內容中心網絡的DoS攻擊研究*

王志文，向福林，曾夢岐

(1．海軍駐成都通信軍事代表室，四川 成都 6100415;2. 中國電子科技集團公司第三十研究所，四川 成都 610041)

內容中心網絡的DoS攻擊研究*

王志文1，向福林2，曾夢岐2

(1．海軍駐成都通信軍事代表室，四川 成都 6100415;2. 中國電子科技集團公司第三十研究所，四川 成都 610041)

“內容中心網絡”(Content Centric Networking,CCN)是未來互聯網架構體系群中極具前景的架構之一。CCN的核心思想在于內容命名，即用戶不需要根據數據的地址而僅根據數據的名字來獲取目標內容。在設計上，CCN是一種基于拉(pull-based)的網絡，即用戶為了獲取相應的內容，必須向網絡發送一個興趣包(Interest)以便獲取同名數據包(Data)，也就是說CCN是一個用戶驅動的網絡。安全對任何一種網絡架構來說，都是不容忽視的一個問題，其中，拒絕服務攻擊(DoS)是TCP/IP網絡中最為常見的攻擊手法之一，這里研究了CCN中常見的DoS攻擊，并提出了具有針對性的解決方案。

內容中心網絡; 安全; DoS

0 引 言

隨著互聯網技術進步、互聯網業務及規模的爆發式增長，實時視頻、語音等通信業務量的日益激增，同時物聯網、大流量視頻、社交網絡等新型應用模式的出現，寬帶化、個性化和內容化已經成為互聯網發展的潮流。基于TCP/IP的互聯網的發展速度已經難以滿足全球網絡規模的急劇擴張。

CCN[1]是一種全新的未來網絡架構，整個網絡的根本需求是獲取內容本身，即用戶不關心內容存儲的地理位置。CCN從根本上改變了數據包的封裝結構和尋址方式，同時通過引入了實時緩沖的功能，按照最優帶寬進行內容緩存。

如圖1所示，我們從架構上對比了IP網絡及內容中心網絡，從圖中我們可以看出，兩者架構體系非常相似，二者的協議棧擁有很多的共同點，譬如都采用七層協議的分層策略，同時底層協議完全相同，即適應不同底層網絡的接入。它們都采用沙漏模型的設計思路，關鍵區別在于CCN將IP網絡中的IP細腰模塊使用“Contentchunk”進行了替代。具體來說，內容中心網絡改變了全網統一標識的中間層，CCN協議棧的核心是內容塊協議，而TCP/IP協議棧的核心是IP協議，CCN下使用數據塊命名的策略替代了基于物理實體命名的傳統方式。與此同時，網絡的緩存可以有效地緩存經過節點的數據包，同時任何節點上的數據包，都可以在其它用戶進行相同內容請求的時候將內容直接返回給請求用戶，這樣便減少了其他用戶訪問相同的數據包的時候響應時間，同時減少了大量的網絡流量。

CCN中所有通信都是通過兩種包類型完成的：興趣包(Interest)和數據包(Data)[3]。每種包都有對應的名字，CCN中數據包采用層級式命名規則，例如優酷上的一個視頻文件的第一塊類似于”/youku/videos/0F8Ydlk80gK/0”，為了檢索到需要的內容，用戶需要發送一個興趣包，該興趣包和被請求的數據包要求同名，沿路CCN路由根據名字將興趣包路由至緩存或內容源，并且回傳一個與興趣包同名的內容數據包沿興趣包來的路徑返回。

圖1 TCP/IP網絡與CCN協議棧對比[2]

每一個CCN路由器由三部分構成，見圖2。

圖2 CCN節點轉發模型[2]

圖2展示了CCN節點的轉發模型。整個響應、查詢、轉發流程如下：用戶廣播內容請求數據包，每個接收到該興趣包的CCN節點都會根據興趣包的標識名進行最長匹配查詢。查詢的先后順序為CS、PIT和FIB。首先，節點會查找CS中是否包含有與名稱相同的內容，若有，就直接返回用戶請求的內容，并丟棄該請求興趣包，若無，就繼續查詢PIT，對比PIT中是否已經有了該條目，若有，就在存在的條目后面記錄下對應的端口號，接下來就開始轉發到下一跳路由器中，查詢FIB，若有對應的內容條目，那么就直接從對應的下一跳端口轉發出去，若無，說明FIB中沒有對該內容信息進行記錄，說明不存在相關的內容匹配路由，丟棄該請求包。

1 CCN中的安全隱患

CCN是一個與TCP/IP完全不同的架構，最顯著的區別在于CCN允許路由器對內容進行緩存，然而，緩存就需要在轉發效率和隱私之間做權衡[3]。因為用戶在緩存中會留下通信痕跡，這些痕跡很容易被攻擊者檢索，同時，攻擊者也可以通過遍歷路由緩存進而找到有效信息。甚至有可能完整提取第三方通信的完整信息序列。攻擊者只需要入侵到一個普通緩存中，即可進行追溯內容及攻擊。CCN中緩存的數據還可以通過加密應對這種攻擊，然而密碼學認為大部分有效密碼生存時間在30年左右，攻擊者可以截獲信息并存儲起來至加密算法不能抵抗強力攻擊時再破解。

雖然CCN架構本身就考慮了安全屬性，每個數據包都綁定了一個數字簽名，以便確保數據完整性和數據源認證，但這不能解決所有的安全問題。并且這樣的做法會帶來三個挑戰：(a)有效性，即如何設計出平衡效率和帶寬占用率的簽名策略；(b)無法真正建立數字簽名的可信任管理基礎設施；(c)CCN同時伴隨著用戶的隱私問題出現，因此在CCN的架構之上的安全威脅亟待解決。

2 CCN中的DoS攻擊

拒絕服務攻擊(DoS)即攻擊者刻意讓目標機器停止提供服務，是黑客常用攻擊手段之一。

一個典型的DoS攻擊系統主要包括三部分：(1)一個主節點或者節點下控制的一群“僵尸”機，即肉機；(2)主節點；(3)若干受害目標主機，路由器等網絡設備。我們認為，任何新的互聯網架構應該有如下功能：(1)能天然抵抗一定量的現存DoS攻擊；(2)利用架構本身能抵抗一部分新的攻擊；(3)架構的設計應該包含基本防御。我們相信，這些要求是合理且重要的。本文通過分析若干典型的針對CCN的DoS攻擊并提出了相應的對策。

2.1 CCN興趣包泛洪攻擊[4]

2.1.1 攻擊策略分析

CCN中數據包的路由路徑是根據PIT中的記錄而定的，每個進入路由節點的數據包，首先都會查詢PIT，根據PIT表列出的端口，從而將內容轉發出去。攻擊者就可以利用這個特性建立一個有效的DoS攻擊，即 “興趣包泛洪”。在這種攻擊中，攻擊者產生大量名字連續的興趣包，使得(1)路由設備的PIT中表項急劇增長，可能造成PIT“爆表”，導致無法為合法的興趣包提供路由服務；(2)使內容源進入癱瘓狀態。由于CCN的命名機制缺少主機地址從而很難確定攻擊者并采取具有針對性的對策。

基于被請求目標內容的存在形式不同，存在三種類型的“興趣包泛洪”攻擊：(1)已經存在靜態內容；(2) 實時產生的內容，如直播視頻等；(3)不存在的內容。在任何情況下，攻擊者利用僵尸網絡產生大量的興趣包從內容提供者獲取內容。

如圖3，在DoS攻擊之前，N11，N12，N21，N22中所有計算機向目標內容倉庫，即TCR，發送興趣包，所有的攻擊興趣包通過a1和a2鏈路都可以到達TCR，然而當有數據已經被請求過了，那么該數據就會緩存在沿路路由器中，例如R1，當N11，N12發送大量的興趣包時，在R1處就滿足了這些請求，興趣包則不會出現在主干鏈路上，也就是說路由緩存策略可以減少DoS攻擊。然而，路由器緩存的內容具有一定的生命周期，當內容過期，則被路由器刪除后，N11等又會重新發起攻擊，直到路由器再次緩存了該內容。

圖3 興趣包泛洪攻擊示意

針對(2)的攻擊中，由于請求的內容都是實時產生的，那么網內緩存的優勢則不復存在，所有的興趣包都會被導向內容源，從而會消耗沿路帶寬和占有路由器的PIT。

針對(3)的攻擊，攻擊者發送大量的不可滿足的興趣包去請求不存在的內容，同時在路由器中興趣包會占用PIT的大量空間，直到最后“爆表”。從而可能拒絕合法信息請求。

2.1.2 泛洪攻擊對策

我們認為引起興趣包泛洪的DoS攻擊，部分原因在于缺乏認證：即任何人都可以產生一連串的興趣包，且由于CCN的命名機制很難確定興趣包的來源是否來自于攻擊者，我們提供的一種解決策略是給興趣包進行數字簽名，通過密鑰證書可以揭示攻擊者的身份。如圖4所示。

圖4 CCN興趣包數字簽名及驗證

CCN的通信模型是純粹面向內容的。CCN處理的是內容本身而非內容所在的位置。因此用戶信任的內容本身及其原作者，而不是源地址。因此，有必要將內容的完整性綁定到內容的名字和作者上面。

2.2 強負載DoS攻擊

2.2.1 攻擊策略分析

當攻擊者進行偽裝，竊取用戶的合法密鑰，這樣發送大量合法興趣包，或者直接建立惡意內容源，從內容源獲取大量內容。

目前CCN的策略收到數據包則進行驗證，因此路由器需要緩存所有密鑰，顯然，路由器容量有限，是不可能保存全網節點所有公鑰。攻擊者從惡意的內容源獲取大量的數據。每條數據都是不同的并且利用不同的密鑰進行了簽名。為了驗證簽名，路由器必須從內容源處重新檢索得到密鑰。路由器一直忙于驗證簽名，并降低為合法用戶的服務質量。

2.2.2 強負載攻擊對策

按照一定的策略，當負載過高的時候減緩或停止驗證。在任何時候，CCN的接收者都會驗證所有的簽名為了防止欺詐內容進入緩存，簽名需要驗證。然而驗證可以推后直到處理能力足夠再繼續驗證，對大量可疑的不同密鑰加密的內容源進行檢測。要么對簽名不進行驗證，要么當處理能力強勁了之后再次獲得密鑰進行驗證。

相對來說，這種攻擊方式風險還是較低的，因為攻擊是可以檢測到的，主要使用的是入侵內容源以及產生大量的流量進行攻擊。

2.3 內容源DoS攻擊

2.3.1 攻擊策略分析

攻擊者可以避免沿路緩存命中，從而直接將興趣包發送到內容源處，導致內容源的負載過大從而拒絕合法用戶。假設構建不存在的內容名字，例如ccnx:/youku/film_no_exist/001，這樣可以保證沿路不會有緩存命中，這樣興趣包就會直接路由到內容源，如果大量的被入侵“肉機”同時執行攻擊，內容源將會處理大量的興趣包，從而使內容源處理效率急劇下降，從而拒絕合法服務。

2.3.2 內容源DoS攻擊對策[4]

路由器可以根據興趣包的前綴統計興趣包的響應數量。如果路由器檢測到大量且未被響應的興趣包時，則可以減緩轉發該前綴的興趣包。盡管攻擊者可以偽裝大量無內容的數據包，然而路由器可以通過興趣包的數量來進行檢測，而且攻擊的前提是需要一個僵尸網絡。

3 仿真與分析

(1)為了達到控制變量的目的，我們利用ndnSIM仿真，按照圖3所示搭建仿真環境就，為了統計，我們將參數做如下設置：鏈路容量為4 Mb/s、延時delay=50 ms、隊列長度為200、興趣包發送速率為3 000個/s，每個數據包的負載為1024，通過上述參數設置，我們得出仿真結果如圖5所示。

圖5 興趣包泛洪與改進策略網絡流量對比

如圖5所示，興趣包泛洪會隨著用戶數量的增加，獲取相同內容的時延也逐漸增大，相反，采用了我們改進策略后，獲取內容的時延基本不隨用戶的增加而增大，從而有效地抵制了興趣包泛洪。

(2)我們設計了在直播的情況下，傳輸相同大小的文件，對比有無DoS攻擊下網絡帶寬的占用率，首先我們定義若干標識,見表1。

表1 標識定義

因此，我們得出主干鏈路帶寬計算公式如下：

(1)

為了將上述模型定量分析，我們根據實際情況，參考ndnSIM項目等，我們假設前面的參數值如下：Si=50，Sd=300，Hi=27，Hd=52，Sh=20，其中Si，Sd和Sh是任意選擇的，而Hi和Hd數據來源于ndnSIM項目,我們將上面的參數帶入模型中，得出結果，統計、對比及分析得出結論如圖6所示。

圖6 內容源攻擊與改進策略中鏈路流量對比

可以看出， 在傳輸相同文件的前提下，DoS攻擊比沒有DoS攻擊更加浪費帶寬資源。

4 結 語

本文重點分析了針對CCN網絡架構的DoS攻擊，通過對CCN網絡可能存在的DoS攻擊進行了分析，并提出了相應的解決策略；分析和討論僅僅是解

決DoS攻擊的首要工作，接下來更多的工作是需要驗證各種策略的有效性，在實驗床上進行詳盡的實驗，最終確定出策略的最優參數。

[1] Jacobson, Van, Diana K. Smetters, James D. Thornton, et al. 2009. Networking Named Content. In Proceedings of the 5th International Conference on Emerging Networking Experiments and Technologies (CoNEXT′09). ACM, New York, NY, USA, 1-12. DOI=10.1145/1658939.1658941.

[2] ZHANG L, Estrin D, Burke J, et al. Named Data Networking (ndn) Project[J]. Relatório Técnico NDN-0001, Xerox Palo Alto Research Center-PARC, 2010.

[3] NDN Project[EB/OL]. http:// anr-connect. org/, 2011-12-12.

[4] LIU Song-qing (Research Institute of the Jingling Petrochemical Corp. Nanjing 210046, China),Analysis of the Network System Security[J]. Telecommunications For Electric Power System,2002-02.

[5] John Ioannidis and Steven M. Bellovin. Implementing pushback: Router-based Defense against DDoS Attacks. In Proceedings of Network and Distributed System Security Symposium, 2002.

DoS Attack in Content-Centric Network

WANG Zhi-wen1, XIANG Fu-lin2, ZENG Meng-qi2

(1.Navy Representative Office of Communication in Chengdu, Chengdu Sichuan 610041,China；2.No.30 Institute of CETC, Chengdu Sichuan 610041,China)

CCN (Content-Centric Networking) is one of the most promising architectures for future network. The core idea of CCN is content-based naming, i.e., the user could acquire the target content not based on the data address but on the data name. CCN is designed to be a pull-based network, and the user must send, an interest packet (Interest) to the network and thus get the data packet (Data) with same name. This indicates that CCN is a user-driving network. For any kind of network architecture, security is a problem which could not be ignored, and DoS attack is one of the most common attacking methods against TCP / IP network.Common DoS attack in CCN is studied and targeted solution also presented in this paper.

content centric networking; security; DoS

10.3969/j.issn.1002-0802.2015.11.018

2015-06-07；

2015-09-22 Received date:2015-06-07；Revised date：2015-09-22

TP309

A

1002-0802(2015)11-1295-05

王志文(1978—)，男，碩士，主要研究方向為未來網絡理論；

向福林(1988—)，男，碩士，主要研究方向為網絡安全；

曾夢岐(1981—)，男，碩士，工程師，主要研究方向為網絡安全。