网广播地址的分组来进行防范。 上面已经提到，反射攻击是基于反射结点为了响应收到的分组而生成新的分 组的能力来进行的。因此，任何可以自动生成分组的协议都可以用来进行反射攻 击。这样的协议包括 TCP 协议，UDP 协议，ICMP 协议和某些应用层协议。当 使用 TCP分组进行攻击时，反射结点将对 SYN分组响应 SYN-ACK分组或者是 RST 分组。当反射结点发出大量的 SYN-ACK 分组时，它实际上也是一个 SYN 洪泛攻击的被攻击主机，因为它也维护了大量的半开连接。当然，反射结点的情 况比直接攻击中的被攻击主机要好一点，因为每个反射结点只对整个攻击做一部 分的贡献。另外，和 SYN洪泛攻击相比，这种 SYN-ACK洪泛攻击并不会耗尽 被攻击主机接受新连接的能力。因为通过检查 ACK 标志位，很容易检查出是 SYN-ACK分组，从而将该分组丢弃。因此，反射攻击的目标主要是耗尽被攻击 主机网络链路的带宽。除了 ICMP echo报文之外，其他的 ICMP错误报告报文也 可以被攻击者用来进行反射攻击。例如，攻击分组中可以包括当前没有使用的目 的端口号，这就会触发主机发出 ICMP端口不可达报文。攻击分组可以使用非常 小的生存时间（TTL），这可以触发路由器发出 ICMP 超时报文。还可以使用更 具攻击性的带宽放大策略，例如可以采用 DNS 递归查询作为攻击分组，从而触 发分组长度更长的反射分组。和直接攻击不同，反射攻击很难通过分析被攻击主 机的响应情况来发现，因为被攻击主机几乎不发送任何响应分组。反射攻击的攻 击体系结构和直接攻击很类似，当然，两者也存在重要的区别。最重要的一点是， 发起反射攻击之前，必须有一组预先确定的反射结点，可能包括 DNS 服务器， HTTP服务器和路由器。攻击分组的数量就由反射结点的数量，分组发送速率和 反射分组的大小决定。而在直接攻击中，攻击分组的数量由攻击傀儡机的数量决 定。在反射攻击中，反射结点的物理位置可能更加分散，因为攻击者并不需要在 反射结点上运行傀儡程序。另外，在反射攻击中，攻击分组实际上是正常的 IP 分组，具有合法的 IP 源地址和分组类型，因此，基于地址欺骗的分组过滤技术 和基于路由的 DoS检测机制就很难发挥作用。 4. DDoS的检测 目前来说，关于 DoS/DDoS的检测机制，主要有如下三种机制：基于流量大 小的检测、基于源 IP地址的检测和基于包属性的检测[2]。每种机制都有其自身 的特点，在一定程度上都有较高的检测效率，但是也都有自身的不足。 4.1 基于流量的检测 基于流量大小进行检测的方法就是在被保护网络的边界路由器上部署流量 检测算法，根据流量的突发变化检测 DoS/DDoS攻击的发生。这种方法的依据是 正常网络流量和含有拒绝服务攻击流量的网络流量二者具有不同的特征。[7]认 为：在正常情况下，网络流量的分布，如源 IP、目的 IP分布等，应该是相对稳 定的，其高频统计结果维持一个动态平衡。该检测方法首先对网络流量进行高频 统计，然后对相邻时刻的高频统计结果进行相似度分析，根据相似度的变化来发 现异常。所谓相似度，是指概率统计中的相关系数，用于刻画两个随机变量分布 的相似程度。基于相似度的攻击检测方法可以发现淹没在大流量中的攻击行为， 具有较高的检测率。但是这种方法需要对大量流量样本进行统计计算，占用了较 高的系统资源，实时性不高。 在基于流量统计的方法中，[8]提出的 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 具有创新意义，其定义了命名为 IPTraffic的基于流量的向量。该方案基于以下条件：DDoS攻击发生时，进出报 文比例将失衡。该方案通过采集出的历史流量计算 IPTraffic，并用此来训练混合 高斯模型（GMM），通过最大期望算法（EM）来估计混合高斯模型模型的参数。 从[8]中提到的性能分析来看，检测正确率可以达到很好的效果，但响应时间较 长。因此该方案适合离线检测。 4.2 基于源 IP 地址的检测 基于源 IP进行检测的方法就是在被保护网络的边界路由器上部署源 IP检测 算法，根据源 IP个数的突然增加，来判断 DoS/DDoS攻击的发生。该方法的理 论依据是正常网络情况下访问服务器的数据包的源 IP，大都在过去的某个时段 中曾经访问过，因此一个新的时间段内所出现的新 IP地址(即历史不曾进人网络 的 IP地址)数量是很小的，且服从一个稳定均匀的统计分布。[9]提出了一种基于 源 IP的检测机制 SIM（Source IP Monitoring），该机制分为两个部分，第一部分 是训练引擎，用于根据进人网络的数据包训练合法的 IP地址，并将这些 IP地址 放人 IAD（IP Address Database）进行管理，IAD要实时更新，以便适合最新的 网络状况。第二部分是检测引擎，用于实时比较一段时间内新增 IP 地址的个数 是否符合 IAD 中的统计数据规律，具体是基于 CUSUM 算法，检测进出网络的 新增 IP 地址个数。不同于基于流量的检测机制，该方法不必关注具体的流量大 小，却能够有效地检测 DoS/DDoS攻击，且能够区别正常突发流量和恶意攻击流 量。但是 CUSUM算法只能够检测出攻击何时发生，无法检测出攻击何时结束， 而对于一些只有在攻击发生时才有必要采取的防御措施来说，能够检测出攻击的 发生相当重要[10]。[10]据此对[9]中的方法进行了改进，提出了一种新的算法， 弥补了[9]的缺点，能够有效检测攻击何时结束。 4.3 基于包属性的检测 DoS/DDoS攻击发生时攻击数据包破坏了正常网络状况下进出数据包在 IP数 据包头字段的统计学稳定性，因此可以采用一定的算法在正常状况下进行包属性 字段的学习，从而有效地判断进出数据包的危险度，进而检测 DoS/DDoS攻击。 由于 DDoS 攻击发生时，网络流中存在大量长度较小的包，所以 IP 首部字段中 的 DF，MF两比特的统计特性将发生变化。如果是基于 TCP的 DDoS攻击，则 TCP首部 ACK，SYN，FIN等标志位的统计特性将发生变化。[11]提出了一种基 于协方差的 DoS/DDoS攻击检测方案，用协方差矩阵计算各属性字段的相关性， 方案认为：正常网络状态下，进人网络的数据包，在 IP 头部相关字段上具有稳 定的统计学特性，攻击的发生破坏了这种稳定，大量涌人的伪造数据包在打乱了 原有相关字段上的分布。该方法能够较为有效检测基于 TCP的 DoS/DDos攻击， 但是经验丰富的黑客可以构造合适的数据包属性，使得其分布更加符合真实的网 络情况，从而导致这种检测方法失效。 5. DDoS攻击源的追踪 直接攻击的攻击源追踪研究较多。[12]提出了一种概率包标记的方法，其基 本原理是：路由器对 IP 数据包进行标记，被攻击方可以通过分析一定数量的这 种数据包中的标记信息，完成攻击路径的有效重。由于该方法往往作为众多研究 人员的指导性方法，因此也被称为基本包标记方法。然而，在分布式拒绝服务中 存在多攻击路径情况下的高误警率和高计算复杂度使的这种方法的实用性较。 [13]采用分段标记策略针对基本包标记方法的缺陷进行了较大改进，同时考虑了 追踪方法本身的安全性，分别提出了高级包标记方法和带认证的标记方法，但这 两个方法同时又引入了追踪方法对 ISP网络拓扑的依赖性，也造成了追踪方法的 实用性不高。[14]提出了一种使用审计技术的源路径隔离引擎（SPIE），可以对 单个分组进行源追踪。流量审计通过计算和存储每个分组的 EF 位哈希摘要来进 行，而不需要存储分组本身，从而一方面降低了存储需求，另一方面也可以避免 SPIE被用于窃听网络流量的内容!。然而这种方法由于需要对每个数据包都进行 追踪，难免造成存储的累积负担较大，而且在大数据流量的情况下，由于散列值 的碰撞会造成严重误警。[15]提出了一种基于线性代数和编码理论的代数标记追 踪方法，其缺点也在于无法有效的处理多攻击路径的问题。 反射攻击的攻击源追踪研究则要少一些。[16]在[15]提出的方法基础上进行了 较好的改进，解决了无法追踪多攻击路径的问题，同时也提出针对反射攻击类型 的 DDoS 源追踪的方法，但该方法没有考虑到追踪方法本身的安全性和抗干扰 性。[17]提出了一种通用的大规模 DDoS攻击源追踪算法，其主要思想为概率包 标记方法，在[14][15]所述方法的基础上，以线性代数中方程组唯一解判定原理 为理论基础，采用基于散列消息鉴别码的验证方法，是一套既适用于直接类型的 DDoS攻击也适合于反射攻击类型的 DDoS攻击源追踪的解决方案。仿真结果表 明，这种方法具有较好性能、较高的安全性和抗干扰性。概率包标记的思想是当 分组到达路由器时，以某种概率标记数据包的部分路径信息。这样虽然每个数据 包只包括了路径的部分信息，但是当真正的攻击发生时往往会有大量的攻击数据 包，这样被攻击点就可以得到足够的信息恢复出完整的攻击路径。任何概率包标 记算法都包括两个组成部分：由路由器执行的标记过程和由被攻击点执行的路径 恢复过程。分组标记算法的效率通常由收敛时间来衡量，收敛时间的含义是被攻 击点至少需要多少个分组才能恢复出攻击路径。[17]提出新的概率包标记方案， 在边标记算法和路径恢复算法的基础上加入了反射标记中继算法，无论针对直接 类型的是反射类型的 DDoS，都可以用较低的收敛时间，可靠的恢复出包含所有 真实攻击路径的候选攻击路径。 6. 小结 本文讨论了 DDoS攻击的原理和检测与追踪的基本方法。可以说 DDoS攻击 是 Internet 最难解决的问题之一，它的产生根源在于 Internet 本身的开放性。由 于 Internet的用户数量众多，总有一部分用户安全意识薄弱，这也给攻击者带来 了可乘之机。从理论上讲，直接攻击的检测和追踪都有一定的办法，但实际效果 如何还需要时间的检验。对于反射攻击，检测和追踪的方法都不多，这也是在这 一领域今后需要继续研究的方面。总的来说，DDoS攻击防范任重而道远，需要 用户，网络管理员和 ISP共同努力，一方面用户需要提高安全意识，防止系统被 攻击者利用;管理员也需要切实负起责任。另一方面，需要 ISP之间的通力合作。 DDoS 攻击检测和追踪中的相关理论和实践问题也需要研究人员付出更大的努 力去研究并解决。 参考文献 [1] M.David, S.Colleen, J.B.Dougls, et al, Infering Internet denial-of-service activity. ACM Press, 2006, 24:115-139. [2] U.Tariq, M.Hong and K.S.Lhee, A Comrehensive Categorization of DDoS Attack and DDoS Defense Techniques. Advanced Data Mining and Applications, 2006, 1025-1036. [3] Harkins D, Carrel D. The internet key exchange. RFC2409, Nov. 1998. [4] Kent S, Atkinson R. Security arch itecture for the internet protocol. RFC2401, Nov. 1998. [5] Jon Postel. Transmission Control Protocol. RFC793, Sep tember 1981. [6] 徐恪,徐明伟等, 分布式拒绝服务攻击研究综述。小型微型计算机系统, Vol.25, No.3. 2004. [7] 何慧, 张宏莉等, 一种基于相似度的 DDoS 攻击检测方法. 通信学报, 2004, 25(7). [8] L.Wei and I.Traore, An unsupervised approach for deteeting DDoS attacks based on traffic-based metrics. Communications, Computers and signall processing, 2005. PACRIM, 2005 IEEE Pacific Rim Conference on(2005), 462-465. [9] T.Peng, C.Leckie and K, Ralnamohanarao, Proactively Detecting Distributed Denial of service Attacks Using source IP Address Monitoring. NETWORKING 2O04. Networking Technologies, Services, and Protocols; Pelformance of Computer and Communieation Networks; Mobile and Wireless Communications(2004), 771-782. [10] P.Tao. C.Lecckie and K.Ramamohanarao, Protection from distributed denial of service attack using history-based IP filtering, Communications, 2003. ICC 03. IEEE International Conference on(2003),2003, 482-486 [11] J.Shuyuan and D.S.Yeung, A covariance analysis model for DDoS atack detection, Communications, 2004 IEEE International Conference on(2004), 2004, 1882-1886 [12] Savage S, Wetherall D, Karlin A, et al. Prictial network support for IP tracebask. 2000 ACM SIGCOMM Conference, Aug. 2000. [13] Dawn X Song, Adrian Perrig. Advanced and authenticated marking schemes for IP traceback. In: Proc of the IEEE infocom conference, April 2001. [14] Alex C Snoeren, Craig Patridge, et al. Hash-based IP traceback. In: Proc ACM SIGCOMM 2001, August 2001. [15] Drew Dean, Matt Franklin, et al. An algebraci approach to IP traceback. ACM Transacions on Information and System Security, May 2002, 5(2). [16] Zhaole Chen, Moon-Chuen Lee. An IP traceback technique against denial-of-service attacks. 19. In Proceedings of 19th Annual Computer Security Application Conference(ACSAC03), 96-114. [17] 张健等, 一种通用的大规模 DDoS 攻击源追踪方案研究, 小型计算机系统, Vol28, No.3, 2007. 1. 引言 2. DoS简述 3. DDoS攻击的方法 3.1直接攻击 3.2反射攻击 4. DDoS的检测 4.1基于流量的检测 4.2基于源IP地址的检测 4.3基于包属性的检测 5. DDoS攻击源的追踪 6. 小结 参考文献