孔令飞
中国联合网络通信有限公司河北省分公司 河北 050011
针对业务系统的分布式拒绝服务(DDoS)攻击是当前最为常见的网络威胁,同时,DDoS攻击也是攻击者当前最为简便易行、攻击效率最高的一种破坏网络安全手段。本文对网络安全风险控制的特点进行了归纳,对DDoS攻击的技术原理进行了简单梳理,对DDoS攻击的防御体系进行了设计和简要分析,探讨了DDoS攻击防御体系在未来的进一步发展方向。
DDoS攻击,是在传统的拒绝服务攻击基础之上产生的一类攻击方式。拒绝服务攻击的方式有很多种,但是其核心思想都是利用合理的服务请求来占用过多的服务资源,从而使服务器(业务)无法处理全部(或部分)合法用户的指令,拒绝为全部(或部分)合法用户提供服务。DDoS攻击即分布式的拒绝服务攻击,将拒绝服务攻击的单一发起代理通过傀儡网络,复制、聚集、分布在整个网络环境中,形成地理上分布、空间上分散、控制上统一的攻击平台,以几何级数的方式加强了单一拒绝服务攻击的强度和破坏力。
网络设备和传统的防火墙、入侵检测系统等安全措施,都不能有效的防御DDoS攻击。
在一个典型的DDoS攻击中,攻击者首先必须依靠傀儡网络筹集所需要的攻击资源。之后,按照统一的策略调集这些资源对目标系统发动攻击。
图1 一个典型的攻击过程
图1表示了一个典型的DDoS攻击过程,包括以下步骤:
(1)探测并发现存在某种可被利用的漏洞的计算机,攻击者以获取这些计算机的系统控制权为目的,通过跳板或直接对这些计算机进行入侵。这些存在安全漏洞且被攻击者控制的计算机,称为傀儡主机。
(2)通过若干傀儡主机,攻击者以释放蠕虫、安装木马或两者相结合的方式,重复进行上述(1)的行动,直到获取到理想数量的被控计算机。在若干傀儡主机上安装控制程序(称为 Handler),在其他傀儡主机上安装攻击代理程序(称为Agent),形成受攻击者控制的傀儡网络。
(3)攻击者利用傀儡网络发动攻击。
依据DDoS攻击造成破坏的宏观特征,可以分为服务器计算资源耗尽型(称为“I型”)和网络资源耗尽型(称为“II型”)两类。I型攻击的原理主要是利用被攻击目标操作系统的漏洞或应用程序的缺陷和漏洞,依靠发送符合协议但逻辑错误的数据包(称为语义攻击,Semantic),导致目标系统在处理这种数据包时发生系统错误而导致计算资源耗尽,进而导致服务中断。典型代表有Land、Ping of Death、Teardrops、SYN Flood、CC等等。
Ⅱ型攻击的原理是通过正常的、突发的、大量的数据包(称为暴力攻击,Brute)访问被攻击目标,导致目标所在网络带宽被急剧消耗,来实现阻断目标服务的目的。典型代表有Smurf、Fraggle等等。
对于攻击者而言,无论使用Ⅰ型还是Ⅱ型攻击,其目的都是要将目标正常的服务阻断,因此,将Ⅰ型和II型混合使用已经成为趋势。
在DDoS攻击的基础上,除了利用傀儡网络之外,还可以借用网络中 ISP的合法网络设备(反射器,Reflectors)“反射”攻击流量,形成分布式反射DDoS攻击。攻击时,傀儡网络中的代理,首先将攻击目标的IP地址作为源地址,将反射器的 IP地址作为目的地址构造攻击数据包(例如一个ICMP请求),然后将这种伪造的数据包发送给反射器,从而由反射器完成了攻击反射动作,大量的响应请求数据包将耗尽目标网络的资源。
LDoS攻击是利用TCP/IP协议中的超时重传(RTO)机制的漏洞,以正常TCP的RTO为周期,在瞬间发送大量报文而产生拥塞,迫使网络发出拥塞信号(丢包,对端重传的ACK),使得源端的TCP拥塞控制机制启动,自适应的调整发送窗口尺寸,以尝试恢复到稳定状态。周期性的进行攻击,就会造成发送窗口缩小到一个非常小的值,将极大的降低TCP的吞吐量。
DDoS攻击在遇到DDoS防御机制的对抗后,攻击者也许会采用次级攻击的模式。
(1)使用假冒源IP地址方式的DDoS攻击手段发动攻击,激活被攻击目标的防御机制,使其屏蔽掉所有来源于攻击地址的数据包,从而客观上使得受攻击目标自行脱离互联网,达到使其拒绝服务的目的。此时,受攻击目标的(业务)系统资源并没有耗尽。例如,使得合法用户被列入防御机制的黑名单,从而阻断正常的服务等等。
(2)对与受攻击目标系统业务紧密相连的第三方系统(例如对某个公共域名服务器)发动DDoS攻击,使第三方系统拒绝服务,从而使受攻击目标系统受到连锁反应影响而拒绝服务。
从对抗的角度来说,针对DDoS攻击应该采取的对策包括检测、防御和追踪三个主要方面。以安全风险控制的角度来说,只有防御这个环节是目标明确、范围可控的环节。DDoS攻击发动者为了获得理想的攻击效果和更好的隐蔽自己,将会更多的选择傀儡网络作为其发动攻击的技术手段。因此,在预期傀儡网络将会被更加广泛应用的威胁环境中,防御就成了最优先的选择。DDoS攻击防御体系(Anti-DDoS System, ADS)就是为了实现防御的目的而建立的技术体系。
针对DDoS攻击的过程和技术特点,防御体系需要有针对性的兼顾3个环节:DDoS攻击来源端(称为“远端”)防御、DDoS攻击传输环境(称为“路径”)防御和DDoS攻击受害者端(称为“近端”)防御。防御的方法主要有主动防御和被动防御两种。主动防御是指基于追踪技术,识别攻击源后限制或者破坏攻击源的网络接入以达到防御的目的。被动防御是指利用基于流量监控和模式检测的技术,识别攻击流量后对攻击流量进行限速或者丢弃以达到防御的目的。
(1)只保护值得保护的目标且只保护能够保护的目标
以风险控制的方法来看,任何防御措施都是一种成本和效果动态平衡的过程。安全只能是相对安全,不存在绝对的安全。因此,只能以最佳的方式方法保护值得保护的目标(比如,关键的业务系统和网络等),使得安全工作的费效比最大化。另外,ADS的设计不应以“预防攻击”为目标。
只针对攻击的“近端”和“路径”进行防御并且只以削弱攻击强度为目的方法要比针对攻击的全过程(尤其是防御方几乎不可控的“远端”)进行防御并且以消除全部攻击为目的的方法的整体费效比要高。例如,用目标出口带宽的20%为限度设计防御能力,就可以达到比较理想的防御效果。
(2)常备、快速响应、协同防御
防御体系应该是一种选择性介入手段,应当在受保护目标需要的时候快速接管、控制和恢复目标的工作环境,可以在攻击开始后通过策略激活防御体系。防御措施自身应该以某种受控方式,协调一致的进行工作。
2.2.1 粗略模型
防御体系的工作流程经历“感知、引流、抑制、回送”四个主要步骤。如图2所示。
图2 ADS工作流程示意
步骤一,感知攻击。在目前的网络中,攻击随时有可能发生,因此采取合理的技术手段正确感知到攻击,是进行攻击防御的第一步。感知攻击的技术手段主要有三种,一是通过探针方式,在客户端(“近端”)进行感知;二是通过入侵检测系统阵列(IDS-Array),在中、小带宽链路(“路径”)上进行感知;三是通过NetFlow技术,在大、超大带宽链路(“路径”)上进行感知。三种技术中,使用前两种的精确度高,但是受带宽限制,感知的范围较小或受限。使用最后一种技术感知攻击过程中受限范围小或几乎不受限,但是感知精确度较前两种低。
步骤二,引流。可以采用BGP Announce(RFC)的方式,把需要保护的目标IP地址通过IBGP广播的方式广播给相邻的路由器(这个路由器一般是最靠近攻击源的出口路由器)从而把含有攻击的网络流量送入ADS。
步骤三,抑制攻击流量。ADS将对所有流量进行甄别,把符合攻击特征的流量丢弃。采用的技术手段主要有五种:一是过滤,阻断非必要的网络流量到达受保护目标并进行动态调整。二是反欺骗,对源IP地址进行验证,去除伪造源IP地址的流量。三是基于统计识别异常流量并根据指定策略进行抑制。四是协议分析,去除不符合协议的流量。五是进行动态的速率限制。
步骤四,回送处理完成之后的流量。可以采用的回送的方式有策略路由(PBR),MPLS VPN,GRE隧道等方式。
2.2.2 原型结构
图3 ADS原型结构
(1)攻击抑制器
主要完成引流、抑制攻击、回送等功能。
(2)指令控制器
主要用于对攻击感知器的状态监控和对攻击抑制器的控制,提供 ADS人机交互界面和报表管理功能。其中,设备管理模块用于对攻击抑制器下达工作指令并监控其工作状态;数据管理模块用于人机交互界面的管理与报表的生成;事件分析模块用于对攻击感知器的状态监控和数据分析,确定攻击事件的各种特征等。
(3)攻击感知器
是一种逻辑设备(或功能模块),以NetFlow分析器、探针和IDS-Array三种主要形式存在,用于感知网络中是否存在攻击流量。
2.2.3 优势和局限
由于ADS复用了IDS技术和NetFlow技术,可以有效地兼顾“近端”和“路径”设防问题,因此对于I型和II型,尤其是混合型 DDoS攻击都有着比较好的发现机制和适应性,可以在网络环境中进行大规模快速部署。
局限性体现在攻击感知和抑制攻击两个环节,系统的整体工作效果取决于是否能准确感知、及时感知和动态抑制,因此有必要加强感知和抑制两个的环节的进一步研究。此外,系统完全为分布式结构,其自身的控制过程较为复杂,如何提高其自身的控制效率也是下一步的研究重点。
协同防御和纵深防御将是 DDoS攻击防御体系的发展方向。
(1)协同防御的理念和 PDRR模型的理念在本质上相同,应用风险控制的方法和思路,将有效的提高防御效果和效率。
(2)DDoS攻击的手段将更加多样化和隐蔽,基于规则的防御将变得僵化和滞后,在实时保护的领域将逐步被淘汰。
(3)P2P技术的发展为DDoS攻击提供了强大的动力,传统的防御体系的资源投入和消耗将变得不可接受,必须革新传统的防御技术。
信息化社会的发展,在客观上为网络安全保障提出了更高要求。面向风险控制的攻击防御方法,能够综合平衡资源和效益的关系,将会越来越广泛的应用在攻击防御的领域。这对于网络对抗有着十分重大的意义,将成为网络攻防研究的热点和重点。
[1] 沈昌祥.信息安全保障建设中的几个焦点问题分析.2008.
[2] 范红,冯登国,吴亚非.信息安全风险评估方法与应用.2006.
[3] 吴志军,岳猛.低速率拒绝服务LDoS攻击性能的研究.通信学.2008.
[4] http://www.cert.org/tech_tips/denial_of_service.html.
[5] http://staff.washington.edu/dittrich/misc/ddos/.
[6] 2008 CSI Computer Crime & Security Survey.
[7] 2008 The Global State of Information Security. PriceWaterhouse Coopers.