智慧可信網絡DDoS攻擊防御策略研究

，

(1. 許昌學院 電氣機電工程學院，河南 許昌461000；2. 許昌市公安局，河南 許昌461000)

近年嚴重危害的網絡安全事件頻出，勒索病毒網絡武器幾小時內就影響了全球數十個國家并急速蔓延至150多個國家；英特爾芯片曝出多個安全漏洞可受遠程攻擊等．各類網絡安全事件已經深刻影響了政治、經濟、軍事、生活等各個層面．隨著嵌入式物聯網、智慧城市的推進和普及，網絡攻擊者在設備擁有者不知情的情況下，利用嵌入式物聯網設備的漏洞傳播惡意代碼或創建僵尸網絡，將非 PC 嵌入式設備作為攻擊目標．海量嵌入式物聯網終端將逐漸成為 DDoS 攻擊主要來源，已可形成超高容量的 DDoS 攻擊源，攻擊的規模、頻度、復雜性、影響和損失正快速增長[1]．海量嵌入式物聯網設備的應用給傳統互聯網絡安全領域帶來了挑戰也拓展了許多可研究探索的空間．

1 技術背景

新型DDoS攻擊在智慧網絡中表現體現為：攻擊者主動發出大量新標識數據，接入交換路由組件接收到這些數據后，被動的向映射解析服務組件發送請求，進而得到轉發映射指令．由于數據流量大，映射解析服務組件會接收到巨量反饋消息，并被迫對所有消息進行處理．在消息處理過程中，映射解析服務組件的各項資源被惡意占用、消耗，致使映射解析組件無法正常工作，達到足夠量即使網絡癱瘓崩潰．

2 技術分析

與傳統拒絕服務攻擊方式相比，智慧網絡技術環境下的新型DDoS攻擊的檢測和防御都非常難易有效的去確認和針對[2]．首先，攻擊者在初起發動DDoS攻擊時，傾向于使用低流量的數據．隨著攻擊的持續，無論數據總量高或低，接入交換路由組件封裝的只是其中極少部分，然后轉發至映射解析服務組件，剩余數據部分不會影響映射解析．因此，降低自身消耗，提高攻擊效率，攻擊者不然會采取低流量數據手段．伴隨著大量正常數據進行接入請求時，網絡同樣會產生阻塞．所以僅依賴輸入數據流隊列，映射解析組件并不足以判斷是否遭受拒絕服務攻擊．其次、攻擊數據流平均分布在各個子設備網絡，在不同接入子網環境下，通過接入不同交換路由組件發送攻擊數據，分散的數據在接入交換路由組件的總量中占比很低，此類攻擊難易檢測．

通過以上分析，與傳統拒絕服務攻擊方式相比，智慧網絡技術環境中的新型DDoS攻擊的檢測和防御都比較難易有效的確認及針對. 基于此，提出了面向網絡DDoS攻擊的接入網流檢測與防御方法，以進一步提高面對DDoS攻擊的防御能力．

3 方法研究

針對傳統拒絕服務攻擊方式，可以選擇對網絡控制組件的數據進行過濾，實現保護網絡控域．這種防御方法要求，交換路由設備向網絡控制端發送數據前，先要進行數據頭的字段值統計，并過濾雷同字段包．但是，針對此類非傳統拒絕服務攻擊方式，攻擊者會生成與已記錄數據字段值不同的數據包，方法效果有限．還有一種基于信息熵的DDoS攻擊檢測方法[3]．該方法假設正常數據的目的IP地址均勻分布，而在攻擊數據流中，威脅IP會集中出現．但攻擊者又總是會采取生成大量不同IP數據，消耗網絡控制組件的資源，從而達到攻擊的目的．所以，已知的方法在檢測、防御新型的DDoS攻擊方式上存在不足．新型的DDoS攻擊方式，會驅動大量僵尸設備．傀儡端攻擊過程中，通常只會遵從攻擊的指令進行數據發送[4]．而網絡基本的通信響應，傀儡端很難做出針對性反應．我們從該特征點著手，在接入交換路由組件的接入端口增加連接檢測功能．當映射解析服務組件檢測到網絡遭受攻擊，通過面向網絡DDoS攻擊的接入網流檢測方法確定了接入交換路由組件的脆弱端口時，可以啟動脆弱端口的連接檢測功能[5]．

連接檢測功能可以通過簡單網絡協議，進行收發包檢測實現，如TCP的握手協議．脆弱端口向己接收數據包的源端發起TCP連接請求[6]．如果源端設備響應SYN/ACK數據包，那么脆弱端口向其發送ACK數據包，結束此次連接；如果源端設備沒有響應 SYN/ACK數據包，則表示未能建立連接，那么中止與該端口的通信．連續數次的觀測到即可確定檢測到攻擊如圖1所示．僅在連接檢測功能擴展后，就足以排除大量的傀儡段攻擊包，大大釋放交換路由組件與映射解析組件之間的信息流．

4 結語

傳統檢測、防御DDoS攻擊方式方法上存在不足．結合智慧網絡工作的特性，面向網絡DDoS攻擊的接入網流檢測與防御方法，將數據流區分兩種類型：正常數據流和低流量數據流具，進行檢測可以有效針對利用接入交換路由與映射解析之間通信特征的網絡攻擊，方法準確、高效．