DDoS攻擊中傀儡機動態分布策略研究
2011-01-01 00:00:00陸軍,杜蕾
智能計算機與應用 2011年5期
摘 要: 對DDoS攻擊中傀儡機的管理進行研究,提出了DDoS攻擊的傀儡機動態分布策略,該策略根據實際需要可以定時隨機改變傀儡機在僵尸網絡中的層次位置,也可以根據傀儡機配置信息以及當時的性能情況擇優確定傀儡機位置,從而增加了DDoS攻擊靈活性和攻擊效果,也增加了被攻擊方追蹤檢測的難度和DDoS攻擊的隱蔽性。
關鍵詞:
中圖分類號: TP393.08 文獻標識碼: A 文章編號:2095-2163(2011)03-0079-03
Research on Dynamic Distribution Strategy of Puppets in DDoS Attack
LU Jun, DU Lei
Abstract: Research on the management of puppets in DDoS is done in this paper. The dynamic distribution strategy of puppets in DDoS is also advanced. This kind of strategy can change the levels and the positions of puppets in botnet randomly on regular time based on actual requirement. It can also pick over to determine the position of puppet based on the puppet configuration information and the capability of puppet at that time. So flexibility and effect of DDoS can be increased. At the same time, the difficulties of tracing and detecting from the attacked man and the secrete property of DDoS attack are also increased.
Key words:
0 引言
隨著信息社會的迅速發展,網絡已經廣泛普及,網絡中存在眾多不安全因素以及破壞網絡安全的手段[1],并且繁忙的網絡包含成千上萬的終端,這些終端也很可能被黑客攻擊或利用,不知不覺成為受害者和攻擊者。網絡攻擊與網絡安全防范此消彼長,陷入無休止的較量,使得網絡安全越來越成為人們關注的焦點。
在眾多網絡攻擊事件中,分布式拒絕服務攻擊(DDoS)日益成為功能強大并且難以完全防范的網絡攻擊形式[2-4]。根據相關統計,在針對大中型企業、政府和軍事部門以及核心網絡設備的攻擊中,由分布式拒絕服務攻擊造成的攻擊在數量、強度和危害上均居于首位。只有深入研究DDoS攻擊,全面了解其攻擊方式,才能真正認識到DDoS的危害,做到及時發現問題,解決問題,從而把危害降到最低。
為了更好地檢測和防范DDoS攻擊,需要對該種攻擊的發展及時跟蹤并進行連續深入研究。此外,從軍事角度看,加強DDoS攻擊能力及隱蔽性也是有意義的。因此,針對DDoS攻與防的研究都具有重要意義:對于被攻擊方來說,需要及時發現DDoS攻擊并采取相關策略對其進行制止、追蹤和取證;而對于攻擊方來說,則需要使DDoS攻擊在盡可能隱藏自己的情況下,以較小代價獲得巨大攻擊效果。本文就是針對DDoS攻擊一方的傀儡機分布策略進行研究。
1 DDoS攻擊與防范
DDoS中,攻擊者利用多臺計算機對網絡中的某一臺服務器、某個網絡或者網絡核心設備發送多個連接請求,使之呈現滿負載狀態,從而不能正常地向外界提供服務或不能正常地接受來自外界的服務,并且所有請求的源地址是偽造的,這樣被攻擊主機返回認證結構時,將無法找到這些用戶。此時,服務器只好等待,在延遲若干時間后才關閉此連接。在此期間,攻擊者還會發送新的虛假請求,重復上一次過程,直到服務器因過載而崩潰。上述攻擊中,并沒有入侵被攻擊的目標主機的事件發生,也沒有篡改或是破壞資料,只是利用程序在瞬間產生大量的網絡封包,讓對方的網絡及主機癱瘓,使正常使用者無法獲得主機及時的服務,最終的結果就是服務器暫時癱瘓或者是某段網絡的擁塞程度非常嚴重,此時會產生嚴重丟包,甚至造成系統死機[5]。
DDoS攻擊的威力在于動員大量“無辜”的計算機向目標共同發起進攻,這些“無辜”計算機事先中了木馬程序成為“肉雞”,一些人專門收集“肉雞”,甚至以幾毛錢的價格出售給另外一些利益熏心的人,買者可能用于攻擊與其競爭的商家網站或其它敵對勢力。這樣大量“肉雞”被安裝DDoS服務程序從而被攻擊者所控制,進而完成DDoS攻擊的準備工作。由攻擊者控制的這些“肉雞”形成一個僵尸網絡。一般的DDoS原理圖如圖1所示。
為了防止防御方追蹤攻擊源主機,攻擊者需要盡量隱藏攻擊源主機,進而增加攻擊的隱蔽性,因此在攻擊源主機和直接發起攻擊的代理攻擊主機層之間增加一層或多層主控端主機層,為了簡單描述DDoS攻擊原理,圖1僅僅列出一層主控端主機層,實際操作中可以有多層主控端主機層。主控端主機層和代理攻擊主機層中的所有主機都是已經被攻擊者控制的傀儡機。
除此之外,還有DDoS攻擊的另一種擴展形式:分布式反射拒絕服務攻擊(DRDoS)。該攻擊方式攻擊威力更大,攻擊代價更小,也更難防范。DRDoS攻擊原理圖如圖2所示。
在圖2的DRDoS攻擊中,代理攻擊機并不是直接攻擊目標主機,而是通過向反射服務器發送源IP為被攻擊目標主機的IP地址的請求,從而使得眾多反射服務器向被攻擊主機發送響應包并最終使得目標主機崩潰。顯然,DRDoS攻擊中,反射服務器并不需要事先被控制成為傀儡機,因此攻擊代價較小,攻擊效果更強。
對DDoS攻擊的檢測和防范從檢測位置來說,可以分三大類。一類是檢測工作在被攻擊端,通過對協議、信息或流量進行分析得到檢測結果;第二類是在攻擊端網絡出口,對網絡發出的數據包進行檢測,對于檢測出的攻擊包進行相應處理而不會發出去,從而保證非本網絡的、偽造的非法數據包不會流出,但是該方法由于影響到網絡數據傳輸速度,因此相關網絡運營商并不愿意對自己的網絡進行這樣的控制;第三類則是對第二類的擴展,直接在僵尸網絡中各個終端進行檢測[6],直接過濾源IP不是本機的數據包。對大多數終端用戶而言,該檢測對數據傳輸速度的影響在用戶可容忍范圍內。在這種情況下,“肉雞”作為受害者只能采用真實IP,這意味著被攻擊方可以更容易追蹤攻擊者。
2 DDoS攻擊中傀儡機分布策略研究
有關DDoS攻擊與防范兩方面的研究吸引了大量研究人員。對于攻方來說,如何使DDoS攻擊在盡可能隱藏自己的情況下,以較小代價獲得巨大攻擊效果成為其設計與實現的追求目標。
由前述可知,在分布式拒絕服務攻擊的僵尸網絡中,存在大量傀儡機,這些傀儡機通常被木馬程序攻占,其中,主控端木馬程序具有發送/接收控制命令的功能,代理攻擊機則一般具有接收攻擊命令和發送攻擊包的功能。
而對于攻擊源主機,作為分布式拒絕服務攻擊的指揮者,擁有攻擊網絡中所有傀儡機的相關信息,這些信息可以通過木馬程序采集并送回到攻擊源主機,如各個傀儡機的IP地址、傀儡機配置信息等。
為了使傀儡機的性能發揮得更好,本文提出了對DDoS攻擊網絡中傀儡機的管理和分層策略。對傀儡機的管理和分層操作可以根據攻擊源主機記錄的傀儡機相關信息,讓性能好的機器在網絡中根據實際需要發揮更重要作用,從而增加攻擊效果;更重要的是,在攻擊過程中,為了更好地隱蔽攻擊路徑,可以隨時變換各個傀儡機在各層中的位置和角色,從而擾亂防守方的追蹤分析,進而達到自我保護的目的。總之,可以將眾多傀儡機的信息存儲在攻擊源端的數據庫,進而為傀儡機的分層提供重要的依據,為增加攻擊威力提供參考數據。
當然,分層策略有時需要進一步分析分層操作是否合理。例如在為某傀儡機選擇層次時,如果該傀儡機已經被選擇過,那么就應該根據相關標識,提示“已被選擇”。還有些傀儡機,可能在攻擊者組織DDoS攻擊時,由于某種原因并不在線,當攻擊源主機檢測出這種情況后,則不需要將其列在相應攻擊層中,即攻擊源主機只選擇那些具有攻擊能力的傀儡機進入僵尸網絡,并且根據實際情況動態調整其層次位置。
每當俘獲一個傀儡機,就可以對該傀儡機分配一個唯一的編號。當需要發動DDoS攻擊時,可以根據相應策略對僵尸網絡進行及時調整,動態生成新的僵尸網絡拓撲圖,從而完成對傀儡機的分布管理;調整策略可能涉及傀儡機位置,傀儡機性能配置信息,或是便于隱藏等因素,盡可能在隱蔽自己、擾亂對方判斷力的同時,擴大攻擊威力。傀儡機動態分布算法如下:
(1)判斷數據庫中記錄的傀儡機是否在線,將在線傀儡機信息的在線標識置為1;
(2)確定分層初始值:level=1
(3)確定每層中每個主控端主機能控制的下層主控端主機數目,分別放于數組number中;
(4)循環執行下列操作,直到最后一層主控機處理完畢:
① i=1
② 當i<=number[level-1]時,循環執行下列操作:
(A) j=1
(B)當j<=number[level]時,循環執行下列操作:
(a)在數據庫中隨機選擇一個在線標識為1且已選標識為0的傀儡機;
(b)判斷所選傀儡機是否符合level層的要求,如果符合要求則將該機已選標識置1,并且記錄該傀儡機與其上層主控端主機i的附屬關系。
(c) j++。
(C) i++。
③ level++。
最后,將剩余在線的未選傀儡機均勻分配給最后一層主控端主機。經過上述算法進行自動選擇后,還可以通過鼠標手動微調,從而將合適的傀儡機放到相應的層。圖3是僵尸網絡動態調整示意圖,該圖體現了最簡單的只含有一層主控端主機的操作。
根據相關策略調整后的僵尸網絡可以與原來的網絡拓撲結構有很大不同,甚至在攻擊過程中也不斷變換,從而擾亂被攻擊方的分析能力。圖4為僵尸網絡中傀儡機位置根據需要進行動態變換的示意圖。
經過對傀儡機動態分層處理后的攻擊,同樣取得DDoS攻擊效果,如圖5是模擬的Syn Flood攻擊。此時在被攻擊的主機上有很多的SYN半連接存儲在內存中,被攻擊的目標機已經不能響應新的服務請求了,系統運行非常慢,也無法被ping通。
只不過此時由于各個傀儡機在僵尸網絡中的位置是可以動態改變的,這種改變根據實際需要可以定時隨機改變,也可以根據各個傀儡機的配置信息以及當時的性能情況擇優而定,從而增加了攻擊靈活性和攻擊效果,也增加了被攻擊方追蹤檢測的難度。
3 結束語
分布式拒絕服務攻擊(DDoS)系統的設計與實現,主要完成了主控端控制兩層乃至多層傀儡機向目標機發動攻擊的基本功能,并且利用數據庫中所記錄的各個傀儡機的基本信息對傀儡機進行擇優或定期調整攻擊位置,在傀儡機分層的時候還可以根據實際需要選擇各層傀儡機,使整個系統更加靈活,進而增加了DDoS攻擊的追蹤檢測難度,保護攻擊者。
參考文獻:
[ 1 ] 陳峰,羅養霞,陳曉江,等. 網絡攻擊技術研究進展[J]. 西北大
學學報,2007,37(2):208-212.
[ 2 ] KUMAR S. Smurf-based distributed denial of service (DDos)
attack amplification in Internet[C]// The Second International C-
onference on Internet Monitoring and Protection. San Jose, C-
A, 2007:25-29.
[ 3 ] 徐恪,徐明偉,吳建平. 分布式拒絕服務攻擊研究綜述[J]. 小型
微型計算機系統,2004,25(3):337-346.
[ 4 ] 孫長華,劉斌. 分布式拒絕服務攻擊研究新進展綜述[J]. 電子
學報, 2009,37(7):1562-1570.
[ 5 ] 諸葛建偉,韓心慧,周永林,等. 僵尸網絡研究[J]. 軟件學報, 2-
008,19(3):702-715.
[ 6 ] 康健,鞠九濱, CUSUM算法在DDoS源端檢測中的應用[J]. 計
算機科學,2006,26(6):1343-1345.
