基于邊界網關的自適應DDoS攻擊防御策略

摘要： 傳統基于主機的防御無法應對分布式拒絕服務（ＤＤｏＳ）攻擊對整個自治系統的沖擊。提出了雙過濾并行凈化網絡方案、基于自治系統的自適應概率包標記方案和基于源地址驗證的單播反向路徑轉發策略，形成了基于邊界網關的ＤＤｏＳ攻擊防御體系，提高了包標記方案的效率，簡化了防御部署。實驗驗證了該防御體系的有效性。

關鍵詞：

中圖分類號： ＴＰ３９３．０８ 文獻標識碼：Ａ 文章編號：２０９５－２１６３（２０１１）０１－００７９－０４

０引言

分布式拒絕服務ＤＤｏＳ（Ｄｉｓｔｒｉｂｕｔｅｄ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ） 攻擊是利用大量攻擊主機同時對受害者發起拒絕服務攻擊，使受害者無法提供正常服務。根據攻擊目標的資源可用性，ＤＤｏＳ攻擊可分為資源消耗攻擊和帶寬消耗攻擊[１]。帶寬消耗攻擊通過使用大量的數據流來消耗目標的帶寬資源，不僅使受害者不能接收合法請求，而且對其所在網絡造成嚴重擁塞，甚至可能造成附近網絡癱瘓。ＤＤｏＳ攻擊利用了Ｉｎｔｅｒｎｅｔ體系結構上的缺陷，因此在網絡體系結構不變的前提下，無法完全從根本上阻止ＤＤｏＳ攻擊，只能盡量緩解攻擊造成的危害。

文獻[２]提出了通過中間網絡的響應比通過受害網絡要有效，因為中間網絡能處理大量攻擊流，并可分布協作處理，可以檢測路由器流量，定位跟蹤節點或過濾等。文獻[３]提出了集合蜜罐、路由黑洞等特點的網絡排污口方案，能有效防御ＤＤｏＳ攻擊；文獻[４]給出了基于概率包標記的ＩＰ地址追蹤方法，能有效追蹤攻擊源；文獻[５]提出了單播路徑反向驗證技術，對ＩＰ欺騙攻擊有很好效果。但是，排污口技術無法對攻擊流量和合法流量區分對待，概率包標記局限于路徑較短的簡單網絡，路徑反向驗證只適用于偽造ＩＰ地址攻擊。

基于以上局限性，本文提出了自適應雙過濾凈化網絡，使用雙層過濾器并動態提取黑白名單規則配置邊界網關的訪問控制列表ＡＣＬ（Ａｃｃｅｓｓ ｃｏｎｔｒｏｌ ｌｉｓｔ），動態適應流量變化，過濾凈化攻擊流量；基于自治域號ＡＳＮ（Ａｕｔｏｎｏｍｏｕｓ Ｓｙｓｔｅｍ Ｎｕｍｂｅｒ）的自適應概率包標記方案，使用動態標記概率適應網絡拓撲，以ＡＳＮ作標記提高攻擊源追蹤效率；基于源地址的反向路徑入口地址驗證，在攻擊源入口處進行報文過濾。三個模塊組合形成基于邊界網關的自適應ＤＤｏＳ攻擊防御技術。

１相關工作

１．１傳統ＤＤｏＳ攻擊防御技術

針對ＤＤｏＳ攻擊的常用方法是在惡意流量入口的邊界路由器上配置訪問控制列表ＡＣＬ來過濾攻擊流量，同時使用限速限制帶寬來減緩擁塞。但是，ＤＤｏＳ攻擊源自大量分散的主機，而且經常使用源地址欺騙，使用ＡＣＬ過濾惡意流量的方法耗費成本太高；防火墻在進行攻擊檢測和保護目標網絡的同時，也對受害主機的正常訪問造成一定影響；運營商經常采用ＢＧＰ觸發黑洞路由技術來防御ＤＤｏＳ攻擊，其原理是通過一臺路由器在ＡＳ內部的所有ＩＢＧＰ鄰居上觸發黑洞路由，拒絕所有發向攻擊對象的流量。這樣將使合法訪問也無法正常進行，對攻擊流量的記錄和分析也較為困難[３]。在傳統的ＤＤｏＳ攻擊防御策略中，一般將抗ＤＤｏＳ攻擊設備串聯在網絡中，一旦發生攻擊，直接由這些設備進行流量分析過濾。這樣固然響應迅速，但相當于在網絡中增加了一個或多個結點，從而增加了潛在的故障點。若抗ＤＤｏＳ攻擊設備防御失敗，則會造成整個網絡斷線。

１．２基于網絡排污口路由的ＤＤｏＳ攻擊防御技術

網絡排污口（Ｓｉｎｋｈｏｌｅ）路由技術[６]可在發生攻擊時通過ＢＧＰ協議觸發邊界路由器上路由策略，將流量牽引至排污口路由器，與之相連的ＤＤｏＳ攻擊記錄分析設備對攻擊流量進行記錄和分析，進而提取出過濾規則和完成攻擊源的追溯。排污口技術同時集合了黑洞路由、蜜罐網絡技術[４]的特點。與蜜罐技術不同，排污口技術重點保護的是整個自治域網絡的整體安全，而不是一兩臺主機。排污口技術能有效應對大規模ＤＤｏＳ攻擊，但無法區分攻擊流量與合法流量，即攻擊發生時，拋棄攻擊流量的同時，合法流量也被拋棄。

１．３基于包標記的ＩＰ追蹤技術

當發生ＤＤｏＳ攻擊時，追溯攻擊源，在上游配置過濾器，可提高ＤＤｏＳ攻擊防御效果，減小對下游和受害網絡的危害[７]。在路徑追溯方面，廣泛采用的方法是數據包標記技術，即利用數據包中沒有利用到的空閑空間記錄所經過路由信息。最簡單的包標記方案是將路由器地址寫入數據包的ＩＰ選項字段，但數據包長度增加可能會導致數據包額外分段。文獻[５]提出一種概率包標記（ＰＰＭ）技術，即以某一概率向數據包中添加路由地址信息。其占用網絡資源少，只需要網絡中部分路由器參與包標記，且無附加流量。該方法征用數據包頭部的不常用字段，如ＩＰ首部選項，ＩＰ包首部標準字段空間，或者對原包重新封裝。由于數據包頭部空間有限，不足以存放路徑上路由地址的全部信息，需要分片處理，所以會指數級的增加路徑重構所需要的時間空間，在復雜網絡中效率比較低。

１．４源ＩＰ地址過濾

目前發生的ＤＤｏＳ攻擊大多附帶著ＩＰ地址欺騙以隱匿身份，使得攻擊源難以發現，而且通過被攻擊目標還能對其他合法用戶造成攻擊[８]。單播反向路徑轉發ＵＲＰＦ（Ｕｎｉｃａｓｔ Ｒｅｖｅｒｓｅ Ｐａｔｈ Ｆｏｒｗａｒｄｉｎｇ）技術[９]即針對這種ＩＰ欺騙攻擊，其工作原理是基于路由器驗證所轉發數據包中源地址的可訪問性。數據包到達邊界路由器，獲取到報文源地址和進入接口，檢查該源ＩＰ地址的出口接口和接收該報文的入口接口是否匹配。若不匹配，則源ＩＰ地址無效，拋棄數據包。ＵＲＰＦ適用于限制企業網絡中的惡意流量，可限制偽造地址進入網絡。

２基于邊界網關的自適應ＤＤｏＳ攻擊防御系統

２．１實時的雙層過濾凈化網絡策略

網絡排污口路由策略在發生攻擊時，邊界路由器將進入自治域的下一跳改為排污口路由器，與之相連的記錄分析設備進行流量分析和記錄。其缺點是無法區別對待攻擊流量和合法流量。

本文提出實時自適應的雙層過濾的凈化網絡（ｃｌｅａｎ－ｕｐ ｎｅｔｗｏｒｋ）方案。當發生攻擊時，邊界路由器將相應下一跳改為凈化網絡路由器，進行流量的分析和分流的同時，定時向邊界路由器發送更新，動態配置邊界路由器的ＡＣＬ（如基于ＩＰ地址歷史數據庫的白名單），并持續一段時間內有效。合法ＩＰ數據包直接由邊界路由器轉發至ＡＳ內部，而不在凈化網絡對之分析后中轉，提高效率且減少傳輸延時，維護工作量顯著降低，大幅減輕攻擊造成的危害。

凈化網絡部署如圖１所示。其由凈化分流服務器和一系列安全監控分析設備組合構成，并聯在自治域網絡中。未發生ＤＤｏＳ攻擊時，流量從邊界網關直接轉發至受害服務器所在ＡＳ內部網絡，不經過凈化網絡。當網絡中發生攻擊，邊界網關將下一跳設置為凈化網絡路由器，此時流量將被轉發到凈化網絡。網絡中的安全分析記錄設備將進行一系列的檢測、甄別和過濾，剩余合法流量繼續轉發至ＡＳ內部網絡。服務器提取出白名單規則，實時配置邊界路由ＡＣＬ并持續一定時間。同時將攻擊流自治域入口接口信息摘要附加于原始流量一起發至安全分析設備，后者通過分析攻擊流入口信息以及路徑重構方案，最終找到攻擊源。

２．２基于ＡＳ的自適應包標記的攻擊源追蹤策略

傳統包標記使用路由地址標記數據包，由于標記空間有限，需將路由地址分片標記，則指數級增加了路徑重構所需的時間空間，且大幅增加了誤報率[１０]。若采用固定概率標記，由于受害端重構路徑為類樹形，遠端標記易被近端標記所覆蓋，則遠端路徑較少，較難重構。

本文提出一種基于ＡＳ追溯的自適應概率包標記技術ＡＳＡＰＰＭ（Ａｄａｐｔｉｖｅ Ｐｒｏｂａｂｉｌｉｓｔｉｃ Ｐａｃｋｅｔ Ｍａｒｋｉｎｇ ｂａｓｅｄ ｏｎ Ａｕｔｏｎｏｍｏｕｓ Ｓｙｓｔｅｍ），即用當前路由器所在自治域號碼ＡＳＮ代替路由地址作為標記。ＡＳＮ是Ｉｎｔｅｒｎｅｔ中標示ＡＳ的全局唯一數字。ＡＳＮ由ＩＡＮＡ（Ｉｎｔｅｒｎｅｔ Ａｓｓｉｇｎｅｄ Ｎｕｍｂｅｒｓ Ａｕｔｈｏｒｉｔｙ）統一組織、分配和管理，目前絕大多數ＡＳＮ都是１６ｂｉｔ，所以ＡＳＮ作為標識比ＩＰ地址需要更少的頭部空間。另一方面，Ｉｎｔｅｒｎｅｔ中ＡＳ的數量要比路由器的數量少的多，因此獲得整個Ｉｎｔｅｒｎｅｔ的ＡＳ拓撲信息要比獲得路由器更容易。因此，以ＡＳＮ為標記對ＡＳ展開追蹤是一個較好的選擇。同時，為了平衡遠近端路徑，采用ｐ/（ｎ＋１）（ｎ為跳數，０＜ｐ＜１）作為標記概率，增大遠端標記概率，減小近端標記概率。

標記空間征用ＩＰ頭部的服務類型字段（８ ｂｉｔ）和標識ＩＤ字段（１６ ｂｉｔ）。包標記字段分為三部分：ＡＳＮ標識（１６ ｂｉｔ）、ｆｌａｇ標識（１ ｂｉｔ）和跳數域（５ ｂｉｔ）。ＡＳＮ標識放在標識ＩＤ字段，ｆｌａｇ標識放在服務類型字段的第一位，跳數域放在服務類型字段的第二至第六位。ｆｌａｇ標記當前ＡＳＮ標識狀態，０表示未標記或標記過偶數次，１表示標記過一次。ＡＳＮ標識字段存儲當前路由器地址或兩路由器地址的異或值。

ＡＳＡＰＰＭ具體算法如下：

ＡＳＡ Ｐａｃｋｅｔ Ｍａｒｋｉｎｇ Ｐｒｏｃｅｄｕｒｅ ａｔ Ｂｏｒｄｅｒ Ｒｏｕｔｅｒ Ｒ：

Ｆｏｒ ｅａｃｈ ｐａｃｋｅｔ ｗ Ｒｏｕｔｅｒ－Ｒ ｒｅｃｅｉｖｅｄ：

Ｉｆ ｗ．ｆｌａｇ＝＝０ ｔｈｅｎ

Ｌｅｔ ｋ ｂｅ ａ ｒａｎｄｏｍ ｎｕｍｂｅｒ ｂｅｔｗｅｅｎ[０，１]

Ｉｆ ｋ＜ｐ／（ｗ．ｈｏｐ＋１） ｔｈｅｎ

Ｗｒｉｔｅ ＡＳＮ ｉｎｔｏ ｗ．ＡＳＮ

Ｓｅｔ ｗ．ｈｏｐ＝０

Ｓｅｔ ｗ．ｆｌａｇ＝１

Ｅｌｓｅ ｉｆ ＡＳＮ?選＝ｗ．ＡＳＮ ｔｈｅｎ

Ｗｒｉｔｅ ＡＳＮ＋ｗ．ＡＳＮ ｉｎｔｏ ｗ．ＡＳＮ

Ｉｎｃｒｅａｓｅ ｗ．ｈｏｐ

在目標主機所在ＡＳ邊界的凈化網絡服務器上，搜集數據包標記信息進行路徑重構。跳數域值表示標記邊與目標主機所在ＡＳ的距離。由于ａ⊕ｂ⊕ａ＝ｂ，所以當跳數為１時，本地ＡＳＮ與標識域值異或即得上一跳自治域的ＡＳＮ。依此類推可得到路徑上其他ＡＳＮ。

２．３基于源地址驗證的單播反向路徑轉發策略

ＤＤｏＳ攻擊往往會引起更大的傳輸流量攻擊，對其他用戶或者網絡產生額外破壞和影響。為使整個網絡免受此攻擊影響，用戶會讓服務提供商直接過濾掉這些目標ＩＰ地址。若已查明攻擊的來源，即可采用ＡＣＬ這樣的圍堵機制。檢測到攻擊流量并進行分類后，為邊界路由器設置相應的 ＡＣＬ，這就是基于源地址驗證的單播反向路徑轉發策略（ＵＲＰＦ Ｂａｓｅｄ ｏｎ Ｓｏｕｒｃｅ ＩＰ）。

基于源地址的ＵＲＰＦ流程如圖２所示，數據包到達ＡＳ邊界路由，檢查源地址，丟棄廣播地址和目的地址不是廣播的全０地址；檢查源地址和轉發信息庫ＦＩＢ （Ｆｏｒｗａｒｄ Ｉｎｆｏｒｍａｔｉｏｎ Ｂａｓｅ）中是否匹配，若不匹配，則檢查報文是否符合ＡＣＬ規則，若不符合，則丟棄。

３實驗測試

本實驗的環境如下：機器配置Ｉｎｔｅｌ（Ｒ） ２．４ＧＨｚ／２．０ＧＢ，操作系統為Ｗｉｎｄｏｗｓ ＸＰ，仿真平臺為Ｏｐｎｅｔ Ｍｏｄｅｌｅｒ ８．１。將第二節所述策略實現為ＡＳＡＰＰＭ和ＵＲＰＦ兩模塊分別進行測試。利用ＯＰＮＥＴ模擬五個自治域互聯，每個自治域分別有２００個主機節點和１０個路由器節點，在邊界網關上配置ＵＲＰＦ模塊和凈化網絡模塊，在網絡中配置Ｐａｃｋｅｔ Ｍａｒｋｉｎｇ模塊以及簡單的ＩＰ地址和ＴＴＬ流量識別模塊。

圖３為ＡＳ拓撲圖。測試時，以ＡＳ１內一個節點作為受害目標服務器Ａ，在五個ＡＳ中分別有１０個節點以穩定速率向Ａ請求服務，發包速率２０ｐｐｓ；在ＡＳ５內部署１００個節點作為攻擊傀儡機，其中１０個節點發動欺騙ＩＰ攻擊。每次試驗時間為３０秒，從第１２秒開始，使用ＡＳ５攻擊節點對ＡＳ１內的服務器Ａ進行攻擊，發包速率５Ｋｐｐｓ，持續１８秒。

受攻擊時，分別啟動ＡＳＡＰＰＭ和ＵＲＰＦ模塊，丟棄包情況如圖４所示。由圖４ 可以看出，單獨啟動ＡＳＡＰＰＭ時，網關丟棄包的數量比ＵＲＰＦ丟包兩倍還要多。這是由于ＵＲＰＦ只針對源ＩＰ地址不符合其入口路由規則的數據包進行丟棄，若攻擊流量為真實ＩＰ地址或與其入口規則相符合，則認定為合法流量；而ＡＳＡＰＰＭ追溯攻擊源至ＡＳ５時，則將ＡＳ５的路由前綴設為Ｂｌａｃｋｌｉｓｔ，凡符合其前綴規則的數據包都被認定為攻擊包。在過濾掉ＡＳ５中攻擊流量的同時，合法流量也被拋棄，提高了誤報率。因此，ＡＳＡＰＰＭ需要和ＡＳ內攻擊源追溯相結合才能進一步發揮效果。ＵＲＰＦ雖然過濾掉虛假ＩＰ地址的大部分攻擊流量，但其對真實ＩＰ地址攻擊無能為力。如果ＵＲＰＦ和其他流量識別模塊同時工作將會進一步提升效果。

圖５為分別在凈化網絡模塊是否啟動條件下受害服務器接受和丟棄數據包數量統計情況。未啟用防御機制，接收包中合法流量僅為５％，而啟用后合法流量接近８０％。實驗表明在邊界路由上的ＤＤｏＳ攻擊防御策略能較好地完成其性能。

４結束語

實驗表明，基于邊界網關的自適應ＤＤｏＳ攻擊防御系統，盡管有一些不足，但實施方便而有效，和ＡＳ內基于主機的防御技術結合后形成復合式ＤＤｏＳ攻擊防御體系會更好地發揮性能和效果。對ＤＤｏＳ攻擊的防范需要各自治域及ＩＳＰ間更好、更完善、更密切地配合，并采取行之有效的防御措施，從而降低其對網絡的威脅。

參考文獻：

[１] ＣＨＡＮＧ Ｒ Ｋ Ｃ． Ｄｅｆｅｎｄｉｎｇ ａｇａｉｎｓｔ ｆｌｏｏｄｉｎｇ－ｂａｓｅｄ ｄｉｓｔｒｉｂｕｔｅｄ ｄｅｎｉａｌ－ｏｆ－ｓｅｒｖｉｃｅ ａｔｔａｃｋｓ： ｔｕｔｏｒｉａｌ． ＩＥＥＥ Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ Ｍａｇａ－ ｚｉｎｅ[Ｊ]． ２００２，４０（１０）：４２－５１．

[２] 楊余旺，楊靜宇，孫亞民． 分布式拒絕服務攻擊的實現機理及 其防御研究[Ｊ]． 計算機工程與設計，２００４：３０－３４．

[３] 孫廣煜． Ｓｉｎｋｈｏｌｅ路由技術白皮書[Ｚ]． 華為技術有限公司，２－ ００５．

[４] 金光． 基于數據包標記的拒絕服務攻擊防御技術研究[Ｄ]． 杭 州：浙江大學，２００８．

[５] 鄒存強． 基于ＩＳＰ網絡的ＤＤｏＳ攻擊防御的研究及應用[Ｄ]． 北 京：北京郵電大學，２０１０．

[６] ＧＲＥＥＮＥ Ｂ Ｒ，ＭＣＰＨＥＲＳＩＯＮ Ｄ． ＩＳＰ Ｓｅｃｕｒｉｔｙ： Ｄｅｐｌｏｙｉｎｇ ａｎｄ Ｕｓｉｎｇ Ｓｉｎｋｈｏｌｅｓ[Ｊ]． ＮＡＮＯＧ２８，２００２：２５－３６．

[７] ＳＡＶＡＧＥ Ｓ，ＷＥＴＨＥＲＡＬＬ Ｄ，Ｋａｒｌｉｎ Ａ． Ｎｅｔｗｏｒｋ Ｓｕｐｐｏｒｔ ｆｏｒＩＰ Ｔｒａｃｅｂａｃｋ[Ｊ]． ＩＥＥＥ／ＡＣＭ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｎｅｔｗｏｒｋｉｎｇ，２００１， ９（３）：２２６－２３７．

[８] ＫＵＭＡＲＩ Ｗ，ＭＣＰＨＥＲＳＯＮ Ｄ． ＲＦＣ ５６３５－Ｒｅｍｏｔｅ ＴｒｉｇｇｅｒｅｄＢｌａｃｋ Ｈｏｌｅ Ｆｉｌｔｅｒｉｎｇ ｗｉｔｈ Ｕｎｉｃａｓｔ Ｒｅｖｅｒｓｅ Ｐａｔｈ Ｆｏｒｗａｒｄｉｎｇ（ｕ－ ＲＰＦ） [ＥＢ／ＯＬ]． ２００９－０８－０１． ｈｔｔｐ：//ｗｗｗ．ｒｆｃ－ｅｄｉｔｏｒ．ｏｒｇ/ｒｆｃ/ｒｆｃ５－ ６３５．ｔｘｔ．

[９] ＫＩＭ ＹＨ，ＬＡＯ ＷＣ． Ｐａｃｋｅｔｓｃｏｒｅ： Ｓｔａｔｉｓｔｉｃａｌ－ｂａｓｅｄ ｏｖｅｒｌｏａｄ ｃ－ ｏｎｔｒｏｌ ａｇａｉｎｓｔ ｄｉｓｔｒｉｂｕｔｅｄ ｄｅｎｉａｌ－ｏｆ－ｓｅｒｖｉｃｅ ａｔｔａｃｋｓ[Ｃ]／／ Ｐｒｏｃ． ｏｆ ｔｈｅ ＩＥＥＥ ＩＮＦＯＣＯＭ，２００４：２５９４－２６０４．

[１０] 黃昌來． 基于自治系統的ＤＤｏＳ攻擊追蹤研究[Ｄ]． 上海：復旦大學，２００９．