一种基于流量控制的DDOS检测方法

摘要：描述了DDoS攻击步骤和攻击特点，在此基础上具体分析了当前最流行的DDoS攻击行为TCP SYN Flood的攻击原理，根据该原理提出了一种实时识别DDoS攻击的检测和防御系统框架和系统流程，为研究DDoS攻击防御策略提供参考。

关键词：分布式拒绝服务攻击；路由器；TCP SYN Flood

中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)11-2480-03

DDOS Detection Method Based on Flow Control

WEI Hui-gen

（Shaoxing Vocational & Technology College, Shaoxing 312000, China）

Abstract: Describe the steps of DDoS attacks and attack characteristics,On this basis, a detailed analysis of the most popular DDoS attacks TCP SYN Flood Attacks,According to the principle put forward a real-time identification of DDoS attack detection and prevention systems framework and system processes,Provide a reference for research DDoS attack defense strategy.省略、、Buy.corn等众多网站在2000年相继受到黑客发起的DDoS攻击，系统不正常运行且瘫痪了几十个小时，造成高达12亿美元的经济损失，由于黑客身份不明并且由于DDoS攻击的特点而无法追踪。因为DDoS黑客工具，如xdos、HGOD、TFN以及它们的一些改进版本（如TFN2k）的泛滥，以及工具针对网络协议层的漏洞暂时无法弥补的原因，DDoS攻击成了目前使用最广、最难防范的攻击方式之一。

DDoS攻击实施的三个主要步骤：1)攻击者必须先使用黑客技术控制大量“肉机”（被黑客远程控制的电脑），组成僵尸网络阵列；2)攻击者发出攻击命令给僵尸网络中的“肉机”；3)“肉机”向受攻击的主机发起由黑客的DDoS攻击。这时，僵尸网络将逐渐加大攻击流量。由于流量不断增加导致受攻击的主机因内存溢出或网络一时瘫痪而不能正常运作。DDoS攻击作为一种非常有效的网络攻击，主要的特点有以下3点：1)攻击源IP地理分布非常分散不集中而且数量非常大，但是每个攻击源的攻击速率却非常小；2)攻击时的流量常被伪装成合法的流量，攻击隐蔽性强，不易分辨；3)攻击源主要由僵尸网络的真实IP地址发起，很难查到真正攻击者的位置。

DDoS检测响应主要分为源端响应、中间网络响应和受攻击端响应3种[2]。由于DDoS的危害性很大，国内外许多学者对DDoS的攻击和防御做了大量的研究。源端响应是在发起攻击的源端进行检测，用以区别和过滤攻击流量，在网络攻击的早些时候发现攻击行为，以尽量减轻DDoS攻击的效果为目的，Savage[3]等人提出了包标记法，当网络攻击发生的时候，受到攻击的主机能及时收集分析数据包内的路径信息，而后重建出攻击数据包经过的有效路径；中间网络响应是指在中间网络设备硬件层，比如路由器或交换机上安置检测与防御机制，以便在发现网络攻击时沿首反方向路径查找网络攻击源头，胡小新等人提出的一种防御方法[4]，这是一种在局部范围内尽量消除DDoS攻击效果的综合方法；受攻击端响应是指在被攻击的主机或网络上进行检测和防御。

TCP SYN flood大流量攻击、DNS大流量攻击和Smurf攻击是DDoS攻击的三大主要方法，其中，80%为TCP SYN flood大流量攻击[5]。该文鉴于DDoS攻击的步骤和特点，以受攻击主机的数据流量作为检测对象，在对TCP SYN Flood攻击原理分析的基础上，设计并且实现了一个即时识别DDoS攻击的检查和测试并且还能防御的系统方案。

1 TCP SYN flood攻击原理

TCP SYN flood是很常见的一种拒绝服务（DoS）攻击，它是主要是针对TCP协议的三次握手机制进行的，这个机制承在一定缺陷，可使服务器资源很快耗尽导致服务器瘫痪而无法正常工作，因而无法正常为用户提供服务，造成的危害非常大。TCP SYN flood攻击过程如图1所示，过程如下：1)客户机先向服务器发出SYN数据包，请求建立连接；2)服务器应答SYN/ACK指令的同时还需要为此连接分配一定的内存空间；3)服务器向客户机发出SYN／ACK响应指令，等待客户机的回应；4)客户机为了躲避被服务器追踪，利用服务器并不检查数据包的源IP地址是否真实有效的特征，也不会去检查所发请求数据包的源IP地址采用的是随机产生的模拟地址；5)服务器一直无法等到客户机的响应而处于半连接状态，直至连接超时。由此可见TCP SYN Flood攻击不仅需要消耗CPU资源，还需要占用非常大的存储空间，如果客户机在非常短的时间内向服务器发送巨量这种带有虚拟源IP地址的连接，服务器因为资源消耗殆尽而很快进入非正常工作状态直到瘫痪。

2 DDoS攻击防御模型

分布式拒绝服务攻击通过大量已经被攻击者控制的主机同时向目标主机发起DoS攻击，来迅速耗尽网络和系统资料。这些来自很多且不同的地方汇聚起来巨大威力的拒绝服务(DoS)攻击，以目前的预防、检测和源端追踪技术是非常难以奏效的。把检测系统位于受害者主机附近，使得攻击防御更加简单，因为只要监控所有和受攻击者相关的数据包流就可以了。因为攻击数据流量是可以简单模仿正常数据流量的，所以准确来区别开攻击流量和正常数据流量已经成为了防御的关键，但问题是如何进行？由于TCP SYN flood攻击主要是利用TCP/IP协议的漏洞进行攻击的，所以只要通过监控TCP业务判断是否存在不正常就可以检测出此种攻击行为。因为在正常的TCP通信过程中，SYN数据包数量和FIN数据包数量并不是完全相等的，究其原因是存在能够终止TCP会话过程的RST数据包，从而导致了不产生FIN数据包。比如发送端发SYN数据包至接收端已经关闭了的端口，接收端就会回送RST数据包。根据TCP会话过程就可以明显发现，在一般正常的通信过程中，SYN数据包与FIN数据包的数量差值与RST数据包非常接近，当出现了TCP SYN flood攻击的时候，SYN数据包与FIN（RST）数据包的数量关系就与正常的一对一对称关系有一定的偏离。因此就要判断SYN与FIN（RST）的数量差异在一定的期限内是否产生较大的变化就可以作为该模型检测TCP SYN flood攻击的一个重要指标。

VTCP

在公式（1）中VTCP为受到攻击时的阀值。设定一个可疑阀值DTTCP，分别代表受到不同程度的攻击。前者可以直接用来判定攻击的发生，后者说明有可能受到攻击但不能单独确定。

图2系统框架

针对比较典型的TCP SYN flood攻击，该文提出了一种比较有效的防御模型。如图2所示的模型，此模型对于连接并进入服务器的数据流量使用数据包类型检测以监控上述指标，同时结合数据流量的变化以检测攻击与否，当发现攻击行为则使用数据流量控制和数据拥塞控制进行数据流量抑制的方法实现防御。

此框架包含以下内容：受害者（受攻击者），IDS（入侵检测系统），网络管理器。IDS主要负责检测网络攻击并在第一时间向网络管理器发送TCP SYN flood攻击警告信息。此框架的运行流程主要为：IDS检测到针对受攻击者主机或者网络的TCP SYN flood可疑攻击行为，再及时向网络管理器发出TCP SYN flood攻击警告信息，并向网络管理器告知被攻击的目标，网络管理器会先验证警告信息是否可靠，然后再向边界路由器发出过滤指令，并告知目标地址是受攻击者主机，边界路由器在收到此指令时就对目标地址为受攻击者主机的数据包流作标记，受攻击者主机收集这些作了标记的信息并分析重构完整或者局部的攻击者路径，把分析重构得到的进入信息返回给网络管理器，网络管理器再决定在边界路由器处过滤并向这些过滤路由器发出过滤指令，路由器则开始对目标地址是受攻击者的数据流量包进行一定的过滤动作。

3详细流程

连接客户端的IDS接收到一个判定值超过了VTCP阀值，IDS把信息直接发到网络管理器同时由管理器向边界路由器做出响应措施的指令。当IDS接收到的值没有到达阀值VTCP，但却超过了可疑阀值DTTCP，也就是说对当前的数据包已经产生一定的怀疑，但还不确定是否真的发生了攻击，那么IDS会把可疑情况报告给网络管理器，然后由网络管理器根据当前的整体情况判断是否有攻击发生，如果有则会向边界路由器发送控制的通告，如果没有则对路由器不做控制。流程图如图3所示。

当IDS报告一个攻击数据包流时，网络管理器首先将它加入到活跃攻击流中，然后和当前所有有效的怀疑数据包流比较，如果存在一样的怀疑数据包，那么通知边界路由器该数据包流可以认定为攻击流，同时在网络管理器将该流转化为攻击流记录到活跃攻击流中。

4结论

DDoS攻击为一种当前黑客经常采用而且难以防范的攻击手段，它以破坏计算机服务系统或网络的可用性为目的，有着极大的危害性。虽然路由器与防火墙能够在网络边界进行一定的检测和防御功能，也能在一定范围内抵御DDoS攻击，但由于DDoS攻击手段经常多样化，而且攻击工具种类不断增多，且数据的通信过程经过保密，所以检测和防御DDoS攻击是非常困难的。该文描述了DDoS攻击步骤和攻击特点，并且在此基础上具体分析了目前最流行最有效的DDoS攻击行为TCP SYN Flood的攻击原理，根据此原理提出了一种实时识别DDoS攻击的检测和防御系统框架和系统流程，为研究DDoS攻击防御策略提供参考。

参考文献：

[1]严芬,陈轶群,黄皓,等.使用补偿非参数CUSUM方法检测DDoS攻击[J].通信学报, 2008,29(6):126-132.

[2]莫家庆,胡忠望. DDoS攻击防御模型的仿真研究[J].北方工业大学学报, 2011,23(3).

[3] Savage S, Wetherall D, Karlin A，et a1. Practical networks support for IP trace back[C]// New York:Proceedings of the ACM SIGCOMM 2000 Conference, 2000:295-306.

[4]胡小新.一种DDoS攻击的防御方案[J].计算机工程与应用, 2004,40(12):160-164.

[5] Arbor Network. Worldwide Infrastructure Security Report[EB/OL]. (2009-09-12). www.省略/report.