李碩，張權(quán)

（國(guó)防科技大學(xué)電子科學(xué)與工程學(xué)院，湖南長(zhǎng)沙410073）

基于蜜罐的CC攻擊防護(hù)體系*

李碩，張權(quán)

（國(guó)防科技大學(xué)電子科學(xué)與工程學(xué)院，湖南長(zhǎng)沙410073）

近年來(lái)，互聯(lián)網(wǎng)上流行一種應(yīng)用層DDoS攻擊——CC攻擊。CC攻擊的危害很大：輕則導(dǎo)致頁(yè)面無(wú)法訪(fǎng)問(wèn)，重則導(dǎo)致整個(gè)服務(wù)器癱瘓。目前針對(duì)CC攻擊的防護(hù)一般采用基于網(wǎng)站代碼優(yōu)化的檢測(cè)方法，然而這種方法會(huì)導(dǎo)致服務(wù)器在遭到CC攻擊時(shí)消耗部分主機(jī)資源。在傳統(tǒng)入侵防御系統(tǒng)基礎(chǔ)上，添加一個(gè)建立與真實(shí)系統(tǒng)相似的蜜罐主機(jī)，從而保證受保護(hù)主機(jī)在提供正常服務(wù)的同時(shí)免受CC攻擊。

CC攻擊；蜜罐；入侵防御系統(tǒng)

0 引言

進(jìn)入21世紀(jì)以來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展，Internet迅速普及到千家萬(wàn)戶(hù)，網(wǎng)絡(luò)正在逐漸改變每一個(gè)人的生活方式和工作方式。與此同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越嚴(yán)重。目前網(wǎng)絡(luò)入侵的頻率不斷增加，危害性日趨嚴(yán)重，其中以消耗網(wǎng)絡(luò)資源為目的的入侵行為尤其突出［1］。從影響網(wǎng)絡(luò)整體性能的角度分析以消耗網(wǎng)絡(luò)資源為目的的入侵行為，其中分布式拒絕服務(wù)攻擊的危害最大。分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）是一種分布式協(xié)作的大規(guī)模網(wǎng)絡(luò)攻擊，能在一定時(shí)間內(nèi)使得被攻擊的網(wǎng)絡(luò)主機(jī)徹底喪失正常服務(wù)的能力。許多著名網(wǎng)站如Amazon，Yahoo和CNN等都曾因?yàn)樵馐蹹DoS攻擊而導(dǎo)致網(wǎng)站癱瘓［2-3］。統(tǒng)計(jì)表明，近年來(lái)DDoS攻擊的數(shù)量仍然呈現(xiàn)快速增長(zhǎng)趨勢(shì)，已經(jīng)成為影響網(wǎng)絡(luò)安全的一個(gè)重要威脅［4-5］。目前，簡(jiǎn)單的、基于網(wǎng)絡(luò)層面的DDoS攻擊有向復(fù)雜的、基于應(yīng)用層資源的攻擊發(fā)展的趨勢(shì)，Challenge Collapsar（CC）攻擊就是曲型的代表。

1 研究背景

1.1 CC玫擊

CC攻擊得名于著名的黑客工具軟件CC。該攻擊軟件可以針對(duì)指定網(wǎng)站的統(tǒng)一資源定位器（Uniform Resource Locator，URL）發(fā)動(dòng)基于頁(yè)面訪(fǎng)問(wèn)請(qǐng)求的DDoS攻擊。與一般分布式拒絕服務(wù)攻擊的區(qū)別在于CC攻擊主要針對(duì)WEB服務(wù)器發(fā)送大量并發(fā)請(qǐng)求，針對(duì)性較強(qiáng)。目前，CC攻擊主要針對(duì)WEB應(yīng)用程序中比較消耗資源的功能，例如論壇中的搜索服務(wù)，發(fā)送高頻率請(qǐng)求。一般的服務(wù)器在收到幾百個(gè)并發(fā)請(qǐng)求時(shí)，數(shù)據(jù)庫(kù)服務(wù)可能會(huì)崩潰，導(dǎo)致服務(wù)器不能正常響應(yīng)。

曲型的CC攻擊的包括：直接攻擊、代理攻擊和僵尸網(wǎng)絡(luò)攻擊。直接攻擊主要針對(duì)代碼有問(wèn)題或設(shè)置上存在漏洞的WEB服務(wù)。僵尸網(wǎng)絡(luò)攻擊就是曲型的DDoS攻擊，利用僵尸網(wǎng)絡(luò)向服務(wù)器發(fā)起大量并發(fā)請(qǐng)求，受害主機(jī)收到的請(qǐng)求中沒(méi)有任何攻擊者的IP地址信息，同時(shí)所有請(qǐng)求來(lái)自大量分散的地址，無(wú)法判定其與正常多個(gè)用戶(hù)訪(fǎng)問(wèn)行為之間的差別，因此傳統(tǒng)的安全防護(hù)手段很難鑒別并阻斷此類(lèi)攻擊。代理攻擊中CC攻擊者會(huì)操作一批（例如100個(gè)）代理服務(wù)器，例如每個(gè)代理同時(shí)發(fā)出10個(gè)請(qǐng)求使得WEB服務(wù)器同時(shí)收到1 000個(gè)并發(fā)請(qǐng)求，并且攻擊者在發(fā)出請(qǐng)求后立刻斷掉與代理的連接，避免代理返回的數(shù)據(jù)將本身的帶寬堵死導(dǎo)致不能再次發(fā)動(dòng)請(qǐng)求，這時(shí)WEB服務(wù)器會(huì)將響應(yīng)這些請(qǐng)求的進(jìn)程送入隊(duì)列，數(shù)據(jù)庫(kù)服務(wù)器也同樣如此，這就導(dǎo)致正常請(qǐng)求排隊(duì)的位置非?？亢?，這時(shí)就會(huì)出現(xiàn)頁(yè)面打開(kāi)極其緩慢或者白屏的現(xiàn)象。代理服務(wù)器的數(shù)量增大或者同時(shí)發(fā)出的請(qǐng)求數(shù)增加會(huì)給WEB服務(wù)器帶來(lái)更大的壓力，從而導(dǎo)致服務(wù)器拒絕服務(wù)。

根據(jù)上文對(duì)CC攻擊的介紹，可以歸納出CC攻擊具有以下三個(gè)特征［6］：

1）與傳統(tǒng)流量型DDoS攻擊不同，CC攻擊針對(duì)網(wǎng)站服務(wù)器的性能弱點(diǎn)，可能僅需很小的流量就可以達(dá)到拒絕服務(wù)的效果。

2）不同于基于TCP的半開(kāi)連接或者SYN Flood攻擊，CC攻擊中，攻擊者發(fā)送的請(qǐng)求包含完全正常的應(yīng)用數(shù)據(jù)，攻擊行為特征不明顯甚至沒(méi)有攻擊特征，很難與正常訪(fǎng)問(wèn)區(qū)分。

3）CC攻擊一般都會(huì)利用代理服務(wù)器或者僵尸網(wǎng)絡(luò)實(shí)施，在服務(wù)器端看來(lái)請(qǐng)求的源IP地址不同，很難根據(jù)IP地址區(qū)分正常訪(fǎng)問(wèn)與CC攻擊。與此同時(shí)，利用代理服務(wù)器或者僵尸網(wǎng)絡(luò)進(jìn)行攻擊，攻擊主機(jī)都完全采用真實(shí)的IP地址，因此可以欺騙網(wǎng)絡(luò)中的URPF［7］（單播逆向路徑轉(zhuǎn)發(fā)）功能，使服務(wù)器無(wú)法識(shí)別、阻斷CC攻擊流量。但是同樣由于CC攻擊一般都會(huì)利用代理服務(wù)器或者僵尸網(wǎng)絡(luò)，因此對(duì)實(shí)時(shí)情況（例如隨機(jī)驗(yàn)證碼）的反應(yīng)不會(huì)特別靈敏。

1.2 蜜罐

在網(wǎng)絡(luò)攻防中，黑客在攻擊時(shí)所用的新的攻擊技術(shù)對(duì)管理員來(lái)說(shuō)是陌生的，因此黑客往往能夠利用新興技術(shù)突破網(wǎng)絡(luò)的安全防護(hù)，對(duì)內(nèi)部網(wǎng)絡(luò)的信息安全構(gòu)成威脅。如何應(yīng)對(duì)未知的攻擊技術(shù)成為一個(gè)難題。蜜罐（Honeypot）技術(shù)作為一種應(yīng)對(duì)黑客攻擊的新興網(wǎng)絡(luò)安全技術(shù)，很快脫穎而出。“蜜網(wǎng)項(xiàng)目組”（The Honeynet Project）的創(chuàng)始人Lance Spitzner對(duì)蜜罐進(jìn)行了權(quán)威的定義：蜜罐是一種安全資源，其價(jià)值在于被掃描、攻擊和攻陷［8］。蜜罐技術(shù)是一種不同于防火墻和入侵檢測(cè)系統(tǒng)的主動(dòng)防御系統(tǒng)，它建立一個(gè)虛擬的環(huán)境，故思留下各種漏洞和弱點(diǎn)引誘攻擊者，從而監(jiān)視和跟蹤攻擊者的行為。管理員通過(guò)蜜罐主機(jī)對(duì)攻擊活動(dòng)進(jìn)行監(jiān)視、檢測(cè)和分析，掌握攻擊者的攻擊目的和身份，從而提高受保護(hù)網(wǎng)絡(luò)的安全性。通過(guò)監(jiān)控攻擊者攻擊蜜罐的數(shù)據(jù)流，可以檢測(cè)到外圍防護(hù)設(shè)備沒(méi)有阻斷的攻擊數(shù)據(jù)流。比如，盡管對(duì)攻擊數(shù)據(jù)流進(jìn)行了加密處理，蜜罐仍然能夠記錄與其交互過(guò)程中的攻擊數(shù)據(jù)［9］。因此，蜜罐既能把攻擊者從正常主機(jī)的目標(biāo)上引開(kāi)，又能及時(shí)檢測(cè)到攻擊者的入侵，還可消耗攻擊者的時(shí)間和精力，增加攻擊者的工作量［10］。

蜜罐分為低交互蜜罐和高交互蜜罐兩種。低交互蜜罐的優(yōu)點(diǎn)包括：很容易建立和維護(hù)；不需要大量的計(jì)算資源；運(yùn)行風(fēng)險(xiǎn)比運(yùn)行可以被攻擊者完全攻陷和控制的蜜罐要小得多。低交互蜜罐的主要缺點(diǎn)是：不能提供完整的交互，不能給攻擊者提供一個(gè)真正的超級(jí)用戶(hù)外殼程序，也就不能對(duì)新的攻擊技術(shù)做出響應(yīng)［11］。高交互蜜罐為攻擊者提供一個(gè)完整的可交互系統(tǒng)，這思味著蜜罐不模擬任何服務(wù)、功能或基礎(chǔ)操作系統(tǒng)，相反，它提供與服務(wù)器一樣真實(shí)的系統(tǒng)和服務(wù)［12］。因此，攻擊者能夠完全攻擊主機(jī)并控制它，這就使管理員能夠了解更多的有關(guān)攻擊者所使用的工具、手段和動(dòng)機(jī)，更好的了解攻擊者團(tuán)體。

2 CC攻擊防護(hù)體生設(shè)計(jì)方案

本文設(shè)計(jì)的綜合入侵防御系統(tǒng)結(jié)構(gòu)圖如圖1所示。該入侵防御系統(tǒng)的基本規(guī)則為：對(duì)于正常的通信流量，直接放行；對(duì)于不符合防火墻規(guī)則、被入侵檢測(cè)系統(tǒng)認(rèn)定為惡思的“壞”數(shù)據(jù)，直接阻斷。對(duì)于CC攻擊經(jīng)常指向的.asp等數(shù)據(jù)，在交付web服務(wù)器的同時(shí)轉(zhuǎn)發(fā)給蜜罐系統(tǒng)。因?yàn)镃C攻擊并不會(huì)對(duì)受害主機(jī)的操作系統(tǒng)造成較大的威脅，而且管理員需要掌握更多的攻擊特征，因此在蜜罐的選擇上，本文選擇高交互蜜罐。

圖1 綜合入侵防御系統(tǒng)模塊圖

由于蜜罐系統(tǒng)的運(yùn)算處理能力與服務(wù)器相比存在一定差距，因此在蜜罐系統(tǒng)正常運(yùn)轉(zhuǎn)的情況下，受保護(hù)的服務(wù)器不會(huì)因?yàn)镃C攻擊而宕機(jī)。當(dāng)有攻擊者向被保護(hù)主機(jī)發(fā)起CC攻擊時(shí)，系統(tǒng)的應(yīng)對(duì)步驟如下：

1）當(dāng)攻擊者向被保護(hù)主機(jī)發(fā)起CC攻擊時(shí)，防火墻的流量統(tǒng)計(jì)模塊發(fā)現(xiàn)大量并發(fā)TCP/IP請(qǐng)求，在交付受保護(hù)的服務(wù)器同時(shí)轉(zhuǎn)發(fā)給蜜罐主機(jī)，蜜罐主機(jī)也執(zhí)行相應(yīng)的MYSQL數(shù)據(jù)庫(kù)服務(wù)工作。

2）當(dāng)蜜罐主機(jī)工作至近乎滿(mǎn)負(fù)荷甚至有拒絕服務(wù)的趨勢(shì)時(shí)，發(fā)送反饋數(shù)據(jù)包給防火墻。

3）防火墻收到蜜罐主機(jī)的反饋數(shù)據(jù)包后，暫停轉(zhuǎn)發(fā)數(shù)據(jù)包。由于CC攻擊一般采用的是僵尸網(wǎng)絡(luò)或者代理服務(wù)器，根據(jù)這個(gè)特性，防火墻根據(jù)流量統(tǒng)計(jì)的數(shù)據(jù)向每個(gè)請(qǐng)求發(fā)起者發(fā)送隨機(jī)驗(yàn)證碼并等待響應(yīng)。

4）如果某請(qǐng)求發(fā)起者回復(fù)正確驗(yàn)證碼，繼續(xù)對(duì)此IP的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)；如果對(duì)方對(duì)驗(yàn)證碼的響應(yīng)超時(shí)，則直接加入黑名單，禁止此IP的任何訪(fǎng)問(wèn)請(qǐng)求；如果沒(méi)有正確回復(fù)驗(yàn)證碼，則同樣將此IP加入黑名單，禁止此IP的任何訪(fǎng)問(wèn)請(qǐng)求。

采用這種方法，理論上不但可以在保證受保護(hù)服務(wù)器正常提供服務(wù)的情況下完成對(duì)CC攻擊的防護(hù)，更可以保證在遭受CC攻擊時(shí)，非攻擊者提交的正常訪(fǎng)問(wèn)請(qǐng)求依然可以得到響應(yīng)。

3 實(shí)驗(yàn)驗(yàn)證

本文設(shè)計(jì)的驗(yàn)證實(shí)驗(yàn)結(jié)構(gòu)圖如圖2所示，并設(shè)置實(shí)驗(yàn)組和對(duì)照組。實(shí)驗(yàn)組為本文設(shè)計(jì)的基于蜜罐的CC防護(hù)體系，其中硬件防火墻采用Cisco ASA 5505防火墻；對(duì)照組1為傳統(tǒng)防護(hù)體系，其中硬件防火墻采用Cisco ASA 5505防火墻；對(duì)照組2為現(xiàn)在流行的軟件防御系統(tǒng)，本組未采用硬件防火墻，采用針對(duì)CC攻擊設(shè)計(jì)的“X盾”軟件防火墻。

圖2 實(shí)驗(yàn)?zāi)K圖

對(duì)照組1：當(dāng)僅受傳統(tǒng)防御系統(tǒng)保護(hù)的WEB服務(wù)器受到CC攻擊時(shí)，不僅WEB服務(wù)器崩潰，Cisco防火墻的單項(xiàng)監(jiān)控界面和總體監(jiān)控界面分別如圖3和圖4所示，從圖中可以看到，防火墻的CPU已經(jīng)100%的使用，內(nèi)存占用達(dá)到95%，端口所支持的連接數(shù)也接近滿(mǎn)負(fù)荷，防火墻基本失去作用。

圖3 Cisco防火墻單項(xiàng)監(jiān)控界面

圖4 Cisco防火墻總體監(jiān)控界面

對(duì)照組2：采用“X盾”防火墻在防御CC攻擊的情況下，能達(dá)到一定的防護(hù)效果，但是依然會(huì)存在WEB服務(wù)器響應(yīng)慢甚至不能響應(yīng)的的情況。如圖5所示，對(duì)“X盾”防火墻所保護(hù)的WEB服務(wù)器進(jìn)行ping操作發(fā)現(xiàn)，大量的ping包沒(méi)有收到回復(fù)，防火墻在處理大量CC攻擊包的時(shí)候已經(jīng)導(dǎo)致WEB服務(wù)器主機(jī)資源被大量消耗，甚至無(wú)法正常處理訪(fǎng)問(wèn)信息。

圖5 對(duì)采用“X盾”防火墻保護(hù)的WEB服務(wù)器ping包截圖

實(shí)驗(yàn)組：用攻擊主機(jī)對(duì)采用基于蜜罐的CC防護(hù)體系保護(hù)的WEB服務(wù)器發(fā)起CC攻擊，在驗(yàn)證碼輸入錯(cuò)誤的情況下，直接被禁止訪(fǎng)問(wèn)，在Cisco防火墻的監(jiān)控界面基本看不出變化。如圖6所示，對(duì)所保護(hù)的WEB服務(wù)器進(jìn)行ping操作發(fā)現(xiàn)得不到目標(biāo)主機(jī)響應(yīng)，說(shuō)明攻擊主機(jī)的ip已經(jīng)被加入黑名單，不能訪(fǎng)問(wèn)WEB服務(wù)器。

圖6 驗(yàn)證碼輸入錯(cuò)誤時(shí)對(duì)WEB服務(wù)器ping包截圖

從以上實(shí)驗(yàn)結(jié)果中對(duì)比能夠看出，基于蜜罐的CC防護(hù)體系不僅可以抵抗CC攻擊，而且可以減少WEB服務(wù)器的資源消耗，營(yíng)造更好的用戶(hù)體驗(yàn)氛圍。

4 結(jié)語(yǔ)

傳統(tǒng)的入侵防御系統(tǒng)可以使得被保護(hù)主機(jī)的安全性得到很大的提高，但是面對(duì)CC攻擊的防護(hù)結(jié)果卻不盡如人思。采用本文提出的方法，在傳統(tǒng)入侵防御系統(tǒng)的基礎(chǔ)上采用防火墻和蜜罐聯(lián)動(dòng)協(xié)作的方法，不但可以保護(hù)主機(jī)免于受到傳統(tǒng)攻擊，而且能夠在保證受保護(hù)服務(wù)器提供良好服務(wù)的情況下完成對(duì)CC攻擊的防護(hù)。在下一步工作中可以對(duì)目標(biāo)是訪(fǎng)問(wèn)者還是攻擊者的區(qū)分方式進(jìn)行改進(jìn)，以達(dá)到更好的防護(hù)效果。

［1］李劍.信息安全導(dǎo)論［M］.北京：北京郵電學(xué)院出版社，2007：150-151.

［2］CHANG R K C.Defending against Flooding based Distributed Denial of Service Attack：a Tutorial［J］.IEEE Comm Magazine，2002，40（10）：42-51.

［3］賈月琴，張寧，宋曉虹.對(duì)網(wǎng)絡(luò)安全技術(shù)的討論［J］.微計(jì)算機(jī)信息，2005，3：108-1.

［4］孫欽東，張德運(yùn)，高鵬.基于時(shí)間序列分析的分布式拒絕服務(wù)攻擊檢測(cè)［J］.計(jì)算機(jī)學(xué)報(bào)，2005，28（5）：767-773.

［5］張利軍.Distributed Reflection Denial of Service［D］.南京：南京農(nóng)業(yè)大學(xué)，2004：5.

［6］陳仲華，張連營(yíng)，王孝明.CC攻擊檢測(cè)方法研究［J］.電信科學(xué)，2009（5）：62-65.

［7］華三通信技術(shù)有限公司.URPF技術(shù)白皮書(shū)［EB/OL］，2008 -08-16［2015-03-04］.http：//www.h3c.com.cn/Products__ _Technology/Products/Router/Catalog/MSR/MSR_50/White _Paper/200807/609244_30003_0.htm.

［8］John Hoopes，Aaron Bawcom，and Fred Shore.虛擬安全：沙盒、災(zāi)備、高可用性、取證分析和蜜罐［M］.北京：科學(xué)出版社，2010：12-13.

［9］Seungwon Shin，Jaeyeon Jung，and Hari Balakrishnan.Malware prevalence in the kazaa filesharing network［C］//.Internet Measurement Conference.Rio de Janeiro：Paul Barford，2006：333-338.

［10］Hecker C，Nance K L，and Hay B.Dynamic Honeypot Construction［C］//.In Proceedings of the 10th colloquium for Information Systems Security Education.Adelphi：University of Maryland，2006：95-102.

［11］Iyatiti Mokube，Michele Adams.Honeypots Concepts，Approaches，and Challenges［C］//.ACM-SE 2007.New York：ACM New York，2007：321-326.

［12］The Honeypot Project.Know Your Enemy：Honeypots［EB/OL］，2005-10-04［2015-03-04］.http：//www.honeynet. org/papers/honeynet/index.html.

《信息安全與通信保密》雜志啟用科技期刊學(xué)術(shù)不端文獻(xiàn)檢測(cè)系統(tǒng)

為了提高來(lái)稿質(zhì)量，杜絕學(xué)術(shù)造假，促進(jìn)《信息安全與通信保密》的健康發(fā)展，從2009年1月起，本刊編輯部將正式啟用科技期刊學(xué)術(shù)不端文獻(xiàn)檢測(cè)系統(tǒng)，對(duì)所有來(lái)稿進(jìn)行檢查。對(duì)于檢測(cè)出有不端行為的稿件，編輯部將直接退稿。在此，希望廣大作者在撰寫(xiě)論文時(shí)，一定要本著實(shí)事求是的科學(xué)精神，引用他人的研究成果時(shí)務(wù)必在參考文獻(xiàn)中列出，并在正文中相應(yīng)位置進(jìn)行標(biāo)注。大家共同努力，維護(hù)學(xué)術(shù)研究的誠(chéng)信，杜絕學(xué)術(shù)不端行為，促進(jìn)《信息安全與通信保密》的可持續(xù)發(fā)展，為廣大作者搭建一個(gè)更好、更高、更權(quán)威的學(xué)術(shù)爭(zhēng)鳴和技術(shù)交流的平臺(tái)。

《信息安全與通信保密》雜志社

二OO九年一月一日

Protection System of CC Attack based on Honeypot

LI Shuo，ZHANG Quan
（College of Electronic Science&Engineering，NUDT，Changsha Hunan 410073，China）

In recent years，DDoS on the application layer，that is，CC attack，has become increasingly popular on the Internet，and this attack would result in the failure of web page response or even the paralysis of whole server.Now the detection based on the optimization of website code is usually adopted for the protection of CC attack.This method，however，may lead to resource consumption of the host server during the CC attack.By adding a highly interactive honeypot to the traditional intrusion prevention system，the server can be effectively prevented from CC attack.

CC attack，honeypot，intrusion prevention system

TP393

A

1009-8054（2015）09-0099-04

李 碩（1991—），男，碩士研究生，主要研究方向?yàn)樾畔⒕W(wǎng)絡(luò)安全；

張 權(quán)（1974—），男，博士，教授，主要研究方向?yàn)樾畔⒕W(wǎng)絡(luò)安全?！?/p>

2015-04-13