李碩，張權(quán)

（國防科技大學電子科學與工程學院，湖南長沙410073）

基于蜜罐的CC攻擊防護體系*

李碩，張權(quán)

（國防科技大學電子科學與工程學院，湖南長沙410073）

近年來，互聯(lián)網(wǎng)上流行一種應(yīng)用層DDoS攻擊——CC攻擊。CC攻擊的危害很大：輕則導致頁面無法訪問，重則導致整個服務(wù)器癱瘓。目前針對CC攻擊的防護一般采用基于網(wǎng)站代碼優(yōu)化的檢測方法，然而這種方法會導致服務(wù)器在遭到CC攻擊時消耗部分主機資源。在傳統(tǒng)入侵防御系統(tǒng)基礎(chǔ)上，添加一個建立與真實系統(tǒng)相似的蜜罐主機，從而保證受保護主機在提供正常服務(wù)的同時免受CC攻擊。

CC攻擊；蜜罐；入侵防御系統(tǒng)

0 引言

進入21世紀以來，計算機網(wǎng)絡(luò)技術(shù)得到了飛速發(fā)展，Internet迅速普及到千家萬戶，網(wǎng)絡(luò)正在逐漸改變每一個人的生活方式和工作方式。與此同時，網(wǎng)絡(luò)安全問題也越來越嚴重。目前網(wǎng)絡(luò)入侵的頻率不斷增加，危害性日趨嚴重，其中以消耗網(wǎng)絡(luò)資源為目的的入侵行為尤其突出［1］。從影響網(wǎng)絡(luò)整體性能的角度分析以消耗網(wǎng)絡(luò)資源為目的的入侵行為，其中分布式拒絕服務(wù)攻擊的危害最大。分布式拒絕服務(wù)攻擊（Distributed Denial of Service，DDoS）是一種分布式協(xié)作的大規(guī)模網(wǎng)絡(luò)攻擊，能在一定時間內(nèi)使得被攻擊的網(wǎng)絡(luò)主機徹底喪失正常服務(wù)的能力。許多著名網(wǎng)站如Amazon，Yahoo和CNN等都曾因為遭受DDoS攻擊而導致網(wǎng)站癱瘓［2-3］。統(tǒng)計表明，近年來DDoS攻擊的數(shù)量仍然呈現(xiàn)快速增長趨勢，已經(jīng)成為影響網(wǎng)絡(luò)安全的一個重要威脅［4-5］。目前，簡單的、基于網(wǎng)絡(luò)層面的DDoS攻擊有向復雜的、基于應(yīng)用層資源的攻擊發(fā)展的趨勢，Challenge Collapsar（CC）攻擊就是曲型的代表。

1 研究背景

1.1 CC玫擊

CC攻擊得名于著名的黑客工具軟件CC。該攻擊軟件可以針對指定網(wǎng)站的統(tǒng)一資源定位器（Uniform Resource Locator，URL）發(fā)動基于頁面訪問請求的DDoS攻擊。與一般分布式拒絕服務(wù)攻擊的區(qū)別在于CC攻擊主要針對WEB服務(wù)器發(fā)送大量并發(fā)請求，針對性較強。目前，CC攻擊主要針對WEB應(yīng)用程序中比較消耗資源的功能，例如論壇中的搜索服務(wù)，發(fā)送高頻率請求。一般的服務(wù)器在收到幾百個并發(fā)請求時，數(shù)據(jù)庫服務(wù)可能會崩潰，導致服務(wù)器不能正常響應(yīng)。

曲型的CC攻擊的包括：直接攻擊、代理攻擊和僵尸網(wǎng)絡(luò)攻擊。直接攻擊主要針對代碼有問題或設(shè)置上存在漏洞的WEB服務(wù)。僵尸網(wǎng)絡(luò)攻擊就是曲型的DDoS攻擊，利用僵尸網(wǎng)絡(luò)向服務(wù)器發(fā)起大量并發(fā)請求，受害主機收到的請求中沒有任何攻擊者的IP地址信息，同時所有請求來自大量分散的地址，無法判定其與正常多個用戶訪問行為之間的差別，因此傳統(tǒng)的安全防護手段很難鑒別并阻斷此類攻擊。代理攻擊中CC攻擊者會操作一批（例如100個）代理服務(wù)器，例如每個代理同時發(fā)出10個請求使得WEB服務(wù)器同時收到1 000個并發(fā)請求，并且攻擊者在發(fā)出請求后立刻斷掉與代理的連接，避免代理返回的數(shù)據(jù)將本身的帶寬堵死導致不能再次發(fā)動請求，這時WEB服務(wù)器會將響應(yīng)這些請求的進程送入隊列，數(shù)據(jù)庫服務(wù)器也同樣如此，這就導致正常請求排隊的位置非常靠后，這時就會出現(xiàn)頁面打開極其緩慢或者白屏的現(xiàn)象。代理服務(wù)器的數(shù)量增大或者同時發(fā)出的請求數(shù)增加會給WEB服務(wù)器帶來更大的壓力，從而導致服務(wù)器拒絕服務(wù)。

根據(jù)上文對CC攻擊的介紹，可以歸納出CC攻擊具有以下三個特征［6］：

1）與傳統(tǒng)流量型DDoS攻擊不同，CC攻擊針對網(wǎng)站服務(wù)器的性能弱點，可能僅需很小的流量就可以達到拒絕服務(wù)的效果。

2）不同于基于TCP的半開連接或者SYN Flood攻擊，CC攻擊中，攻擊者發(fā)送的請求包含完全正常的應(yīng)用數(shù)據(jù)，攻擊行為特征不明顯甚至沒有攻擊特征，很難與正常訪問區(qū)分。

3）CC攻擊一般都會利用代理服務(wù)器或者僵尸網(wǎng)絡(luò)實施，在服務(wù)器端看來請求的源IP地址不同，很難根據(jù)IP地址區(qū)分正常訪問與CC攻擊。與此同時，利用代理服務(wù)器或者僵尸網(wǎng)絡(luò)進行攻擊，攻擊主機都完全采用真實的IP地址，因此可以欺騙網(wǎng)絡(luò)中的URPF［7］（單播逆向路徑轉(zhuǎn)發(fā)）功能，使服務(wù)器無法識別、阻斷CC攻擊流量。但是同樣由于CC攻擊一般都會利用代理服務(wù)器或者僵尸網(wǎng)絡(luò)，因此對實時情況（例如隨機驗證碼）的反應(yīng)不會特別靈敏。

1.2 蜜罐

在網(wǎng)絡(luò)攻防中，黑客在攻擊時所用的新的攻擊技術(shù)對管理員來說是陌生的，因此黑客往往能夠利用新興技術(shù)突破網(wǎng)絡(luò)的安全防護，對內(nèi)部網(wǎng)絡(luò)的信息安全構(gòu)成威脅。如何應(yīng)對未知的攻擊技術(shù)成為一個難題。蜜罐（Honeypot）技術(shù)作為一種應(yīng)對黑客攻擊的新興網(wǎng)絡(luò)安全技術(shù)，很快脫穎而出?！懊劬W(wǎng)項目組”（The Honeynet Project）的創(chuàng)始人Lance Spitzner對蜜罐進行了權(quán)威的定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷［8］。蜜罐技術(shù)是一種不同于防火墻和入侵檢測系統(tǒng)的主動防御系統(tǒng)，它建立一個虛擬的環(huán)境，故思留下各種漏洞和弱點引誘攻擊者，從而監(jiān)視和跟蹤攻擊者的行為。管理員通過蜜罐主機對攻擊活動進行監(jiān)視、檢測和分析，掌握攻擊者的攻擊目的和身份，從而提高受保護網(wǎng)絡(luò)的安全性。通過監(jiān)控攻擊者攻擊蜜罐的數(shù)據(jù)流，可以檢測到外圍防護設(shè)備沒有阻斷的攻擊數(shù)據(jù)流。比如，盡管對攻擊數(shù)據(jù)流進行了加密處理，蜜罐仍然能夠記錄與其交互過程中的攻擊數(shù)據(jù)［9］。因此，蜜罐既能把攻擊者從正常主機的目標上引開，又能及時檢測到攻擊者的入侵，還可消耗攻擊者的時間和精力，增加攻擊者的工作量［10］。

蜜罐分為低交互蜜罐和高交互蜜罐兩種。低交互蜜罐的優(yōu)點包括：很容易建立和維護；不需要大量的計算資源；運行風險比運行可以被攻擊者完全攻陷和控制的蜜罐要小得多。低交互蜜罐的主要缺點是：不能提供完整的交互，不能給攻擊者提供一個真正的超級用戶外殼程序，也就不能對新的攻擊技術(shù)做出響應(yīng)［11］。高交互蜜罐為攻擊者提供一個完整的可交互系統(tǒng)，這思味著蜜罐不模擬任何服務(wù)、功能或基礎(chǔ)操作系統(tǒng)，相反，它提供與服務(wù)器一樣真實的系統(tǒng)和服務(wù)［12］。因此，攻擊者能夠完全攻擊主機并控制它，這就使管理員能夠了解更多的有關(guān)攻擊者所使用的工具、手段和動機，更好的了解攻擊者團體。

2 CC攻擊防護體生設(shè)計方案

本文設(shè)計的綜合入侵防御系統(tǒng)結(jié)構(gòu)圖如圖1所示。該入侵防御系統(tǒng)的基本規(guī)則為：對于正常的通信流量，直接放行；對于不符合防火墻規(guī)則、被入侵檢測系統(tǒng)認定為惡思的“壞”數(shù)據(jù)，直接阻斷。對于CC攻擊經(jīng)常指向的.asp等數(shù)據(jù)，在交付web服務(wù)器的同時轉(zhuǎn)發(fā)給蜜罐系統(tǒng)。因為CC攻擊并不會對受害主機的操作系統(tǒng)造成較大的威脅，而且管理員需要掌握更多的攻擊特征，因此在蜜罐的選擇上，本文選擇高交互蜜罐。

圖1 綜合入侵防御系統(tǒng)模塊圖

由于蜜罐系統(tǒng)的運算處理能力與服務(wù)器相比存在一定差距，因此在蜜罐系統(tǒng)正常運轉(zhuǎn)的情況下，受保護的服務(wù)器不會因為CC攻擊而宕機。當有攻擊者向被保護主機發(fā)起CC攻擊時，系統(tǒng)的應(yīng)對步驟如下：

1）當攻擊者向被保護主機發(fā)起CC攻擊時，防火墻的流量統(tǒng)計模塊發(fā)現(xiàn)大量并發(fā)TCP/IP請求，在交付受保護的服務(wù)器同時轉(zhuǎn)發(fā)給蜜罐主機，蜜罐主機也執(zhí)行相應(yīng)的MYSQL數(shù)據(jù)庫服務(wù)工作。

2）當蜜罐主機工作至近乎滿負荷甚至有拒絕服務(wù)的趨勢時，發(fā)送反饋數(shù)據(jù)包給防火墻。

3）防火墻收到蜜罐主機的反饋數(shù)據(jù)包后，暫停轉(zhuǎn)發(fā)數(shù)據(jù)包。由于CC攻擊一般采用的是僵尸網(wǎng)絡(luò)或者代理服務(wù)器，根據(jù)這個特性，防火墻根據(jù)流量統(tǒng)計的數(shù)據(jù)向每個請求發(fā)起者發(fā)送隨機驗證碼并等待響應(yīng)。

4）如果某請求發(fā)起者回復正確驗證碼，繼續(xù)對此IP的數(shù)據(jù)包進行轉(zhuǎn)發(fā)；如果對方對驗證碼的響應(yīng)超時，則直接加入黑名單，禁止此IP的任何訪問請求；如果沒有正確回復驗證碼，則同樣將此IP加入黑名單，禁止此IP的任何訪問請求。

采用這種方法，理論上不但可以在保證受保護服務(wù)器正常提供服務(wù)的情況下完成對CC攻擊的防護，更可以保證在遭受CC攻擊時，非攻擊者提交的正常訪問請求依然可以得到響應(yīng)。

3 實驗驗證

本文設(shè)計的驗證實驗結(jié)構(gòu)圖如圖2所示，并設(shè)置實驗組和對照組。實驗組為本文設(shè)計的基于蜜罐的CC防護體系，其中硬件防火墻采用Cisco ASA 5505防火墻；對照組1為傳統(tǒng)防護體系，其中硬件防火墻采用Cisco ASA 5505防火墻；對照組2為現(xiàn)在流行的軟件防御系統(tǒng)，本組未采用硬件防火墻，采用針對CC攻擊設(shè)計的“X盾”軟件防火墻。

圖2 實驗?zāi)K圖

對照組1：當僅受傳統(tǒng)防御系統(tǒng)保護的WEB服務(wù)器受到CC攻擊時，不僅WEB服務(wù)器崩潰，Cisco防火墻的單項監(jiān)控界面和總體監(jiān)控界面分別如圖3和圖4所示，從圖中可以看到，防火墻的CPU已經(jīng)100%的使用，內(nèi)存占用達到95%，端口所支持的連接數(shù)也接近滿負荷，防火墻基本失去作用。

圖3 Cisco防火墻單項監(jiān)控界面

圖4 Cisco防火墻總體監(jiān)控界面

對照組2：采用“X盾”防火墻在防御CC攻擊的情況下，能達到一定的防護效果，但是依然會存在WEB服務(wù)器響應(yīng)慢甚至不能響應(yīng)的的情況。如圖5所示，對“X盾”防火墻所保護的WEB服務(wù)器進行ping操作發(fā)現(xiàn)，大量的ping包沒有收到回復，防火墻在處理大量CC攻擊包的時候已經(jīng)導致WEB服務(wù)器主機資源被大量消耗，甚至無法正常處理訪問信息。

圖5 對采用“X盾”防火墻保護的WEB服務(wù)器ping包截圖

實驗組：用攻擊主機對采用基于蜜罐的CC防護體系保護的WEB服務(wù)器發(fā)起CC攻擊，在驗證碼輸入錯誤的情況下，直接被禁止訪問，在Cisco防火墻的監(jiān)控界面基本看不出變化。如圖6所示，對所保護的WEB服務(wù)器進行ping操作發(fā)現(xiàn)得不到目標主機響應(yīng)，說明攻擊主機的ip已經(jīng)被加入黑名單，不能訪問WEB服務(wù)器。

圖6 驗證碼輸入錯誤時對WEB服務(wù)器ping包截圖

從以上實驗結(jié)果中對比能夠看出，基于蜜罐的CC防護體系不僅可以抵抗CC攻擊，而且可以減少WEB服務(wù)器的資源消耗，營造更好的用戶體驗氛圍。

4 結(jié)語

傳統(tǒng)的入侵防御系統(tǒng)可以使得被保護主機的安全性得到很大的提高，但是面對CC攻擊的防護結(jié)果卻不盡如人思。采用本文提出的方法，在傳統(tǒng)入侵防御系統(tǒng)的基礎(chǔ)上采用防火墻和蜜罐聯(lián)動協(xié)作的方法，不但可以保護主機免于受到傳統(tǒng)攻擊，而且能夠在保證受保護服務(wù)器提供良好服務(wù)的情況下完成對CC攻擊的防護。在下一步工作中可以對目標是訪問者還是攻擊者的區(qū)分方式進行改進，以達到更好的防護效果。

［1］李劍.信息安全導論［M］.北京：北京郵電學院出版社，2007：150-151.

［2］CHANG R K C.Defending against Flooding based Distributed Denial of Service Attack：a Tutorial［J］.IEEE Comm Magazine，2002，40（10）：42-51.

［3］賈月琴，張寧，宋曉虹.對網(wǎng)絡(luò)安全技術(shù)的討論［J］.微計算機信息，2005，3：108-1.

［4］孫欽東，張德運，高鵬.基于時間序列分析的分布式拒絕服務(wù)攻擊檢測［J］.計算機學報，2005，28（5）：767-773.

［5］張利軍.Distributed Reflection Denial of Service［D］.南京：南京農(nóng)業(yè)大學，2004：5.

［6］陳仲華，張連營，王孝明.CC攻擊檢測方法研究［J］.電信科學，2009（5）：62-65.

［7］華三通信技術(shù)有限公司.URPF技術(shù)白皮書［EB/OL］，2008 -08-16［2015-03-04］.http：//www.h3c.com.cn/Products__ _Technology/Products/Router/Catalog/MSR/MSR_50/White _Paper/200807/609244_30003_0.htm.

［8］John Hoopes，Aaron Bawcom，and Fred Shore.虛擬安全：沙盒、災(zāi)備、高可用性、取證分析和蜜罐［M］.北京：科學出版社，2010：12-13.

［9］Seungwon Shin，Jaeyeon Jung，and Hari Balakrishnan.Malware prevalence in the kazaa filesharing network［C］//.Internet Measurement Conference.Rio de Janeiro：Paul Barford，2006：333-338.

［10］Hecker C，Nance K L，and Hay B.Dynamic Honeypot Construction［C］//.In Proceedings of the 10th colloquium for Information Systems Security Education.Adelphi：University of Maryland，2006：95-102.

［11］Iyatiti Mokube，Michele Adams.Honeypots Concepts，Approaches，and Challenges［C］//.ACM-SE 2007.New York：ACM New York，2007：321-326.

［12］The Honeypot Project.Know Your Enemy：Honeypots［EB/OL］，2005-10-04［2015-03-04］.http：//www.honeynet. org/papers/honeynet/index.html.

《信息安全與通信保密》雜志啟用科技期刊學術(shù)不端文獻檢測系統(tǒng)

為了提高來稿質(zhì)量，杜絕學術(shù)造假，促進《信息安全與通信保密》的健康發(fā)展，從2009年1月起，本刊編輯部將正式啟用科技期刊學術(shù)不端文獻檢測系統(tǒng)，對所有來稿進行檢查。對于檢測出有不端行為的稿件，編輯部將直接退稿。在此，希望廣大作者在撰寫論文時，一定要本著實事求是的科學精神，引用他人的研究成果時務(wù)必在參考文獻中列出，并在正文中相應(yīng)位置進行標注。大家共同努力，維護學術(shù)研究的誠信，杜絕學術(shù)不端行為，促進《信息安全與通信保密》的可持續(xù)發(fā)展，為廣大作者搭建一個更好、更高、更權(quán)威的學術(shù)爭鳴和技術(shù)交流的平臺。

《信息安全與通信保密》雜志社

二OO九年一月一日

Protection System of CC Attack based on Honeypot

LI Shuo，ZHANG Quan
（College of Electronic Science&Engineering，NUDT，Changsha Hunan 410073，China）

In recent years，DDoS on the application layer，that is，CC attack，has become increasingly popular on the Internet，and this attack would result in the failure of web page response or even the paralysis of whole server.Now the detection based on the optimization of website code is usually adopted for the protection of CC attack.This method，however，may lead to resource consumption of the host server during the CC attack.By adding a highly interactive honeypot to the traditional intrusion prevention system，the server can be effectively prevented from CC attack.

CC attack，honeypot，intrusion prevention system

TP393

A

1009-8054（2015）09-0099-04

李 碩（1991—），男，碩士研究生，主要研究方向為信息網(wǎng)絡(luò)安全；

張 權(quán)（1974—），男，博士，教授，主要研究方向為信息網(wǎng)絡(luò)安全?！?/p>

2015-04-13