云環(huán)境下的“云滴凍結(jié)”攻擊

王一川，馬建峰，盧 笛，張留美，孟憲佳

（西安電子科技大學(xué) 計 算機學(xué)院，陜西 西 安 710071）

在過去的20多年里，互聯(lián)網(wǎng)技術(shù)深刻地影響著人們生活的方方面面.特別是在近幾年，云計算技術(shù)的出現(xiàn)和推廣為用戶使用互聯(lián)網(wǎng)資源提供了極大的便利.云計算的思想是采用一種普適的、便捷的、按需的方式，可配置地組織和共享各種資源（包括網(wǎng)絡(luò)、服務(wù)器、存儲、應(yīng)用等）[1].因此，“多租戶”是云計算技術(shù)的重要特征.以虛擬機為代表的虛擬化技術(shù)成為了云計算環(huán)境下的關(guān)鍵技術(shù)之一；同時，云計算環(huán)境下的安全問題也引起了產(chǎn)業(yè)界、學(xué)術(shù)界、政府等各界人士的關(guān)注[2].特別是虛擬機技術(shù)的廣泛應(yīng)用，對傳統(tǒng)網(wǎng)絡(luò)的安全問題提供了新的解決思路，同時也帶來了新的安全隱患.在云計算環(huán)境下，虛擬機的數(shù)據(jù)隔離、快照和動態(tài)遷移等相關(guān)技術(shù)確實在用戶隱私保護、服務(wù)可生存性等方面發(fā)揮了較強的優(yōu)勢，然而對某些網(wǎng)絡(luò)攻擊卻也提供了更好的溫床[3].

比如僵尸網(wǎng)絡(luò).僵尸網(wǎng)絡(luò)是指用惡意程序感染大量主機，使控制者能夠通過若干計算機直接向受感染主機發(fā)送指令的攻擊網(wǎng)絡(luò)[4].分布式拒絕服務(wù)（DDoS）攻擊是僵尸網(wǎng)絡(luò)的主要攻擊形式，同時也是資源耗盡型攻擊的主要攻擊形式[5].分布式拒絕服務(wù)攻擊是指網(wǎng)絡(luò)控制者控制多個受感染主機同時向目標(biāo)服務(wù)器發(fā)動攻擊，其攻擊目的是減慢服務(wù)器服務(wù)響應(yīng)速度或者直接使其目標(biāo)服務(wù)器/網(wǎng)站崩潰.2010年，安全供應(yīng)商Arbor Networks關(guān)于僵尸網(wǎng)絡(luò)的報告[6]表明，分布式拒絕服務(wù)攻擊次數(shù)較往年呈現(xiàn)更頻繁和復(fù)雜的趨勢.在云計算環(huán)境下，發(fā)動分布式拒絕服務(wù)攻擊變得更為方便.攻擊者可在非常短的時間內(nèi)，使用少量投資租用云服務(wù)商提供的大量虛擬機來實施攻擊.以Amazon EC2為例，使用小型的Linux/Unix服務(wù)僅需要0.06美元/小時，最高的8倍超大型 Windows服務(wù)僅需要4.931美元/小時（引自http：//aws.amazon.com/cn/ec2/pricing/）.如果攻擊者的攻擊目標(biāo)直接是云服務(wù)器集群，事情將變得更具威脅性.正如Arbor Networks公司第8份世界基礎(chǔ)設(shè)施年度安全報告指出的一樣，云計算服務(wù)和數(shù)據(jù)中心正在遭受越來越多的網(wǎng)絡(luò)攻擊[7].

結(jié)合云計算環(huán)境下服務(wù)器集群部署的特征，筆者提出一種實用的、新型的分布式拒絕服務(wù)攻擊模型——“云滴凍結(jié)”攻擊（Cloud－Droplets－Freezing，CDF）.通過攻擊實驗，驗證這種攻擊不僅可以對云服務(wù)器集群的帶寬產(chǎn)生嚴(yán)重的擁塞，而且能夠極大地消耗物理主機的內(nèi)存和CPU等資源，這使得本來能夠分配給合法虛擬機的資源被非法占用，從而達(dá)到拒絕服務(wù)的效果.

1 “云滴凍結(jié)”攻擊

1.1 網(wǎng)絡(luò)模型

設(shè)網(wǎng)絡(luò)模型為典型的云服務(wù)器集群部署拓?fù)洵h(huán)境，如圖1所示.云服務(wù)器集群中存在P臺物理服務(wù)器，每臺物理服務(wù)器上通過虛擬機監(jiān)控器（Virtual Machine Monitor，VMM）運行和控制若干臺虛擬機服務(wù)器，這些虛擬機服務(wù)器對因特網(wǎng)用戶提供相應(yīng)的云計算服務(wù).其中某些虛擬機被僵尸網(wǎng)絡(luò)所控制.物理服務(wù)器通過云集群的核心交換機相連.云集群通過防火墻連接因特網(wǎng)服務(wù)提供商，并對因特網(wǎng)用戶提供云服務(wù).防火墻中部署有入侵/保護（IDS/IPS）系統(tǒng)，負(fù)責(zé)對服務(wù)器集群與因特網(wǎng)的網(wǎng)絡(luò)連接進(jìn)行分析、過濾和保護.攻擊者通過因特網(wǎng)連接至云服務(wù)器集群，并對受控的僵尸虛擬機發(fā)布控制命令.

圖1 網(wǎng)絡(luò)模型

1.2 攻擊目標(biāo)

傳統(tǒng)的拒絕服務(wù)攻擊目標(biāo)通過外部連接請求耗盡集群核心交換機與路由器之間的網(wǎng)絡(luò)帶寬資源.然而，入侵檢測系統(tǒng)一旦發(fā)現(xiàn)來自服務(wù)器集群外部的惡意連接則會更新防火墻策略，從而斷開該惡意連接.因此，隨著入侵檢測技術(shù)的不斷升級，傳統(tǒng)的拒絕服務(wù)攻擊效果受到很大限制.

“云滴凍結(jié)”攻擊的目標(biāo)和思路與傳統(tǒng)拒絕服務(wù)有很大差別，其攻擊思路是消耗云服務(wù)器集群內(nèi)部的物理服務(wù)器的計算資源和集群內(nèi)部通信鏈路的帶寬資源，從而降低甚至“凍結(jié)”物理服務(wù)器處理合法用戶服務(wù)的能力，增加物理服務(wù)器與核心交換機的通信時延，最終達(dá)到拒絕服務(wù)攻擊的效果，如圖2所示.因此，其攻擊目標(biāo)可以分為3種：

（1）云服務(wù)器集群中以核心交換機為中心的網(wǎng)絡(luò)核心帶寬資源；

（2）云服務(wù)器集群中僵尸虛擬機所在物理服務(wù)器的CPU資源；

（3）云服務(wù)器集群中僵尸虛擬機所在物理服務(wù)器的內(nèi)存資源.

圖2 攻擊目標(biāo)

1.3 攻擊方法

“云滴凍結(jié)”攻擊者利用服務(wù)器集群中受控的僵尸虛擬機，在其之間相互發(fā)送網(wǎng)絡(luò)消息來擁塞網(wǎng)絡(luò)和過載物理服務(wù)器的CPU負(fù)載.發(fā)動“云滴凍結(jié)”攻擊需要以下3個步驟：

（1）攻擊者選擇云服務(wù)器集群P作為攻擊目標(biāo)；

（2）在目標(biāo)云服務(wù)器中租賃或者感染N臺虛擬機作為僵尸虛擬機；

（3）在 N 臺 虛擬機中，兩兩互相發(fā)送網(wǎng)絡(luò)數(shù)據(jù)包｛Sbot[i]，Dbot[j]，T，M｜i∈ N ，j∈N，i≠j｝，以過載云服務(wù)器集群的資源.SD表示網(wǎng)絡(luò)消息的源/目的地址，T表示網(wǎng)絡(luò)協(xié)議，M表示網(wǎng)絡(luò)消息.網(wǎng)絡(luò)消息可以是未加密的，但筆者建議采用加密形式，因為這樣可以盡可能地消耗物理機的CPU資源.

1.4 實驗設(shè)置

實驗采用兩臺物理服務(wù)器，其中物理機I上運行僵尸虛擬機A～C，物理機Ⅱ上運行僵尸虛擬機D～E.當(dāng)其受到僵尸網(wǎng)絡(luò)控制者（攻擊者）發(fā)來的攻擊指令后即開始實施攻擊行動.為了說明攻擊的效果，實驗實時地記錄下物理服務(wù)器Ⅰ和Ⅱ的CPU、內(nèi)存和網(wǎng)絡(luò)負(fù)載等資源的使用情況.實驗的設(shè)備配置清單見表1.

表1 試驗設(shè)備配置清單

在本實驗中，虛擬機監(jiān)控器采用廣泛使用的、高效的、輕量的QEMU－KVM.虛擬機之間發(fā)送消息的方式采用安全殼（Secure SHell，SSH）協(xié)議.SSH協(xié)議是目前廣泛采用的消息加密傳輸協(xié)議，由IETF的網(wǎng)絡(luò)工作小組制定，是一項創(chuàng)建在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議.

1.5 實驗結(jié)果

在實驗中，攻擊虛擬機開始發(fā)動攻擊的時刻為第140秒，實驗數(shù)據(jù)記錄的結(jié)束時刻為第540秒.

圖3（a）顯示的是物理服務(wù)器Ⅰ的物理網(wǎng)卡的負(fù)載情況.不難發(fā)現(xiàn)，攻擊開始后網(wǎng)絡(luò)帶寬迅速被攻擊虛擬機之間發(fā)送的消息數(shù)據(jù)所占用，并持續(xù)維持在90%左右.圖3（b）顯示從物理服務(wù)器Ⅰ向物理服務(wù)器Ⅱ發(fā)送ICMP數(shù)據(jù)包的響應(yīng)延遲時間.在攻擊發(fā)生之前，ICMP數(shù)據(jù)包的響應(yīng)延時不足1ms；在攻擊發(fā)生后，響應(yīng)延時上升到20ms左右.圖3（c）顯示了物理服務(wù)器Ⅰ的CPU使用率，在攻擊發(fā)生后CPU使用率持續(xù)升高，最終維持在90%左右.

圖3 試驗結(jié)果

圖4（a）顯示的是物理服務(wù)器Ⅰ在5s內(nèi)的硬中斷數(shù)目，可見攻擊發(fā)生前后，硬中斷數(shù)目變化不大.對比圖4（b）顯示的物理服務(wù)器Ⅰ在5s內(nèi)的軟中斷數(shù)目，可見攻擊發(fā)生后，軟中斷數(shù)目從攻擊前的幾乎為0次（5s內(nèi)）急劇升高，其峰值達(dá)到了140次（5s內(nèi)）以上.物理服務(wù)器CPU使用率的升高主要與兩個因素有關(guān)：虛擬機通信中的虛擬中斷升高導(dǎo)致物理服務(wù)器軟中斷數(shù)目增加；虛擬機發(fā)送網(wǎng)絡(luò)消息本身產(chǎn)生的CPU占用增加.從攻擊效果而言，達(dá)到了預(yù)期的攻擊目標(biāo).圖4（c）顯示了軟中斷所占用物理服務(wù)器Ⅰ的CPU時間比例，其峰值達(dá)到了7.5%以上.考慮到共有18條攻擊虛擬機通信的路徑經(jīng)過該虛擬機監(jiān)控器，因此在筆者設(shè)置的實驗環(huán)境下，每條攻擊通信路徑大約產(chǎn)生0.4%的軟中斷CPU時間開銷.該結(jié)論在不同的實驗設(shè)置中也得到了證實.圖5（a）顯示為用戶進(jìn)程占用CPU時間比例，其中主要為虛擬機監(jiān)控器所占用的CPU時間.在攻擊發(fā)生后，其使用率從原來的2.5%迅速升高到40%以上.其原因主要為實驗中攻擊虛擬機通信采用SSH協(xié)議，其通信數(shù)據(jù)在發(fā)送前需要經(jīng)過加密過程，在接收數(shù)據(jù)后需要執(zhí)行解密過程，因此加大了虛擬機CPU的占用，并最終影響到了物理服務(wù)器.圖5（b）顯示物理服務(wù)器Ⅰ的內(nèi)存使用率.顯然，在攻擊發(fā)生后，物理服務(wù)器Ⅰ的內(nèi)存使用率也是迅速升高，并很快維持在96%以上，這是由于數(shù)據(jù)發(fā)送和接收都需要占用大量的內(nèi)存空間.

圖4 試驗結(jié)果

圖5 試驗結(jié)果

試驗結(jié)果表明，在攻擊發(fā)生后，物理服務(wù)器Ⅰ和Ⅱ已經(jīng)喪失了繼續(xù)提供云計算服務(wù)的能力，即被“凍結(jié)”.更進(jìn)一步地說，如果在這兩臺物理服務(wù)器的虛擬機監(jiān)控器上運行有合法用戶的虛擬機，則當(dāng)“云滴凍結(jié)”服務(wù)發(fā)生后，該虛擬機將不能再給合法用戶提供任何服務(wù).

2 攻擊原理

為了解釋攻擊原理，針對云服務(wù)器集群內(nèi)部網(wǎng)絡(luò)帶寬、物理服務(wù)器的CPU和內(nèi)存資源進(jìn)行分析.

（1）云服務(wù)器集群中以核心交換機為通信中心的內(nèi)部網(wǎng)絡(luò)物理帶寬資源.

假設(shè)在云服務(wù)集群中共存在N臺僵尸虛擬機，其分布在相同或者不同的P臺物理服務(wù)器之上，則按照“云滴凍結(jié)”的攻擊方法，在這N個虛擬機間存在N×（N－1）條通信連接.這種攻擊的思路跟文獻(xiàn)[8]中提出的“熔芯”攻擊類似.對于任意一條邊建立獨立的socket連接，僵尸虛擬節(jié)點間便形成有向完全圖的通信連接.假設(shè)第i臺物理服務(wù)器上存在Ni臺僵尸虛擬機，則通過該物理服務(wù)器與核心交換機之間的物理鏈路的通信連接數(shù)Ci＝2 Ni（N－Ni）.假設(shè)每條通信連接占用帶寬資源β＞0，則每條物理鏈路被“云滴凍結(jié)”攻擊占用的資源Bi＝Ciβ.該云服務(wù)器集群中內(nèi)部網(wǎng)絡(luò)帶寬資源被“云滴凍結(jié)”攻擊占用總量為

實驗數(shù)據(jù)表明，該方法確實能起到很好的擁塞云服務(wù)器集群中網(wǎng)絡(luò)核心帶寬資源的效果.

（2）云服務(wù)器集群中僵尸虛擬機所在物理服務(wù)器的CPU資源.

首先簡要回顧虛擬機驅(qū)動模型的工作機制.為了提高虛擬機的執(zhí)行效率，現(xiàn)有的絕大多數(shù)虛擬機監(jiān)控器都采用分離式設(shè)備驅(qū)動模型[9]，如Xen，VirtualBox.其工作原理如圖6所示.

前端驅(qū)動位于虛擬機中，負(fù)責(zé)接收虛擬機的I/O處理請求，經(jīng)過虛擬機監(jiān)控器傳遞給位于虛擬機管理模塊的后端驅(qū)動，并將接收來自后端的處理結(jié)果返回給虛擬機.對于不同的虛擬機軟件，其虛擬機管理模塊所處的位置不太一樣.比如在Xen中，其獨立于虛擬機監(jiān)控器，位于Domain0中，而在KVM中其位于虛擬機監(jiān)控器內(nèi)部.后端驅(qū)動負(fù)責(zé)接收來自前端的I/O處理請求，并把請求交給虛擬機管理模塊中的本地驅(qū)動來處理，隨后把處理結(jié)果返回給前端驅(qū)動，從而完成虛擬機的I/O操作.特別地，對于網(wǎng)絡(luò)I/O而言，物理網(wǎng)卡（如eth0）會以橋接模式（如br0）與虛擬機使用的虛擬網(wǎng)卡相連.在這種架構(gòu)下，當(dāng)虛擬機1向虛擬機2發(fā)送數(shù)據(jù)包時，虛擬機首先在自己的網(wǎng)絡(luò)協(xié)議棧上創(chuàng)建該報文，然后將其拷貝到自己的內(nèi)核，接著前端會通過頁映射機制將數(shù)據(jù)包拷貝到后端并通過br0進(jìn)行轉(zhuǎn)發(fā)，后端會將報文拷貝到虛擬機2的前端驅(qū)動.如果兩臺虛擬機位于不同的物理服務(wù)器上，則中間還需要通過核心路由器完成兩臺物理服務(wù)器br0之間的socket通信.

圖6 分離式設(shè)備驅(qū)動模型

在這種通信模型下，所有的數(shù)據(jù)通信路徑都被延長了.對于一個

全虛擬化的虛擬機而言，當(dāng)應(yīng)用程序要進(jìn)行一次網(wǎng)絡(luò)I/O時，為了讀寫網(wǎng)卡寄存器，首先需要陷入到虛擬機監(jiān)控器，接著切換到虛擬機管理模塊去讀寫由QEMU模擬的寄存器.這樣，一次讀寫網(wǎng)卡寄存器的路徑就被延長了很多，從而造成了更大的開銷.被延長的不僅僅是數(shù)據(jù)請求的路徑，中斷處理的路徑也被延長了.在每一頁大小的數(shù)據(jù)包傳輸?shù)倪^程中，虛擬機都要發(fā)生一次軟中斷，而所有的虛擬中斷必須由QEMU來處理.因此，物理機的軟中斷次數(shù)和CPU的軟中斷處理時間被增加了.

對于具有P臺物理服務(wù)器的云服務(wù)集群，若其中共運行著N臺僵尸虛擬機，則按照“云滴凍結(jié)”的攻擊方法，在這N臺僵尸虛擬機間存在N×（N－1）條通信連接.假設(shè)第i臺物理服務(wù)器上存在Ni臺僵尸虛擬機，則通過該物理服務(wù)器虛擬機監(jiān)控器的通信連接數(shù)Ei＝2 Ni（N－Ni）＋Ni（Ni－1）.假設(shè)每條通信連接占用CPU時間資源ξ＞0，則每臺物理服務(wù)器被“云滴凍結(jié)”攻擊占用的CPU資源Si＝Eiβ.

定理1 對于給定的具有P臺物理服務(wù)器的云服務(wù)器集群，若每條“云滴凍結(jié)”攻擊通信連接消耗CPU時間資源ξ＞0，設(shè)每臺物理服務(wù)器配置大致相同且CPU資源耗盡門限值為ΓCPU，則使得該云服務(wù)器集群中至少一臺物理服務(wù)器CPU資源耗盡所需要僵尸虛擬機數(shù)目的充分條件是

證明 對于運行有Ni臺僵尸虛擬機的第i臺物理機而言，“云滴凍結(jié)”攻擊通信連接數(shù)目Ei＝2 Ni（N－Ni）＋Ni（Ni－1）.對其求一階偏導(dǎo)數(shù)?Ei?Ni＝2 N－2 Ni－1，當(dāng)1≤Ni＜ N －1/2時，?Ei?Ni＞0.因為ξ＞0，故“云滴凍結(jié)”攻擊對第i臺物理服務(wù)器的CPU時間消耗量Si＝Eiξ，為增函數(shù)（當(dāng)1≤Ni＜N－1/2時）.對于N臺僵尸虛擬機，“云滴凍結(jié)”攻擊共能產(chǎn)生攻擊通信連接數(shù)目為N2－N.因此，在最好的負(fù)載均衡情況下，每臺物理機上運行的僵尸虛擬機相同，即Ni＝N P.

故Si＝ （ （2P－1）N2－NP P2）ξ.使得至少該云服務(wù)器集群中一臺物理服務(wù)器CPU資源耗盡，則

成立.證畢.

在筆者設(shè)置的實驗環(huán)境下，每條穿過虛擬機監(jiān)控器的通信路徑產(chǎn)生的物理服務(wù)器的軟中斷所消耗的物理機CPU時間開銷約為0.4%.可以估算出，15臺僵尸虛擬機所產(chǎn)生的240條通信路徑就足以占用當(dāng)前物理服務(wù)器所有的CPU資源，從而產(chǎn)生拒絕服務(wù)的效果.這種資源消耗攻擊是由于虛擬機監(jiān)控器本身機制造成的，因此，若不改變現(xiàn)有虛擬機的分離式設(shè)備驅(qū)動模型，則不可避免地將受其影響.

（3）云服務(wù)器集群中僵尸虛擬機所在物理服務(wù)器的內(nèi)存資源.

當(dāng)僵尸虛擬機啟動攻擊后，對物理服務(wù)器內(nèi)存消耗的攻擊效果取決于物理服務(wù)器分配給僵尸虛擬機的內(nèi)存所占物理機的比例.如果分配給虛擬機使用的內(nèi)存資源占物理服務(wù)器的比例比較小，且該物理服務(wù)器的虛擬機監(jiān)控器上運行的攻擊虛擬機比較少，則攻擊的效果可能不明顯.就本文中的實驗而言，物理內(nèi)存已被占用殆盡.

由此可見，“云滴凍結(jié)”攻擊方式簡單，易于實現(xiàn)，而且能對物理服務(wù)器的網(wǎng)絡(luò)帶寬、CPU和內(nèi)存資源起到較顯著的拒絕服務(wù)攻擊效果.

3 討論與結(jié)論

“云滴凍結(jié)”攻擊與傳統(tǒng)分布式拒絕服務(wù)攻擊有明顯的區(qū)別.以傳統(tǒng)分布式拒絕服務(wù)攻擊的主要形式Flooding攻擊為例，其主要包括SYN Flooding攻擊，UDP Flooding攻擊和Smurf攻擊.

SYN Flooding攻擊的原理是通過發(fā)送大量偽造的TCP連接請求，導(dǎo)致服務(wù)器半開連接堆棧溢出，并因無法接受新的連接請求而出現(xiàn)拒絕服務(wù)狀態(tài)[10].如果使用真實IP，攻擊主機在收到服務(wù)端SYN ACK后，可能會因無應(yīng)用程序需要建立連接而發(fā)送一個RST回應(yīng)來取消連接，釋放服務(wù)器上的半開連接.因此，攻擊者通常會使用偽造的IP地址，這樣不但可以掩飾真正的攻擊源，還可以使受害者必須等到連接超時才能釋放半開連接.UDP Flooding攻擊通常是通過發(fā)送洪水般的UDP數(shù)據(jù)包占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)阻塞以達(dá)到攻擊的目的[11].Smurf攻擊是利用ICMP欺騙和ICMP回應(yīng)使大量ICMP應(yīng)答消息被發(fā)送到受害者主機以實現(xiàn)攻擊的[12].由此可見，傳統(tǒng)的分布式拒絕服務(wù)攻擊具備偽造源或目標(biāo)IP、多對一發(fā)起連接的特點，因此容易被現(xiàn)有的基于能力和過濾的拒絕服務(wù)攻擊檢測/保護（IDS/IPS）系統(tǒng)的跟蹤.而筆者描述的“云滴凍結(jié)”攻擊則不同，由于發(fā)送和接收消息的虛擬機都存在于云服務(wù)器集群內(nèi)部，不存在虛假的數(shù)據(jù)發(fā)送源IP地址、目的IP地址欺騙和畸形數(shù)據(jù)包.并且，從攻擊行為上來講，不存在明顯的多對單的連接請求形式.因此，傳統(tǒng)IDS/IPS不能對“云滴凍結(jié)”產(chǎn)生有效的防御.

Studer等[8]提出了“熔芯”（Coremelt）攻擊的概念.“熔芯”攻擊是一種特殊的分布式拒絕服務(wù)攻擊，其攻擊目標(biāo)是核心網(wǎng)絡(luò)的帶寬，通過大量受控主機相互發(fā)送數(shù)據(jù)包來擁塞可信網(wǎng)絡(luò)帶寬，最終達(dá)到拒絕服務(wù)的效果.但是，由于核心網(wǎng)絡(luò)帶寬相對較大，因此攻擊者發(fā)動該攻擊需要的感染主機數(shù)目也相對較多.而且由于這種網(wǎng)絡(luò)攻擊針對的是核心網(wǎng)絡(luò)，其受攻擊目標(biāo)的定向性較差.其攻擊效果要么不明顯，要么不僅是受攻擊目標(biāo)主機遭到了拒絕服務(wù)攻擊，而且所有連在該核心網(wǎng)絡(luò)鏈路上的服務(wù)器均受到了該攻擊的影響.因此，這種攻擊并不實用.“云滴凍結(jié)”攻擊是針對某一云服務(wù)器集群，攻擊目標(biāo)明確且易于實現(xiàn).“云滴凍結(jié)”攻擊能對云物理服務(wù)器的CPU資源產(chǎn)生非法占用，正如前面的分析，其攻擊原理是由于驅(qū)動模型設(shè)計缺陷造成的，因此如果不改變當(dāng)前廣泛采用的分離式驅(qū)動模型，則“云滴凍結(jié)”攻擊的效果是確定的.同時，“云滴凍結(jié)”攻擊還能對物理服務(wù)器內(nèi)存產(chǎn)生非法占用，這些都是“熔芯”攻擊所不具備的.可見，“云滴凍結(jié)”攻擊是一種新型的、實用的、有效的分布式拒絕服務(wù)攻擊模型.

可能的解決思路是研究更好的基于虛擬機行為分析的內(nèi)部威脅檢測和控制方法，包括以下兩個方面：

（1）資源配額管理.對虛擬機的網(wǎng)絡(luò)帶寬、CPU、內(nèi)存等資源實施更為全面的配額管理策略.現(xiàn)有方法中存在的不足為：只限制虛擬機與云服務(wù)器集群外部通信的網(wǎng)絡(luò)帶寬，而忽視了虛擬機之間的通信帶寬；只限制了CPU的型號和內(nèi)存的大小，卻忽視了隱形調(diào)用所消耗的CPU和內(nèi)存資源.

（2）基于虛擬機監(jiān)控器/Hypervisor數(shù)據(jù)包分析的虛擬機行為檢測機制.該機制應(yīng)結(jié)合基于虛擬機自省的入侵檢測系統(tǒng)（VMI－IDS）和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）的優(yōu)點，通過對虛擬機網(wǎng)絡(luò)數(shù)據(jù)包的分析檢測虛擬機惡意行為.

結(jié)合云計算環(huán)境下服務(wù)器集群部署的特征，筆者提出一種實用的、新型的分布式拒絕服務(wù)攻擊模型——“云滴凍結(jié)”攻擊，并詳細(xì)地從對物理服務(wù)器網(wǎng)絡(luò)帶寬的擁塞、CPU和內(nèi)存資源的非法占用等方面分析了形成該攻擊的原因.攻擊實驗表明，攻擊者通過控制僵尸虛擬機發(fā)動“云滴凍結(jié)”攻擊，不僅可以對云服務(wù)器集群的帶寬產(chǎn)生嚴(yán)重的擁塞效果，而且能夠極大地消耗物理主機的內(nèi)存和CPU等資源，使得本來能夠分配給合法虛擬機的資源被非法占用，從而達(dá)到拒絕服務(wù)的效果.對攻擊原理的分析表明，傳統(tǒng)的拒絕服務(wù)攻擊防御系統(tǒng)和技術(shù)對該攻擊無效，可能的抵御思路是研究更好的基于虛擬機行為分析的內(nèi)部威脅檢測和控制方法.

[1] Jansen W，Timothy G.Security Guidance for Critical Areas of Focus in Cloud Computing v3.0[M].Phoenix：Cloud Security Alliance，2011.

[2] 馮登國，張敏，張妍，等.云計算安全研究[J].軟件學(xué)報，2011，22（1）：71－83.Feng Dengguo，Zhang Min，Zhang Yan，et al.Study on Cloud Computing Security[J].Journal of Software，2011，22（1）：71－83.

[3] Modi C，Patel D，Borisanyia B，et al.A Survey on Security Issues and Solutions at Different Layers of Cloud Computing[J].Journal of Supercomputing，2013，63（2）：561－592.

[4] Choi H，Lee H.Identifying Botnets by Capturing Group Activities in DNS Traffic[J].Computer Networks，2012，56（1）：20－33.

[5] Hunt N，Bergan T，Ceze L，et al.DDOS：Taming Nondeterminism in Distributed Systems[C]//Proceedings of the 18th International Conference on Architectural Support for Programming Languages and oPerating Systems.New York：ACM，2013：499－508.

[6] Botezatu B.Anatomy of a Botnet[R].Burlington：Arbor Networks，2010.

[7] Arbor Networks.8th Annual Worldwide Infrastructure Security Report[R].Burlington：Arbor Networks，2013.

[8] Studer A，Perrig A.The Coremelt Attack[C]//Lectures Notes in Computer Science.Heidelberg：Springer，2009：37－52.

[9] Liu Jiuxing，Huang Wei，Abali B，et al.High Performance VMM－bypass I/O in Virtual Machines[C]//Proceedings of the Annual Conference on USENIX：6.Berkeley：USENIX Association，2006：3.

[10] Wang Haining，Zhang Danlu，Shin K G.Detecting SYN Flooding Attacks[C]//Proceedings of IEEE 21st Annual Joint Conference on Computer and Communications Societies：3.Piscataway：IEEE，2002：1530－1539.

[11] Manikopoulos C，Papavassiliou S.Network Intrusion and Fault Detection：a Statistical Anomaly Approach [J].IEEE Communications Magazine，2002，40（10）：76－82.

[12] Mirkovic J，Reiher P.A Taxonomy of DDoS Attack and DDoS Defense Mechanisms[J].Computer Communication

Review，2004，34（2）：39－53.