◆張 可 袁 洋 程紹銀 丁彬勇

（1.國家計算機網絡應急技術處理協調中心安徽分中心 安徽 230041；2.中國聯通安徽省分公司網絡運營部 安徽 230071；3.中國科學技術大學網絡空間安全學院 安徽 230027；4.中國移動通信集團安徽有限公司網管中心 安徽 230031）

分布式拒絕服務（Distributed Denial of Sevice，DDoS）攻擊是當前公共互聯網面臨最嚴重的安全威脅之一，分布式反射拒絕服務（Distributed Reflection Denial of Sevice，DRDoS）攻擊是拒絕服務攻擊的一種變形，相較于傳統(tǒng)的基于僵尸網絡的DDoS 攻擊（如ICMP洪水攻擊、UDP洪水攻擊），DRDoS攻擊不需要在攻擊前控制大量的僵尸主機，所有攻擊數據包都是由網絡中合法的主機服務器發(fā)出的，實現和控制過程相對簡單，成本較低，且具有放大效果顯著、治理追溯困難的特點，給傳統(tǒng)的DDoS攻擊的防護帶來新的挑戰(zhàn)[1]。

單播反向路徑轉發(fā) URPF全稱是 Unicast Reverse Path Forwarding，即單播反向路徑轉發(fā)。是一種用來檢測偽造源IP地址和阻止源IP地址欺騙攻擊的技術。

訪問控制列表（Access Control List，ACL）是路由器和交換機等網絡設備接口的指令列表，能夠限制網絡流量和指定轉發(fā)特定端口數據包。

目前，對于分布式反射拒絕服務攻擊缺少有效的處置方法，本文基于基礎電信運營商網絡環(huán)境，結合業(yè)務實際，提出了基于URPF和精確ACL的DRDoS協同處置方法，用于DRDoS攻擊的防御。實驗結果和大規(guī)模應用表明，所提方法實現了事前事中事后全過程有效處置DRDoS攻擊，保護正常業(yè)務不受影響。

本文第1節(jié)對反射DDoS攻擊原理、特征和類型進行介紹和分析。第2節(jié)對反射DDoS攻擊研究現狀進行介紹和分析。第3節(jié)提出基于URPF和ACL的DRDoS協同處置方法。第4節(jié)通過仿真實驗進行驗證。第5節(jié)進行總結。

1 反射DDoS攻擊

1.1 反射DDoS攻擊原理

分布式拒絕服務（Distributed Denial of Sevice，DDoS）攻擊是指采用分布式的攻擊方式，聯合或則控制網絡上能夠發(fā)動拒絕服務攻擊的若干主機同時發(fā)動攻擊，制造數以百萬計的分組流入準備攻擊的目標，致使流向目標的服務請求極度擁塞，而造成目標無法提供正常的網絡服務[2]。

根據攻擊路徑不同，可將DDoS攻擊劃分為直接DDoS攻擊和反射DDoS攻擊。分布式反射拒絕服務（Distributed Reflection Denial of Sevice，DRDoS）攻擊是指利用路由器、服務器等設施對請求產生應答，從而反射攻擊流量并隱藏攻擊來源的一種分布式拒絕服務攻擊技術[3]。

直接DDoS攻擊主要是攻擊者、主僵尸機和從僵尸機三部分組成。與直接DDoS攻擊相比，DRDoS攻擊在從僵尸機和受害者之間增加了反射點部分，攻擊者不是通過僵尸機直接向受害者發(fā)送大量的攻擊報文，而是向網絡中提供服務的主機發(fā)送請求報文，偽造請求數據包的源 IP地址信息，利用那些提供服務的主機（任何具有回應能力的計算機）作為反射點，向受害者發(fā)送響應包[4]。

在進行反射攻擊時，攻擊者使用受控主機發(fā)送大量的數據包，這些數據包的特別處在于，其目的 IP地址指向作為反射器的服務器、路由器等設施，而源IP地址則被偽造成被攻擊目標的IP地址。反射器在收到數據包時，會認為該數據包是由被攻擊目標所發(fā)出的請求，因此會將響應數據發(fā)送給被攻擊目標。當大量的響應數據包涌向攻擊目標時，就會耗盡目標的網絡帶寬資源，造成拒絕服務攻擊[3]。如圖1所示。

圖1 DRDoS的攻擊原理

執(zhí)行反射攻擊，需要具備四個因素。

（1）一個服務器：用于執(zhí)行IP地址欺騙；

（2）一個脆弱的、易于反射/放大的協議：任何設計不完善的、基于UDP請求的協議都可能被利用；

（3）反射服務器列表：支持脆弱協議的服務器；

（4）一個目標IP地址：受害者的IP地址。

攻擊過程如圖2所示。

圖2 DRDoS的攻擊過程

發(fā)動攻擊時，主控端以欲攻擊的主機的 IP 地址為源地址，從構造的反彈IP列表中循環(huán)選擇目的地址，從而形成TCP-SYN包[5]。

1.2 常見反射攻擊類型

根據 CNCERT 抽樣監(jiān)測數據[6]，2018年以來利用反射服務器發(fā)起的三類重點反射攻擊共涉及19，708，130臺反射服務器，其中境內反射服務器 16，549，970臺，境外反射服務器 3，158，160臺。被利用發(fā)起 Memcached反射攻擊的反射服務器有232，282臺，占比1.2%，其中境內187，247臺，境外45，035臺；被利用發(fā)起NTP反射攻擊的反射服務器有3，200，200臺，占比 16.2%，其中境內2，040，066臺，境外1，160，134臺；被利用發(fā)起SSDP反射攻擊的反射服務器有16，275，648臺，占比 82.6%，其中境內 14，322，657 臺，境外 1，952，991臺。

（1）基于Memcached的反射攻擊

Memcached是一個高性能的開源分布式內存對象緩存系統(tǒng)，主要用于提高Web應用的擴展性。Memcached反射攻擊利用了Memcached服務（一種分布式緩存系統(tǒng)）存在的認證設計缺陷，攻擊者通過向在公網上暴露的memcached服務器IP地址（默認11211端口）發(fā)送偽造受害者 IP地址的特定 UDP數據包，使memcached服務器向受害者IP地址返回比請求數據包大數倍的數據，從而進行反射攻擊[5]。

（2）基于NTP的反射攻擊

NTP是Network Time Protocol（網絡時間協議）的簡稱，是互聯網中時間同步的標準之一。

NTP反射攻擊利用了 NTP（一種通過互聯網服務于計算機時鐘同步的協議）服務器存在的協議脆弱性，攻擊者通過向NTP服務器的默認123端口發(fā)送偽造受害者 IP 地址的 Monlist指令數據包，使 NTP 服務器向受害者 IP 地址反射返回比原始數據包大數倍的數據，從而進行反射攻擊[6]。

（3）基于SSDP的反射攻擊

SSDP（Simple Service Discovery Protocol），簡單服務發(fā)現協議，是應用層協議，是構成 UPnP（通用即插即用）技術的核心協議之一。利用SSDP協議進行反射攻擊的原理與利用NTP服務類似，都是偽造成被攻擊者的 IP地址向互聯網上大量的智能設備默認1900端口發(fā)起SSDP請求，接收到請求的設備根據源IP地址將響應數據包返回給受害者。

2 反射DDoS攻擊研究現狀

從上面的分析可以得知，DRDoS攻擊是一種特殊的DDoS攻擊方式，它不需要在實際攻擊前控制大量傀儡機，而是巧妙地利用暴露在公共互聯網上的大量反射服務器作為跳板來將洪水數據包反彈給目標IP地址。雖然目前對于DRDoS攻擊的研究已有不少，但是在實際應用場景中對此類攻擊的檢測與防御效果不夠理想，因此針對DRDoS攻擊的防護處置研究成為一個重要的課題[7]。

近年來，研究者們已經提出了很多的防御措施[7-13]。2014年，德國波鴻大學的一篇研究報告對14種UDP協議進行了實驗性研究[8]，認為這些協議存在實施反射攻擊的可能，并對攻擊的危害程度進行了對比分析。李剛等[9]討論了被利用進行 DRDoS的協議漏洞，并就這些協議的攻擊防范在主機服務設置方面提供了參考意見。劉克勝等[10]提出對DDoS攻擊的防護分為三種情況：對DDoS攻擊的檢測、對DDoS攻擊的追蹤處理、對主機和服務器加強監(jiān)控和安全策略。何雪妮[11]提出一種改進的 DRDoS檢測算法，該算法能夠針對性地檢測到利用特定網絡服務產生的DRDoS攻擊流量，但這種方法通過網絡中請求包與回應包的比例異常來發(fā)現攻擊，檢測行為發(fā)生在攻擊流量被反射后，防御反應比較滯后。WangHaining等[12]提出了一個輕量級的可以粗略進行DDOS防御的防御模型——HCF（hop count filter）。這種方法基于請求包的異常行為進行檢測，在訓練完全的情況下能夠以較低的系統(tǒng)開銷過濾掉大部分的DRDoS攻擊，但是無法有效消除在與受害主機相似的網絡拓撲位置上發(fā)起的攻擊。翟瑞等[13]結合IPv6網絡特點實現動態(tài)過濾，引入域內攻擊測試服務器對數據包源地址進行驗證，實現有效識別偽造源地址的數據包。張明清等[7]基于協同防御思想，提出一種DRDoS協同防御模型——HCFAST（hop count filtering-attack source tracing）。該模型把DRDoS檢測和過濾設備部署在網關，通過協同式自學習過程，實現設備間DRDoS防御知識的共享，并引入入侵追蹤技術，彌補防火墻單獨防御的不足。

目前大多數研究者多是從檢測或者防御單一角度去研究DRDoS攻擊處置，從現有的技術角度說，對于DRDoS攻擊還缺少有效的綜合處置方法。本文提出基于URPF和ACL的DRDoS協同處置方法，該方法充分考慮到基礎電信運營商的業(yè)務運行特點，在不影響到正常業(yè)務開展的基礎上，達到對DRDoS攻擊的有效治理。

3 基于URPF和ACL的DRDoS協同處置方法

根據工作實踐，綜上分析可以發(fā)現，對于DRDoS攻擊的治理主要集中在以下三個要素：

（1）對僵尸網絡進行治理，能夠從源頭抑制正在進行的DRDoS攻擊；

（2）對源IP地址偽造攻擊進行治理，能夠控制和阻止未來可能發(fā)生的一部分DRDoS攻擊，并有利于找到攻擊源IP地址；

（3）對攻擊反射點進行治理，能夠控制和縮小DRDoS攻擊的規(guī)模。

因對僵尸網絡的治理主要是由各運營企業(yè)對多次參與DRDoS攻擊的控制端和肉雞用戶進行及時通報并督促整改，本文研究的主要內容是源IP地址偽造攻擊治理和攻擊反射點治理，我們提出基于URPF和精確ACL的DRDoS協同處置方法，從源IP地址偽造攻擊治理和攻擊反射點治理著手，在事前事中事后全過程有效處置DRDoS攻擊。

3.1 URPF對源IP地址偽造攻擊進行治理

URPF（Unicast Reverse Path Forwarding）即單播反向路徑轉發(fā)，是一種用來檢測偽造IP源地址和阻止IP源地址欺騙攻擊的技術。該技術比較成熟，在路由器上比較容易實現，實用價值很高。URPF的主要功能是防止基于源地址欺騙的網絡攻擊行為。URPF檢查有嚴格（strict）型和松散（loose）型兩種。此外，還可以支持ACL與缺省路由的檢查[14]。

在互聯網網絡設備上開啟松散URPF功能，會對訪問數據包檢查 IP源地址和源端口是否在路由表中。如果存在，則認為該數據包是通過最優(yōu)路徑到達該路由器，應該正常轉發(fā)，否則丟棄。如果在路由器上開啟嚴格URPF功能，在路由表中找到訪問數據包的IP源地址，進一步獲取數據包的IP源地址和輸入接口，通過 IP源地址查找到下一跳路由后，將得到的輸出接口和輸入接口進行比對。如果成功，則認為該數據包合法；否則丟棄該數據包。URPF通過檢查IP源地址和源端口來決定是否轉發(fā)數據包，從源頭上有效阻止偽造IP地址流量的發(fā)生。

具體分為5個步驟：

（1）檢查數據包的IP源地址的合法性。如果IP源地址是廣播地址或者目的地址不是廣播的全零IP地址，則直接丟棄。

（2）檢查路由器的FIB表中能否找到數據包的IP源地址。若找到，則跳轉到步驟3；否則，跳轉到步驟5。

（3）如果在路由器的FIB表中匹配的是默認路由，檢查配置的URPF策略是否允許。如果允許，跳轉到步驟4；否則，跳轉到步驟5。

（4）檢查數據包的輸入接口和輸出接口是否一致。如果一致，則通過檢查；如果不一致，檢查是否是松散模式URPF。如果是松散模式URPF，則通過檢查；如果不是松散模式URPF（即是嚴格模式URPF），則不通過檢查。

（5）檢查用戶是否配置了ACL規(guī)則，如果配置了ACL規(guī)則，檢查數據包是否符合ACL規(guī)則，如果符合，則通過檢查；否則丟棄。

在實際基礎電信運營商DDoS防護應用場景中，經常有一種組網結構，即用戶端單獨構建接入路由器，通過多條鏈路接入骨干路由器。針對此類用戶的接入端口，如果部署嚴格型URPF策略，會攔截許多出接口與入接口不同的正常報文，造成用戶正常通信故障，大部分網絡核心路由器廠商均建議開啟松散模式URPF。如果部署松散型URPF，會導致部分偽造IP地址流量沒有被阻止，攻擊者利用這些偽造IP地址會增加DRDoS攻擊的深度和廣度，給DRDoS攻擊的防御和治理帶來更大的困難。

3.2 精確ACL處置DRDoS攻擊

ACL（Access Control List），即訪問控制列表。這種策略是路由器、交換機等網絡設備提供的一種訪問控制技術，用來控制端口進出的數據包。系統(tǒng)管理員通過增加/刪除ACL策略，將特定端口轉發(fā)的數據包直接過濾/通過，如允許局域網內的設備只能使用FTP服務訪問外部網絡，ACL適用于所有的路由協議。

除此之外，通過配置ACL可以限制信息點和內外網絡之間的網絡流量，只允許特定設備或者特定大小流量的訪問，進而保證通信網尤其是內網的安全性。ACL既可以在路由器、交換機等硬件設備上配置，也可以在具有該項功能的業(yè)務軟件上進行配置。

DRDoS攻擊利用的都是一些常見的協議和服務（Memcached、NTP、SSDP等），被攻擊者很難將惡意連接請求和正常連接請求區(qū)分開，無法有效分離出攻擊數據包[15]。用戶在收到DRDoS攻擊后，也難以及時有效處理。

在實際應用中，在現網部署精確ACL策略，針對不同DRDoS攻擊場景，采用限速和精確處置的方法，在防御、檢測和響應等方面采取防范措施，以最大限度地減少DDOS攻擊帶來的危害。

通過對DRDoS的攻擊行為進行分析，發(fā)現攻擊過程中的源地址是不固定的，源端口是固定的；目的地址和目的端口是固定的。為精確處置DDoS反射攻擊源，可以通過部署精確ACL策略來解決。具體做法如下：

源IP地址+源端口號+目的地址+目的端口號，以SSDP反射攻擊（11211端口）為例，華為交換機配置如下（目的IP地址：1.1.1.1，源IP地址：2.2.2.2，源端口：11211，目的端口：443）：

Rule deny udp source 2.2.2.2 0 source-port eq 11211 destination 1.1.1.1 0 destination-port eq 443

//本地源IP地址（IP：2.2.2.2）的11211端口訪問目的地址（IP：1.1.1.1）的443端口流量都會被拒絕掉

4 實驗

為了驗證所提出的基于URPF技術和精確ACL的DRDoS協同處置方法的有效性，搭建如圖3所示的拓撲結構進行仿真實驗。因為URPF處置實驗國內外相關很多人員已經做過，本文不贅述，僅對限速和精確處置兩個場景進行研究。

4.1 實驗拓撲

利用華為ENSP搭建驗證環(huán)境，若干PC代替攻擊端，網內主機（IP地址：58.247.215.101）作為被攻擊端，通過攻擊端UDP發(fā)包工具模擬攻擊端（IP地址：58.243.254.130）對被攻擊端發(fā)送大量UDP 11211報文。實驗拓撲及UDP發(fā)包工具配置如下：

從監(jiān)測到的報文可以看出，本地源IP地址58.243.254.130服務端口35931 到目的IP地址58.247.215.101服務端口11211存在活動連接。

4.2 實驗場景1（限速）

對網內使用UDP 11211服務端口的用戶，進行流量采樣，計算出來自網外UDP 11211的報文流量（本例計算正常UDP 11211報文流量約為20Mbit/s），在入局方向上進行流量限速，策略為單鏈路流量超過20Mbit/s時，則丟棄超標流量。配置如下：

acl 3000

rule 5 permit udp destination 58.247.215.101 0 destination-port eq 11211

traffic classifier speed_ddos_udp11211 operator or if-match acl 3000

traffic behavior speed_ddos_udp11211

car cir 20000 green pass yellow discard red discard

traffic policy speed_ddos_udp11211

classifier speed_ddos_udp11211 behavior speed_ddos_udp11211

traffic-policy speed_ddos_udp11211 inbound //出局接口in方向應用策略。

圖3 實驗拓撲結構圖

圖4 模擬發(fā)包

（1）未部署限速前，抓包結果如圖5。

圖5 未限速場景1

可以看到接口流量統(tǒng)計結果全部為 pass，未丟棄過載報文。

（2）部署限速后，抓包結果如圖6。

圖6 限速場景1

可以看到接口流量統(tǒng)計結果：過載流量（超過20Mbit/s）報文被丟棄。限速處置方法，在保障正常使用UDP 11211服務的客戶同時，當面對異常UDP 11211流量攻擊時，限速丟棄了過載流量，避免了下一級鏈路擁塞，保護了其他正常網絡流量。

4.3 實驗場景2（處置）

針對未使用UDP 11211服務端口的用戶，在入局方向上，直接對本地源IP地址58.243.254.130服務端口35931到目的IP地址58.247.215.101 服務端口11211的報文流量進行處置（丟棄），配置如下：

acl number 3001

rule 5 deny udp source 58.243.254.130 0 source-port eq 35931 destination 58.247.215.101 0 destination-port eq 11211

//限制源地址58.243.254.130/32（端口35931）訪問目的地址58.247.215.101/32 （端口11211）

rule 399 permit ip

traffic classifier ipfilter operator or

if-match acl 3001

#

traffic behavior ipfilter

traffic policy ipfilter

classifier ipfilter behavior ipfilter

traffic-policy ipfilter outbound //出局接口上應用 trafficpolicy

（1）未做加固，抓包結果如圖7。

圖7 未處置場景2

可以看到本地源IP地址58.243.254.130服務端口35931 到目的IP地址58.247.215.101 服務端口11211的活動連接可以正常建立。

（2）加固后，抓包結果如圖8。

圖8 處置場景2

可以看到本地源IP地址58.243.254.130服務端口35931到目的 IP地址 58.247.215.101 服務端口 11211的活動連接（MEMACHE）已經不能正常建立。出局報文在接口上被過濾丟棄。以上基于精準ACL防范Memcached攻擊的方法，同樣適用于防范現網基于UDP的1900端口SSDP攻擊和123端口NTP攻擊。

通過大規(guī)模實際應用發(fā)現，基于 URPF和精確 ACL的DRDoS協同處置方法使用效果顯著。

5 結束語

本文針對DRDoS攻擊原理、攻擊類型和攻擊研究現狀進行分析，提出了基于URPF和精確ACL的DRDoS協同處置方法。該方法立足于實際基礎電信運營商的應用場景，利用路由器現有的常用策略，在不影響基礎電信運營商正常業(yè)務的基礎上，創(chuàng)新性地將URPF技術和ACL這兩種技術結合，從事前事中事后全過程處置DRDoS攻擊，具有一定的現實指導意義。

由于我國基礎電信運營商組網結構有差異，目前該方法主要應用于安徽聯通的基礎網絡中，應用場景較少。此外，松散模式URPF及 ACL規(guī)則需要在核心路由器上進行數據配置，全網的DRDoS攻擊流量也需要人工分析，人工成本較高，影響了互聯網管理從低水平粗放管理模式向高水平精準管理模式轉型。

在后續(xù)的工作中我們將會在以下幾個方面做進一步的探索：

（1）深入分析基礎電信運營商的網絡特點，將該方法應用到更多場景中；

（2）利用人工智能算法自動更新維護更新URPF和ACL策略，自動化監(jiān)測、分析和判定DRDoS攻擊流量的來源并實時處置，增強該方法的準確度和實用性；

（3）對電信運營商基礎網絡上存在的服務進行優(yōu)化，互聯網上的主機只運行必要的服務，減少受攻擊的風險；

（4）促進網絡安全主管單位、基礎電信運營商和網絡設備廠家的協助與合作，建立快速合作處置機制，有效阻止和快速處置DRDoS攻擊。