低速率拒絕服務攻擊技術研究

賓哲桂 李江洪

(柳州職業技術學院，廣西 柳州 545006)

低速率拒絕服務攻擊技術研究

賓哲桂 李江洪

(柳州職業技術學院，廣西 柳州 545006)

針對拒絕服務攻擊往往采用持續大流量的攻擊方式，提出了一種低速率的拒絕服務攻擊方法，以提高拒絕服務攻擊效率。其通過對目標用戶，或者應用程序的通信規律進行統計和分析，選取恰當的時機每次在目標用戶或者應用程序進行通信的時候，發起瞬間的拒絕服務攻擊，持續很短的時間之后退出拒絕服務攻擊過程，以達到對目標用戶和應用程序的拒絕服務攻擊效果，同時確保在一段相對較長的時間內保持低速率的攻擊要求。

拒絕服務攻擊；低速率；數據流；周期；同步

1 前言

拒絕服務攻擊是針對網絡目標發起的一種非常常見的一種攻擊方法和手段。由于拒絕服務攻擊采用的原理和實現的策略會有不同，因此對拒絕服務攻擊的安全防范策略也各有不同。近年來針對拒絕服務攻擊的相關研究，國內外有大量的文獻，無論是對于一些新型的攻擊方法的研究，攻擊模型的設計，及拒絕服務攻擊防范手段的設計都取得了很多代表性的成果，比如：何炎祥,劉陶，曹強等人對低速率拒絕服務攻擊技術進行了一次相對系統、完整地梳理，對低速率拒絕服務攻擊方式進行了分類描述和建模，并在實驗環境中建模進行了驗證，討論了不同攻擊類型的特點和性能[1]。吳志軍，岳猛對低速率拒絕服務LDoS的攻擊性能進行了分析，分別通過理論建模和實驗分析的方法，對低速率拒絕服務攻擊方法進行了詳細分析，給出了定量評價不同類型低速率拒絕服務攻擊的途徑[2]。謝逸，余順爭對應用層的分布式拒絕服務攻擊技術進行了深入的探索和剖析，由于應用層軟件種類數量眾多，而且應用層的很多軟件通信模式、通信特征非常有代表性，因此開展在新網絡環境下應用層拒絕服務攻擊技術的研究，具有較強的代表性[3]。

為了更好的研究和防范拒絕服務攻擊，本文重點對近年來出現的一種低速率、高效能的拒絕服務攻擊方法進行了深入的研究和設計，詳細分析和設計這種攻擊方法的實現原理和實施過程，為今后開展針對這類低速率拒絕服務攻擊方法設計防范策略提供參考。

目前傳統的基于網絡流量的拒絕服務攻擊方法基本上都是采用大流量的數據，來實現拒絕服務的攻擊目標。其工作的基本原理都是通過向計算機或者服務器發送超過該計算機或服務器所能夠承受的處理能力的大數據量，使得被攻擊的計算機或者服務器在短時間內，無法及時的對所接受到的所有數據包進行處理，從而使得被攻擊的計算機或服務器在這一段時間內不能夠對新到來的數據包進行及時的處理，造成數據包丟失，無法有效的為用戶發送過來數據包提供相應服務，從而達到拒絕服務攻擊的目標[4]。目前針對這種攻擊方式的網絡檢測和防范的機制越來越成熟，為了使得網絡檢測和安全防護軟件適合未來攻擊的發展趨勢，本專利提出一種基于網絡流量的低速率的拒絕服務攻擊方法，為網絡安全防護軟件和系統的設計提供一種重要的樣本參照依據[5]。

2 低速率拒絕服務攻擊原理

本文主要設計一種基于網絡流量的低速率拒絕服務攻擊方法，使得能夠針對網絡中特定用戶或者特定應用花費極小的代價，使用低速率的拒絕服務攻擊流量，即能實現對該用戶或者應用程序的精確拒絕服務攻擊效果。

其設計原理是通過對網絡上正常通信的用戶或者數據流量進行監控和分析，尋取恰當的時間點在短時間內向網絡上發送大量的數據量，造成瞬間的拒絕服務攻擊效果，從而使得受到該拒絕服務攻擊影響的用戶或者應用程序正在通信的數據，無法正確送到目的接收方[6]。而且由于這種拒絕服務攻擊的持續時間非常短，因此采用一段時間來衡量攻擊者向網絡中注入的數據流量得到的拒絕服務流量非常低，從而達到低速率的拒絕服務攻擊效果。按照本文的設計原理，在實現過程中首先對網絡通信的用戶或者應用程序進行監控，如果該用戶或者應用程序的通信的時間間隔是有規律的，則統計該用戶和應用程序的數據通信的時間間隔，并記錄下來時間間隔值。如果用戶在網絡上用戶或者應用程序在網絡上發送的數據是隨機性的，則計入該用戶發送數據的特征標識，比如用戶的IP地址、端口號或者數據包中的一些特殊標識字段。低速率拒絕服務攻擊時采集的特征信息組成如圖1所示。

圖1 低速率拒絕服務攻擊時采集的特征信息

當需要對該用戶或者應用程序發起低速率的拒絕服務攻擊時，對網絡上通信的數據流量進行監控[7]。如果該用戶或者應用程序是有規律的發送數據時，則按照預先采集到的用戶發送數據的時間間隔。首先對該用戶發送數據的第一個數據包進行時間同步，之后按照用戶發送數據的時間間隔，有規律的向網絡上發出短時間的拒絕服務攻擊，使得網絡上出現拒絕服務攻擊效果的時間間隔與該用戶正常發送數據的時間間隔完全一致。而且該拒絕服務攻擊的持續時間非常短，以滿足低速率的攻擊要求。

如果用戶發送的數據不是有時間間隔規律的，則監控網絡上的數據流量。一旦發現網絡上出現該用戶的數據時，則在當前時刻再向網絡上發起瞬間的拒絕服務攻擊，并持續一個很短的時間間隔之后，停止拒絕服務攻擊之后繼續對網絡的通信流量進行監控[8]。由于用戶一旦受到服務拒絕攻擊之后，數據通信失敗，按照目前網絡通信程序的設計模式，用戶都將會間隔一段時間之后，再次重新嘗試向網上發出數據，因此此時在網絡上只需要繼續監控網絡上的通信流量，直到網絡中再次出現該用戶的通信數據時，再次發起瞬間的拒絕服務攻擊，最終實現對用戶或者目標應用程序的低速率拒絕服務攻擊效果。

通過分析本文設計的拒絕服務攻擊方法可以發現，該攻擊方法在攻擊過程中所需要的拒絕服務攻擊流量非常小，在網絡上發起拒絕服務攻擊的時間也非常短，對網絡的正常通信幾乎不會產生明顯的影響，但對被攻擊的用戶則能夠達到拒絕服務的攻擊效果。而且能夠靈活的針對特定用戶或者應用程序發起攻擊，攻擊的目標性十分精確。

除此之外，本文設計的拒絕服務攻擊方法，既能夠針對網絡上一些定期通信的數據包或者程序進行攻擊，比如一些網絡管理程序，在網絡上經常會定期發送一些管理數據包，以確保網絡管理系統的正常運行。應用本文設計的拒絕服務攻擊方法，能夠很容易實現針對這類應用程序的低速率拒絕服務攻擊，同時也能夠通過對網絡流量的監測，實現對一些隨機發送的數據的應用程序進行低速率的拒絕服務攻擊，攻擊過程十分靈活[9]。而且該攻擊方法在發起拒絕服務攻擊的持續時間非常短，難以使用常規的基于流量的拒絕服務攻擊方法檢測得到，對檢測設備的統計時間片要求更短，這也間接的提高了檢測的難度，是一種十分隱蔽的低成本的拒絕服務攻擊方法。

3 低速率拒絕服務攻擊實現過程

本文設計的低速率拒絕服務攻擊方法在實現過程中，將根據攻擊對象的通信周期是否固定，分為固定通信周期應用程序的低速率拒絕服務攻擊和不規律通信周期的應用程序拒絕服務攻擊兩類。

3.1 針對固定通信周期的應用程序的低速率拒絕服務過程

針對固定通信周期的應用程序的低速率拒絕服務攻擊過程如下所示，其對應的實現流程圖如圖2所示。

圖2 低速率拒絕服務攻擊實現流程

（1）在網絡上監測目標應用程序的通信規律，記錄目標應用程序的固定通信周期。

（2）當需要針對該應用程序進行低速率拒絕服務攻擊時，首先與該應用程序的一個通信數據包建立同步關系。

（3）拒絕服務攻擊程序按照同步的時間節點，以之前記錄的時間周期，周期性的發出拒絕服務攻擊數據。

（4）完成針對固定通信周期的應用程序拒絕服務攻擊過程。

3.2 針對不規律通信周期的應用程序拒絕服務攻擊過程

（1）針對目標應用程序的通信規律進行分析，確定該應用程序為通信周期不固定的應用程序。

（2）當需要針對該應用程序進行拒絕服務攻擊時，首先在網絡上監測該應用程序的特征、IP地址、端口號或者數據包中的一些標識性的字段。

（3）當網絡上出現該目標應用程序的特殊標識符號時，在網絡上發起瞬間的低速率拒絕服務攻擊數據。

（4）拒絕服務攻擊程序發送數據完畢之后，繼續監測網絡上通信數據流，至到發現新的該應用程序的特殊標識符號，則繼續發起低速率的拒絕服務攻擊數據。

4 低速率拒絕服務攻擊系統組成

本文設計的這種基于數據流量的低速率拒絕服務攻擊方法。通過對網絡上的通信用戶或者用戶程序的通信規律進行統計和分析，選取恰當的時機實現低速率的拒絕服務攻擊效果。

其選取恰當的攻擊時刻是通過對目標用戶或應用程序的通信規律統計和分析之后得到可以提前在網絡上部署數據監測軟件，實時的對網絡中通信的數據進行記錄和分析，以獲取所需的特征參數。

而在對用戶通信規律進行統計時，如果目標用戶和應用程序是固定通信周期的，則記錄該通信程序的固定周期。如果目標用戶或應用程序是無規律的通信方式，則記錄該用戶程序的特殊IP地址、端口號或者通信數據包中的一些特殊標識字段。

在攻擊時，對于固定通信周期的應用程序在進行攻擊之前，首先對目標用戶或應用程序進行時間同步之后，按照預先采集到的通信周期間隔，周期性的發出低速率拒絕服務攻擊數據；對于非周期性的目標用戶或應用程序發起的拒絕服務攻擊，其實施過程是首先對網絡上的通信流量進行監測和分析，一旦發現目標用戶或應用程序的特殊標識字符，則發起低速率拒絕服務攻擊數據，之后重新進入數據監控狀態，如此不斷循環。

為了提高攻擊的隱蔽性，往往采用瞬間的拒絕服務攻擊方法。該方法指針對目標用戶或者應用程序發起的一種短時間拒絕服務攻擊，在該持續時間段內所實施的拒絕服務攻擊原理和傳統的拒絕服務攻擊原理一致，都是通過大數據量來實現拒絕服務攻擊的效果。在具體實施瞬間拒絕服務攻擊持續時間特別短，一般小于1ms。

根據本文設計的低速率拒絕服務攻擊方法的設計原理和實現流程，本文設計了低速率拒絕服務攻擊系統。該系統的組成結構圖如圖3所示。

圖3 低速率拒絕服務攻擊系統組成

在該攻擊系統中主要包括對圖形對象特征的統計分析模塊、同步監測模塊、大流量數據發生器、數據發送間隔計算單元、數據發送持續時間定時器和數據發送模塊部分組成。其中通信對象特征統計是整個攻擊系統的重要基礎模塊，該模塊負責對所需要攻擊的目標系統通信行為進行監測，并提取相關的通信參數。之后啟動同步監測模塊對所采集到的參數進一步進行校正，以確認對攻擊目標所提取的各種統計參數是準確而有效的，之后提供大流量數據發生器，準備產生攻擊用的大流量攻擊數據，為了提高攻擊的突發性和隱蔽性，因此大流量的攻擊數據并不會持續性的在網絡上進行發送，而是按照同步監測模塊所監測到的同步周期觸發相應的攻擊時刻。在攻擊時刻發送大流量數據，而且在數據發送的時候提供數據發送持續時間的定時器，并計算數據發送的間隔時間，保證每次發送的攻擊數據的問題控制在有限的范圍之內。從而確保在實施拒絕服務攻擊的整個過程中，不會對網絡的平均流量帶來明顯的變化，實現低速率的拒絕服務攻擊效果。

5 總結

低速率拒絕服務攻擊相對于傳統的拒絕服務攻擊效率要高的多，其只占用極少的數據流量，而且攻擊過程持續時間非常短，但其達到的攻擊效果和傳統的大流量拒絕服務攻擊效果旗鼓相當，因此對于低速率拒絕服務攻擊這種新型的攻擊方法，必需引起人們的重視。通過本文對低速率拒絕服務攻擊的發起方式、實現原理和實現過程進行深入的剖析，為今后探索針對這類高低速率、高效能的拒絕服務攻擊方法的防范提供了有利的參考依據。

[1] 何炎祥,劉陶,曹強.低速率拒絕服務攻擊研究綜述[J].計算機科學與探索,2008,2(1):1-18.

[2] 吳志軍,岳猛.低速率拒絕服務LDoS攻擊性能的研究[J].通信學報,2008,29(6): 87-9.

[3] 謝逸,余順爭.新網絡環境下應用層DDoS攻擊的剖析與防御[J].電信科學,2007,23(1):89-93.

[4] Luo X,Chang R. On a New Class of Pulsing Denial-of-Serv-ice Attacks and the Defense[C]∥Proc of the Network and Distributed System Security Symp, 2005:2-5.

[5] Sarat S, Terizis A. On the Effect of Router Buffer Sizes on Low-Rate Denial of Service Attacks[C]∥Proc of the Int'l Conf on Computer Communications and Networks, 2005:281-286.

[6] Chen Y, Hwang K. Collaborative detection and filtering of shrew DDoS attacks using spectral analysis[J].Journal of Parallel and Distributed Computing,2006,66(9):1137-1151.

[7] 黃力.基于分布式群身份認證的傳感器網絡設計與實現[J].計算機工程.2007，33(10):161-163.

[8] Chen Y, Hwang K. Collaborative Detection and Filtering of Shrew DDoS Attacks Using Spectral Analysis[J]. Journal of Parallel and Distributed Computing, 2006,66(9):1137-1151.

[9] 黃力,潘大慶,羅海波,等.一種基于數據流量的低速率拒絕服務攻擊的方法:中國,CN103746965A[P].2014-04-23.

Low rate denial of service attack technology research

The denial of service attacks often use the continuous flow of the attack, a denial of service attack method in low rate denial of service attack, in order to improve the efficiency of.The basic design principle of the patent is the target user, communication rules or application of statistics and analysis, select the appropriate time every time when communicating in the target user or application, launched a moment of denial of service attack, after a very short period of time out of denial of service attack process, in order to achieve the goals of users and application of denial of service attack effect, and keep the low rate attacks in a relatively long period of time.

Denial of service attacks; the low rate; data streams; cycle; synchronization

TP393

A

1008-1151(2015)01-0004-03

2014-12-12

廣西教育廳課題“無線接入網中帶寬高效分配方法”(ZL2014093)。

賓哲桂（1981－），男，廣西博白人，柳州職業技術學院講師，碩士，研究方向為計算機網絡技術。

李江洪（1974－），男，廣西桂平人，柳州職業技術學院講師，碩士，研究方向為計算機網絡技術。