源端網(wǎng)絡(luò)檢測與抑制DDoS方法的研究

, ,

(湖北大學(xué) 計算機(jī)與信息工程學(xué)院, 武漢 430062)

0 引言

分布式拒絕服務(wù)攻擊(distributed denial-of-service attack, 簡稱 DDoS)是多年以來互聯(lián)網(wǎng)最具有威脅性的攻擊之一，DDoS攻擊是指攻擊者通過傀儡主機(jī)，消耗目標(biāo)攻擊目標(biāo)的計算資源，阻止目標(biāo)為合法用戶提供服務(wù)。近年來物聯(lián)網(wǎng)設(shè)備的廣泛使用，物聯(lián)網(wǎng)安全隨之成為一個重要的問題，如今基于Linux內(nèi)核的物聯(lián)網(wǎng)設(shè)備已經(jīng)變成了網(wǎng)絡(luò)攻擊者青睞的目標(biāo)[1]。Rob Graham在個人SNS上展示了自己的網(wǎng)絡(luò)攝像頭在幾十秒內(nèi)被惡意軟件感染并發(fā)起DoS攻擊。2016年10月份歐洲因?yàn)榍度胧皆O(shè)備的DDoS攻擊造成大面積斷網(wǎng)。

DDoS防御根據(jù)部署位置可以分為源端網(wǎng)絡(luò)防御、中間網(wǎng)絡(luò)防御和末端網(wǎng)絡(luò)防御三種類型。根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)分類，DDoS防御可以分為網(wǎng)絡(luò)層的防御和應(yīng)用層的防御。末端網(wǎng)絡(luò)防御主要是在被攻擊的主機(jī)上建立防御措施。由于對于應(yīng)用層的攻擊較多，大多數(shù)研究基于各種機(jī)器學(xué)習(xí)算法，訓(xùn)練出一套區(qū)分正常流量和DDoS流量的模型，使用此模型進(jìn)行對DDoS攻擊的檢測[3-5]。對于網(wǎng)絡(luò)層的攻擊，主要是通過被攻擊端設(shè)備和主要網(wǎng)絡(luò)設(shè)備對網(wǎng)絡(luò)流量的變化進(jìn)行監(jiān)控和檢測，并使用大量網(wǎng)絡(luò)設(shè)備資源對攻擊流量進(jìn)行控制[6-8]。王睿提出一種將在應(yīng)用層對DDoS流量檢測技術(shù)和在網(wǎng)絡(luò)層利用網(wǎng)絡(luò)設(shè)備的回溯攔截攻擊流量結(jié)合的方法[2]。在源端網(wǎng)絡(luò)上，早期Mirkovic等人設(shè)計了D-WARD系統(tǒng)，可以在攻擊端(僵尸網(wǎng)絡(luò))基于出入流量比例、流量速率和連接數(shù)量等信息判斷此網(wǎng)絡(luò)是否正在進(jìn)行DDoS攻擊，從而進(jìn)一步控制流量[9-10]。于明等人說明了在源端網(wǎng)絡(luò)勻速發(fā)送和組群式發(fā)送下 DDoS 攻擊流的可檢測性[11]。

DDoS作為經(jīng)久不衰的互聯(lián)網(wǎng)攻擊手段，正是因?yàn)樗某杀静桓卟⑶壹夹g(shù)難度不高，但是造成的危害卻極大。DDoS的攻防可以說是一場互聯(lián)網(wǎng)資源的斗爭，大多情況下被攻擊的服務(wù)商只能通過投入大量的金錢去購買網(wǎng)絡(luò)資源來填補(bǔ)被攻擊資源的空缺。而在被攻擊端的檢測和防御手段也需要使用大量的計算設(shè)備，在回溯的方法中甚至還要動用ISP的設(shè)備來幫助控制攻擊流量。在當(dāng)今物聯(lián)網(wǎng)設(shè)備大規(guī)模運(yùn)用在生活中，大多數(shù)普通用戶的互聯(lián)網(wǎng)安全意識還不夠健全的情況下，本文圍繞僵尸網(wǎng)絡(luò)，根據(jù)DDoS攻擊的特征，提出一種成本相對低廉的DDoS源端的防御方法。

1 利用IP熵異常流量

1.1 DDOS攻擊普遍特征

在發(fā)生DDOS攻擊時，無論是網(wǎng)絡(luò)層的攻擊還是應(yīng)用層的攻擊，一個顯著的特征是攻擊流量都指向同一個IP地址，并且發(fā)向被攻擊IP地址的流量速率增大。一般而言這種特征會持續(xù)一段時間直到被攻擊主機(jī)癱瘓無法提供服務(wù)為止。在DDoS攻擊中，攻擊工具的編寫者一般會使用偽造源地址的方法來混淆目標(biāo)主機(jī)的判斷，導(dǎo)致目標(biāo)主機(jī)無法及時發(fā)現(xiàn)并防御攻擊。而在源端網(wǎng)絡(luò)中，可以在邊緣路由器檢測流量特征，邊緣路由器可以有效提前過濾掉所有來源不屬于自身網(wǎng)絡(luò)的數(shù)據(jù)包。

1.2 IP熵

熵主要指體系的混亂程度，它能夠度量集合的離散程度。信息熵定義如下：

定義1：IP={ip1,ip2,…,ipn}表示單位時間內(nèi)網(wǎng)絡(luò)報文目的IP地址集合。

定義2:P={p1,p2,…,pn},pi表示第i個地址的概率，P為ip地址的概率分布。

定義3:E=-∑pilnpi表示單位時間內(nèi)網(wǎng)絡(luò)報文的目的ip地址的熵。

DDOS發(fā)生時，網(wǎng)絡(luò)報文目的地址集中，單位時間內(nèi)被攻擊主機(jī)被訪問的頻率大大增加。而在正常情況下，網(wǎng)絡(luò)報文目的IP應(yīng)該是分散的而且熵值趨于穩(wěn)定，波動較小。對荷蘭的某大學(xué)宿舍區(qū)連向大學(xué)的核心網(wǎng)絡(luò)的匿名數(shù)據(jù)集進(jìn)行測試，該網(wǎng)絡(luò)上約有2000名用戶連接，每秒的報文數(shù)量達(dá)到2000個左右。圖1是該網(wǎng)絡(luò)上的報文IO速率統(tǒng)計圖，由圖3可以得知在一個局域網(wǎng)內(nèi)，正常情況下網(wǎng)絡(luò)流量速率是基本穩(wěn)定的。在此數(shù)據(jù)集里，每隔10秒取該10秒內(nèi)的流量數(shù)據(jù)，共取10段數(shù)據(jù)，計算其目的ip地址的熵值，其中每段數(shù)據(jù)的目的ip數(shù)量大約為500個，如圖2所示。發(fā)現(xiàn)在正常流量環(huán)境下的目的IP的熵值沒有大幅波動。

圖1 網(wǎng)絡(luò)上的IO統(tǒng)計

圖2 正常流量環(huán)境下的目的IP熵值變化

2 SYN flood流量的連接跟蹤

在源端網(wǎng)絡(luò)中，使用ip熵策略發(fā)現(xiàn)某個目標(biāo)ip地址的流量突然集中，只能說明這屬于可疑流量，還不能判斷為攻擊。造成ip熵減小的可能性除了攻擊以外，還可能是流媒體傳輸、文件上傳、p2p上傳等大流量的操作。所以還需要對可疑流量進(jìn)行進(jìn)一步的分析。

2.1 通過網(wǎng)絡(luò)包的連接跟蹤

根據(jù)TCP/IP協(xié)議，TCP傳輸?shù)囊欢耸褂肐P地址和端口號作為唯一的身份標(biāo)識，客戶端和服務(wù)端使用IP地址:端口號對作為一個連接的唯一標(biāo)識，如圖3所示。

圖3 TCP連接的唯一標(biāo)識

Linux內(nèi)核的Netfilter子模塊Connection Track中，用一個結(jié)構(gòu)體描述一個連接， 每個連接都分為original和reply兩個方向，每個方向都用一個元組(tuple)表示，tuple中包含了這個方向上數(shù)據(jù)包的信息，如源IP、目的IP、源port、目的port等。而對于源端DDOS檢測系統(tǒng)而言，連接都是從普通終端發(fā)起，到服務(wù)器或被攻擊終端，所以在這里可以不用區(qū)分連接的方向。在內(nèi)核中，一個連接的可能狀態(tài)可以被定義如下：

NEW：一個新建的連接。這個狀態(tài)表明這個報文是有效的，假如Netfilter只看到一個方向上的流量(如，Netfilter沒有看到任何回復(fù)報文)，那么這個連接就處于NEW狀態(tài)，也就是這個報文屬于一個有效的初始化序列(如，在一個TCP連接中，收到一個SYN報文)。

ESTABLISHED：連接已經(jīng)被建立了。換句話說，如果連接處于這個狀態(tài)，就表明Netfilter看到了一個雙向的通信。

RELATED：這是一個期望的連接。

INVALID：這是一種特殊的狀態(tài)，來描述那些沒有按照預(yù)期行為進(jìn)行的連接。系統(tǒng)管理員可定義一些規(guī)則來記錄這些報文 或者丟掉這些報文。

對于源端DDoS檢測系統(tǒng)，我們只需要關(guān)心連接是否正常建立，所以只需要關(guān)注NEW和ESTABLISHED這兩個狀態(tài)。

我們對于每一個需要檢測的報文，使用IP地址和端口作為特征進(jìn)行哈希，使用散列表來存儲對每一個連接的跟蹤情況。

2.2 SYN Flood攻擊流量特征

SYN flood或稱SYN洪水、SYN洪泛是一種拒絕服務(wù)攻擊，起因于攻擊者發(fā)送一系列的SYN請求到目標(biāo)系統(tǒng)。

當(dāng)客戶端試著與服務(wù)器間創(chuàng)建TCP連接時，正常情況下客戶端與服務(wù)器端交換一系列的信息如下：

1)客戶端通過發(fā)送SYN同步(synchronize)信息到服務(wù)器要求創(chuàng)建連接。

2)服務(wù)器通過響應(yīng)客戶端SYN-ACK以抄收(acknowledge)請求。

3)客戶端答應(yīng)ACK，連接隨之建立。

TCP的三次握手是每個使用TCP傳輸協(xié)議創(chuàng)建連接的基礎(chǔ)。

SYN flood攻擊就是利用TCP建立連接的三次握手的漏洞，攻擊端向被攻擊端發(fā)送SYN連接請求后，不再向被攻擊端發(fā)送ACK報文。被攻擊端接收到SYN請求后，會建立一個半開通連接的緩存。攻擊端不斷地向被攻擊端以這種形式發(fā)送報文，最后將會導(dǎo)致被攻擊端資源耗盡。

根據(jù)近期在互聯(lián)網(wǎng)上造成極大影響的物聯(lián)網(wǎng)設(shè)備病毒程序mirai的源碼[14]，可以得知一個典型的SYN flood的實(shí)現(xiàn)方式與細(xì)節(jié)。mirai中使用linux的原生套接字(SOCK_RAW類型)，從系統(tǒng)底層直接向服務(wù)器發(fā)送TCP SYN報文，并完全不做后續(xù)的處理，也就是不接收服務(wù)器返回的SYN+ACK報文。

Mirai TCP flood攻擊模塊關(guān)鍵代碼如圖4所示，其主要目的在于：

1)設(shè)置syn標(biāo)志位為1

2)隨機(jī)生成一個源IP地址

3)隨機(jī)生成一個目的端口

1BOOLsyn＿fl=attack＿get＿opt＿int(opts＿len，opts，ATK＿OPT＿SYN，TRUE)；iph->saddr=rand＿next()；tcph->dest=rand＿next()；23

圖4 mirai TCP flood關(guān)鍵代碼

根據(jù)源代碼得知，發(fā)生SYN flood攻擊時，可以檢測到很多只有一次發(fā)送SYN的TCP數(shù)據(jù)報。

3 源端網(wǎng)絡(luò)流量監(jiān)控的設(shè)計

一個包捕獲機(jī)制包含三個主要部分：最底層是針對特定操作系統(tǒng)的包捕獲機(jī)制，最高層是針對用戶程序的接口，第三部分是包過濾機(jī)制。數(shù)據(jù)包常規(guī)的傳輸路徑依次為網(wǎng)卡、設(shè)備驅(qū)動層、數(shù)據(jù)鏈路層、IP 層、傳輸層、最后到達(dá)應(yīng)用程序。而包捕獲機(jī)制是在數(shù)據(jù)鏈路層增加一個旁路處理，對發(fā)送和接收到的數(shù)據(jù)包做過濾/緩沖等相關(guān)處理，最后直接傳遞到應(yīng)用程序。在linux系統(tǒng)上libpcap是一個典型的包捕獲庫。

伯克利數(shù)據(jù)包過濾器 (BPF, berkeley packet filter)是Libpcap使用的高效的數(shù)據(jù)包捕獲機(jī)制。BPF主要由兩部分組成，一是網(wǎng)絡(luò)轉(zhuǎn)發(fā)部分，二是數(shù)據(jù)包過濾部分。網(wǎng)絡(luò)轉(zhuǎn)發(fā)部分從鏈路層捕獲數(shù)據(jù)包，并把它們轉(zhuǎn)發(fā)給過濾部分；數(shù)據(jù)包過濾部分從轉(zhuǎn)發(fā)部分接收過濾規(guī)則相匹配的網(wǎng)絡(luò)數(shù)據(jù)包。

3.1 源端網(wǎng)絡(luò)拓?fù)涫疽?/h3>

在源端網(wǎng)絡(luò)的出口網(wǎng)關(guān)上部署流量檢測系統(tǒng)，在使用linux操作系統(tǒng)的網(wǎng)關(guān)上，很容易實(shí)現(xiàn)對流量的監(jiān)控以及自定義操作，如圖5所示。同時出口網(wǎng)關(guān)也很容易判別來自內(nèi)部網(wǎng)絡(luò)的偽造源地址數(shù)據(jù)包，可以及時有效地進(jìn)行攔截。

圖5 在出口網(wǎng)關(guān)上部署sniffer

3.2 偽造源地址過濾

Linux內(nèi)核網(wǎng)絡(luò)棧依賴Iptables/Netfilter框架，任何經(jīng)過Linux內(nèi)核的數(shù)據(jù)包必須通過這套框架的規(guī)則判定，決定數(shù)據(jù)包的丟棄或是通過，因此在內(nèi)核中攔截數(shù)據(jù)包具有絕對的實(shí)時性，不會漏放過任何一個報文。經(jīng)過試驗(yàn)，在這套框架中增加自定義的規(guī)則，不適合進(jìn)行大量的運(yùn)算，否則會導(dǎo)致Linux內(nèi)核的崩潰，但是對IP地址的過濾可以很高效的執(zhí)行。因此我們可以使用這套成熟的框架過濾偽造的源地址。對于路由器而言，數(shù)據(jù)包在內(nèi)核中的傳輸方向是INPUT鏈 -> FORWORD鏈 -> OUTPUT鏈，故偽造源地址的過濾規(guī)則應(yīng)直接安放在INPUT鏈上可以使效率達(dá)到最高。具體方法如下：

獲取源端網(wǎng)絡(luò)的硬件端口ethi;

獲取該端口的網(wǎng)絡(luò)地址和掩碼ipi,maski;

在INPUT鏈中增加規(guī)則：eth端口的ipi,maski數(shù)據(jù)包放行，余下的數(shù)據(jù)包全部丟棄。

3.3 流量捕獲與多線程數(shù)據(jù)處理

在過濾掉第一批偽造源地址的數(shù)據(jù)報后，剩下的都是規(guī)則上合法的數(shù)據(jù)包，因?yàn)楸疚牡姆治鱿到y(tǒng)構(gòu)建在Linux用戶空間上，所以這些數(shù)據(jù)包不會被及時攔截，但是會進(jìn)入用戶空間進(jìn)行計算分析后延遲攔截。

首先是系統(tǒng)的初始化，需要運(yùn)行較長一段時間獲得該網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)包的IP熵的平均值。接下來開始對異常流量進(jìn)行檢測，計算一段時間內(nèi)目的IP的熵并和平均值進(jìn)行比較，如果發(fā)現(xiàn)低于平均值m倍，則認(rèn)定為有可疑流量的發(fā)生，取該時間段頻次最高的三個IP地址進(jìn)行連接跟蹤。由于網(wǎng)絡(luò)數(shù)據(jù)包經(jīng)過網(wǎng)關(guān)的速率很高，根據(jù)libpcap庫的源碼，在每一次捕獲到數(shù)據(jù)包后的調(diào)用處理是單線程的方式，由于需要對數(shù)據(jù)包中的元組進(jìn)行散列運(yùn)算和對比，需要耗費(fèi)一定的時間，單線程會對后續(xù)的流量處理造成阻塞，所以這里采用多線程的方式，如圖6所示。

圖6 多線程處理數(shù)據(jù)包

4 實(shí)驗(yàn)結(jié)果和分析

實(shí)驗(yàn)采用普通辦公室的網(wǎng)絡(luò)環(huán)境，約20臺正常使用的設(shè)備連接同一個路由器。該路由器由Raspberry Pi 3B改裝而成，該設(shè)備擁有ARM Cortex-A53 1.2 GHz 四核處理器，1 GB運(yùn)行內(nèi)存，一個10/100M自適應(yīng)以太網(wǎng)接口，802.11n WiFi無線網(wǎng)卡，具有良好的性能，安裝Openwrt系統(tǒng)，可以作為無線路由器使用。

實(shí)驗(yàn)環(huán)境拓?fù)淙鐖D7所示，Router0為安裝系統(tǒng)的路由器，Server作為被攻擊的服務(wù)器，兩個局域網(wǎng)通過Router1接入互聯(lián)網(wǎng)。使用DDoS攻擊程序改寫自Mirai源碼的TCP SYN attack部分，分為隨機(jī)源IP地址和使用真實(shí)源IP地址兩種攻擊方式。

圖7 實(shí)驗(yàn)環(huán)境拓?fù)?/p>

在工作時間，測試到整個辦公室的網(wǎng)絡(luò)報文上傳速率為800 Packets/s，將系統(tǒng)設(shè)置為每隔一秒計算一次目的IP熵值，系統(tǒng)運(yùn)行5分鐘后，得出這5分鐘內(nèi)的平均目的IP熵值為3.88，每秒計算一次目的IP熵值的上下波動不超過20%，在

不開啟后續(xù)連接跟蹤系統(tǒng)的情形下使用攻擊程序的真實(shí)源IP地址方式向Server發(fā)起SYN流量，在測試中，攻擊程序1秒內(nèi)可以發(fā)送高達(dá)30000個數(shù)據(jù)包，此時的目的IP熵值降低至0.89，故在此環(huán)境中，人為設(shè)定當(dāng)目的IP熵值達(dá)到1.00以下時，判定為初步檢測到可以攻擊流量。

后續(xù)開啟連接跟蹤模塊，并設(shè)定目的IP熵值的臨界點(diǎn)為1.00，測試結(jié)果如下。

表1 攻擊檢測延遲測試

從測試中可以看出，系統(tǒng)對偽造源IP地址的DDoS攻擊可以很好的進(jìn)行攔截，但是對真實(shí)源IP地址的DDoS攻擊的檢測有延遲。由于延遲只有數(shù)秒，因此在檢測出攻擊后，系統(tǒng)通過調(diào)用Netfilter模塊在內(nèi)核層面上攔截，并清空自身所使用的資源，對路由器后續(xù)正常工作基本沒有影響。

5 結(jié)語

本文提出在源端網(wǎng)絡(luò)上利用網(wǎng)絡(luò)流量目的IP熵的特性檢測可疑的DDoS流量，并針對可能的誤報行為提出使用連接跟蹤的方法對可疑流量的進(jìn)一步分析，發(fā)現(xiàn)TCP層的SYN flood攻擊流量的方法。通過實(shí)驗(yàn)小規(guī)模局域網(wǎng)下某臺機(jī)器向互聯(lián)網(wǎng)上某臺機(jī)器發(fā)送SYN攻擊的情形，證實(shí)本方法的可行性。

[1] 李柏松. 物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)嚴(yán)重威脅網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全[J]. 信息安全研究, 2016, 2(11): 1042-1048.

[2] 王 睿. 一種基于回溯的 Web 上應(yīng)用層 DDOS 檢測防范機(jī)制[J]. 計算機(jī)科學(xué), 2013, 40(11A): 175-177.

[3] 王 進(jìn), 陽小龍, 隆克平. 基于大偏差統(tǒng)計模型的 Http-Flood DDoS 檢測機(jī)制及性能分析[J]. 軟件學(xué)報, 2012, 23(5): 1272-1280.

[4] 王風(fēng)宇, 曹首峰, 肖 軍, 等. 一種基于 Web 群體外聯(lián)行為的應(yīng)用層 DDoS 檢測方法[J]. 軟件學(xué)報, 2013, 6.

[5] 楊宏宇, 常 媛. 基于 K 均值多重主成分分析的 App-DDoS 檢測方法[J]. 通信學(xué)報, 2014, 35(5): 16-24.

[6] 羅 華,胡光岷,姚興苗. 基于網(wǎng)絡(luò)全局流量異常特征的DDoS攻擊檢測[J]. 計算機(jī)應(yīng)用,2007(2):314-317.

[7] Chen Y, Hwang K. Collaborative change detection of DDoS attacks on community and ISP networks[A].Collaborative Technologies and Systems, 2006. CTS 2006. International Symposium on. IEEE[C]. 2006: 401-410.

[8] Yuan J, Mills K. Monitoring the macroscopic effect of DDoS flooding attacks[J]. IEEE Transactions on Dependable and Secure Computing, 2005, 2(4): 324-335.

[9] Mirkovic J, Prier G, Reiher P. Attacking DDoS at the source[A].Network Protocols, 2002. Proceedings. 10th IEEE International Conference on. IEEE[C]. 2002: 312-321.

[10] Mirkovic J. D-WARD: source-end defense against distributed denial-of-service attacks[J]. 2003.

[11] 于 明, 王東菊. TCP DDoS 攻擊流的源端網(wǎng)絡(luò)可檢測性分析[J]. 山東大學(xué)學(xué)報 (理學(xué)版), 2012, 47(11): 50-53.

[12] 江 健, 諸葛建偉, 段海新, 等. 僵尸網(wǎng)絡(luò)機(jī)理與防御技術(shù)[J]. 軟件學(xué)報, 2012, 23(1): 82-96.

[13] https://www.simpleweb.org/wiki/index.php/Traces Pcap_Traces[EB/OL].

[14] https://github.com/jgamblin/Mirai-Source-Code[EB/OL].