李江, 張峰, 付俊, 楊光華

（中國移動通信研究院，北京 100053）

一種基于資源感知的小流量DDoS攻擊防御方法

李江, 張峰, 付俊, 楊光華

（中國移動通信研究院，北京 100053）

分布式拒絕服務攻擊（DDoS）對網(wǎng)絡具有極大的破壞性，嚴重影響現(xiàn)網(wǎng)的正常運營。雖然現(xiàn)網(wǎng)已經(jīng)部署針對DDoS的流量清洗系統(tǒng)，然而小流量的攻擊較洪水型攻擊更難以被感知，進而不能得到有效的清洗。本文分析了網(wǎng)絡中小流量DDoS攻擊的原理和防御現(xiàn)狀，并提出一種基于資源感知的小流量DDoS攻擊防御方法。

分布式拒絕服務攻擊；小流量；資源感知

2013年8月25日凌晨時許，國家域名解析節(jié)點受到有史以來最大規(guī)模的DDoS攻擊，.cn域名解析受到影響，導致大量網(wǎng)站的訪問中斷，對網(wǎng)絡造成了很大影響。類似的DDoS攻擊幾乎每天都在網(wǎng)絡中上演，其中針對HTTP的攻擊尤為嚴重，其攻擊形式多樣，攻擊技巧在不斷提高，不僅嚴重影響用戶對互聯(lián)網(wǎng)的訪問，而且會干擾網(wǎng)絡的正常運營。

傳統(tǒng)的DDoS攻擊往往通過向目標主機發(fā)送大量的數(shù)據(jù)來達到攻擊的目的，而小流量DDoS攻擊只需通過較少的數(shù)據(jù)分組就能實現(xiàn)同樣效果。小流量的DDoS攻擊是針對洪水型大流量DDoS攻擊而言的，其特點包括攻擊通常利用上層協(xié)議；攻擊發(fā)生時網(wǎng)絡中的流量不一定會有十分明顯的增加。

本文針對小流量DDoS攻擊進行了深入分析，對現(xiàn)有DDoS清洗系統(tǒng)在感知小流量DDoS攻擊方面的不足之處展開了討論，并提出了解決方案。

1 小流量DDoS攻擊原理

利用小流量沖擊大帶寬網(wǎng)絡服務的攻擊方式目前已經(jīng)十分猖獗，這類攻擊成本不高但效果明顯。本小節(jié)以兩種小流量DDoS攻擊為例，詳細介紹其攻擊方式及原理。

HTTP Get攻擊：這種攻擊主要針對基于ASP、JSP、PHP等腳本程序編寫并使用數(shù)據(jù)庫的網(wǎng)站系統(tǒng)。其特征在于和服務器建立正常的TCP連接，然而卻不斷地向服務器提交查詢、列表等大量耗費數(shù)據(jù)庫資源的調(diào)用，是一種典型的以小博大的攻擊方法，如圖1所示。

并非所有HTTP Get攻擊都是小流量攻擊。為了通過較小流量達到攻擊效果，攻擊者通常會精心構(gòu)造一些請求，盡量多地消耗網(wǎng)站系統(tǒng)后臺數(shù)據(jù)庫的資源。一般來說，提交一個Get請求對網(wǎng)絡流量的影響幾乎是可以忽略的，然而服務器為處理此請求卻要做大量的數(shù)據(jù)庫操作，若在短時間內(nèi)該類請求過多，超出服務器承載范圍時，便達到攻擊者所期望的效果——正常用戶無法連接網(wǎng)站、連接數(shù)據(jù)庫失敗、數(shù)據(jù)庫主程序CPU占用率偏高等。

圖1 HTTP Get攻擊示意圖

Slowloris攻擊及其變種：slowloris攻擊不僅是一種小流量的攻擊，更是一種慢速攻擊，它充分利用了HTTP協(xié)議的特點。HTTP協(xié)議規(guī)定，HTTP 請求以 結(jié)尾表示客戶端發(fā)送結(jié)束，服務端開始處理。那么，如果客戶端故意不發(fā)送 ，服務端將始終保持連接，直到超時。在進行攻擊時，攻擊者首先發(fā)送一個HTTP請求頭到服務器端，隨后緩慢地每隔幾秒或幾分鐘發(fā)送一次少量數(shù)據(jù)到服務端，從而導致服務端認為HTTP頭部沒有接收完成而一直等待，進而消耗服務器的CPU、內(nèi)存資源以及連接池。

圖2為在模擬一次slowloris攻擊時，使用wireshark抓取的數(shù)據(jù)分組情況，攻擊者IP為*.*.46.163，被攻擊服務器安裝有Apache，IP為*.*.46.242。圖2中被標記的分組都為沒有 結(jié)尾標志的HTTP攻擊分組，攻擊者通過命令每隔10s（分組發(fā)送時間間隔可配置）向服務器發(fā)送一個數(shù)據(jù)分組。由于wireshark不能正確識別這些沒有結(jié)尾標志的數(shù)據(jù)分組，因此將它們解析為“TCP segment of a reassembled PDU”，本質(zhì)上它們都是一個HTTP請求的一部分。

跟蹤圖2的攻擊，可以得到圖3所示的攻擊流，它顯示了攻擊者在和服務器的一個連接中發(fā)送的所有數(shù)據(jù)。圖中方框為圖2的226號分組，方框后第一行為3661號分組，以此類推。

2 小流量DDoS防御現(xiàn)狀與問題分析

目前對DDoS防范采取的主要辦法是在被保護的網(wǎng)絡出口處部署DDoS攻擊監(jiān)測清洗系統(tǒng)，用以監(jiān)測網(wǎng)絡中的流量和應用層連接，通過設置流量與連接閾值，對超過閾值的流量和連接，進行清洗。邏輯上，DDoS攻擊監(jiān)測清洗系統(tǒng)包括異常流量監(jiān)測模塊、流量牽引與清洗模塊、管理模塊等。異常流量監(jiān)測模塊通常利用流量分析機制，根據(jù)采樣比采集網(wǎng)絡流量信息，對網(wǎng)絡流的種類、流量、流向、地址、端口等進行統(tǒng)計，當發(fā)現(xiàn)流量或連接異常時，即時告警并觸發(fā)流量牽引；流量牽引則將去往被保護網(wǎng)絡的流量指向清洗模塊，清洗模塊根據(jù)內(nèi)置的算法識別攻擊，攔截過濾攻擊流量，之后回注正常流量，從而達到流量清洗的效果；管理模塊對整個系統(tǒng)進行統(tǒng)一管理。

圖2 一次slowloris攻擊分組抓取

圖3 一條slowloris攻擊流

針對小流量DDos攻擊現(xiàn)有的DDoS攻擊檢測清洗系統(tǒng)并不能很好地識別出來。雖然現(xiàn)有的清洗系統(tǒng)有一整套對此類攻擊設置防護閾值、清洗閾值的辦法以及相應的清洗算法，但是其卻無法發(fā)揮清洗系統(tǒng)的最佳防護能力。原因具體有以下兩點。

（1） 針對HTTP Get攻擊，現(xiàn)有清洗系統(tǒng)主要提供兩種防護辦法。第一種是監(jiān)控到目的IP的 http get/post請求QPS，設置告警和清洗閾值；第二種是監(jiān)控能夠引起大量數(shù)據(jù)庫操作的URI，對其單獨設置清洗閾值。然而這兩種防護辦法的配置復雜度高，特別是URI監(jiān)控，需要大量的人工分析才能得出哪些URI會引起大量數(shù)據(jù)庫操作，過于繁瑣。

（2） 針對slowloris攻擊及其變種，雖然可以通過監(jiān)控并限制單個源IP地址每秒鐘的連接數(shù)來達到防護目的，但現(xiàn)網(wǎng)環(huán)境較為復雜，同時由于NAT技術(shù)廣泛使用，從而并不能達到很好的感知攻擊和清洗攻擊的效果。

3 解決方案

目前小流量的DDoS攻擊越來越多地被使用，而現(xiàn)有DDoS清洗設備需要經(jīng)過十分復雜的配置才能發(fā)揮較好的防御效果。在成熟的網(wǎng)絡環(huán)境里面，如何有效地感知DDoS攻擊，僅靠檢測流量鏡像、分析連接行為是不夠的，還需要集合其它因素做綜合判斷。

針對上述原因，本文提出了一種基于資源感知的小流量DDoS攻擊防御方法。方法基于小流量DDoS攻擊的事實：發(fā)生攻擊時目標網(wǎng)絡不一定能監(jiān)測到明顯的異常流量或者大量的異常連接，但是目標網(wǎng)絡中遭到攻擊的設備本身其資源使用情況會出現(xiàn)異常，如CPU、內(nèi)存使用率、服務器并發(fā)數(shù)量、數(shù)據(jù)庫查詢頻率等。如果有網(wǎng)管系統(tǒng)，則可更快更直觀的發(fā)現(xiàn)這些異常。本方案提出了一種設置資源監(jiān)測模塊的思路，以實時收集被保護網(wǎng)絡中設備的資源狀態(tài)，從而及時地發(fā)現(xiàn)攻擊行為。其工作模型如圖4所示。

圖4 基于資源感知小流量DDoS攻擊的模型

從圖4可以看出，工作模型不需要建立一套全新的監(jiān)測DDoS攻擊的系統(tǒng)，而是建立在現(xiàn)有DDoS攻擊監(jiān)測清洗系統(tǒng)的基礎之上。原有系統(tǒng)能夠通過流量或連接的閾值感知DDoS攻擊，本工作模型在此基礎上增加了利用服務器資源使用情況感知DDoS攻擊的模塊。資源監(jiān)測模塊定期利用SNMP協(xié)議或其它網(wǎng)管協(xié)議從被保護網(wǎng)絡的服務器中獲取各項資源的使用情況，包括但不限于設備的CPU使用率、內(nèi)存使用率、數(shù)據(jù)庫查詢頻率等。當資源使用情況出現(xiàn)異常，資源監(jiān)測模塊立即向DDoS攻擊檢測清洗系統(tǒng)發(fā)送告警信息，包括系統(tǒng)資源使用異常的服務器IP地址及其它相關(guān)信息。隨后，清洗系統(tǒng)即啟動清洗流程，用設置好的算法進行清洗。

這個模型具有以下優(yōu)點。

（1） 對小流量DDoS攻擊更為敏感。

（2） 僅在現(xiàn)有清洗系統(tǒng)上增加了一個模塊，且實現(xiàn)方式較為容易。

（3） 彌補了現(xiàn)有清洗系統(tǒng)在監(jiān)測小流量DDoS攻擊方面的不足，提供了流量監(jiān)測之外的一種更為有效的攻擊發(fā)現(xiàn)辦法。

4 總結(jié)

針對小流量DDoS攻擊的攻擊特點及較難被現(xiàn)有DDoS防御系統(tǒng)監(jiān)測到的現(xiàn)狀，本文首先分析了小流量DDoS攻擊的行為及手段進而總結(jié)出小流量DDoS攻擊較難監(jiān)測的原因，最后針對這些原因提出了基于資源感知小流量DDoS攻擊的防御方案，從而達到了在復雜網(wǎng)絡環(huán)境下，綜合判斷DDoS攻擊行為發(fā)生的目的。

[1] Yang-seo Choi, Ik-Kyun Kim, Jin-Tae Oh, Jong-Soo Jang. AIGG Threshold Based HTTP GET Flooding Attack Detection. WISA 2012.

[2] slowhttptest project. https://code.google.com/p/slowhttptest/

[3] 張永錚, 肖軍, 云曉春, 王風宇. DDoS攻擊檢測和控制方法[J].軟件學報, 2012, 23(8).

[4] 王景中, 張春飛. 基于異常流量的網(wǎng)絡行為分析系統(tǒng)設計[J].網(wǎng)絡安全技術(shù)與應用, 2012,(11).

[5] 張毅, 劉強. 基于流量行為的DDoS檢測系統(tǒng)[J]. 計算機工程, 2011,37(4).

[6] 肖軍, 云曉春, 張永錚. 基于會話異常度模型的應用層分布式拒絕服務攻擊過濾[J]. 計算機學報, 2010,33(9).

Defense mechanism against low-rate DDoS based on resource availability

LI Jiang, ZHANG Feng, FU Jun, YANG Guang-hua
(China Mobile Research Institute, Beijing 100053, China)

Distributed denial of service seriously damaged the network, has extremely negative effect on network operation and maintenance. Although anti-DDoS systems have been deployed at present, some relatively low-rate DDoS attacks are still diff i cult to detect and therefore, this kind of DDoS stream can not be effectively cleaned. The current situation of DDoS attack and defense mechanism has been analyzed, furthermore, a defense mechanism against low-rate DDoS based on resource availability has been proposed in this paper.

distributed denial of service; low-rate stream; resource availability

TN929.5

A

1008-5599（2013）12-0066-04

2013-10-08