針對RED的LDoS攻擊流模擬研究

張賽超+孫迪+趙丹

摘要：根據網絡流量自相似性的形成機理和LDoS攻擊流的特點，綜合網絡中TCP和UDP常見協議，提出一個基于NS2的LDoS入侵流模擬方法，使用該法得到的流量數據可用于對低速率拒絕服務攻擊入侵的研究。

關鍵詞：低速率拒絕服務；NS2；自相似

DOIDOI：10.11907/rjdk.162867

中圖分類號：TP309

文獻標識碼：A 文章編號：1672-7800（2017）006-0183-03

0 引言

拒絕服務攻擊DoS（Denial of Service）是目前常見且難于防范的一種攻擊方法。它向目標節點發送大量無用的數據包，目的是降低目標結點性能，甚至讓目標節點停止服務。拒絕服務攻擊問題之所以一直得不到合理有效的解決，原因是由于網絡協議本身存在安全缺陷。

隨著DoS網絡監測和防范技術越來越成熟，衍生出了DoS攻擊的變種——低速率拒絕服務攻擊LDoS（Low-rate Denial of Service）。LDoS主要利用端系統或網絡中的自適應機制所存在的安全漏洞，通過周期性攻擊，造成TCP性能的震蕩，嚴重降低TCP的吞吐量，大幅降低網絡的服務質量。LDoS攻擊根據其針對路由隊列管理和擁塞控制機制的不同有許多變種，當前國內針對LDoS攻擊已經開展了廣泛研究[1-3]。本文主要針對主動隊列管理機制AQM（Active Queue Managemen）隨機早期檢測RED（Random Early Detection）的LDoS攻擊提出一個NS2（Network Simulator version 2）模擬方法。實驗結果表明，該法產生的網絡模擬流量保持了真實網絡流量的自相似特性，模擬產生得到的LDoS入侵流可以用于LDoS攻擊檢測等方面的研究。

1 網絡流量統計自相似過程及針對AQM的LDoS攻擊原理

大量研究表明，突發網絡到達過程更符合漸近或嚴格的自相似模型[4]。因此對網絡流量的模擬是否具有自相似性直接影響到網絡流量模擬的準確程度以及高速網絡傳輸中流量控制和統計復用的性能。

一個隨機過程{X（t），t∈R}是統計自相似的，滿足X（t）=α-HX（αt）， H > 0 為Hurst參數， α是正實數。

RED是最常用的一種AQM算法。RED算法通過計算平均隊列長度Lav及丟包概率p，控制網絡擁塞，RED算法可防止全局同步。

LDoS攻擊的核心思想是周期性地發送攻擊流，攻擊瓶頸鏈路或者路由器，使其在瞬間產生擁塞， 由于TCP協議的超時機制，發送方在發送TCP報文段時，會為每一個報文段設置一個超時定時器。如果在收到該報文的確認之前定時器超時，則擁塞窗口Cwnd會減為1，系統進入慢開始，并嘗試使系統恢復到穩定狀態。如圖1所示，在T周期內，向被害方發送脈沖強度為R，持續時間為τ的攻擊脈沖（τ≤T）。從理論上來說，若是攻擊方能精確知道TCP發送方每次發送報文所設置的超時重傳時間的值，在其每次重傳數據包的時候發動脈沖攻擊，將會使得每次重傳都失敗，這樣擁塞窗口將一直保持為1，吞吐量為0。

2 NS2模擬方法

NS2（Network Simulator version2）是由VINT項目組和加州大學伯克利分校聯合開發的，源代碼公開、免費的多協議網絡模擬軟件。NS2采用費列對象模型，由兩個相互關聯的類來實現，一個在C++中， 實現程序功能的模擬；另一個在Otcl中，在Otcl中類的主要功能是提供C++對象面向用戶的模擬參數、過程以及接口。

NS2模擬過程大致如下：確定鏈路基本特征，配置模擬網絡拓撲結構，編寫Otcl腳本→建立協議代理，具體包括建立業務模型及端系統協議綁定→確定網絡上的業務量分布，配置業務量模型參數→設置Trace對象→編寫其他輔助過程→解釋Otcl腳本并執行→分析Trace文件，→調整模擬拓撲、配置和業務模型，再重復上述模擬過程。

3 網絡模擬拓撲

圖2為LDoS攻擊網絡拓撲圖。圖中節點C作為路由節點，采用RED算法，C與接收節點D帶寬為2Mb，延遲l0ms；1--K個節點作為TCP發送節點與節點D為TCP鏈路，1--M個節點作為UDP發送節點與節點D為UDP鏈路，這K+M個節點與節點C的鏈路帶寬都為1Mb，延遲10ms，模擬產生正常流；節點A作為攻擊節點，與節點D采用UDP鏈路，節點A與節點C鏈路帶寬5Mb，延遲10ms，采用CBR流模擬LDoS攻擊流，CBR流量產生器的random標志位設為1，產生隨機噪聲。

4 正常業務背景流模擬

4.1 業務流模擬

NS2的流量產生器POO（OTcl類為Application/Traffic/Pareto類）除了"On"、"Off"兩種狀態之間的時間產生業務流符合Pareto分布外，其它時間按指數On/Off分布。這種分布可用來產生自相似業務流。在應用層使用POO流量發生器模擬生成正常TCP背景流。圖2中的1～K個結點發送TCP報文段，NS2關鍵代碼如下：

4.3 實驗及結果

整個模擬實驗時間為4 000s，模擬時先不發動LDoS攻擊，這樣可得沒有LDoS攻擊的正常的業務流。每間隔0.01s采樣，采用小波法[6]估計其自相似性，結果如表1所示。模擬得到的背景流分為純UDP流、純TCP流及TCP/UDP混合流，它們表征流量自相似的特征參數赫斯特指數都在0.5～1.0之間，說明仿真得到的業務流具有自相似性。

在第3 000秒開始LDoS攻擊，攻擊周期T=1秒，攻擊持續時間τ=0.2s，攻擊強度R=1.5Mb，攻擊次數N=500，發起攻擊共500s，LDoS攻擊時段為3 000～3 500s。圖3顯示實驗3在3 000～3 020s內采樣的時間-流量圖，LDoS攻擊使得網絡流量發生周期性的水平躍變。

正常網絡流量在受到LDOS攻擊時，攻擊期間的H值與正常流量相比，都存在不同程度的下降，因此可以根據網絡流量Hurst指數的異常變化檢測LDoS攻擊[6]。實際中可分析正常網絡業務流Hurst 參數值的變化范圍，設置發生 LDoS 攻擊時Hurst減小的門限值。對于本文中的6個實驗，設定Hurst的減小的門限值為0.20，在第10秒處的Hurst指數分別為-0.501，0.476， 0.476，0.356，0.476，0.359都能檢測到LDOS攻擊。

5 結語

本文利用NS2提供的POO流量產生器，采用多個重尾的On/Off源疊加，使用該方法產生的模擬背景流保持了網絡流量最大的特征——自相似性，同時結合TCP，UDP協議模擬LDoS攻擊，更接近真實網絡環境，而模擬得到LDoS入侵流可應用于流量特征分析等方面的研究。

參考文獻：

[1]張曉瑜，吳志軍，岳猛，閆長燦.基于網絡流量奇異性特征的LDoS攻擊檢測方法[J].計算機工程與設計，2016，01：50-54.

[2]岳猛，吳志軍，姜軍.云計算中基于可用帶寬歐氏距離的LDoS攻擊檢測方法[J].山東大學學報：理學版，2016，09：92-100.

[3]王傳安，王亞軍，郭曉，宋雪亞.針對SIP服務器的LDOS生死鏈攻擊模型[J].計算機應用與軟件，2015，08：300-303.

[4]LELAND WE，TAQQU MS，WILLINGER W，et al.On the self-similar nature of ethernet traffic （extended version）[J]. IEEE/ACM Transactions on Networking，1994，2（1）：1-15.

[5]Long-lasting transient conditions in simulations with heavy-tailed workloads[C].In Proceedings of the 1997 Winter Simulation Conference，1997：1005-1012.

[6]周剛，劉淵.低速率TCP拒絕服務攻擊的小波檢測方法[J].計算機工程與應用，2011（32）：115-117.

（責任編輯：陳福時）