DDoS攻击及防御技术综述

DDoS攻击及防御技术综述

本文内容为论文转载。

摘 要：

广泛应用于互联网领域的拒绝服务攻击中，分布式拒绝服务攻击（Distributed Denial of Service, DDoS）是一种极易导致大规模系统瘫痪的恶意行为。本研究旨在阐述其工作机制及其关键组成部分，并在此框架下深入分析主流的入侵检测技术在应对DDoS攻防过程中所展现出的优势与局限性。最后部分则深入探讨了针对此类网络威胁所提出的各种防护策略及其实施路径。通过系统化的研究与论证，在综合评估各种防护措施的基础上提出了切实可行的有效防护方案。从而为企业构建有效的防护体系提供了重要的技术支持与参考依据。

关键词：

该系统支持DDoS攻击防护。
采用多种先进技术进行防护。
提供全面的安全防御措施。
具备高效的检测手段。

0 引言

在互联网的各种安全威胁中, 拒绝服务攻击具有较高的威胁性, 而分布式拒绝服务攻击所引发的安全风险更为致命. 广义上而言, 拒绝服务攻击是指任何能够中断网络系统为用户提供服务的行为模式, 主要可分为两类:一种是漏洞利用型的攻击手段, 另一种是资源消耗型的攻击方式. 漏洞利用型的攻击通过对目标系统的软件漏洞进行精心设计, 发射特殊的请求包以导致目标系统崩溃或重置. 当前这类攻击虽然对防火墙等防护机制有一定的防护能力, 但其危害性仍需警惕. 资源消耗型的攻击又称为泛洪式攻击, 其特点是短时间内发送大量报文对目标进行冲击, 从而显著削弱目标设备的计算能力和处理能力, 最终导致网络服务质量下降甚至完全中断. 相较于依赖漏洞利用的技术手段而言, 资源消耗型和分布式拒绝服务攻击更依赖于对目标主机性能的干扰与破坏.

1 DDoS攻击技术原理

1.1 攻击网络带宽

直接攻击是指攻击者利用控制权掌握的大量主机向受害者发起大量流量请求, 导致受害者的网络带宽被占用, 同时消耗服务器和网络设备的处理能力, 从而达到拒绝服务的目的. 包括ICMP/IGMP洪水攻击和UDP洪水攻击在内的多种典型DDoS直接攻击方式.
其中ICMP/IGMP洪水攻击通过多目的报文向目标地址发送超时响应报文, 引发受害者系统异常行为; UDP洪水攻击则主要通过向目标地址发送超时确认报文, 造成受害者系统无法正常接收数据.

(2) 反应用于与放大的行为。直接的网络破坏手段往往难以高效执行且容易被监控, 因此attackers倾向于采用隐蔽且不易察觉的方式进行打击。
这类隐蔽性的增强源于使用放大的技术手段。
具体而言, DRDoS（分布式拒绝服务）技术是指attackers利用路由器、服务器等设施针对特定请求做出响应, 从而生成大量无益的数据流量来干扰受害者。
这种技术手段虽然隐蔽性高, 但其负面影响更为显著的是由于采用了放大的机制。
其中一种特殊形式是通过放大网络流量来达到持续性破坏的目的。

(3) 攻击路径. 攻击路径与前面提到的其他方法不同, 其主要针对的是网络带宽资源而非服务器. 一种典型的链路攻击模式是Coremelt策略. 首先, 攻击者利用traceroute等工具来确定所有被感染节点与其目标线路之间的具体位置关系. 然后, 在这两个关键节点之间引入了一个阻塞点, 并将其分割为两个独立的部分. 这两部分仍然通过网络带宽资源进行通信交换. 这种做法会导致大量数据包堆积在网络带宽资源上, 引致拥堵和延迟现象. 从观察者的角度来看, 他们无法通过分析这些数据流量来分辨哪些是真实的传输请求以及哪些是拒绝服务攻击的数据流混杂而成的结果. 因此这种类型的链路攻击更加隐秘且难以防范.

1.2 攻击系统资源

发起TCP连接攻击。TCP是一种面向连接设计的可靠传输层协议，在字节流量的基础上建立数据传输通道。鉴于其设计初期着重强调了协议可用性而非安全性深入对比与详细描述，在实际应用中暴露出诸多安全缺陷与问题。在三次握手建立TCP连接的过程中服务器会维护并存储 TCP 连接信息以记录客户端地址与端口映射关系这些信息会被存储到服务器的本地连接表中然而由于本地连接表的空间限制当其达到最大容量时新申请的 TCP 连接将无法被创建因此攻击者可利用大量受控感染设备占据本地连接表剩余空间迫使目标服务器无法建立新的 TCP 连接这种情况下当大量受控设备同时发起攻击其破坏性将十分显著攻击手段主要包括：基于 SYN 持续 SYN 流量的大规模发送基于 PSH+ACK 的持续流量发送 RST 突然断开所有已建立会话的同时发送 Sock stress 持续向目标发送超时报文等。

发起针对SSL连接的攻击。安全套接字（Secure Sockets Layer, SSL）是一种用于保障网络通信中数据安全与完整性的安全协议。它负责在网络传输层对数据进行加密处理；然而，在加密、解密以及密钥协商的过程中需要耗费大量系统资源。基于这种机制的存在，在这种情况下攻击者能够利用其特性向目标发送庞大的无效数据流，在一定程度上耗尽目标计算机系统的计算能力。

1.3 攻击应用资源

对DNS服务器发起攻击是一种网络威胁行为。作为网络服务的关键组成部分, DNS服务的质量直接影响网络的整体安全。
常见的攻击手段包括基于查询量的DDoS（Difference-iat-Source-Options）流量注入和基于域名解析的DDoS流量注入。
DDoS流量注入中的基于查询量的DDoS流量注入是一种通过发送大量请求干扰目标服务器正常运行的技术手段。
该技术通过向目标域名发送大量请求信息，在不触发缓存机制的情况下迫使目标服务器承受过高的负载压力。
与此同时, 攻击者还会采用特定策略选择那些不在当前缓存记录中的域名地址进行查询,
以最大限度地增加目标 server 的工作负担而不引起 normal traffic 的异常波动。
另外一种变种即 DNS NXDO-MAIN 攻击模式,
这种情况下, 攻击者会发送与 normal traffic 相似的真实域名地址,
从而导致 target server 进行冗余的递归解析操作,
最终导致 normal traffic 流速度显著降低甚至出现 denial-of-service 现象。

(2) 发起针对Web服务器的攻击。随着Web技术的迅速发展带来了显著的生活便利和商业效率提升。当Web服务器遭受拒绝服务攻击时，将对其运行的各种服务产生严重影响。常用的防御措施包括：主动防御机制如流量控制与过滤（FCT/F Supervisor）、基于IP地址的行为监控（IPS）以及基于端口扫描与入侵检测（Sniffer/IDS）等。

1.4 混合攻击

在执行恶意行为时，攻方并不关注自己采用的是何种技术路径（手段），而更关心能否造成目标系统出现服务中断的情况（效果）。因此，在实际操作中，攻方往往会选择尽可能多地采用各种技术手段对目标系统发起冲击，并将其综合运用起来。这种多技术手段结合的方式被称为混合型恶意行为（手法）。这些手法相互配合、缺一不可，在某种程度上能实现更好的效果（结果）。对于受害者而言，要应对多种协议和资源的侵扰（威胁），显得更为困难（挑战），这也意味着他们需要投入更多的人力物力来防护这类恶意行为（事件）。

除了上述提到的攻击手段外, 拒绝服务攻击还可能与其他多种攻击手法协同作用, 其目的为造成混乱, 从而难以有效防御.

2 DDoS攻击检测技术

2.1 基本方法

常见的入侵 detection手段主要包括 errant analysis与anomaly recognition两大类

2.2 基于流量特征的攻击检测

基于流量特征的信息安全检测属于一种基于知识体系的安全威胁分析手段。随后系统会从已知DDoS攻击行为中提取关键特征，并对实时接收的数据包进行分析与匹配。当识别到匹配的关键特征时，则判断当前网络流量可能受到DDoS攻击的影响。该方法不仅能够准确识别和分类DDoS攻击行为，还能够采取相应的防护措施来应对这类威胁。其主要缺点在于无法识别未知入侵方式、往往落后于新型攻击手段；此外还需要频繁更新知识库以适应新的威胁类型；同时该方法对于系统的适应性和移植能力较弱；此外维护成本较高。这种方法通常应用于基于漏洞或特定模式识别DDoS流量的情况。

2.3 基于流量异常的攻击检测

目前广泛采用的流量异常检测方法是研究网络空间的重要手段之一

在现有研究中，大量异常流量通过建模检测时刻的流量特征来识别攻击行为。然而仅依赖于检测时刻的流量特征来进行攻击行为区分的方法存在不足。当出现与攻击行为相似的异常流量变化时，则可能导致检测结果出现误判。由此可见，在现有的研究中这种方法难以达到理想的检测效果

3 DDoS攻击防御技术

普遍的观点认为, 如果不修改TCP/IP协议的核心机制, 那么从理论上讲, 完全消除这类网络攻击是完全不可能的. 然而, 可以借助一些技术手段来有效遏制一部分DDoS（分布式拒绝服务）攻击行为. 这种措施不仅可以减少此类事件的发生频率, 而且能够显著降低相关攻击可能带来的负面影响.

3.1 攻击源消除

DDoS攻击需要成千上万的傀儡机才能完成, 如果失去了这些傀儡机, 攻击者就无法实施该攻击. 因此, 必须采取一系列防护措施来阻止攻击者获取足够数量的傀儡机, 从源头上消除潜在威胁. 攻击者所控制的大多数傀儡机都运行着严重存在安全漏洞的计算机系统, 因此要防止这种情况发生, 必须全面检测主机硬件或软件系统的安全漏洞并及时修复或修补这些漏洞. 此外，在当前网络架构下, 还可以通过破坏DDoS攻击形成的条件来实现防御. 接收端作为被动接收报文的一方, 而发送端则没有受到限制. 基于授权的DDoS防御技术能够有效控制发送端的数据流量从而从根本上解决这一问题. 对于那些不需要对外提供服务的对象而言 也可以通过隐藏自身在网络中的存在来达到防御的目的

3.2 攻击缓解

在DDoS攻击发生时，为了减轻攻击带来的负面影响，在网络流量中实施过滤或限制措施以降低其对网络的影响。这种情况下采取的主要手段包括采用报文过滤技术和速率控制机制来应对持续性高带宽的DDoS请求。

报文过滤技术可有效应对DDoS攻击等网络威胁。该技术通过检测报文中包含的源IP地址信息，并区分真伪IP地址以实现流量防护。当DDoS攻击发起时，在目标网络入口处实施防护措施。当数据包进入目标网络后，系统会验证数据包中的IP地址是否与已声明的安全区域匹配，并发现异常后阻止该数据包正常传输至网络内部。

(2) 流量控制机制。在遭受剧烈的DDoS攻击时，服务器会因为边界路由器面临 overwhelming traffic pressure而导致大量的数据包丢失。其本质在于分析被丢失数据包的关键信息，并对这些丢失数据包的流量特性进行综合分析和统计。接着，在提取具有特定特征的数据流后将其识别为具有价值的流量通道，并通过严格控制这些高价值数据流的数量和带宽来实现对发起DDoS攻击行为的有效遏制。

3.3 攻击预防

(1) 降低公共暴露。作为企业来说，在尽量减少不必要的公共展示方面采取措施以抵御DDoS攻击是一种有效的方式。具体包括及时关闭不必要的服务端口，并建立安全集群和专用网络环境；阻止非开放服务的访问，并实施基于IP地址的访问控制策略；同时设置SYN连接上限控制机制以限制最大连接数。通过这些措施将能够有效降低遭受攻击的可能性。

(2) 通过采用系统扩展与冗余机制来增强安全性。 DDoS 攻击可能从多个协议层发起多种威胁方式, 因此建议多方面采取防护措施来应对潜在威胁。 通过系统扩展与冗余设计, 在遭受 DDoS 攻击之前就能有效降低风险。 这种机制能够在一定程度上提升系统的容错能力, 在遭受 DDoS 冲击时不会完全中断服务, 并尽力减少对系统正常运行的影响.

(3) 增强网络带速保障水平。直接影响抵御DDoS攻击的能力, 若仅达到10M的网速, 则无法有效防御DDoS攻击。理论上而言, 网速越高越好; 但鉴于经济限制因素, 在预算范围内尽可能提升网速保障水平是更为合理的策略选择。

分布式资源共享服务器是一种架构设计模式，在多节点协同运行的基础上实现资源和服务的有效共享机制。该架构通过将数据和程序分布于多个计算节点上建立共享服务网络，在保障系统可靠性的前提下实现了负载均衡与性能优化目标。这种架构有助于协调整个系统的协作以解决复杂问题，并通过这种方式可有效规避传统系统在资源分配和响应速度上的不足。随着部署规模扩大，系统的防御能力也随之提升

实施系统性能监控也是一种重要的防御DDoS攻击的方法。若服务器配置不当会导致该系统易遭受DDoS攻击影响。应持续关注API、CDN以及DNS等关键第三方服务的状态，并实时跟踪网络节点的状态变化情况。及时识别并修复潜在的安全漏洞是防止此类事件发生的必要措施。一旦发现这些关键指标异常波动应立即启动维护程序以恢复正常运行状态。定期审查网络日志以检测潜在入侵行为并采取相应防范措施是保障网络安全的重要环节

3.4 IP地址溯源

在攻击过程中, 可依据攻击来源来设置流量拦截措施, 从而有效降低网络攻击的强度;此外, 收集到的信息也可作为法律证据用于对攻击者实施相应的法律责任. IP地址溯源技术主要包括:基于连接的测试方法、随机采样的策略以及登录行为的分析技术.

4 结语

DDoS攻击难以被有效防御；当前情况下, 各类DDoS检测技术尚不够完善、其实用效果存在不足;伴随攻防技术和防护体系的持续发展创新,分布式拒绝服务（DDoS）类型的新型防御机制不断涌现出来;因此对这类网络威胁的有效防护与应对越来越成为一个亟待解决的关键问题，在网络安全领域内仍处在一个重要的研究前沿位置；本文旨在系统阐述DDoS攻击的技术机制基础之上；并重点探讨误报过滤技术和异常行为识别方法在DDoS探测中的优缺点；同时深入探讨基于流量特征识别以及基于流量异常探测两类流量特征下的异常探测手段；最后从全局视角出发对适应性DDoS防护方案进行全方位的技术解析与方案设计；以期为相关企业及机构在实施DDoS防护策略时提供切实可行的技术指导方案

参考文献

[1] 姚淑萍, 彭武, 吴丹.网络安全预警防御技术[M].北京:国防工业出版社, 2015.

[2] 兰巨龙、程东年、刘文芬等著. 《信息网络安全与防护技术》[M]. 北京: 人民邮电出版社, 2014.

[3] 王飞.分布式拒绝服务攻击检测与响应技术研究[D].长沙:国防大学, 2013.

**[4] 罗志强, 沈军, 金华敏.基于分布式DNS反射机制的DDoS流量检测与防护研究[J].电信科学, 2015 (10):11-16.

文库、杨家海及张宾合著.基于低速率拒绝服务攻击的研究进展综述[J].软件学报,2014,25(3):591-605.

何亨、黄伟、李涛等. 以SDS架构为基础的多层次分布式DoS防御体系[J]. 计算机工程与应用学报, 2016, 52(1):81-88.

[7] 王秀利.JSS Weirdo: 基于流量监控的DDoS防御机制[J]. J. Comput. Eng. Appl., 2008, 44 (36): 115-118.](/kcms/detail/detail.aspx?dbcode=CJFD&filename=JSGG200836033&v=MzIzNTVHWjRRS0RIODR2UjRUNmo1NE8zenFxQnRHRnJDVVJMS2ZiK1pvRkNua1ZMN05MejdNYWJHNEh0blBxWTk=&uid=WEEvREcwSlJHSldRa1FhcEE0RVZvQmNOUmNLblc3YTk5RUtybHF0WW5Fcz0=$9A4hF_YAuvQ5obgVAqNKPCYcEjKensW4ggI8Fm4gTkoUKaID8j8gFw!!)

[8] 李红卫, 吴静怡, 崔嘉.分布式拒绝服务攻击及IP溯源技术探析[J].无线通信技术, 2016 (2) :50-53.