◆張 可 袁 洋 程紹銀 丁彬勇

（1.國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心安徽分中心 安徽 230041；2.中國(guó)聯(lián)通安徽省分公司網(wǎng)絡(luò)運(yùn)營(yíng)部 安徽 230071；3.中國(guó)科學(xué)技術(shù)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 安徽 230027；4.中國(guó)移動(dòng)通信集團(tuán)安徽有限公司網(wǎng)管中心 安徽 230031）

分布式拒絕服務(wù)（Distributed Denial of Sevice，DDoS）攻擊是當(dāng)前公共互聯(lián)網(wǎng)面臨最嚴(yán)重的安全威脅之一，分布式反射拒絕服務(wù)（Distributed Reflection Denial of Sevice，DRDoS）攻擊是拒絕服務(wù)攻擊的一種變形，相較于傳統(tǒng)的基于僵尸網(wǎng)絡(luò)的DDoS 攻擊（如ICMP洪水攻擊、UDP洪水攻擊），DRDoS攻擊不需要在攻擊前控制大量的僵尸主機(jī)，所有攻擊數(shù)據(jù)包都是由網(wǎng)絡(luò)中合法的主機(jī)服務(wù)器發(fā)出的，實(shí)現(xiàn)和控制過(guò)程相對(duì)簡(jiǎn)單，成本較低，且具有放大效果顯著、治理追溯困難的特點(diǎn)，給傳統(tǒng)的DDoS攻擊的防護(hù)帶來(lái)新的挑戰(zhàn)[1]。

單播反向路徑轉(zhuǎn)發(fā) URPF全稱是 Unicast Reverse Path Forwarding，即單播反向路徑轉(zhuǎn)發(fā)。是一種用來(lái)檢測(cè)偽造源IP地址和阻止源IP地址欺騙攻擊的技術(shù)。

訪問(wèn)控制列表（Access Control List，ACL）是路由器和交換機(jī)等網(wǎng)絡(luò)設(shè)備接口的指令列表，能夠限制網(wǎng)絡(luò)流量和指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包。

目前，對(duì)于分布式反射拒絕服務(wù)攻擊缺少有效的處置方法，本文基于基礎(chǔ)電信運(yùn)營(yíng)商網(wǎng)絡(luò)環(huán)境，結(jié)合業(yè)務(wù)實(shí)際，提出了基于URPF和精確ACL的DRDoS協(xié)同處置方法，用于DRDoS攻擊的防御。實(shí)驗(yàn)結(jié)果和大規(guī)模應(yīng)用表明，所提方法實(shí)現(xiàn)了事前事中事后全過(guò)程有效處置DRDoS攻擊，保護(hù)正常業(yè)務(wù)不受影響。

本文第1節(jié)對(duì)反射DDoS攻擊原理、特征和類型進(jìn)行介紹和分析。第2節(jié)對(duì)反射DDoS攻擊研究現(xiàn)狀進(jìn)行介紹和分析。第3節(jié)提出基于URPF和ACL的DRDoS協(xié)同處置方法。第4節(jié)通過(guò)仿真實(shí)驗(yàn)進(jìn)行驗(yàn)證。第5節(jié)進(jìn)行總結(jié)。

1 反射DDoS攻擊

1.1 反射DDoS攻擊原理

分布式拒絕服務(wù)（Distributed Denial of Sevice，DDoS）攻擊是指采用分布式的攻擊方式，聯(lián)合或則控制網(wǎng)絡(luò)上能夠發(fā)動(dòng)拒絕服務(wù)攻擊的若干主機(jī)同時(shí)發(fā)動(dòng)攻擊，制造數(shù)以百萬(wàn)計(jì)的分組流入準(zhǔn)備攻擊的目標(biāo)，致使流向目標(biāo)的服務(wù)請(qǐng)求極度擁塞，而造成目標(biāo)無(wú)法提供正常的網(wǎng)絡(luò)服務(wù)[2]。

根據(jù)攻擊路徑不同，可將DDoS攻擊劃分為直接DDoS攻擊和反射DDoS攻擊。分布式反射拒絕服務(wù)（Distributed Reflection Denial of Sevice，DRDoS）攻擊是指利用路由器、服務(wù)器等設(shè)施對(duì)請(qǐng)求產(chǎn)生應(yīng)答，從而反射攻擊流量并隱藏攻擊來(lái)源的一種分布式拒絕服務(wù)攻擊技術(shù)[3]。

直接DDoS攻擊主要是攻擊者、主僵尸機(jī)和從僵尸機(jī)三部分組成。與直接DDoS攻擊相比，DRDoS攻擊在從僵尸機(jī)和受害者之間增加了反射點(diǎn)部分，攻擊者不是通過(guò)僵尸機(jī)直接向受害者發(fā)送大量的攻擊報(bào)文，而是向網(wǎng)絡(luò)中提供服務(wù)的主機(jī)發(fā)送請(qǐng)求報(bào)文，偽造請(qǐng)求數(shù)據(jù)包的源 IP地址信息，利用那些提供服務(wù)的主機(jī)（任何具有回應(yīng)能力的計(jì)算機(jī)）作為反射點(diǎn)，向受害者發(fā)送響應(yīng)包[4]。

在進(jìn)行反射攻擊時(shí)，攻擊者使用受控主機(jī)發(fā)送大量的數(shù)據(jù)包，這些數(shù)據(jù)包的特別處在于，其目的 IP地址指向作為反射器的服務(wù)器、路由器等設(shè)施，而源IP地址則被偽造成被攻擊目標(biāo)的IP地址。反射器在收到數(shù)據(jù)包時(shí)，會(huì)認(rèn)為該數(shù)據(jù)包是由被攻擊目標(biāo)所發(fā)出的請(qǐng)求，因此會(huì)將響應(yīng)數(shù)據(jù)發(fā)送給被攻擊目標(biāo)。當(dāng)大量的響應(yīng)數(shù)據(jù)包涌向攻擊目標(biāo)時(shí)，就會(huì)耗盡目標(biāo)的網(wǎng)絡(luò)帶寬資源，造成拒絕服務(wù)攻擊[3]。如圖1所示。

圖1 DRDoS的攻擊原理

執(zhí)行反射攻擊，需要具備四個(gè)因素。

（1）一個(gè)服務(wù)器：用于執(zhí)行IP地址欺騙；

（2）一個(gè)脆弱的、易于反射/放大的協(xié)議：任何設(shè)計(jì)不完善的、基于UDP請(qǐng)求的協(xié)議都可能被利用；

（3）反射服務(wù)器列表：支持脆弱協(xié)議的服務(wù)器；

（4）一個(gè)目標(biāo)IP地址：受害者的IP地址。

攻擊過(guò)程如圖2所示。

圖2 DRDoS的攻擊過(guò)程

發(fā)動(dòng)攻擊時(shí)，主控端以欲攻擊的主機(jī)的 IP 地址為源地址，從構(gòu)造的反彈IP列表中循環(huán)選擇目的地址，從而形成TCP-SYN包[5]。

1.2 常見(jiàn)反射攻擊類型

根據(jù) CNCERT 抽樣監(jiān)測(cè)數(shù)據(jù)[6]，2018年以來(lái)利用反射服務(wù)器發(fā)起的三類重點(diǎn)反射攻擊共涉及19，708，130臺(tái)反射服務(wù)器，其中境內(nèi)反射服務(wù)器 16，549，970臺(tái)，境外反射服務(wù)器 3，158，160臺(tái)。被利用發(fā)起 Memcached反射攻擊的反射服務(wù)器有232，282臺(tái)，占比1.2%，其中境內(nèi)187，247臺(tái)，境外45，035臺(tái)；被利用發(fā)起NTP反射攻擊的反射服務(wù)器有3，200，200臺(tái)，占比 16.2%，其中境內(nèi)2，040，066臺(tái)，境外1，160，134臺(tái)；被利用發(fā)起SSDP反射攻擊的反射服務(wù)器有16，275，648臺(tái)，占比 82.6%，其中境內(nèi) 14，322，657 臺(tái)，境外 1，952，991臺(tái)。

（1）基于Memcached的反射攻擊

Memcached是一個(gè)高性能的開(kāi)源分布式內(nèi)存對(duì)象緩存系統(tǒng)，主要用于提高Web應(yīng)用的擴(kuò)展性。Memcached反射攻擊利用了Memcached服務(wù)（一種分布式緩存系統(tǒng)）存在的認(rèn)證設(shè)計(jì)缺陷，攻擊者通過(guò)向在公網(wǎng)上暴露的memcached服務(wù)器IP地址（默認(rèn)11211端口）發(fā)送偽造受害者 IP地址的特定 UDP數(shù)據(jù)包，使memcached服務(wù)器向受害者IP地址返回比請(qǐng)求數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進(jìn)行反射攻擊[5]。

（2）基于NTP的反射攻擊

NTP是Network Time Protocol（網(wǎng)絡(luò)時(shí)間協(xié)議）的簡(jiǎn)稱，是互聯(lián)網(wǎng)中時(shí)間同步的標(biāo)準(zhǔn)之一。

NTP反射攻擊利用了 NTP（一種通過(guò)互聯(lián)網(wǎng)服務(wù)于計(jì)算機(jī)時(shí)鐘同步的協(xié)議）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過(guò)向NTP服務(wù)器的默認(rèn)123端口發(fā)送偽造受害者 IP 地址的 Monlist指令數(shù)據(jù)包，使 NTP 服務(wù)器向受害者 IP 地址反射返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進(jìn)行反射攻擊[6]。

（3）基于SSDP的反射攻擊

SSDP（Simple Service Discovery Protocol），簡(jiǎn)單服務(wù)發(fā)現(xiàn)協(xié)議，是應(yīng)用層協(xié)議，是構(gòu)成 UPnP（通用即插即用）技術(shù)的核心協(xié)議之一。利用SSDP協(xié)議進(jìn)行反射攻擊的原理與利用NTP服務(wù)類似，都是偽造成被攻擊者的 IP地址向互聯(lián)網(wǎng)上大量的智能設(shè)備默認(rèn)1900端口發(fā)起SSDP請(qǐng)求，接收到請(qǐng)求的設(shè)備根據(jù)源IP地址將響應(yīng)數(shù)據(jù)包返回給受害者。

2 反射DDoS攻擊研究現(xiàn)狀

從上面的分析可以得知，DRDoS攻擊是一種特殊的DDoS攻擊方式，它不需要在實(shí)際攻擊前控制大量傀儡機(jī)，而是巧妙地利用暴露在公共互聯(lián)網(wǎng)上的大量反射服務(wù)器作為跳板來(lái)將洪水?dāng)?shù)據(jù)包反彈給目標(biāo)IP地址。雖然目前對(duì)于DRDoS攻擊的研究已有不少，但是在實(shí)際應(yīng)用場(chǎng)景中對(duì)此類攻擊的檢測(cè)與防御效果不夠理想，因此針對(duì)DRDoS攻擊的防護(hù)處置研究成為一個(gè)重要的課題[7]。

近年來(lái)，研究者們已經(jīng)提出了很多的防御措施[7-13]。2014年，德國(guó)波鴻大學(xué)的一篇研究報(bào)告對(duì)14種UDP協(xié)議進(jìn)行了實(shí)驗(yàn)性研究[8]，認(rèn)為這些協(xié)議存在實(shí)施反射攻擊的可能，并對(duì)攻擊的危害程度進(jìn)行了對(duì)比分析。李剛等[9]討論了被利用進(jìn)行 DRDoS的協(xié)議漏洞，并就這些協(xié)議的攻擊防范在主機(jī)服務(wù)設(shè)置方面提供了參考意見(jiàn)。劉克勝等[10]提出對(duì)DDoS攻擊的防護(hù)分為三種情況：對(duì)DDoS攻擊的檢測(cè)、對(duì)DDoS攻擊的追蹤處理、對(duì)主機(jī)和服務(wù)器加強(qiáng)監(jiān)控和安全策略。何雪妮[11]提出一種改進(jìn)的 DRDoS檢測(cè)算法，該算法能夠針對(duì)性地檢測(cè)到利用特定網(wǎng)絡(luò)服務(wù)產(chǎn)生的DRDoS攻擊流量，但這種方法通過(guò)網(wǎng)絡(luò)中請(qǐng)求包與回應(yīng)包的比例異常來(lái)發(fā)現(xiàn)攻擊，檢測(cè)行為發(fā)生在攻擊流量被反射后，防御反應(yīng)比較滯后。WangHaining等[12]提出了一個(gè)輕量級(jí)的可以粗略進(jìn)行DDOS防御的防御模型——HCF（hop count filter）。這種方法基于請(qǐng)求包的異常行為進(jìn)行檢測(cè)，在訓(xùn)練完全的情況下能夠以較低的系統(tǒng)開(kāi)銷過(guò)濾掉大部分的DRDoS攻擊，但是無(wú)法有效消除在與受害主機(jī)相似的網(wǎng)絡(luò)拓?fù)湮恢蒙习l(fā)起的攻擊。翟瑞等[13]結(jié)合IPv6網(wǎng)絡(luò)特點(diǎn)實(shí)現(xiàn)動(dòng)態(tài)過(guò)濾，引入域內(nèi)攻擊測(cè)試服務(wù)器對(duì)數(shù)據(jù)包源地址進(jìn)行驗(yàn)證，實(shí)現(xiàn)有效識(shí)別偽造源地址的數(shù)據(jù)包。張明清等[7]基于協(xié)同防御思想，提出一種DRDoS協(xié)同防御模型——HCFAST（hop count filtering-attack source tracing）。該模型把DRDoS檢測(cè)和過(guò)濾設(shè)備部署在網(wǎng)關(guān)，通過(guò)協(xié)同式自學(xué)習(xí)過(guò)程，實(shí)現(xiàn)設(shè)備間DRDoS防御知識(shí)的共享，并引入入侵追蹤技術(shù)，彌補(bǔ)防火墻單獨(dú)防御的不足。

目前大多數(shù)研究者多是從檢測(cè)或者防御單一角度去研究DRDoS攻擊處置，從現(xiàn)有的技術(shù)角度說(shuō)，對(duì)于DRDoS攻擊還缺少有效的綜合處置方法。本文提出基于URPF和ACL的DRDoS協(xié)同處置方法，該方法充分考慮到基礎(chǔ)電信運(yùn)營(yíng)商的業(yè)務(wù)運(yùn)行特點(diǎn)，在不影響到正常業(yè)務(wù)開(kāi)展的基礎(chǔ)上，達(dá)到對(duì)DRDoS攻擊的有效治理。

3 基于URPF和ACL的DRDoS協(xié)同處置方法

根據(jù)工作實(shí)踐，綜上分析可以發(fā)現(xiàn)，對(duì)于DRDoS攻擊的治理主要集中在以下三個(gè)要素：

（1）對(duì)僵尸網(wǎng)絡(luò)進(jìn)行治理，能夠從源頭抑制正在進(jìn)行的DRDoS攻擊；

（2）對(duì)源IP地址偽造攻擊進(jìn)行治理，能夠控制和阻止未來(lái)可能發(fā)生的一部分DRDoS攻擊，并有利于找到攻擊源IP地址；

（3）對(duì)攻擊反射點(diǎn)進(jìn)行治理，能夠控制和縮小DRDoS攻擊的規(guī)模。

因?qū)┦W(wǎng)絡(luò)的治理主要是由各運(yùn)營(yíng)企業(yè)對(duì)多次參與DRDoS攻擊的控制端和肉雞用戶進(jìn)行及時(shí)通報(bào)并督促整改，本文研究的主要內(nèi)容是源IP地址偽造攻擊治理和攻擊反射點(diǎn)治理，我們提出基于URPF和精確ACL的DRDoS協(xié)同處置方法，從源IP地址偽造攻擊治理和攻擊反射點(diǎn)治理著手，在事前事中事后全過(guò)程有效處置DRDoS攻擊。

3.1 URPF對(duì)源IP地址偽造攻擊進(jìn)行治理

URPF（Unicast Reverse Path Forwarding）即單播反向路徑轉(zhuǎn)發(fā)，是一種用來(lái)檢測(cè)偽造IP源地址和阻止IP源地址欺騙攻擊的技術(shù)。該技術(shù)比較成熟，在路由器上比較容易實(shí)現(xiàn)，實(shí)用價(jià)值很高。URPF的主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。URPF檢查有嚴(yán)格（strict）型和松散（loose）型兩種。此外，還可以支持ACL與缺省路由的檢查[14]。

在互聯(lián)網(wǎng)網(wǎng)絡(luò)設(shè)備上開(kāi)啟松散URPF功能，會(huì)對(duì)訪問(wèn)數(shù)據(jù)包檢查 IP源地址和源端口是否在路由表中。如果存在，則認(rèn)為該數(shù)據(jù)包是通過(guò)最優(yōu)路徑到達(dá)該路由器，應(yīng)該正常轉(zhuǎn)發(fā)，否則丟棄。如果在路由器上開(kāi)啟嚴(yán)格URPF功能，在路由表中找到訪問(wèn)數(shù)據(jù)包的IP源地址，進(jìn)一步獲取數(shù)據(jù)包的IP源地址和輸入接口，通過(guò) IP源地址查找到下一跳路由后，將得到的輸出接口和輸入接口進(jìn)行比對(duì)。如果成功，則認(rèn)為該數(shù)據(jù)包合法；否則丟棄該數(shù)據(jù)包。URPF通過(guò)檢查IP源地址和源端口來(lái)決定是否轉(zhuǎn)發(fā)數(shù)據(jù)包，從源頭上有效阻止偽造IP地址流量的發(fā)生。

具體分為5個(gè)步驟：

（1）檢查數(shù)據(jù)包的IP源地址的合法性。如果IP源地址是廣播地址或者目的地址不是廣播的全零IP地址，則直接丟棄。

（2）檢查路由器的FIB表中能否找到數(shù)據(jù)包的IP源地址。若找到，則跳轉(zhuǎn)到步驟3；否則，跳轉(zhuǎn)到步驟5。

（3）如果在路由器的FIB表中匹配的是默認(rèn)路由，檢查配置的URPF策略是否允許。如果允許，跳轉(zhuǎn)到步驟4；否則，跳轉(zhuǎn)到步驟5。

（4）檢查數(shù)據(jù)包的輸入接口和輸出接口是否一致。如果一致，則通過(guò)檢查；如果不一致，檢查是否是松散模式URPF。如果是松散模式URPF，則通過(guò)檢查；如果不是松散模式URPF（即是嚴(yán)格模式URPF），則不通過(guò)檢查。

（5）檢查用戶是否配置了ACL規(guī)則，如果配置了ACL規(guī)則，檢查數(shù)據(jù)包是否符合ACL規(guī)則，如果符合，則通過(guò)檢查；否則丟棄。

在實(shí)際基礎(chǔ)電信運(yùn)營(yíng)商DDoS防護(hù)應(yīng)用場(chǎng)景中，經(jīng)常有一種組網(wǎng)結(jié)構(gòu)，即用戶端單獨(dú)構(gòu)建接入路由器，通過(guò)多條鏈路接入骨干路由器。針對(duì)此類用戶的接入端口，如果部署嚴(yán)格型URPF策略，會(huì)攔截許多出接口與入接口不同的正常報(bào)文，造成用戶正常通信故障，大部分網(wǎng)絡(luò)核心路由器廠商均建議開(kāi)啟松散模式URPF。如果部署松散型URPF，會(huì)導(dǎo)致部分偽造IP地址流量沒(méi)有被阻止，攻擊者利用這些偽造IP地址會(huì)增加DRDoS攻擊的深度和廣度，給DRDoS攻擊的防御和治理帶來(lái)更大的困難。

3.2 精確ACL處置DRDoS攻擊

ACL（Access Control List），即訪問(wèn)控制列表。這種策略是路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備提供的一種訪問(wèn)控制技術(shù)，用來(lái)控制端口進(jìn)出的數(shù)據(jù)包。系統(tǒng)管理員通過(guò)增加/刪除ACL策略，將特定端口轉(zhuǎn)發(fā)的數(shù)據(jù)包直接過(guò)濾/通過(guò)，如允許局域網(wǎng)內(nèi)的設(shè)備只能使用FTP服務(wù)訪問(wèn)外部網(wǎng)絡(luò)，ACL適用于所有的路由協(xié)議。

除此之外，通過(guò)配置ACL可以限制信息點(diǎn)和內(nèi)外網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量，只允許特定設(shè)備或者特定大小流量的訪問(wèn)，進(jìn)而保證通信網(wǎng)尤其是內(nèi)網(wǎng)的安全性。ACL既可以在路由器、交換機(jī)等硬件設(shè)備上配置，也可以在具有該項(xiàng)功能的業(yè)務(wù)軟件上進(jìn)行配置。

DRDoS攻擊利用的都是一些常見(jiàn)的協(xié)議和服務(wù)（Memcached、NTP、SSDP等），被攻擊者很難將惡意連接請(qǐng)求和正常連接請(qǐng)求區(qū)分開(kāi)，無(wú)法有效分離出攻擊數(shù)據(jù)包[15]。用戶在收到DRDoS攻擊后，也難以及時(shí)有效處理。

在實(shí)際應(yīng)用中，在現(xiàn)網(wǎng)部署精確ACL策略，針對(duì)不同DRDoS攻擊場(chǎng)景，采用限速和精確處置的方法，在防御、檢測(cè)和響應(yīng)等方面采取防范措施，以最大限度地減少DDOS攻擊帶來(lái)的危害。

通過(guò)對(duì)DRDoS的攻擊行為進(jìn)行分析，發(fā)現(xiàn)攻擊過(guò)程中的源地址是不固定的，源端口是固定的；目的地址和目的端口是固定的。為精確處置DDoS反射攻擊源，可以通過(guò)部署精確ACL策略來(lái)解決。具體做法如下：

源IP地址+源端口號(hào)+目的地址+目的端口號(hào)，以SSDP反射攻擊（11211端口）為例，華為交換機(jī)配置如下（目的IP地址：1.1.1.1，源IP地址：2.2.2.2，源端口：11211，目的端口：443）：

Rule deny udp source 2.2.2.2 0 source-port eq 11211 destination 1.1.1.1 0 destination-port eq 443

//本地源IP地址（IP：2.2.2.2）的11211端口訪問(wèn)目的地址（IP：1.1.1.1）的443端口流量都會(huì)被拒絕掉

4 實(shí)驗(yàn)

為了驗(yàn)證所提出的基于URPF技術(shù)和精確ACL的DRDoS協(xié)同處置方法的有效性，搭建如圖3所示的拓?fù)浣Y(jié)構(gòu)進(jìn)行仿真實(shí)驗(yàn)。因?yàn)閁RPF處置實(shí)驗(yàn)國(guó)內(nèi)外相關(guān)很多人員已經(jīng)做過(guò)，本文不贅述，僅對(duì)限速和精確處置兩個(gè)場(chǎng)景進(jìn)行研究。

4.1 實(shí)驗(yàn)拓?fù)?/h3>

利用華為ENSP搭建驗(yàn)證環(huán)境，若干PC代替攻擊端，網(wǎng)內(nèi)主機(jī)（IP地址：58.247.215.101）作為被攻擊端，通過(guò)攻擊端UDP發(fā)包工具模擬攻擊端（IP地址：58.243.254.130）對(duì)被攻擊端發(fā)送大量UDP 11211報(bào)文。實(shí)驗(yàn)拓?fù)浼癠DP發(fā)包工具配置如下：

從監(jiān)測(cè)到的報(bào)文可以看出，本地源IP地址58.243.254.130服務(wù)端口35931 到目的IP地址58.247.215.101服務(wù)端口11211存在活動(dòng)連接。

4.2 實(shí)驗(yàn)場(chǎng)景1（限速）

對(duì)網(wǎng)內(nèi)使用UDP 11211服務(wù)端口的用戶，進(jìn)行流量采樣，計(jì)算出來(lái)自網(wǎng)外UDP 11211的報(bào)文流量（本例計(jì)算正常UDP 11211報(bào)文流量約為20Mbit/s），在入局方向上進(jìn)行流量限速，策略為單鏈路流量超過(guò)20Mbit/s時(shí)，則丟棄超標(biāo)流量。配置如下：

acl 3000

rule 5 permit udp destination 58.247.215.101 0 destination-port eq 11211

traffic classifier speed_ddos_udp11211 operator or if-match acl 3000

traffic behavior speed_ddos_udp11211

car cir 20000 green pass yellow discard red discard

traffic policy speed_ddos_udp11211

classifier speed_ddos_udp11211 behavior speed_ddos_udp11211

traffic-policy speed_ddos_udp11211 inbound //出局接口in方向應(yīng)用策略。

圖3 實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)圖

圖4 模擬發(fā)包

（1）未部署限速前，抓包結(jié)果如圖5。

圖5 未限速場(chǎng)景1

可以看到接口流量統(tǒng)計(jì)結(jié)果全部為 pass，未丟棄過(guò)載報(bào)文。

（2）部署限速后，抓包結(jié)果如圖6。

圖6 限速場(chǎng)景1

可以看到接口流量統(tǒng)計(jì)結(jié)果：過(guò)載流量（超過(guò)20Mbit/s）報(bào)文被丟棄。限速處置方法，在保障正常使用UDP 11211服務(wù)的客戶同時(shí)，當(dāng)面對(duì)異常UDP 11211流量攻擊時(shí)，限速丟棄了過(guò)載流量，避免了下一級(jí)鏈路擁塞，保護(hù)了其他正常網(wǎng)絡(luò)流量。

4.3 實(shí)驗(yàn)場(chǎng)景2（處置）

針對(duì)未使用UDP 11211服務(wù)端口的用戶，在入局方向上，直接對(duì)本地源IP地址58.243.254.130服務(wù)端口35931到目的IP地址58.247.215.101 服務(wù)端口11211的報(bào)文流量進(jìn)行處置（丟棄），配置如下：

acl number 3001

rule 5 deny udp source 58.243.254.130 0 source-port eq 35931 destination 58.247.215.101 0 destination-port eq 11211

//限制源地址58.243.254.130/32（端口35931）訪問(wèn)目的地址58.247.215.101/32 （端口11211）

rule 399 permit ip

traffic classifier ipfilter operator or

if-match acl 3001

#

traffic behavior ipfilter

traffic policy ipfilter

classifier ipfilter behavior ipfilter

traffic-policy ipfilter outbound //出局接口上應(yīng)用 trafficpolicy

（1）未做加固，抓包結(jié)果如圖7。

圖7 未處置場(chǎng)景2

可以看到本地源IP地址58.243.254.130服務(wù)端口35931 到目的IP地址58.247.215.101 服務(wù)端口11211的活動(dòng)連接可以正常建立。

（2）加固后，抓包結(jié)果如圖8。

圖8 處置場(chǎng)景2

可以看到本地源IP地址58.243.254.130服務(wù)端口35931到目的 IP地址 58.247.215.101 服務(wù)端口 11211的活動(dòng)連接（MEMACHE）已經(jīng)不能正常建立。出局報(bào)文在接口上被過(guò)濾丟棄。以上基于精準(zhǔn)ACL防范Memcached攻擊的方法，同樣適用于防范現(xiàn)網(wǎng)基于UDP的1900端口SSDP攻擊和123端口NTP攻擊。

通過(guò)大規(guī)模實(shí)際應(yīng)用發(fā)現(xiàn)，基于 URPF和精確 ACL的DRDoS協(xié)同處置方法使用效果顯著。

5 結(jié)束語(yǔ)

本文針對(duì)DRDoS攻擊原理、攻擊類型和攻擊研究現(xiàn)狀進(jìn)行分析，提出了基于URPF和精確ACL的DRDoS協(xié)同處置方法。該方法立足于實(shí)際基礎(chǔ)電信運(yùn)營(yíng)商的應(yīng)用場(chǎng)景，利用路由器現(xiàn)有的常用策略，在不影響基礎(chǔ)電信運(yùn)營(yíng)商正常業(yè)務(wù)的基礎(chǔ)上，創(chuàng)新性地將URPF技術(shù)和ACL這兩種技術(shù)結(jié)合，從事前事中事后全過(guò)程處置DRDoS攻擊，具有一定的現(xiàn)實(shí)指導(dǎo)意義。

由于我國(guó)基礎(chǔ)電信運(yùn)營(yíng)商組網(wǎng)結(jié)構(gòu)有差異，目前該方法主要應(yīng)用于安徽聯(lián)通的基礎(chǔ)網(wǎng)絡(luò)中，應(yīng)用場(chǎng)景較少。此外，松散模式URPF及 ACL規(guī)則需要在核心路由器上進(jìn)行數(shù)據(jù)配置，全網(wǎng)的DRDoS攻擊流量也需要人工分析，人工成本較高，影響了互聯(lián)網(wǎng)管理從低水平粗放管理模式向高水平精準(zhǔn)管理模式轉(zhuǎn)型。

在后續(xù)的工作中我們將會(huì)在以下幾個(gè)方面做進(jìn)一步的探索：

（1）深入分析基礎(chǔ)電信運(yùn)營(yíng)商的網(wǎng)絡(luò)特點(diǎn)，將該方法應(yīng)用到更多場(chǎng)景中；

（2）利用人工智能算法自動(dòng)更新維護(hù)更新URPF和ACL策略，自動(dòng)化監(jiān)測(cè)、分析和判定DRDoS攻擊流量的來(lái)源并實(shí)時(shí)處置，增強(qiáng)該方法的準(zhǔn)確度和實(shí)用性；

（3）對(duì)電信運(yùn)營(yíng)商基礎(chǔ)網(wǎng)絡(luò)上存在的服務(wù)進(jìn)行優(yōu)化，互聯(lián)網(wǎng)上的主機(jī)只運(yùn)行必要的服務(wù)，減少受攻擊的風(fēng)險(xiǎn)；

（4）促進(jìn)網(wǎng)絡(luò)安全主管單位、基礎(chǔ)電信運(yùn)營(yíng)商和網(wǎng)絡(luò)設(shè)備廠家的協(xié)助與合作，建立快速合作處置機(jī)制，有效阻止和快速處置DRDoS攻擊。