APP下载

分布式拒绝服务攻防技术发展趋势研究

2023-08-09仇必青牟春旭闫申

计算机应用文摘·触控 2023年15期
关键词:技术特征防御发展趋势

仇必青 牟春旭 闫申

摘 要:分布式拒绝服务(DDoS)攻击深刻影响网络安全和数据安全,对行业的影响包括服务瘫痪、品牌声誉损失等,其背后的动机包括勒索、攻击能力演示、故意破坏、政治纠纷、黑客活动、商业竞争、干扰过滤以及其他数据盗窃活动等。文章从 DDOS 攻击和防御 2个角度分析其技术发展趋势,首先分别介绍了DDoS 攻击和防御的相关概念及工作原理,然后总结 DDOS 攻击和防御的各类技术特征,最后展望了 DDoS 攻击和防御的技术发展趋势。

关键词:DDoS攻击; DDoS 防御:;技术特征;发展趋势

中图法分类号:TP393文献标识码:A

1 引言

随着云计算、大数据、人工智能(AI)、视频直播等的高速发展,互联网已深度融入人们的日常工作生活,给人们提供各种数据支持和网络服务,网络带宽也随之不断增高。物联网(IoT)和网络连接的进步无意中促進了分布式拒绝服务(DDoS)攻击的发展,其数量、频率和强度都有所增长,已成为影响网络安全和数据安全的重大威胁。微软报告称,2022 年该公司遭受DDoS 攻击的峰值达到每秒3.47 太比特;而腾讯的报告称,2022 年该公司遭受DDoS 攻击的峰值达到每秒1.45 太比特,DDoS 攻击造成的严重破坏事件仍不断增加。由此可见,每一秒都是抵御DDoS 攻击的关键。目前,安全系统仍缺乏针对DDoS 攻击的有效防御方法。需要研究者分析攻击的发展态势,并构建识别、防御、缓解全过程管理体系。

2 DDoS 攻击

2.1 DDoS 攻击的概念

(1)DDoS 攻击的定义。

DDoS 攻击由拒绝服务(DoS)攻击发展而来,攻击者在一段时间内利用分布在网络上的各类设备对目标发起看似合法的请求,占据大量服务资源,使网络服务无法正常提供。僵尸主机是一种连接到互联网并且被感染恶意软件的设备,可执行编程任务。僵尸主机执行的操作包括发送大量垃圾邮件、嗅探流量、捕获敏感信息、网络钓鱼、点击欺诈、密钥记录、传播加密货币挖掘软件以及发起攻击。

(2)DDoS 攻击的工作原理。

发起攻击的僵尸主机通过管理肉鸡控制流量,使各种肉鸡向受害者的基础设施发送攻击流量。攻击者利用IoT 等互联网连接设备的各种弱点传播其制作的恶意代码,互联网连接设备感染后将逐步成为攻击者的肉鸡,攻击者发送命令让其控制的肉鸡执行。当攻击者发起攻击时,会指示肉鸡创建与受害者基础设施的连接,使各种肉鸡向受害者的基础设施发送攻击流量,攻击者通过管理肉鸡控制流量,不断消耗受害者所有可用网络资源。

2.2 DDoS 攻击的分类

(1)资源消耗型攻击。

中央处理器(CPU)、内存、网络带宽、套接字等是攻击者尝试消耗的主要资源。此外,消耗对互联网运行至关重要的基础设施的所有带宽和计算资源也是攻击者的常用方式。一般情况下,资源消耗型攻击通过协议漏洞攻击或格式错误的数据包攻击实现。其中,协议漏洞攻击是利用包括TCP,UDP,ICMP,HTTP等在内的各种协议来消耗服务交付所需的重要资源,主要的攻击类型包括TCP SYN 攻击、TCP PUSH 混合ACK 碎片攻击、UDP 洪泛攻击、ICMP 洪泛攻击、HTTP洪泛攻击、SIP 洪泛攻击和慢速HTTP 攻击等。

(2)零日攻击。

零日DDoS 攻击是指攻击者利用未被大众发现的安全漏洞或病毒发起攻击。除了利用的安全漏洞或病毒未知,攻击的影响也是未知的,只有在攻击发起之后,才有可能识别攻击的安全漏洞或病毒,并有针对性地提出适当的防御措施。保持系统最新和正确的配置可以一定程度上减少未知漏洞,从而进一步减少零日攻击的机会。

(3)融合攻击。

融合攻击是指攻击者融合包括IoT、工业互联网、勒索等在内的不同新型技术手段或攻击策略来加强攻击,并使系统难以检测和减轻攻击。攻击者可以组合不同类型的洪泛攻击,或者可以将不同的放大攻击与新型攻击混合。其中,在融合IoT 攻击中,攻击者将存在漏洞的摄像头、智能电视、智能音箱、智能手表等IoT 设备与目标受害者创建连接,并消耗其可用资源;勒索DDoS 攻击(RDDoS)利用DDoS 攻击变体进行破坏,攻击者的主要目的是让受害者支付赎金,以换取暂停或不对受害者发起进一步的攻击;经济可持续性否认(EDoS)是利用DDoS 攻击迫使受害者为网络分配更多的计算资源,增加了受害者保持服务运行所需的成本。

2.3 DDoS 攻击发展趋势

DDoS 攻击已经从单纯的资源比拼演进成竞技斗争。攻击者为了绕过防御措施,伪装自己(CC 攻击)、低频扫射、RDDoS 、EDoS 等新型融合技术层出不穷。从多个CC 攻击案例可以分析,攻击已逐步显现出多IP 叠加低QPS 的特征,通过恶意移动应用控制移动终端,并使其变成肉鸡,进一步获得海量的可用攻击IP 源,海量连接需求让服务器压力剧增并逐步崩溃。随着地缘冲突的持续发酵,新型融合技术导致攻击持续升级,以关键信息基础设施为目标的攻击也将与日俱增。一是资源消耗型攻击将异军突起。比如UDP Fragment Flood 类型的大流量攻击显著增多,百Gb 级别以上的大流量攻击将越来越普遍,呈现出大流量攻击增长幅度高于整体威胁增长幅度的态势。资源消耗型攻击将继续在Tb 级别的大流量攻击中扮演重要角色。二是零日DDoS 攻击等新型攻击手段将不断涌现,由于利用的安全漏洞或病毒未被公布,攻击造成的不利后果将无法估计。三是攻击目标将趋于明确,攻击持久性将持续加强。受害者一旦被攻击者选为攻击目标,将更容易遭受多次攻击,从目标被攻击频次来看,将呈现不断上升态势。受害者目标被攻击的周期将不断变长,攻击持久性也将持续加强。

3 DDoS 防御

3.1 DDoS 防御的概念

(1)DDoS 防御的定义。

DDoS 防御是指为应对攻击者发起的侵略、保障网络服务持续进行或者因网络可能即将被攻击而发出警戒以减少外部侵略伤害的行为。

(2)DDoS 防御的工作原理。

防御攻击的最终目标是预防。在攻击前后,防御的必要工作包括预防、检测、缓解。

预防攻击是指在攻击者发动攻击之前采用禁用不必要的服务、资源限制、安全加固等手段进行预防,以避免或缩小攻击的负面影响。最常用的预防策略是使用多层防火墙预防攻击。

检测攻击是指当攻击者发起攻击后,发现过载信号或攻击造成损害,并第一时间判断已发生攻击行为的措施。检测发现攻击者,然后阻止攻击者制造的虚假流量是防御DDoS 攻击的主要方法。可以使用蜜罐监控器和IDS 机制,也可以通过协议特性、系统特性、请求特性等进行检测,同时,连续网络监控也可以用于攻击告警检测。

缓解攻击是指检测识别到DDoS 攻击后,采取适当、必要的措施来应对并减轻(响应)攻击造成的不利后果,以避免或最小化服务遭受的损害。在DDoS 攻击期间,系统管理员很难访问网络的路由器和服务器。因此,有必要组建一个能够进行入侵响应的专业团队。入侵响应团队能够在攻击发生后收集数据,及时追踪构成DDoS 网络的主机并关闭这些主机的连接服务[1~2] 。

3.2 DDoS 防御分类

(1)基于信息熵的DDoS 检测防御。

在网络的正常状态下,所有网络节点接收的流量速率相对稳定,并且信息熵的值最大。在DDoS 攻击下,一个或多个主机获得的流量会明显超过正常速率,在这种情况下,熵值会下降。根据网络节点的信息熵值是否超过设定的阈值来判断网络是否遭受DDoS 攻击。

(2)基于TCP 代理的DDoS 检测防御。

TCP 代理机制主要针对TCP SYN 洪泛攻击,TCPSYN 请求不直接到达服务器,而是通过代理过滤该请求。当TCP SYN 请求到达过滤设备时,该设备不会将其直接移交给后续服务器,而是应答“SYN+ACK”响应,并等待客户端回复。如果请求来自合法用户,客户端将响应“SYN+ACK”,清洗设备与受保护服务器建立TCP 连接,并将该连接添加到信任列表中,合法的用户和服务器可以通过清洗设备进行正常的数据通信。如果请求来自攻击者,由于攻击者通常不会响应,这将导致半开放连接,过滤设备将暂时保存半开的连接,并在超时后将其丢弃。

(3)基于统计分析的DDoS 检测防御。

基于统计分析技术的预测通过对汇总收集的包含网络特征的各类数据进行数学统计及整理、分析,以求最准确地预测攻击发生可能性。分别统计正常合法请求的数据特征、攻击者发起的非法请求的数据特征,计算常规流量的统计模型,然后使用统计推断测试来确定新的流量是否属于该模型。若与统计模型不一致,则将该流量实例分类为不一致,需要后期进一步分析、证实该流量是否属于正常流量。根据数据特征属性统计结果的差异,进一步检测判断是否发生DDoS 攻击。

(4)基于机器学习的DDoS 检测防御。

基于机器学习的检测防御是一种使用学习模型进行DDoS 攻击预测的方法,该模型是经所有可用数据集合提炼而成。根据使用数据集合是否标记,可以分为有监督和无监督2 种。其中,有监督是在一个学习模型的基础上,给出一定的数据样本集合,系统根据已知的输入,经过处理,能够得到正确的输出结果;无监督是没有一个固定的学习模型,需要在数据集合的基础上进行提炼,以得到学习模型,然后利用模型對数据进行处理。机器学习涉及贝叶斯决策理论、多元技术、聚类、多层感知器、线性判别、局部模型、分类树、强化学习、隐马尔可夫模型(HMM)等技术。各种检测方法主要包括贝叶斯网络、模糊逻辑、遗传算法、K?NN 算法、神经网络、软件代理技术、SVM 等。

(5)基于人工神经网络的DDoS 检测防御。

人工神经网络(ANN)具有自学习、自组织、良好的容错性和鲁棒性、并行性等优点,因此受到了越来越多的关注。因ANN 不仅可以识别现有的攻击模式,还可以识别未知的攻击模式,被越来越多的研究人员用于检测DDoS 攻击。该技术提高了入侵检测系统(IDS)的智能性和适应性。自组织映射(SOM)、精确STORM、反向传播神经网络(BPNN)、卷积神经网络(CNN)、递归神经网络(RNN)、长短期记忆(LSTM)等算法被越来越多的研究人员用于检测网络中的DDoS 攻击。

3.3 DDoS 防御发展趋势

针对DDoS 攻击新型融合手段的不断升级,防御技术逐步向新技术融合的方向发展。一是基于TCP代理的检测防御将继续在TCP SYN 洪泛攻击中发挥独特作用,减少可疑流量对服务器资源的占用。二是防御技术逐步向新型动态防护方向发展。首先设置符合系统实际情况的防护方案,再基于统计分析和机器学习,发现可用IP 信息,并判断是否属于肉鸡,然后对肉鸡实施限速,同时对JS 实施校验,并对肉鸡实施封禁,针对请求伪造和字符不易匹配等问题,结合AI 等新技术进行特征分析,及时进行策略配置和业务调整。三是单纯依靠某一类技术已很难防御不断演化发展的新型攻击,需要研究者结合信息熵、TCP 代理、机器学习、统计分析、人工神经网络等创新技术,从地理区域、访问频率、请求特征等多个维度,获取流量的特征,利用融合创新技术,主动感知可疑流量,不断优化、调整防御措施,建立实时监控与动态防御相结合的立体防护手段。

4 结束语

网络功能虚拟化(NFV)、物联网(IoT)、5G 和云计算等技术的快速发展,网络结构也不断演进,导致DDoS 攻击的质量和数量都显著增加。本文从攻击和防御2 个角度分析DDoS 攻防的技术发展趋势,首先分别介绍了DDoS 攻击和防御的相关概念及工作原理,然后总结DDoS 攻击和防御的各类技术特征,最后展望了DDoS 攻击和防御的技术发展趋势。

参考文献:

[1] DILMUROD T.Classification of DDoS attacks[J].ACADEMICIA:An International Multidisciplinary Research Journal, 2022, 12(11):55-57.

[2] KUMAR R B,HARI S.On improving the performance of DDoSattack detection system[J].Microprocessors and Microsystems,2022,93:1-16.

作者简介:

仇必青(1987—),硕士,高级信息系统项目管理师/ 研究员,研究方向:网络安全、数据安全。

闫申(1993—),硕士,研究方向:密码学(通信作者)。

猜你喜欢

技术特征防御发展趋势
金砖国家高技术产品出口的技术特征及演化趋势预测
短跑技术的发展
数据挖掘在计算机网络病毒防御中的应用
论校园无线局域网的攻击与防御
计算机软件技术特征及其提高其可靠性的合理化建议
分析我国品牌营销的管理及发展问题
刍议新局势下计算机病毒防御技术
我国高水平女子400m混合泳运动员技术特征研究