DDoS攻击的协同治理举措探析-哈尔滨职业技术学院学报

学术研究

联系我们

主管单位：哈尔滨市人民政府
主办单位：哈尔滨职业技术学院
国际刊号：ISSN 1008-8970
国内刊号：CN23-1531/Z
邮箱：hebsfdxxb@126.com

优秀文章

DDoS攻击的协同治理举措探析

来源：未知作者：hsadmin 日期：2021-02-17

本文由哈尔滨职业技术学院学报整理。
【摘要】针对DDoS的攻击特征，提出了由电信运营商、受控端、被攻击者、安全厂商、CNCERT等多方组成的协作防御体系，协同治理DDoS攻击。电信运营商在边界接入设备，部署URPF与边界过滤，过滤伪造IP源地址的攻击流量;被攻击者上报真实IP源地址的DDoS攻击流量信息到CNCERT云服务平台;安全厂商通过CNCERT获取真实IP源地址攻击信息，对攻击受控端实施溯源、监测、告警与管控，进而形成针对DDoS攻击的协同治理机制，并可将其扩展应用于对其他的网络攻击的溯源与防御。
【关键词】DDoS;协同治理;防御策略
分布式拒绝服务（DistributedDenialofService，DDoS）攻击已经成为当前互联网安全的主要威胁。DDoS攻击事件层出不穷，很多依托互联网运营的机构深受其害，特别是一些互联网初创企业因遭受攻击后业务中断，无法投入大量资金进行防御，最终导致企业无法继续运营。DDoS等攻击不仅给运营商造成了严重影响，也对国家新一代信息技术的应用与落地、创新创业等构成了威胁，阻碍了国家产业升级与科技发展，由此可见，研究DDoS等攻击的防御已经上升到国家战略高度。
为了便于表述，以DDoS攻击为主，并将DDoS攻击所涉及的对象简化为控制端（攻击发起方）、受控端（Botnet等）和目标端（被攻击目标）。控制端通过非授权方式操控大量的受控端实现策略上的协同，对孤立的被攻击目标发起攻击，达到以众取胜的目的。目标端如果仅凭一己之力采取技术措施进行对抗很难应对。因此，需要多方建立防御协作共同体，形成技术与策略组合的针对DDoS等攻击行为的协同治理体系。
DDoS攻击的对抗方法通常分为4大类[1]:攻击预防、攻击检测、攻击源追踪和攻击响应。DDoS攻击的流量根据网络层源IP地址可分为两类:伪造IP源地址和真实IP源地址。目前，DDoS攻击对抗的研究主要集中在检测方法方面[2]，针对DDoS攻击流量的研究重点多是针对伪造IP源地址类攻击的防御方法。但是由于缺少多方协同机制，多数针对DDoS防御的方法研究具有很大的局限性，仅能对特定特征的攻击方式进行检测与过滤，因此，针对DDoS攻击只能起到缓解作用，无法从根本上治理DDoS攻击。多方协同治理DDoS等攻击成为必然趋势。
DDoS等攻击所造成的危害已经满足了国家政策层面出台相关网络安全标准和规范进行协同治理的必要条件。基于现有的研究基础，提出了技术与举措结合的协同治理方法，即由电信运营商、受控端、被攻击者、安全厂商、CNCERT等多方协作，通过技术与举措的组合协同治理DDoS等攻击行为。
1相关工作
近年来，随着DDoS攻击的持续发生与影响扩大，研究者们提出了预防、检测、过滤等方法。张永铮[3]等人详细总结与分析了前期典型网络层DDoS攻击和应用层DDoS攻击的多种检测和控制方法，针对网络层的DDoS攻击检测可以总结为统计分析与行为特征分析两类，并提出在攻击源端进行控制，能够阻止攻击流量进入骨干网，边界路由器可以有足够的计算能力执行检测与控制。并在未来发展趋势中提出，在攻击过滤方面，目标端计算能力有限，无法满足大规模DDoS攻击过滤要求，骨干网与目标端对于真实地址攻击往往不具有较好的过滤效果。
针对DDoS攻击流量中的伪造IP源地址攻击，张可[4]等人提出了基于URPF技术和边界过滤法的IP源地址伪造处置方法，实验验证能有效阻止IP源地址伪造流量。针对DDoS攻击检测技术的研究相对较多，贺余盛[5]提出了基于网络通信流量的特性识别僵尸网络C&C通信的方法。姜文醍[6]等人提出一种SDN中基于流特征的多类型DDoS攻击和闪拥流量检测方法。董哲[7]等人提出基于HMM时间序列预测和混沌模型的DDoS攻击检测方法。景泓斐[8]等人提出一种基于误差逆向传播神经网络的CC攻击检测算法。在真实网络环境中的实验证明，该模型能准确地识别中、小型网站正常流量与CC攻击流量，对大型网站也有较为准确的检测结果。刘俊杰[9]等人提出了一种基于C4.5决策树的检测方法:通过提取交换机流表项信息，使用C4.5决策树算法训练数据集生成决策树对流量进行分类，实现DDoS攻击的检测。可见，针对DDoS攻击的研究伴随技术的变革不断演进与深入。
基于以上的研究基础，重点基于网络层提出了技术与举措组合的过滤、检测、预报与溯源等协同治理机制。通过将伪造IP源地址的攻击流量和真实IP源地址攻击流量区别对待:基于URPF与边界过滤法实现对伪造IP源地址攻击流量的过滤;另外，在目标端通过对检测到的真实IP源地址攻击进行记录、上报与协同处置。通过协同治理不仅能对DDoS攻击进行溯源与管控，也可以对其他类型的攻击进行溯源与威慑，进而促进国内网络安全防护能力与协同治理能力的提升。
2DDoS攻击与协同治理体系框架
如图1所示，C为DDoS攻击发起方——控制端，B1-n为大量受控端，在C的控制下B1-n可能产生两种类型的DDoS攻击流量:伪造IP源地址的攻击流量和真实IP源地址攻击流量。下面具体阐述针对两种攻击流量的处置方案。
2.1伪造IP源地址的攻击流量的过滤
针对伪造IP源地址的攻击流量，可以由电信运营商在边界接入路由器（R1-n）上设置基于URPF与边界过滤技术进行过滤，这种过滤机制的好处是，在接近攻击的源端对攻击流量实施过滤处理，可以有效减少攻击流量对电信骨干及核心路由器（RW1-n）的资源消耗，并且能够对攻击流量在汇集到近目标端之前对其进行分而治之。
URPF（UnicastReversePathForwarding）即单播反向路径转发，是一种用来检测伪造IP源地址和阻止IP源地址欺骗攻击的技术[4]。该技术比较成熟，在边界接入路由器（R1-n）上比较容易实现，因为边界路由器所需要过滤的攻击流量有限，因而可操作性较强。通过在边界路由器（R1-n）上部署URPF可以通过对数据包来源查询与比对路由转发表，检验源地址所在的网段是否与入接口对应的路由匹配，如果不匹配则丢弃数据包——说明数据包为伪造IP源地址。
边界过滤法可以作为URPF的有效补充，对于未被URPF阻止的部分IP源地址伪造流量，采用边界过滤法对来自网络内部的数据包进行检查，如果数据包的IP源地址不在用户限定的范围内，则判定为伪造数据包，对其进行过滤。[10]边界过滤法和URPF都可以结合ACL技术，通过定义ACL过滤规则或比对路由转发表项，对源地址不再接入侧网段的源地址数据包进行过滤。URPF与边界过滤法也存在不足:需要电信运营商对所有边界路由器（R1-n）配置开启URPF与边界过滤功能，虽然单点配置工作量不大，但仍需要统一部署，自上而下进行监管;对于同一内网中不同主机之间的伪造IP源地址的攻击流量无法进行过滤。URPF与边界过滤法虽有不足，但对于伪造IP源地址的攻击流量的过滤与其他方法相比具备明显优势。具体如表1所示。
2.2真实IP源地址的攻击流量的治理举措
相较伪造IP源地址的攻击流量，真实IP源地址的攻击流量在距离目标端的远端很难检测与过滤，需要在近目标端进行分析检测与过滤。因为大量攻击流量在近目标端已经形成聚合，近目标端需要提供大量计算资源加以分析检测与处理，聚合的攻击流量可能已经消耗尽目标端的全部可用带宽。因而对真实IP源地址攻击流量的处理技术难度、漏报率和误报率更高。所以，对于真实IP源地址攻击流量的处理需要多方在举措上进行协同加以防御与溯源处理。
如图1所示，如果DDoS攻击控制端C控制受控端B1-n所产生的DDoS攻击为真实IP源地址攻击流量。对于电信运营商来说，在近源端的边界路由器（R1-n）上是很难检测与过滤的，即使通过复杂的技术进行多点协同分析与联动，也可能会产生较高的误报率和漏报率。因此，对于真实IP源地址攻击流量的应对措施，我们提出由被攻击者目标端（D1-n）、安全厂商（K1-n）、CNCERT（S1-n）三方在技术与举措上进行协同治理的方法。当然仅通过以上三方还是不够的，还需要联网用户的被动参与，以实现系统的溯源与防御、即被攻击的目标端（D1-n）将检测到的真实IP源地址的DDoS攻击流量信息上报到CNCERT云服务平台（S1-n）;安全厂商（K1-n）通过CNCERT云服务平台获取真实IP源地址攻击信息，比对受控端本地网络或主机是否被控制为受控端，并采取相应的告警与管控。无论是伪造IP源地址的DDoS攻击流量，还是真实IP源地址的DDoS攻击流量，仅由目标端（D1-n）来对攻击流量进行过滤与溯源是很难实现的，但是如果在电信运营商边界路由器（R1-n）完成对伪造IP源地址的DDoS攻击流量的过滤之后，对于真实IP源地址的DDoS攻击流量，可以在目标端（D1-n）或近目标端对攻击流量实行日志与检测识别，对于确定的DDoS攻击流量可以记录攻击源信息，包括攻击流量的源IP或网段、时间戳等信息，并将记录的信息提交到CNCERT云服务平台（S1-n）。
本文所提出的方法需要由CNCERT建立或利用现有的云服务平台，分别基于CNCERT分布在各地的分支机构建立攻击数据采集云服务平台（S1-n），由被攻击者目标端（D1-n）通过安全认证方式上报其所记录攻击源信息数据。同时，不同的AV、IDS/IPS安全厂商（K1-n）通过部署在联网用户主机或网络中的安全软硬件产品，对联网用户外联的通信进行采样，记录外联流量的源IP、目的IP、进程（主机）及时间戳形成采样数据，上报到各自对应的安全厂商云（K1-n）。再由安全厂商云（K1-n）与CNCERT云服务平台（S1-n）通过安全认证方式进行协同，安全厂商（K1-n）获得目标端提交的攻击源信息数据，通过与联网用户提交的采样数据比对，判断哪些联网用户是攻击的受控端。进一步确认受控端地址后，再由安全厂商（K1-n）下发攻击警告信息到受控端的安全软件或硬件产品，受控端的AV等安全软件或硬件产品根据收到的警告信息，判断本地主机哪个进程为恶意进程或内网哪个主机地址已经成为受控端，进而可以进行相应的进程处置或外联过滤，也可以通知网络管理人员采取进一步的处置措施。
受控端结合警告信息和本地的外联采样数据，不仅可以判断自己是否被控制端（C）所操控。如果受控端为主机，还可以根据外联采样数据中的源IP、目的IP、进程（主机）及时间戳等对应关系信息识别出发起攻击的控制端（C）的IP地址信息，进而实现对控制端（C）的溯源。
对于真实IP源地址的DDoS攻击流量的协同防御方法也存在一定的难度:需要多方协同;需要相关法律法规及标准的保障;各方协同过程中通信的安全认证协议需要进行统一标准的制定等。
3结语
本文所提出的多方协同的技术与举措，在技术改进、举措统一部署、中间的云服务平台的建设等方面，势必需要投入一定的人力、时间和资金，但是这个投入与攻击所造成的损失相比是微不足道的。协同治理举措不仅可以针对DDoS攻击发挥作用，还可以为其他类型的渗透攻击的溯源提供参考，并且可以进一步促进各国建立更可信的网络。当然，仍需进一步地细化和深入，例如，对多方协同过程的安全认证协议的研究等。
DDoS攻击的协同治理举措探析来自哈尔滨职业技术学院学报，参考文献和图表详见哈尔滨职业技术学院学报官网整理。

上一篇：信息全球化时代视阔下大学生就业能力及职业胜任力培养模式创新研究
下一篇：基于“大众创业、万众创新”视阀下高校信管实践教改解析