摘 要： 針對傳統(tǒng)DDoS防御方法只能進(jìn)行被動防御攻擊，無法根除攻擊流量這一問題，提出了IP城域網(wǎng)清洗方案。在研究了典型P2P僵尸網(wǎng)絡(luò)SuperNet的架構(gòu)、傳播和引導(dǎo)策略、抖動處理方法、交互和控制策略以及參數(shù)選擇的基礎(chǔ)上，給出了傳統(tǒng)防御方法的不足。最后針對現(xiàn)有的僵尸網(wǎng)絡(luò)，設(shè)計了IP城域網(wǎng)清洗方案，同時給出了攻擊流量識別方案、引流方案、DDoS流量清洗方案和正常流量回注技術(shù)的實現(xiàn)方法。

關(guān)鍵詞： 僵尸網(wǎng)絡(luò)； 分布式拒絕服務(wù)攻擊； 流量清洗； P2P協(xié)議

中圖分類號： TN915.09?34； TM417 文獻(xiàn)標(biāo)識碼： A 文章編號： 1004?373X（2016）11?0086?04

Abstract： Since the traditional DDoS （distributed denial of service） defense method can only perform the passive defense attack， and is unable to eradicate the attack flow， the IP MAN （metropolitan area network） cleaning solution is put forward. On the basis of the study of the SuperNet architecture of typical botnet based on P2P， propagating and guiding strategy， dither processing method， interaction and control strategy， and parameters selection， the shortcomings of the traditional defense methods are given. In terms of the available botnets， the IP MAN cleaning scheme was designed. The implementation methods of attact flow identification scheme， drainage scheme， DDoS flow cleaning scheme and normal flow reinjection technology are given.

Keywords： botnet； distributed denial of service attack； flow cleaning； P2P protocol

0 引 言

隨著Internet的飛速發(fā)展，各種網(wǎng)絡(luò)攻擊方法層出不窮，計算機(jī)網(wǎng)絡(luò)的完整性、安全性、保密性均受到了非常大的挑戰(zhàn)，其中以P2P驅(qū)動的分布式拒絕服務(wù)攻擊（DDoS）為最常見的網(wǎng)絡(luò)攻擊技術(shù)[1?3]。由于這種僵尸網(wǎng)絡(luò)沒有中心控制點(diǎn)，當(dāng)防御系統(tǒng)發(fā)現(xiàn)并清除網(wǎng)絡(luò)中的部分僵尸主機(jī)時，并不會影響僵尸網(wǎng)絡(luò)的運(yùn)行，所以這類僵尸網(wǎng)絡(luò)對網(wǎng)絡(luò)安全的威脅性更大，P2P僵尸網(wǎng)絡(luò)將成為Internet面臨的最艱巨的挑戰(zhàn)。

針對上述問題，結(jié)合傳統(tǒng)DDoS防御的不足[4?5]，提出了IP城域網(wǎng)流量清洗方案。方案通過監(jiān)控所有流量，遇到DDoS攻擊時首先通知安全管理中心，然后通知流量清洗中心，進(jìn)而對攻擊流量進(jìn)行引流、清洗、回注，從而實現(xiàn)對流量的防護(hù)和管理。

1 基于P2P的僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)是指攻擊者利用網(wǎng)絡(luò)構(gòu)建的相互通信、集中控制的計算機(jī)群。分布式拒絕服務(wù)攻擊（DDoS）屬于DoS攻擊的一種，但其是利用分布、協(xié)作的方式來對目標(biāo)進(jìn)行攻擊，攻擊者命令網(wǎng)絡(luò)上可發(fā)動攻擊的的主機(jī)，同時對目標(biāo)進(jìn)行攻擊，使上百萬的數(shù)據(jù)流入侵攻擊目標(biāo)，占領(lǐng)其系統(tǒng)資源和網(wǎng)絡(luò)帶寬，堵塞目標(biāo)主機(jī)的服務(wù)請求，使其不能提供正常工作，其原理如圖1所示。

由于P2P網(wǎng)絡(luò)自身的節(jié)點(diǎn)對等，所以在P2P僵尸網(wǎng)絡(luò)中沒有單純作為服務(wù)器的DoS控制器，而是由客戶端和服務(wù)器共同擔(dān)任僵尸程序的雙重角色。接收攻擊者命令的僵尸主機(jī)角色由客戶端扮演，同時服務(wù)器將接收到的命令傳送至其他節(jié)點(diǎn)。

2 典型的僵尸網(wǎng)絡(luò)

從攻擊者的角度，希望僵尸網(wǎng)絡(luò)具有健壯性、隱蔽性和可控性[8]，對典型的僵尸網(wǎng)絡(luò)SuperNet從架構(gòu)、網(wǎng)絡(luò)的傳播與引導(dǎo)、抖動處理、控制與交互及參數(shù)選擇方面進(jìn)行分析，說明了P2P僵尸網(wǎng)絡(luò)的難以預(yù)防性。

2.1 SuperNet的架構(gòu)

構(gòu)建僵尸網(wǎng)絡(luò)的關(guān)鍵在于充分利用已有的信息實現(xiàn)對大量僵尸主機(jī)的控制。由于僵尸主機(jī)的分布呈現(xiàn)聚簇的現(xiàn)象，而漏洞主機(jī)IP地址的分布也呈現(xiàn)相同的現(xiàn)象，故可充分利用此特點(diǎn)來構(gòu)建僵尸網(wǎng)絡(luò)。其中SuperBot超級節(jié)點(diǎn)為此SuperNet的核心；PeerBot普通節(jié)點(diǎn)經(jīng)過SuperBot接入僵尸網(wǎng)絡(luò)。在SuperBot滿足相應(yīng)的條件下，才能保證僵尸網(wǎng)絡(luò)的健壯性。因主機(jī)當(dāng)前在線時間越久，繼續(xù)在線的概率就越大，所以SuperBot應(yīng)選擇大于1 Mb/s帶寬、具有公網(wǎng)IP和在線時長的主機(jī)。以上準(zhǔn)則能夠使SuperBot節(jié)點(diǎn)的抖動減少，有益于增強(qiáng)網(wǎng)絡(luò)的健壯性。

2.2 引導(dǎo)與傳播

初建僵尸網(wǎng)絡(luò)時，攻擊者可事先創(chuàng)建多個SuperBot節(jié)點(diǎn)。當(dāng)主機(jī)A把主機(jī)B感染時，主機(jī)A會將Bootlist發(fā)送給主機(jī)B，當(dāng)主機(jī)B完成網(wǎng)絡(luò)接入后，SuperBot節(jié)點(diǎn)將部分SuperBot信息隨機(jī)由主機(jī)B發(fā)送。使用該方法能夠使各節(jié)點(diǎn)間的連接距離更小，同時可確保節(jié)點(diǎn)引導(dǎo)列表有效，從而生成同樣的聚簇結(jié)構(gòu)。

2.3 抖動處理

為了適應(yīng)主機(jī)故障或網(wǎng)絡(luò)問題產(chǎn)生的節(jié)點(diǎn)抖動，每間隔時間各互聯(lián)節(jié)點(diǎn)之間發(fā)送心跳包，用以檢驗彼此的活性。同時通過載荷數(shù)據(jù)長度為的隨機(jī)化心跳包來降低流量特征。

當(dāng)離線的SuperBot被PeerBot檢測到時，需將SuperBot重新導(dǎo)入網(wǎng)絡(luò)；而當(dāng)離線的PeerBot被SuperBot檢測到時，只需對PeerView進(jìn)行適當(dāng)調(diào)整。當(dāng)離線的SuperView的部分鄰居節(jié)點(diǎn)被SuperBot檢測到時，則應(yīng)延遲代替策略，SuperBot鄰居更新功能只能在KSV/2的鄰居失效的條件下觸發(fā)，同時失效項目用其他在線節(jié)點(diǎn)信息進(jìn)行替代。

當(dāng)網(wǎng)絡(luò)規(guī)模改變時，網(wǎng)絡(luò)的動態(tài)自調(diào)整通過SuperBot的進(jìn)化和退化過程完成。PeerNet的規(guī)模上限用來表示，PeerNet的規(guī)模下限用來表示，由SuperBot的性能決定，網(wǎng)絡(luò)對節(jié)點(diǎn)抖動的敏感度由決定。

網(wǎng)絡(luò)的動態(tài)自調(diào)整通過進(jìn)化?退化機(jī)制來實現(xiàn)，不僅保證了網(wǎng)絡(luò)的健壯性，也使僵尸網(wǎng)絡(luò)的隱蔽性得到了提高。由于SuperBot?SuperBot與SuperBot?PeerBot兩者之間的通信端口不同，故PeerBot欲加入到SuperNet中無法通過偽裝成SuperBot而實現(xiàn)，因此防御者不能通過入侵僵尸網(wǎng)絡(luò)而掌握其具體情況。

2.4 控制與交互

為了隱藏流量，攻擊者首先通過RSA算法得到一對密鑰并在僵尸程序內(nèi)將嵌入公鑰KU，同時保存與其對應(yīng)的密鑰KR。引入公鑰KU主要有兩個目的，一是將其作為加密密鑰的參數(shù)，二是用其對控制者進(jìn)行身份認(rèn)證。可根據(jù)通信雙方的IP，在主機(jī)A與主機(jī)B之間通信時依據(jù)式（1）生成會話密鑰（Ks），用其對流量加密：

攻擊者通過KR加密所有命令，僵尸程序利用KU對命令進(jìn)行解密，從而使僵尸網(wǎng)絡(luò)得到控制。然后利用命令緩存轉(zhuǎn)發(fā)機(jī)制與命令序號，確保所有節(jié)點(diǎn)能夠被命令覆蓋，具備自治性的P2P網(wǎng)絡(luò)使整個僵尸網(wǎng)絡(luò)的可控性得到提高。

僵尸程序能夠通過加載模塊進(jìn)行動態(tài)更新，為了使更新機(jī)制無法被防御者利用并保證只有攻擊者自身才能夠觸發(fā)更新過程，攻擊者對動態(tài)更新模塊的簽名認(rèn)證使用KR完成。使用該更新方案可以保證攻擊者按自身需求改變網(wǎng)絡(luò)結(jié)構(gòu)和僵尸程序，甚至是公鑰KU和認(rèn)證模塊，最大限度地提高了僵尸網(wǎng)絡(luò)的靈活性和可控性。

2.5 參數(shù)的選擇

由于僵尸網(wǎng)絡(luò)的關(guān)鍵是SuperNet，因此是否有足夠數(shù)量的滿足SuperBot條件的主機(jī)是構(gòu)建僵尸網(wǎng)絡(luò)的核心問題。由于因特網(wǎng)中約有19%的主機(jī)位于NAT之后，用表示目標(biāo)漏洞存在的主機(jī)數(shù)，滿足網(wǎng)絡(luò)帶寬條件的節(jié)點(diǎn)比率為50%，滿足IP的節(jié)點(diǎn)比率為33%，則SuperBot的主機(jī)數(shù)量為：

從式（2）可以看出，在僵尸程序充分傳播后，平均每6.7個PeerBot需由一個SuperBot來承載。為了在節(jié)點(diǎn)抖動嚴(yán)重且SuperBot分布不均的條件下保證僵尸網(wǎng)絡(luò)的健壯性，取為20，為3，則能夠滿足網(wǎng)絡(luò)完整性條件的最少SuperBot數(shù)量為理論計算值的36.6%。需注意，由于公網(wǎng)IP和位于NAT前的兩個概率并非是完全獨(dú)立的，從而導(dǎo)致理論計算值比實際值偏大，而理論計算值比實際PeerNet規(guī)模偏小。

因無法事先確定各漏洞主機(jī)的分布情況，此處假定各漏洞主機(jī)均勻分布，取僵尸網(wǎng)絡(luò)的規(guī)模為則PeerNet的規(guī)模和SuperBot的數(shù)量為：

由SuperBot的選擇原則可以看出，心跳流量所占據(jù)的帶寬不大于總帶寬的0.2%，這可使僵尸網(wǎng)絡(luò)的正常流量隱藏于背景流量中。

在參數(shù)選擇的過程中，基于P2P的僵尸網(wǎng)絡(luò)不同于普通的P2P應(yīng)用，僵尸網(wǎng)絡(luò)的特殊性是參數(shù)選擇的一個標(biāo)準(zhǔn)。其中越大，網(wǎng)絡(luò)越強(qiáng)壯且SuperNet的互聯(lián)程度越好，與此同時SuperBot將會掌握更多的網(wǎng)絡(luò)信息，當(dāng)發(fā)生信息泄漏時，也會更大限度的威脅僵尸網(wǎng)絡(luò)。備選的接入點(diǎn)數(shù)量越多，值越大，則PeerBot入網(wǎng)的成功率越高，當(dāng)攻擊者滲透到網(wǎng)絡(luò)中，所獲取信息量也越大。

綜上所述，攻擊者通過觀察網(wǎng)絡(luò)的運(yùn)行情況，可及時調(diào)整有關(guān)的參數(shù)，以此達(dá)到僵尸網(wǎng)絡(luò)的健壯性、隱蔽性和可控性三個目的。

3 IP城域網(wǎng)清洗方案

DDoS傳統(tǒng)防御策略通常采用ACL方式、黑洞路由技術(shù)和防火墻技術(shù)。但ACL方式只能針對目標(biāo)地址限速或過濾，無法對應(yīng)用層的攻擊進(jìn)行防御；黑洞路由技術(shù)無法區(qū)分正常流量和異常流量，導(dǎo)致正常流程也被丟棄；防火墻技術(shù)無法對骨干網(wǎng)絡(luò)進(jìn)行保護(hù)，從而當(dāng)其再受到DDoS攻擊時，城域網(wǎng)鏈路將被擁塞，整個城域網(wǎng)用戶將無法正常上網(wǎng)。因此，被動防御攻擊和攻擊流量難以消除是傳統(tǒng)的DDoS防御的主要問題。當(dāng)遇到DDoS攻擊爆發(fā)時，會對城域網(wǎng)造成損害，具體如下：

（1） 無法分辨異常流量和正常流量，使IDC無法正常訪問或用戶無法正常上網(wǎng)；

（2） 當(dāng)城域網(wǎng)被攻擊流量穿越時，網(wǎng)絡(luò)基礎(chǔ)設(shè)施不受保護(hù)；

（3） 攻擊流量會影響城域網(wǎng)上載有的正常業(yè)務(wù)；

（4） 很多用戶沒有自行部署Anti?DDoS設(shè)備的能力。

針對傳統(tǒng)DDoS防御的不足，提出了IP城域網(wǎng)流量清洗方案，方案采用分層次部署的防御設(shè)備，在省干網(wǎng)絡(luò)層面布置較大容量的攻擊防御設(shè)備，解決了傳統(tǒng)防御方法的不足（忽視了攻擊流量源頭防御）。

3.1 IP城域網(wǎng)清洗方案概述

3.1.1 異常流量清洗系統(tǒng)組成及工作原理

方案由管理中心、清洗中心、流量牽引系統(tǒng)和攻擊檢測系統(tǒng)四個組件組成，各組件主要功能如下：

管理中心：對流量的牽引、安全等工作進(jìn)行管理，管理平臺基于PC服務(wù)器；

清洗中心：采用Eudemon高端防火墻進(jìn)行異常流量清洗；

流量牽引系統(tǒng)：對異常流量進(jìn)行牽引；

攻擊檢測系統(tǒng)：采用SIG系統(tǒng)進(jìn)行流量分析，發(fā)現(xiàn)攻擊流量和啟動防御措施。

采用物理接口將清洗中心掛在城域網(wǎng)出口處的核心路由器旁，異常流量清洗方案的工作原理如下：

（1） 監(jiān)控分析中心監(jiān)控所有流量，監(jiān)控到DDoS攻擊時，通知到安全管理中心；

（2） 安全管理中心將攻擊發(fā)生的流量、時間等相關(guān)內(nèi)容記錄下來，然后通知控制清洗中心針對攻擊流量進(jìn)行引流；

（3） 通常情況下，流量是不需要經(jīng)過清洗中心的，只有清洗中心接到管理中心通知時，才啟動自動牽引策略；

（4） 改變異常流量的流向，流量先從城域網(wǎng)出口的骨干路由流入清洗中心，然后經(jīng)清洗中心清洗后的流量再流入到城域網(wǎng)中。

3.1.2 整體解決方案介紹

通過對骨干網(wǎng)絡(luò)的異常流量進(jìn)行識別，采用Eudemon8000對骨干網(wǎng)絡(luò)異常流量進(jìn)行清洗，從而實現(xiàn)對DDoS攻擊的防范，具體流程如下：

（1） 首先流量監(jiān)控中心采樣和鏡像骨干網(wǎng)絡(luò)中的流量并識別流量中的非法攻擊，然后將結(jié)果發(fā)送至安全管理中心；

（2） 流量經(jīng)安全管理中心分析后，將需進(jìn)行清洗的流量引流至流量清洗中心；

（3） 在整個網(wǎng)絡(luò)的入口處將流入被攻擊主機(jī)路段的流量引流至流量清洗中心，由流量清洗中心對流量進(jìn)行識別并對攻擊流量進(jìn)行隔離；

（4） 流量清洗中心完成流量的清洗工作后，需將正常的業(yè)務(wù)流量通過PLS VAP通道回注到網(wǎng)絡(luò)中以到達(dá)訪問目標(biāo)。

攻擊流量被清洗且正常應(yīng)用不收影響的關(guān)鍵是流量的回注和引入，流量引入需根據(jù)攻擊狀態(tài)動態(tài)調(diào)整，可靈活選擇動態(tài)或者手工觸發(fā)。

3.2 關(guān)鍵方案實現(xiàn)方法

3.2.1 攻擊流量識別方案

攻擊流量檢測系統(tǒng)需要從正常通信的流量中檢測出DDoS攻擊，發(fā)現(xiàn)其中去往某個IP地址的異常流量。因此攻擊檢測系統(tǒng)將發(fā)現(xiàn)的去往某個IP的異常流量暫時整體送到清洗中心，圖3為牽引流量的過程。

在SIG?E8000聯(lián)動的DDoS防御方案中，SIG設(shè)備主要完成以下功能：

（1） 目的IP和源的流量統(tǒng)計；

（2） 目的IP指紋的學(xué)習(xí)；

（3） 對攻擊判定的的靜態(tài)流量閾值進(jìn)行配置；

（4） 為每個攻擊目的IP配置默認(rèn)或指定專用的限流策略，同時可指定相同域中的某個清洗設(shè)備；

（5） 受到攻擊的目標(biāo)IP被識別后，將受到的攻擊類型和相應(yīng)的清洗方案發(fā)送到目標(biāo)IP指定的清洗設(shè)備上進(jìn)行清洗；

（6） 將DIG設(shè)備上學(xué)習(xí)到的目的IP指紋發(fā)送給FW；

（7） 可識別的攻擊種類有：分片攻擊、UDP Flood、TCP Flood、SYN Flood、ICMP Flood、DNS Flood、IN Flood、HTTP Get Flood、ACK Flood、FRST Flood異常報文。

3.2.2 攻擊流量引流方案

當(dāng)攻擊被安全控制中心識別后，會通知清洗中心的防火墻并發(fā)送清洗策略。主要清洗策略包括：攻擊特征、攻擊類型和受攻擊目標(biāo)的IP地址，也可以手動向防火墻發(fā)送針對某個具體目標(biāo)IP地址的清洗策略。

核心路由器和防火墻預(yù)先建好BGP連接，防火墻將針對目標(biāo)IP地址發(fā)送一條主記錄，通過BGP將該路由發(fā)布到核心路由器上。因為主機(jī)路由有限，后續(xù)到該IP地址的流量將被直接引入防火墻。

3.2.3 DDoS流量清洗技術(shù)

（1） 防御性能。Eudemon8000系列的防火墻以先進(jìn)的分布式NP架構(gòu)為基礎(chǔ)，接口類型豐富，接口密度大，整機(jī)最大吞吐量為16 Gb/s；每個防火墻板有速度不小于100萬包/s的攻擊報文處理，整機(jī)最大處理量為400萬包/s。

（2） 防范技術(shù)。Eudemon防火墻不僅可以對來自城域網(wǎng)絡(luò)的各種攻擊進(jìn)行有效的防范，還能夠?qū)Ω鞣N非法報文和蠕蟲病毒以及各種掃描的攻擊進(jìn)行防范。

（3） 流量日志。方案中的日志分析服務(wù)器詳盡的記錄了攻擊類型和攻擊流量的防范日志，同時還特別的記錄了基于IP地址的流量清洗日志，可以得到受攻擊的目標(biāo)IP的流量情況及流量清洗效果。

3.2.4 正常流量回注技術(shù)

在回注被防火墻清洗后的正常流量時，為了避免出現(xiàn)環(huán)路，回注的方法如下：

（1） 引流設(shè)備和回注設(shè)備非同一臺設(shè)備，發(fā)布工作通過控制引流路由器的動態(tài)路由來完成；

（2） 引流和回注設(shè)備是同一臺設(shè)備，由策略路由進(jìn)行回注；

（3） 引流和回注設(shè)備是同一臺設(shè)備，由MPLS VPN進(jìn)行回注。

4 結(jié) 論

本文通過對典型P2P僵尸網(wǎng)絡(luò)SuperNet的架構(gòu)、傳播和引導(dǎo)策略、抖動處理方法、交互和控制策略以及參數(shù)選擇的研究，給出了傳統(tǒng)防御方法的不足，進(jìn)而提出了IP城域網(wǎng)清洗方案。以管理中心、清洗中心、流量牽引系統(tǒng)和攻擊檢測系統(tǒng)組成的異常流量清洗系統(tǒng)可以實現(xiàn)攻擊流量的識別、引流、清洗和正常流量回注功能，實現(xiàn)了對城域網(wǎng)和客戶網(wǎng)絡(luò)的保護(hù)，對建設(shè)安全可用的網(wǎng)絡(luò)環(huán)境具有重要意義。

參考文獻(xiàn)

[1] CANAVAN J. The evolution of malicious IRC bots [R]. US： Symantec Security Response， 2012： 23?25.

[2] PAXSON V. An analysis of using reflectors for distributed denial?of?service attacks [J]. ACM SIGCOMM computer communication review， 2001， 31（3）： 76?89.

[3] 李金猛，王劍，唐朝京.一種基于流量分析的P2P僵尸網(wǎng)絡(luò)檢測模型[J].現(xiàn)代電子技術(shù)，2015，38（19）：106?109.

[4] 薛立軍.分布式拒絕服務(wù)攻擊檢測與防護(hù)[D].西安：西安電子科技大學(xué)，2011：48?50.

[5] RAJAB M A， MONROSE F， TERZIS A. On the impact of dynamic addressing on malware are propagation [C]// Proceedings of 4th ACM Workshop on Recurring Malcode. US： ACM， 2006： 51?56.

[6] 諸葛建偉.僵尸網(wǎng)絡(luò)研究與進(jìn)展[J].軟件學(xué)報，2013，19（1）：152?165.

[7] LEONARD D， RAI V， LOGUINOV D. On lifetime based node failure and stochastic resilience of decentralized peer to peer networks [J]. ACM SIGMETRICS performance evaluation review， 2005， 35（1）： 26?37.

[8] BINKLEY J R， SINGH S. An algorithm for anomaly?based botnet detection [C]// Proceedings of 2006 ACM Conference on Steps to Reducing Unwanted Traffic Internet. US： ACM， 2006： 43?48.