□张志强,刘三满,曹 敏
(山西警察学院,山西 太原 030401)
分布式拒绝服务(Distributed Denial of Service,DDoS)攻击利用IP协议的缺陷,对一个或多个目标进行攻击,消耗网络带宽及系统资源,使合法用户无法得到正常服务。由于采用了源IP地址欺骗、代理等技术,现有的各种网络追踪技术不能有效追踪DDoS 攻击源。由于追踪和防范难度大,分布式拒绝服务攻击(DDoS攻击)成为黑客常用的攻击手段之一。[1-9]近年来,DDoS攻击屡见不鲜,给国家、社会和个人造成了严重危害。据CNCERT抽样监测,[10]2018年我国境内峰值超过10Gbps的大流量DDoS攻击平均每月超过4000起。由于TCP/IP协议通过源IP地址区分不同数据包的发送者,且TCP/IP协议路由机制只检查数据包目标地址的有效性,攻击者可以把源IP地址修改为虚假IP地址,同时可以把其他主机作为跳板进行攻击。在对DDoS攻击源进行追踪过程中可能会线索中断,对取证人员开展追踪取证工作造成一定困难。
针对DDoS攻击源追踪难的问题,本文提出一种基于行为分析的DDoS攻击源追踪技术,以进一步提升对DDoS攻击源追踪的效率。
1.UDP Flood攻击。攻击者通过消耗网络带宽资源,阻塞正常通信而导致服务瘫痪。
2.TCP SYN Flood攻击。攻击者利用TCP三次握手机制存在漏洞,向目标服务器发送大量伪造IP地址的SYN报文请求建立连接,目标主机因收不到ACK报文而缓存区溢出,导致拒绝服务。
3.HTTP Flood攻击。攻击者通过持续给目标主机发送HTTP虚假请求,耗尽服务器带宽或者连接资源,导致不能为合法用户提供服务。
DDoS攻击的主要特点是通过代理机攻击,使用过载流量消耗目标主机资源或或者消耗网络带宽,从而造成拒绝服务。
1.包标记策略。选择一定比例数据包增加标记,通过数据包中的标记,追踪分析数据包传播路径和源头。
2.流水印策略。在多个数据包序列中加入流水印,以一定的准确率检测到水印信息。适用于数据流出现重打包、丢包等情况。
3.日志记录方法。通过各类日志等文件,分析数据包传播痕迹,重构攻击路径。
4.渗透测试方法。利用系统及网络安全漏洞进行渗透,控制目标主机,目标主机主动向取证人员主动发送攻击者信息。
目前对于DDoS事后攻击主要通过日志方法等手段对攻击源进行追踪,如果从日志等文件中不能分析出相关线索,将造成追踪线索中断,DDoS攻击源追踪取证将比较困难。
DDoS攻击是攻击者对目标系统进行的以拒绝服务为主要目的的行为。本文基于随机Petri网[17]对DDoS攻击行为进行建模,通过和正常网络行为进行对比,分析DDoS攻击行为的主要特征。
1.随机Petri网(SPN)
随机Petri网可以描述为一个四元组SPN=(P,T,F,λ),其中:
(1)P=(p1,p2,...pm)是有穷位置集合;
(2)T=(t1,t2,...tm),是有穷变迁集合;(P∩T≠Φ;P∪T≠Φ)
(3)F⊆(P×T)∪(T×P),是弧的集合;
(4)λ=(λ1,λ2,...,λn),是变迁平均实施速率集合。
2.基于随机Petri网的DDoS攻击行为模型
DDoS攻击行为可描述为:
ASPN=〈P,T,F,M0,λ〉,其中
(2)T=(T1,T2,...Tm)表示攻击行为的变迁集合;
(3)F是有向弧线集合,表示攻击路径,如攻击者利用本机及跳板主机进行攻击将用不同攻击路径表示;
(4)M0表示初始标识,表示攻击开始的位置;
(5)λ是时间变迁的平均实施速率集合,它反映攻击行为的能力,主要包括DDoS攻击所达带宽峰值等。
通过随机Petri网对DDoS攻击行为进行建模分析,可以刻画DDoS攻击的主要网络行为特征,结合DDoS攻击者历史行为,可根据攻击行为的主要特性对攻击源进行重点追踪:
1.受攻击目标的集中性
DDoS攻击目标分布领域比较集中。[18]据CNCERT监测分析,[10]2018年受DDoS攻击目标IP地址数量约9万个,攻击目标主要分布在色情、博彩等互联网地下黑产、文化体育和娱乐领域,此外还包括运营商IDC、金融、教育、政府机构等。
2.活跃攻击团伙的集中性
由于DDoS需要一定的设备及技术支撑,DDoS攻击团伙比较集中。据CNCERT监测,2018年共发现50个DDoS攻击团伙利用僵尸网络进行攻击,相同攻击团伙的攻击目标相对集中,不同团伙之间相互独立。
3.参与攻击地址的集中性
参与DDoS攻击的受控主机相对比较集中。2018年参与攻击较多的境内肉鸡地址主要位于江苏省、浙江省和山东省,其中大量肉鸡地址归属于中国电信。
DDoS攻击主要发生在网站和游戏行业等目标,攻击的主要目的为商业恶性竞争等,通过DDoS攻击妨碍竞争对手的业务活动,打击对手的声誉,从中获取优势。由于受攻击技术和设备的限制,攻击者采用的攻击方法和表现的特征比较固定,可通过分析DDoS攻击行为特征,与攻击者相关的历史攻击行为进行匹配分析,从而确定可疑的攻击组织。
以游戏行业中的DDoS攻击为例,假如,在历史攻击事件中,A组织曾采用大规模肉鸡进行过DDoS攻击。若某游戏客户B遭受到大规模的四层连接耗尽型攻击,从攻击数据看,黑客动用了超过20万的肉鸡资源,攻击手法为建连之后向服务器发起高频率的恶意请求,并带有随机Payload,攻击新建峰值超过了170Wcps。当发生DDoS攻击后,通过DDoS攻击数据对攻击者行为进行分析,若攻击方式与A组织的攻击方式匹配,则可和其他追踪技术相结合,对A组织进行重点追踪分析。
图1 DDoS攻击行为分析流程图
基于行为分析的DDoS攻击源追踪技术,通过数据包分析攻击者的行为特征,与攻击者的历史行为进行对比分析,从而确定可疑的攻击者。具体过程如图1所示。在对攻击者追踪过程中,若其他方法不能生效,通过基于行为分析的方法可以为追踪提供线索,与其他追踪技术相结合对攻击者进一步进行追踪。
基于行为分析DDoS攻击源追踪技术与现有技术在技术难度上的比较如表1所示。
表1 基于行为分析DDoS攻击源追踪技术与现有技术比较
本文通过对DDoS攻击行为进行建模分析,为DDoS攻击源追踪提供方法和线索,以提升攻击源追踪效率。下一步将构建DDoS攻击仿真环境,把Petri网行为建模与仿真方法结合进行分析,进一步研究DDoS攻击源追踪方法。