王卓昊 方琦 尹建輝 劉穎 董平

1. 中國科學技術信息研究所 北京 100038；

2. 北京交通大學移動專用網(wǎng)絡國家工程研究中心 北京 100044

引言

科技情報行業(yè)作為科研和生產(chǎn)服務的行業(yè)，大部分業(yè)務主要依托網(wǎng)絡平臺開展實施[1]。隨著互聯(lián)網(wǎng)的應用范圍越來越廣，信息化進程不斷推進，科技情報服務得到了快速發(fā)展，隨之而來的網(wǎng)絡攻擊也日漸頻繁。頻繁的網(wǎng)絡攻擊以及不斷出現(xiàn)的網(wǎng)絡安全問題，嚴重威脅著個人隱私、財產(chǎn)安全，也使科技情報工作面臨著安全風險壓力，因此，保障科技情報服務應用環(huán)境中的網(wǎng)絡安全越來越重要。在所有網(wǎng)絡攻擊中，分布式拒絕服務攻擊（DDoS）仍是發(fā)生頻次最高的攻擊方式之一。根據(jù)《2021年全球DDoS威脅報告》[2]統(tǒng)計分析，DDoS攻擊峰值及大流量攻擊發(fā)生的次數(shù)持續(xù)增長，攻擊手法和行業(yè)分布呈現(xiàn)多元化的趨勢。報告顯示，2021年共發(fā)生2039次超500 Gbps攻擊，其中包含7次超800 Gbps的攻擊，DDoS攻擊對互聯(lián)網(wǎng)連接系統(tǒng)安全性造成了嚴重的威脅。

從更加宏觀的層面來看，網(wǎng)絡空間的安全對抗日趨激烈，傳統(tǒng)的安全技術不能全面滿足安全防護的需要[3]。安全威脅情報可以讓安全分析和事件響應工作處理變得更簡單、更高效，是做到持續(xù)有效的檢測與快速響應的基礎。例如，可建立威脅情報的檢索，從而實現(xiàn)對安全線索的精準發(fā)掘；可利用威脅情報預測現(xiàn)有的攻擊線索可能造成的惡意行為，從而有效確定攻擊范圍；可依賴威脅情報區(qū)分不同類型的網(wǎng)絡攻擊，識別出潛在的高危級別攻擊，從而實現(xiàn)對攻擊的及時響應[4]。本文利用情報學方法分析了已發(fā)生DDoS攻擊事件特征，發(fā)現(xiàn)大多數(shù)DDoS攻擊事件會消耗大量的網(wǎng)絡帶寬，從而造成網(wǎng)絡擁塞。

DDoS攻擊呈現(xiàn)出攻擊強度增加、多樣性增強、攻擊方式更加隱蔽的趨勢，對網(wǎng)絡安全設備的性能產(chǎn)生了更高的要求。最早出現(xiàn)的基于規(guī)則的檢測方法雖然速度較快，但很依賴過往發(fā)生過的攻擊，需要龐大的知識庫作為支持。熵是反映網(wǎng)絡流量變化的一種特征，因此可以作為攻擊檢測的一種手段。但作為評判指標的特征選取較為困難，泛用性不高。近年來，基于機器學習的DDoS攻擊檢測逐漸成為主流方向，具有誤報率低、準確性高的特點，但該方法往往需要大量的標準化數(shù)據(jù)集，訓練成本高昂[5]?？偨Y來看，以上所有的檢測手段都需要具體的DDoS攻擊特征，并且由于檢測成本高、存儲和計算開銷大等問題難以在傳統(tǒng)網(wǎng)絡中實際部署，無法做到對DDoS攻擊的輕量級檢測。

針對DDoS攻擊呈現(xiàn)的三個特征，可編程數(shù)據(jù)平面在處理網(wǎng)絡攻擊時具有三個關鍵優(yōu)勢，即數(shù)據(jù)包的可見性、可擴展性和高速處理能力?？删幊叹W(wǎng)絡中將攻擊檢測功能遷移到控制器中，數(shù)據(jù)平面僅僅負責執(zhí)行限速緩解策略，從而大大降低數(shù)據(jù)平面開銷，同時控制器的全局視角也可以快速定位攻擊源，采取源端限速的方式減小攻擊對網(wǎng)絡的危害。帶內(nèi)遙測技術隨包測量的方式能夠在減小網(wǎng)絡開銷的同時不影響交換機內(nèi)部狀態(tài)，適用于DDoS攻擊導致網(wǎng)絡擁塞的場景。因此在可編程數(shù)據(jù)平面中進行基于帶內(nèi)遙測的DDoS攻擊緩解的研究具有一定的價值。

1 相關工作

隨著網(wǎng)絡安全態(tài)勢日趨復雜化，威脅情報的研究越顯重要。石波等[6]通過構建知識圖譜的方式解決了安全威脅情報來源不清、難以理解問題，提高了威脅情報的可用性和可讀性。傳統(tǒng)的入侵檢測系統(tǒng)往往只能提取已知攻擊的行為特征，無法應對復雜變化的熱點網(wǎng)絡攻擊事件。劉亮等[7]利用開源的威脅情報數(shù)據(jù)設計了一種可以自動生成檢測規(guī)則的方法，從而有效提升入侵檢測系統(tǒng)應對熱點攻擊事件的能力。

流量攻擊是DDoS的一種表現(xiàn)形式，因此，高效監(jiān)控網(wǎng)絡流量、快速定位網(wǎng)絡故障、迅速啟動流量限制是防范DDoS攻擊的一種思路。在流量檢測相關工作中，帶內(nèi)網(wǎng)絡遙測（In-band Network Telemetry，INT）是延時性低、細粒度高的一種網(wǎng)絡測量方法[8]。帶內(nèi)網(wǎng)絡遙測的思想在2000年便已被提出，之后學術界提出了諸多的改進方案，包括在可編程網(wǎng)絡環(huán)境下的嘗試。Wang等[9]在P4交換機中設計并實現(xiàn)了一種可以實時或過去跟蹤與流數(shù)據(jù)包匹配的規(guī)則。Tang等[10]通過擴展OpenvSwitch平臺設計了一種運行時可編程的選擇性INT系統(tǒng)。目前帶內(nèi)網(wǎng)絡遙測技術解決了許多網(wǎng)絡測量方面的難題，但這些技術仍然存在一定的局限性，帶內(nèi)網(wǎng)絡遙測技術仍然處于發(fā)展中[22]。

從擁塞控制方法部署的位置來看，可以分為基于源端的擁塞控制和基于鏈路的擁塞控制。最早得到了廣泛應用的基于源端的擁塞控制方法是Jacobson[11]提出的TCP擁塞控制，該機制最初由“慢啟動”和“擁塞避免”組成，后來在其中增加了“快速重傳”“快速恢復”算法[12]，之后又對“快速恢復”算法進行了改進[13]。Vo等[14]開發(fā)了一種多路徑擁塞控制協(xié)議mFast，用于高BDP連接場景，實現(xiàn)了負載平衡和吞吐量提高的目標。最初提出的基于鏈路的擁塞控制方法是RED算法[15]。1998年，Braden等[16]提出了主動隊列管理（active queue management，簡稱AQM）的方法。Hao等[17]利用SDN技術提出了一種高效的重新路由算法，該算法在緩解網(wǎng)絡擁塞和保證網(wǎng)絡性能方面表現(xiàn)較好。

為了應對DDoS攻擊的泛濫，近年來出現(xiàn)了大量的DDoS攻擊緩解機制。Liu等[18]提出了一個可擴展的抗DoS網(wǎng)絡架構NetFence。NetFence可證明地保證合法的發(fā)送者公平地分享網(wǎng)絡資源，而無需保持擁塞鏈路的每主機狀態(tài)。Piedrahita等[19]提出了一種用于軟件定義網(wǎng)絡（SDN）的輕量級快速拒絕服務檢測和緩解系統(tǒng)FlowFence，該系統(tǒng)可以有效區(qū)分攻擊流和合法流。從長遠看，DDoS攻擊和防御仍然會處于對立階段，在建立高效全面的防御緩解體系方面仍將面臨許多的困難和挑戰(zhàn)。

2 可編程網(wǎng)絡中輕量級DDoS攻擊緩解機制設計與實現(xiàn)

2.1 緩解機制總體方案設計與實現(xiàn)

結合現(xiàn)有的研究工作，本文針對可編程網(wǎng)絡中DDoS攻擊進行研究，提出了一種基于帶內(nèi)遙測的輕量級DDoS攻擊緩解機制。該攻擊緩解機制重點在可編程網(wǎng)絡架構下通過設計數(shù)據(jù)平面和控制平面功能來達到快速準確檢測網(wǎng)絡擁塞的目的，數(shù)據(jù)平面和控制平面之間通過API進行通信，整體設計結構如圖1所示。

圖1 緩解機制整體架構

數(shù)據(jù)平面主要負責利用網(wǎng)絡遙測檢測DDoS攻擊和執(zhí)行攻擊緩解策略；控制平面主要負責解析數(shù)據(jù)平面上報的遙測信息，生成并下發(fā)相應的限速緩解策略。該緩解機制的整體實現(xiàn)流程如圖2所示。

圖2 緩解機制實現(xiàn)流程

在數(shù)據(jù)平面中，交換機實時接收用戶發(fā)送的數(shù)據(jù)流。進入交換機時，數(shù)據(jù)包被解析后先判斷入口交換機有沒有收到限速命令，若收到則開始限速，此時在接入交換機入口維護一個計數(shù)器統(tǒng)計一段時間t1內(nèi)的數(shù)據(jù)包數(shù)量，若計數(shù)器的值未超過閾值則繼續(xù)匹配數(shù)據(jù)包，否則丟棄數(shù)據(jù)包。若入口交換機并未收到限速命令，則直接向數(shù)據(jù)包中插入遙測包頭，之后的每一跳交換機都進行遙測包頭的匹配，同時插入和更新所要測量的遙測信息，出口交換機通過遙測包頭中的隊列深度enq_depth_new的值來檢測是否發(fā)生了DDoS攻擊。若隊列深度大于某一閾值則表示此時檢測到了DDoS攻擊產(chǎn)生的擁塞，通過P4語言中原生的clone函數(shù)克隆數(shù)據(jù)包，從而將遙測信息上報至控制平面；若隊列深度不超過閾值，則由出口交換機刪除遙測包頭后將數(shù)據(jù)包發(fā)給目的主機，交換機繼續(xù)接收新的數(shù)據(jù)包。

在控制平面中，控制器收到帶有遙測信息的克隆數(shù)據(jù)包則表示網(wǎng)絡遭受了DDoS攻擊并產(chǎn)生了擁塞，需要生成并下發(fā)限速緩解策略?？刂破魇紫冉馕鍪盏降倪b測信息，讀取其中交換機編號swid的值，然后根據(jù)swid的值向與惡意主機相連的接入交換機下達限速命令?？刂破骼^續(xù)監(jiān)聽，等待下一次sniff克隆數(shù)據(jù)包和解析遙測信息。

2.2 數(shù)據(jù)平面功能的設計與實現(xiàn)

數(shù)據(jù)平面的代碼都是用P4語言[20]實現(xiàn)，通過編寫P4程序代碼可以定義交換機對數(shù)據(jù)包的處理邏輯。數(shù)據(jù)平面在每臺P4交換機[21]上部署了INT功能，用于測量網(wǎng)絡中數(shù)據(jù)包經(jīng)過的每個網(wǎng)絡節(jié)點的信息以此來檢測DDoS攻擊，在每臺P4交換機入口部署了限速算法，通過擁塞控制的手段緩解DDoS攻擊，在出口交換機部署了克隆算法，當檢測到DDoS攻擊后將遙測信息克隆至控制平面。

（1）數(shù)據(jù)包解析模塊

解析模塊在P4中通過定義header、metadata和parser結構實現(xiàn)。P4數(shù)據(jù)包的頭部包括Ethernet頭部、Telemetry頭部、IPv4頭部和UDP頭部，其中Ethernet頭部、IPv4頭部和UDP頭部根據(jù)當前協(xié)議標準進行定義。

數(shù)據(jù)包解析模塊的完整實現(xiàn)流程如圖3所示。

圖3 數(shù)據(jù)包解析流程

（2）INT及INT信息克隆模塊設計與實現(xiàn)

在本設計中主要利用INT功能測量交換機編號swid和交換機隊列深度standard_metadata.enq_qdepth，通過帶內(nèi)遙測[16]將遙測包頭里所記錄的隊列深度更新為較大值。具體過程如圖4所示。

圖4 INT設計原理

數(shù)據(jù)包經(jīng)過交換機時，交換機就將自己的編號和隊列深度插入數(shù)據(jù)包中，并更新enq_depth_new字段為隊列深度較大值。當數(shù)據(jù)包到達出口交換機后執(zhí)行克隆算法，該算法首先判斷遙測包頭中enq_depth_new的值是否大于閾值，若大于閾值則表明網(wǎng)絡中某處發(fā)生了擁塞，需要將遙測信息克隆至控制平面，由控制器根據(jù)最大隊列深度值確定發(fā)生擁塞的交換機位置；否則在刪除遙測包頭后將數(shù)據(jù)包發(fā)給目的主機，交換機繼續(xù)接收新的數(shù)據(jù)包。具體實現(xiàn)流程如圖5所示。

圖5 INT實現(xiàn)流程

（3）限速模塊設計與實現(xiàn)

部署在P4交換機入口的限速算法設計思路是，當交換機收到控制器下發(fā)的限速命令時，入口啟動限速功能，此時通過計數(shù)器計算一段時間t1內(nèi)通過交換機入口的數(shù)據(jù)包的數(shù)量。當超過所設定的閾值時，開始丟包，并在超過一段時間t1后，計數(shù)器清零，重復上述操作，以此限速來達到緩解DDoS攻擊的效果。若未收到限速命令，交換機執(zhí)行正常的轉發(fā)行為。具體過程如圖6所示。

圖6 限速算法原理

限速算法的具體流程如圖7所示。

圖7 限速算法實現(xiàn)流程

2.3 控制平面功能的設計與實現(xiàn)

本機制中控制平面的控制器用來添加鏡像，并且通過解析遙測信息來判斷是否需要生成并下發(fā)限速策略。這里的設計思路是，若控制器收到了帶有遙測信息的克隆數(shù)據(jù)包，則表示網(wǎng)絡中受到了DDoS攻擊，控制器生成限速策略，下發(fā)限速命令，同時根據(jù)解析到的遙測信息中swid的值，來決定給哪些接入交換機下達限速命令從而緩解DDoS攻擊。

控制平面的代碼是用python語言實現(xiàn)，python中的scapy工具可用于監(jiān)聽數(shù)據(jù)平面發(fā)送的數(shù)據(jù)包。在網(wǎng)絡拓撲運行時，控制器周期性地下發(fā)流表以支持數(shù)據(jù)包的匹配，同時也會解析收到的遙測信息。

具體實現(xiàn)流程如圖8所示。

圖8 控制平面實現(xiàn)流程

3 可編程網(wǎng)絡中輕量級DDoS攻擊緩解機制測試

3.1 實驗環(huán)境

本實驗使用的實驗軟件是Linux系統(tǒng)中的Ubuntu系統(tǒng)，實驗是在Ubuntu系統(tǒng)下搭建好的P4環(huán)境中進行測試的。本文利用Mininet軟件平臺搭建網(wǎng)絡的實驗環(huán)境，網(wǎng)絡中的交換機采用BMv2交換機，控制器運行在單獨的服務器上，以此完成整個實驗的網(wǎng)絡拓撲的搭建。運行整個系統(tǒng)環(huán)境的硬件參數(shù)如表1所示。

表1 系統(tǒng)硬件參數(shù)配置

搭建的實驗網(wǎng)絡拓撲如圖9所示。拓撲中包含了一臺控制器、三臺交換機和四臺終端主機，控制器和交換機之間通過Thrift端口實現(xiàn)相互通信。每個設備的詳細配置信息如表2所示。

表2 設備地址和端口設置

圖9 網(wǎng)絡拓撲

3.2 功能測試

3.2.1 運行系統(tǒng)

首先，對Linux系統(tǒng)的正常功能進行測試，打開Terminal，通過指令sudo p4run --config p4app-line.json啟動拓撲，運行P4代碼和控制器代碼。如圖10所示，可以看到P4代碼編譯成功。

圖10 網(wǎng)絡拓撲開啟成功

3.2.2 實驗參數(shù)設置

本實驗用iperf模擬DDoS攻擊，攻擊主機通過iperf -c 10.0.3.1 -u -b 3M -t 200實現(xiàn)攻擊，表示每秒向IP地址為10.0.3.1的主機發(fā)送3 Mbit的UDP數(shù)據(jù)包。根據(jù)前面部分所展示的鏈路信息，設置的鏈路帶寬為10 Mbit。閾值的設置數(shù)值如表3所示。擁塞閾值指當交換機隊列深度大于50（約為80%的最大隊列）時表明發(fā)生了擁塞，需要采取相應的限速緩解策略。限速閾值是從源端對單個攻擊流的速率限制，可以有效應對多個攻擊源的DDoS攻擊場景。

表3 閾值參數(shù)

3.3 性能分析

本機制的性能分析從兩個方面進行分析，分別是緩解效果和反應時間。

緩解效果是指吞吐量是否能從大流量的擁塞狀態(tài)恢復到正常狀態(tài)；反應時間是指從檢測到DDoS攻擊開始到緩解成功即吞吐量下降所用的時間，本實驗中當發(fā)送相同的攻擊流量時，檢測到擁塞所用時間相同，在圖中表示的時間段如圖11所示。

圖11 反應時間

（1）緩解效果

首先看本緩解機制對DDoS攻擊的緩解效果，參數(shù)設置如表4所示。利用wireshark抓包查看s2-eth1鏈路上的吞吐量，實驗效果如圖12所示?？梢钥吹剑瑹o論是哪種大小的攻擊流量，最后都能被本緩解機制檢測并限制至正常值160 packets/s，可見緩解效果較好。

表4 實驗參數(shù)設置

圖12 不同攻擊流量下的吞吐量

在讓h1和h4向h3發(fā)送3 M/s的攻擊流量、擁塞閾值為50的情況下，將限速閾值分別設置為50 packets/s、80 packets/s、100 packets/s，再次觀察緩解效果如圖13所示，緩解后的吞吐量也達到了所設置的閾值，可見緩解效果較好。

圖13 不同速率限制的吞吐量

（2）反應時間

測試反應時間參數(shù)如表5所示，分別測試100次的反應時間散點圖如圖14所示。三種限速情況下對應的反應時間的平均值大約分別為19s，22s，31s。由測試結果可以看到當限速閾值中數(shù)據(jù)包統(tǒng)計周期置的越小時，反應越迅速，反應時間越短，緩解機制更加靈敏，對DDoS攻擊能作出較快的反應。

表5 實現(xiàn)參數(shù)設置

圖14 反應時間對比

4 結論

本文考慮到網(wǎng)絡中由于DDoS攻擊泛濫造成網(wǎng)絡擁塞的場景，在了解DDoS攻擊形式和DDoS攻擊緩解機制的研究現(xiàn)狀后，在可編程網(wǎng)絡中，通過在源端限速的方式，對基于帶內(nèi)遙測的DDoS攻擊緩解機制進行了研究。通過數(shù)據(jù)平面和控制平面的結合達到了DDoS攻擊緩解的效果，同時未給網(wǎng)絡帶來過多負擔，實現(xiàn)了可編程網(wǎng)絡中輕量級的DDoS攻擊緩解機制，并通過實驗驗證了本機制的有效性和可行性。