对DDOS攻击的研究与防范

2020-03-02吴嘉豪唐宾徽

科技创新导报 2020年21期

吴嘉豪唐宾徽

摘要：由于DDOS攻击比DOS攻击具有更强大的破坏力，因此基于DDOS攻击衍生出多种防范措施，如基于网络流量的异常检测，通过收集到的正常连接数据运用数学函数生成一个阈值，超过此阈值，即发出警报，或者快速检测伪造 IP 的方法。为了达到该目的，通过流量分析系统评估正常流量的 TTL，作为可访问主机的参考。若所收到的数据包其中TTL与正常TTL不符，则判定此源Ip为伪造Ip。本文提出一种基于web访问路径的DDOS攻击防御模型（UAP），UAP部署在web服务器与应用服务器之间，通过对请求路径、请求分布、路径循环、行为时隙与路径长度进行异常检测，检测结果能分辨DDOS攻击与正常用户访问，并且基于SDN架构来防范DDOS攻击，在SDN架构中简化了数据转发分组的过程，通过中心控制器连接了所有交换机，从而能实时获取网络中信息因此能对DDOS攻击做出快速反应。该文针对DDOS攻击中通过UDP包攻击的基本原理及其种类，包括对Trinoo攻击的检测及防范为例，对分布式拒绝服务攻击的若干问题展开探讨。

关键词：DDOS攻击原理检测防范策略

中图分类号：TP393.0 文献标识码：A 文章编号：1674-098X（2020）07（c）-0169-03

Absrtact： Because DDOS attack is more powerful than DOS attack， many kinds of preventive measures are derived based on DDOS attack， such as： anomaly detection based on network traffic， generating a threshold value by using mathematical function through the collected normal connection data， exceeding this threshold value， that is， sending out an alarm， or quickly detecting forged IP. In order to achieve this goal， TTL of normal traffic is evaluated by traffic analysis system as a reference of accessible host. If the TTL of the received packets does not match the normal TTL， the source IP is determined to be forged IP. This paper proposes a DDOS attack defense model （UAP） based on Web access path. UAP is deployed between web server and application server， and anomaly detection is carried out on request path， request distribution， path cycle， behavior timeslot and path length. The detection results can distinguish DDOS attacks and normal user access， and prevent DDOS Attacks Based on SDN architecture. In SDN architecture， the process of data forwarding and grouping is simplified， and all switches are connected through the central controller， so that the information in the network can be obtained in real time， so it can make rapid response to DDOS attacks. Aiming at the basic principle and types of UDP packet attacks in DDOS attacks， including the detection and prevention of trinoo attacks， this paper discusses some problems of distributed denial of service attacks.

Key Words： DDOS attack; Principle; Detection; Prevention strategy

1 DDOS攻击的基本原理剖析

普通的DOS攻击均为一台机器设备对特定目标发动攻击，反观当前的DDOS攻击通常是由大量的设备借助高宽带通过传送众多数据包对同一个目标进行攻击和控制，如此一来，便更容易击溃目标网站[1]。除此之外，DDOS攻击模式的自动化属性更强，攻击者能够将自身程序同时植入到目的僵尸网络，通过对僵尸网络攻击命令的下达，这部分设备就可以对目标网站进行攻击。这一过程大致可以分成下列几个步骤：第一，攻击者通过嗅探软件寻找出可以被攻击的计算机;第二，DDOS借助现阶段互联网协议中的各种安全漏洞。即便DDOS攻击并不是必须借助这些安全漏洞，然而这部分漏洞的存在确实令DDOS攻击模式的威力更强大。主要的安全漏洞涵盖了：缓冲区溢出、源IP地址能够自如更改、SYN海量连接、流攻击、认证数据的故意丢失、包头偏址或者其它坏包对IP栈的攻击等等[2]。攻击者侵入至存在安全漏洞的主机中并窃取根目录的控制权，这部分主机通常被叫做“主控端”，一般而言有十几到几十臺，且大部分都是UNIX平台运作的服务器。第三，在每一台被侵入的主机里装配主控端程序。在默认端口上，利用TCP以及UDP协议分别和攻击端、分布端进行通讯。第四，进一步展开入侵与扫描作业，目的是管控成百上千台的分布端，在分布端装配守护程序，分布端在收到攻击指令后便会对目标对象发动攻击[3]。

2 DDOS攻击的主要类型研究

到目前为止，攻击者最普遍采取的分布式拒绝服务攻击程序一般包含了Trinoo、TFN2K、TFN以及Stacheldraht等几类，下面我们对这些主要的攻击类型进行更加细致的探究。

2.1 Trinoo攻击

Trinoo本质上属于UDP包的其中一类，并以此属性对指定目标网络展开攻击的一种工具软件。当攻击体系创建起来后，攻击端利用Telnet程序远程操控并登入主控端，然后发送一系列的攻击指令。而主控端则是通过27665/tcp端口接收攻击端发来的指令，通常而言这一执行程序是需要设定密码的，与此同时主控端与分布端建立连接，等待分布端传来的UDP报文。在此基础上，分布端攻击守护程序收到flood命令后通过对目标主机发送数目庞大的UDP报文来执行攻击命令。它们收到命令之后同一时间对目标主机发动UDP flood攻击，从而令宽带消耗殆尽。大部分的DDOS攻击时针对某特定端口的普通UDP flood攻击，而Trinoo攻击是随机地指向目标端的UDP端口，从而使目标主机产生众多ICMP无法到达报文，严重占用主机的宽带，最终令正常访问的数据包难以到达目标主机[4]。

2.2 Stacheldraht攻击

Stacheldraht对指令来源作假，同时能够抵御某些路由器借助RFC2267过滤。如果检测出存在过滤的情况，其便会只做假IP地址的最后8位，目的是使用户无法真正找出究竟是哪几个网段的哪些设备被攻击。除此之外，它也具备自动更新的功能，Stacheldraht可以伴随着软件更新进行自主的更新。并且， Stacheldraht攻击融入了Trinoo攻击的部分特征，也就是其是由分布端、主控端、攻击端三者共同构成。 Stacheldraht攻击也融合了TFN、TFN2K的特性，可以同时借助多类手段对目标主机发起攻击，增加了主控端与攻击端二者间的密切通讯能力。另外，这种攻击模式可以自动更新代理程序，并且其代码当中不包括“on Demand”，这一点和早期的TFN、TFN2K是存在巨大差异的。

2.3 TFN、TFN2K攻击

首先，TFN即为借助ICMP给主控端或者分布端传递指令，它的来源方便作假。其能够发起SYN flood、UDP flood、ICMP flood等多种攻击。其次，作为TFN攻击的升级版，TFN2K的主要特征为：对指令数据包进行加密操作、指令来源作假、难以查询指令内容等。除了上述攻击特点外，TFN2K也具有如下特点：新添加了MIX、TARGA3等攻击模式;借助诱骗包操控客户端进程端口;对客户端的TCP、UDP或者ICMP的通讯方式进行加密操作等。

3 DDOS攻击的防范策略及若干实现

从根本上讲，DDOS与DOS攻击不存在差异，但不同的是，DDOS攻击在方法上更加隐蔽，成功几率更大，令对其的检测防范更具难度。以Trinoo攻击为例，对DDOS攻击的检测、防范做出了研究，并提出：检测及防范DDOS攻击体系应当从目标端、主控端和分布端分别展开。

3.1 目标端的检测防范对策与实现

当前，尽管有扫描与杀死主控端、分布端程序的专用软件，但网络当中仍然存在大量有安全漏洞的PC机。所以，在目标端的检测和防御尤为关键。具体来讲，主要涵盖了入侵检测以及防火墙过滤两种最关键的网络安全技术。前者是被动、动态的监视系统，而后者是按照预定的规则，本质上是主动防范手段。在实际的操作环节，我们不妨将二者有机结合起来，并努力构建起缜密科学的防控体系。换言之，由IDS监视网络UDP流量，若是超过限定值，即刻報警，同时借助System函数及时添加相应的规则到Firewall中，把非法UDP流阻挡于边界路由器之外，最终发挥防护目标主机的根本目的。当攻击结束后，这一体系把新添加的规则删掉，并允许正常的UDP流自由进出LAN。

3.2 分布端和主控端的防范策略及其实现

分布端和主控端主机需要检测和防范被攻击者的入侵，同时进行更好的利用。寻找到master.h以及ns.c并及时删除，是二者检测及防范的关键[5]。通常而言，主控端会利用27665/tcp端口来接收攻击端的指令，使用31335/udp端口和分布端保持通讯;分布端则是借助端口27444/udp来接收主控端的指令，也就是AttackertoMasters。在主控端与分布端通信时，他们会使用udp数据包进行沟通而udp包一般都是几个字节到十几个字节，控制信息就在这十几个字节中[6]。因为在控制信息流中即使伪造了源Ip地址也无法伪造目标Ip，不然的话分布端就不会收到来自主控端的攻击信息，当Daeon被成功安装，就会向Master发出含有字符串*HELLO*的UDP数据包用Ngrep程序检测得到#U172.18.16.254：32887->192.168.1.1：31335*HELLO*表明分布端主机172.18.16.254正在向主控端主机192.168.1.1发送安装成功的消息。还有种方法在计算机上安装了lsof对其进行检测：

# lsof egrep″：27444″ns 1316 root 3u inet 2502 udp*：27444

表明该计算机已被安装了Trinoo的分布端程序（ns.c）

#lsof egrep″：31335 ：27665″master 1292 root 3u inet 2460 UDP *：31335

master 1292 root 4u inet 2461 TCP *：27665

就表明该机已被安装主控端程序（master.c）

在攻击端与主控端，主控端与分布端它们之间通信的数据包，当中会有特殊的字符串，当找到该数据包便可以确定此计算机正在遭受DDOS攻击，并且能判断该计算机处于DDOS网络中主控端或是分布端。

4 结语

总而言之，对DDOS攻击的检测与防范作为一种整体、共同行为，一台网络主机不仅要注意防止自己成为主控端与分布端，也要注意成为DDOS攻击的攻击目标。当然在现有阶段下，仍旧不能从根本上遏制这类攻击，然而DDOS攻击自身存在的缺陷却可以被加以利用，从而实现对它的防范。

参考文献

[1] 余思阳，杨佑君，李长连.基于DPDK的DDoS攻击防御技术分析与实现[J].邮电设计技术，2020（1）：70-74.

[2] 赵陇，王志勃，章万静.基于DDoS安全区的伪造IP检测技术研究[J].计算机技术与发展，2019（9）：106-109.

[3] 任皓，许向阳，马金龙，等.基于Web访问路径的应用层DDoS攻击防御检测模型[J].河北科技大学学报，2019（5）：404-413.