基于偽造IP地址檢測的輕量級DDoS防御方法
2008-12-31 00:00:00陳曦楊建華謝高崗
計算機應用研究 2008年12期
(1.中國科學院 計算技術研究所,北京 100080; 2.湖南大學 軟件學院,長沙 410082)
摘 要:
由于網絡速率的不斷增加和網絡帶寬的不斷變大,采用維持連接狀態的方式進行DDoS攻擊防御變得越來越困難。通過檢查偽造IP地址防御DDoS攻擊是高速鏈路上防御DDoS攻擊的一種有效方法。由Wang Haining 等人提出的HCF在訓練完全的情況下對偽造IP地址具有較強的檢測能力。但由于網絡流量構成的顯著變化,網絡流量的動態性明顯增強。在當前網絡環境下的HCF很難訓練完全,從而使得HCF在當前網絡環境下的檢測能力大幅降低。基于HCF使用的基本原理在其基礎之上引入了主機安全指數的概念,并修改了其實現的數據結構,使其更加適應當前的網絡環境。實驗結果顯示,該方法在當前網絡環境下可以較好地防御基于偽造IP地址的DDoS攻擊。同時與HCF相比,可以顯著地降低誤判率。
關鍵詞:分布式拒絕服務防御; 偽造IP地址檢查; 攻擊防御
中圖分類號:TP301 文獻標志碼:A
文章編號:10013695(2008)12371604
Lightweight DDoS defense method based on against spoofed IP addresses
CHEN Xi1,2,YANG Jianhua1, XIE Gaogang1
(1.Institute of Computing Technology, Chinese Academy of Sciences, Beijing 100080, China; 2.School of Software, Hunan University, Changsha 410082, China)
Abstract:Because of the increment of size and bandwidth of current Internet, it becomes more and more difficult for the prevention mechanism to maintain all connections. Defense against spoofed IP address is an efficiency way to mitigate the damage of DDoS attack. HCF can throttle most attacks when the filter is abundantly trained. But due to the notable changes of current Internet environment, HCF can’t be trained entirely. As a result, the accuracy performance of HCF is seriously decreased. This paper proposed host threatening index and modified the data structure of HCF. Experimental results show that this methods can significantly reduce the 1 negative rate and fit current Internet environment better.
Key words:DDoS(distributed denial of service) defense; spoofed IP address inspect; attack defence
0 引言
泛洪式DDoS防御是當前網絡安全的研究熱點之一。泛洪式攻擊的特點是攻擊者使用大量偽造的數據包消耗受害者資源,擁塞受害者鏈路。泛洪式DDoS攻擊防御所面臨的一個重要挑戰是日益增長的網絡帶寬和日益增加的鏈路速度。現有硬件條件下,無論是在高速鏈路上進行逐包檢測還是維持大量并發連接狀態都是十分困難的。同時,最近對DDoS攻擊的研究[1]發現,采用偽造IP地址進行泛洪式DDoS攻擊已經成為攻擊者的主要手段。
Templeton等人[2]通過研究IP地址和TTL(time to live)值的映射關系發現,由于有線網絡中網絡拓撲相對固定,在較長時間尺度內,主機之間通信的端到端跳數是相對穩定的 。這種特性可以用來對偽造IP地址進行檢測。Wang Haining 等人[3]對經過47個路由器的trace route數據進行了統計。測量結果顯示,在其觀測鏈路上通過的數據包源IP地址與跳數之間的映射是相對穩定的。據此,Wang Haining 等人提出了一個輕量級的可以粗略進行DDoS防御的防御模型——HCF(hop count filter)。這種方法在訓練完全的情況下能夠以較低的系統開銷過濾掉大部分的DDoS攻擊,適合應用在層次化DDoS防御模型中。不幸的是,基于IP的數據、視頻、音頻,尤其是以P2P為基礎的實時流媒體、即時通信、文件共享等大量新業務層出不窮,網絡流量呈現復雜的非線性增長趨勢,其構成等相比先前有了顯著的不同[4~7]。P2P流量的大量增加,理論上增加了鏈路上觀測到的IP地址數目;同時P2P系統節點的動態性,也增加了鏈路上所能觀測到IP地址的動態性,增加了HCF的訓練難度。因此短時間內,甚至較長時間,HCF算法都很難訓練完全。在本文的實驗中可以發現:HCF在訓練完全時,對偽造IP地址的檢測防御能力較強;在不能訓練完全時,檢測防御能力較差,具有較高的誤判率。
本文通過對某校園網出口鏈路長期的測量數據,分析了新的流量特點對HCF的影響,并對其進行了改進,提出一種基于偽造IP地址檢測的輕量級DDoS攻擊防御方法。該方法充分考慮網絡中新業務帶來的流量動態性和訓練不完全性。實驗結果表明,在攻擊強度較大的情況下,該方法在防御準確性上比HCF方法獲得了較大的提升。
1 偽造IP地址檢測的基本原理
在IP網絡中,TTL值被用來避免因數據包被無限制轉發而引起路由風暴。數據包每通過一個路由器,該數據包的TTL值將被減1。同時,有線網絡中的端到端的路由是有限且在較長時間尺度內保持穩定的,因此數據包在到達接收端時所經過的跳數也是相對穩定的。通過建立數據包源地址和跳數的映射,就可以推斷出數據包發送方據觀測點的邏輯位置是否改變,進而推斷數據包是否被偽造。
然而通過數據包的初始TTL 值和最終TTL 值推斷數據包的跳數可能是不準確的。一部分服務器管理員為了防止攻擊者通過初始TTL值推斷目標主機操作系統類型,并不使用系統默認TTL值作為數據包的初始TTL值。這使得用戶不能準確獲得數據包被發送時的初始TTL值。另一方面,由于IP網絡中可以存在端到端跳數不同的多條路由,采用最終TTL值推斷跳數也將受到其影響,同時增加了系統復雜性和不必要的開銷。筆者省略了文獻[3]中由最終TTL值推斷跳數的步驟,直接采用TTL值將整個地址空間劃分為256個子集,屬于同一子集的數據包在到達觀測點時的TTL 值相同。此外,本文假設觀測鏈路外主機大規模頻繁更換操作系統是極小概率事件,不會對系統根據最終TTL 值確定主機邏輯位置造成影響。
2 當前網絡環境下IP測量地址和TTL值間的關系
在本文的研究中,筆者對某校園網出口鏈路的入境數據包進行了為期一周的測量,并在測量過程中的整點時刻保存了原始的流量trace,以供進一步的分析。
圖1顯示了其中三個trace中主機按照TTL 值的分布情況,這三個trace分別來自測量時段中三天的不同時刻。從圖中可以看出,未遭受攻擊時大部分主機發送的數據包到達觀測點時的TTL值集中在64、128附近;少數主機發送的數據包到達觀測點時TTL值集中在250附近。這是由于操作系統默認情況下發送數據包的TTL值集中在64、128和255附近。另外,在指定的測量單位內,這些trace中主機數目依照TTL值的分布是相對穩定的。
圖2顯示了到達觀測點時數據包具有多個最終TTL值的主機數目的分布情況。在該鏈路上被觀測到的69 444個主機中,有60 314個主機發送的數據包在到達觀測點時擁有惟一的最終TTL值,約占87%;有74 90個主機在到達觀測點時具有二個最終TTL值,約占12%;同時有1%的主機路由抖動較為強烈,具有三個以上的最終TTL值。該鏈路上對數據包源地址數目的長期測量發現:該鏈路上通過的數據包源地址數目是不斷增加的。如圖3所示,在整個訓練過程中,入境數據包中包含的主機數目不斷增加,并且主機數目的增加率并沒有隨著訓練時間的增加而減小。
以上測量結果表明,被測鏈路上的主機通信基本穩定。端到端的路由變化較小,但仍然在一定程度上存在。當前網絡流量的變化和新業務的急劇增加使得整個地址空間上IP地址的分布有了新特性,在觀測鏈路上IP地址的數目并沒有表現出飽和趨勢,而是在整個訓練過程中保持著一定的增長。這些特性給系統帶來的影響主要表現在兩個方面:a)多條跳數不同路由的存在使得根據初始TTL值和最終TTL值進行跳數推斷變得十分困難。系統無法根據跳數的推斷結果保存準確的最終TTL值和源IP地址映射,進而無法進行準確的檢測防御。b)鏈路主機數目的不斷增加給HCF的訓練和檢測帶來了極大的困難。首先,鏈路上主機數目的不斷增加使得系統在指定時間內不能完全訓練。正如本文第5章中實驗所示,HCF在不完全訓練時檢測能力較低。其次,長期訓練而積累的大量記錄使得HCF的存儲和檢索面臨巨大的挑戰。在現有硬件條件下,難以解決完全訓練HCF的存儲和檢索問題。因此,在防御方法中考慮被保護鏈路流量的動態性和訓練不完全性,使其在訓練不完全時仍然具有一定的檢測能力是十分重要的。
3 主機安全指數介紹
系統訓練后出現在系統中不能匹配的新增地址并不能簡單地將其認定為攻擊,仍需對其作進一步的檢測。當泛洪式DDoS攻擊發生時,其行為在觀測點往往表現為發往受害主機的偽造數據包數目急劇增加。這些數據包的特點是其源地址經過偽造且發散程度較高,但其目的地址均集中于受害主機。采用主機安全指數量化鏈路上新增數據包目的地址的聚合程度,可以準確地刻畫數據包發送主機的行為,并有效地區分正常流量和攻擊流量。假設在檢測階段,源自新增主機的數據包個數為P,這些數據包發往目的地址集合D,其中包含
主機安全指數描述了當前條件下被保護的主機遭受攻擊的可能性。若k值越小,說明來自被懷疑的IP地址的數據包目的地址越集中,其成為攻擊的可能性就越大。當k值小于實現指定的閾值時,認定攻擊發生。
4 基于偽造IP檢測和主機安全指數的DDoS防御算法
利用TTL值進行偽造IP地址檢查需要兩個階段,即訓練階段和工作階段。訓練階段所使用的數據必須是經過檢測且不包含攻擊的。這時,系統存儲當前網絡環境下主機的IP地址和最終TTL值的映射信息。具體做法是:對于訓練階段在鏈路上觀察到的數據包,將其源IP地址加入到與其最終TTL值相對應的集合中。由此保存該鏈路上源地址與TTL的對應關系——即主機在有線網絡中相對于觀測點的位置信息。
訓練結束后,系統得到了正常情況下被觀測鏈路上的主機行為特征,進入工作階段。在工作階段,首先運行于檢測狀態。該狀態下系統根據每個數據包的最終TTL值在相應的集合中查找其源IP地址,據此檢查其TTL值和數據包源地址的映射關系。對于不能匹配的數據包,則可能包含兩種情況:a)發送該數據包的主機是一次與觀測點內的內部主機通信。在訓練階段沒能記錄該主機的位置信息,即在其最終TTL值對應的集合中沒有與之相匹配的記錄。b)該數據包是由在不同跳數的主機偽造而成。雖然攻擊者可以使用偽造IP地址的方式進行攻擊,但是攻擊者無法偽造主機在有線網絡中的位置——源IP地址和TTL值的映射。因此,系統將其源IP地址加入到懷疑列表NTf中,同時統計NTf中命中的數據包數目和其目的地址,計算鏈路當前懷疑列表;并據此計算當前的主機安全指數k。如果k小于事先指定的閾值K,則認定攻擊發生,系統切換到防御狀態,并將懷疑列表中的目的地址添加到受害者列表V中。
圖4 說明了利用TTL值進行偽造IP地址檢查的過程。在主機A和B進行通信的過程中,存在兩條跳數不同的路由。其中:一條跳數是4;另一條跳數是2。假設主機A采用64作為初始TTL值發送數據包。如果在主機B處部署檢測系統,那么主機A的IP地址將會被檢測系統存儲在TTL值為62和60的兩個集合之間。當攻擊者發送攻擊數據包A時,雖然可以偽造主機A的IP地址發送數據包,但是攻擊者無法偽造攻擊源與受害者之間的路由信息。因此,防御系統不能在TTL值為63所對應的集合中找到主機A的IP地址。由此認定該數據包是偽造的。
系統認定攻擊發生后進入防御狀態。在防御狀態下,系統阻斷所有源自新增主機的且目的地址為受害者列表中元素的數據包,以保護目的主機。同時,系統仍對所有集合中新增的數據包進行統計,并在統計間隔內重新計算主機安全指數k。當大于k指定的閾值K時,系統認為攻擊結束,切換到檢測狀態。
基于偽造IP檢測和主機安全指數的DDoS防御算法如下:
Parameter list of the algorithmDetecting mode algonithm
5. 1 實驗拓撲和數據來源
首先在實驗室環境中采用模擬實驗的方式對本文方法的有效性進行了檢驗。實驗的邏輯拓撲如圖5所示。
采用測量中使用的trace對系統進行訓練,并利用該鏈路上的真實流量生成攻擊流量。攻擊流量生成過程如下:a)對數據包的源目的IP地址進行修改,源IP地址修改為隨機偽造的IP地址;b)目的地址修改為受害者地址,而對數據包的payload不作任何修改; c)為了方便實驗時區分真正的攻擊流量和正常流量,驗證檢測準確性。本文對攻擊數據包進行了標記,并重新計算了校驗和。
5. 2 指標說明和參數選取
被檢測的數據包總數記為N。其中:真實正常數據包數目為Nnormal,真實攻擊的數據包數目為Nattack;被系統誤判的正常數據包數目為Nε1;系統漏判的攻擊數據包數目為Nε2。定義系統誤判率α=Nε1/Nnormal,漏判率為α=Nε2/Nattack。主機安全指數k的閾值K為影響系統檢測率的重要參數,本文采用實驗驗證的方式選取K。在K取不同整數時,系統誤判和漏判的情況如圖6所示。
從實驗結果中可以看出,當K<3時,系統的檢測能力較強,漏判率和誤判率均較低;當K>4時,系統的檢測能力逐漸變弱,漏判率急劇上升。在后面的實驗中,筆者選擇K=3作為實驗參數。
5. 3 實驗結果和說明
圖7、8分別顯示了系統在不同訓練時長的誤判率和漏判率情況,并顯示了與沒有采用主機安全指數進行新增數據包檢測的方法——HCF的對比情況。
由圖7、8可知,對于帶有主機安全指數的方法而言,12 h和24 h的訓練仍然是不完全的,這時的系統在小強度攻擊的情況下誤判率較高。經過12 h訓練后的系統在攻擊強度為20%時準確性最差,此時的誤判率為13.94%。當訓練時間超過36 h后,系統靈敏度獲得顯著提升,在攻擊強度為30%時的誤判率為0.9%、漏判率僅為0.08%。沒有采用主機安全指數進行未知數據包檢測的方法——HCF誤判率較高且幾乎不隨攻擊強度變化,12 h訓練后的誤判率為40.39%。較長時間訓練后的HCF準確性略有提高,經過36 h訓練后的HCF誤判率為34.99%;而經過48 h訓練后的HCF誤判率為33.53%。這是由于當今網絡流量構成十分復雜,諸如P2P等新業務使得入境流量中源自未知主機的數據包不斷增加、主機動態性不斷增強,無法對正常主機地址和跳數的映射關系學習完全,降低了系統的檢測能力。
6 結束語
在本文中,輕量級的基于偽造IP地址檢測的DDoS攻擊防御算法,使得筆者可對攻擊發生時的數據包進行快速的初步分類。實驗證明,在攻擊強度較大的情況下,該方法對于基于偽造IP地址的泛洪式DDoS攻擊的防御效果較好。相對于Wang Haining 等人的工作HCF而言,筆者在工作中引入了主機安全指數,并通過主機安全指數對訓練數據集中沒有包含的數據進行檢測,使其在訓練不完全的情況下仍然能夠具有一定的檢測能力,更加適應當前復雜的網絡環境。
本文方法并不能作為DDoS防御的完美解決方案。其在下列情況仍然存在局限:
a)對于攻擊者利用僵尸主機發動的反射式DRDoS攻擊(distributed reflection denial of service),由于受害者收到的數據包是僵尸主機采用真實本地地址未經偽造發送的,本方法不能對其進行防御。
b)由于攻擊者可能采用偽造TTL值的方式進行攻擊,當攻擊者偽造的TTL值與IP地址的映射恰好同訓練數據相符時,系統也將喪失檢測能力。
c)隨著訓練時間的增加,訓練內容將不斷增加,這給防御系統的存儲和搜索都帶來了巨大的困難。因此,能夠動態地更新訓練數據,并能夠根據檢測結果對訓練數據進行修改也是十分重要的。與此同時,如何將該方法與層次化的其他方法相結合,建立準確、高效的DDoS防御體系也是本文下一步工作的重點。
參考文獻:
[1]DIETRICH S, LONG N, DITTRICH D. Analyzing distributed denial of service tools: the shaft case[C]//Proc of the 14th USENIX Conference on System Administration. Berkeley, CA: USENIX Association, 2000:329340.
[2]TEMPLETON S J, LEVITT K E. Detecting spoofed packets[C]//Proc of the 3rd DARPA Information Survivability Conf and Expo(DISCEX Ⅲ). New York: IEEE Press, 2003:164175.
[3]WANG Haining, JIN Cheng, SHIN K G. Defense against spoofed IP traffic using hopcount filtering[J]. IEEE/ACM Trans on Networking, 2000,15(1):4053.
[4]XIE Gaogang, ZHANG Guangxing, YANG Jianhua, et al. Survey on traffic of metro area network with measurement online[C]//Proc of the 20th International Teletraffic Congress. Berlin: SpringerVerlag, 2007:666677.
[5]ZHANG Guangxing, XIE Gaogang, YANG Jianhua, et al. Selfsimilar characteristic of traffic in current metro area network[C]//Proc of the 15th IEEE Workshop on Local Metropolitan Area Networks. Princeton, NJ: [s.n.], 2007:176181.
[6]FOMENKOV M, KEYS K, MOORE D, et al. Longitudinal study of Internet traffic from 19982001: a view from 20 high performance sites[R]. American: CAIDA, 2003.
[7]FRALEIGH C, MOON S, LYLES B, et al. Packetlevel traffic measurement from the Sprint IP backbone[J]. IEEE Network Magazine, 2003,17(6):616.
