云环境下分布式拒绝服务攻击的特点及防御技术研究

摘要：近年来，分布式拒绝服务（DDoS）攻击已经成为互联网所面临的最为严重的威胁之一。它具有易于实施、难以防范、攻击力度强、事后难以追踪攻击源等特点，对网络应用具有极大的危害。现有传统的针对分布式拒绝服务攻击的防御技术如防火墙、入侵检测系统等只能被动地抵御攻击，难以适应云环境下亦趋复杂的攻击模式，防御的效果不够理想。随着云技术的迅速普及，在云环境的资源池化、按需自助、广泛的基于网络的访问、快速扩充或缩减及可度量的服务等特点下，如何有效防御云h境下新形态的分布式拒绝服务攻击是目前网络安全领域面临的重大挑战之一。

关键词：云计算；分布式拒绝服务攻击；防火墙；软件定义网络；费用攻击

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）17-0029-02

1云计算相关概念

目前业界对“云计算”一词有多种定义，这其中以美国国家标准与技术研究院（National Institute of Standards and Technolo-gy，NIST）所给出的定义最受业界认可。所谓云计算是指如下所述的一种计算方式：它使用广为普及的互联网网络连接来达到对各种资源随时、按需、便捷的访问和共享的目的。云计算与传统网络服务商所提供的服务模式之间的区别主要在于以下几点：资源池（Resouree Pooling）、按需自助（On-Demand Serf-Service）、广泛的基于网络的访问（Broad Network Access）、快速扩充或缩减（Rapid Elasticity）以及可度量的服务（Measured Ser-vice）。“资源池”是从服务提供商的资源提供技术角度描述的。不同于传统服务商直接租用整台物理服务器给用户，云服务提供商利用虚拟化技术将所拥有的资源进行虚拟化并向用户提供虚拟服务器。在这种技术的支持下一个物理服务器可以拆分成多个虚拟服务器向多个用户提供服务，或将多台物理服务器虚拟为同一台虚拟机对一个客户提供服务，服务的提供更加灵活。“按需自助”是指在服务的获取方式方面，云平台用户在需要获得服务的时候不需要像传统方式一样预先与服务提供商联系进行资源的配置等操作，可以进行网上自助服务。“广泛的基于网络的访问”是指在访问方式角度来说，云平台用户可以随时随地简单的通过各种网络终端连接自己的云平台服务控制端进行操作；“快速扩充或缩减”是指云平台具有良好的可扩充性，用户甚至可以在预先设置好的情况下由系统自动分配所需的资源，达到最为经济且高效的效果。“可度量的服务”是从服务提供商计费角度的描述。与传统的服务商的计费模式不同，云服务提供商的计费模型是以用户对云资源的占有量（如使用了多少CPU，多少内存，多少流量）来计费的。

结合以上美国国家标准与技术研究院对云计算提出的定义，可将云平台依据云计算资源的所有权分为以下三种模式：公有云（Public Cloud）、私有云（Private Cloud）和混合云（Hybrid Cloud）。在公有云模式下，所有资源归服务提供商所有，提供商应用一系列云技术公开向用户提供服务，用户只需要单纯的调用服务商的服务即可构建自身业务。例如阿里云就是典型的公有云服务模式，其优势在于使用方便。私有云是指用户本身拥有大量的资源，并通过云技术将拥有的资源云化，用于实现自身复杂业务的服务模式。此模式多见于用户对云服务具有巨大需求并且对服务的数据安全和可用性等方面有极高要求的场景，例如各地的政务云就是典型的私有云服务模式。在这种服务模式可更好地保证自身的数据安全性、系统的可靠性。而混合云则是将两者相结合的技术，在安全性可靠性更好的私有云上实现核心业务，使用经济便捷的公有云来实现的业务逻辑，这种服务模式尤其适合只有部分业务对安全和可靠性有极高要求的场景或是已经拥有一定数量资源但又无法完全满足业务需求的场景。其优势在于能够在成本与安全间达到平衡，并避免对已有资源的浪费。

2分布式拒绝服务攻击的概念

分布式拒绝服务攻击是指攻击者通过各种手段获得大量被控计算机作为攻击平台（僵尸网络），向被攻击的网络应用发起大量网络请求，超出应用的承受上限从而使其停止服务。

通常，僵尸网络分为一台或少量几台主控机和大量的机，分别安装有对应的软件。攻击者远程向主控机发送指令，接下来主控机控制机来向被攻击者发送大量网络请求进行攻击。相对于其他攻击模式，DDoS攻击不需对被攻击的网络应用进行深度的分析，所以实施较为容易；攻击往往混杂在合法的访问中，难以进行对其进行有效的过滤；在攻击者拥有较大规模的僵尸网络的情况下，攻击会产生巨大的恶意流量，对被攻击者产生巨大的冲击；由于采用了攻击者、主控机、僵尸网络三层结构，事后追查的时候很难精确定位攻击者。

3云计算环境下分布式拒绝服务攻击的特点

3.1云化的僵尸网络

从DDoS攻击的原理可知，DDoS攻击的效果强弱很大程度上取决于攻击者拥有的僵尸网络的规模大小。利用传统方式构建大规模的僵尸网络不但技术上十分困难，还需要耗费大量时间。但在云计算时代，黑客可以利用公有云平台来建立僵尸网络，这种方式比传统的僵尸网络构建方式更加快速并且成本低廉。在网络上甚至已经发展出了专供黑客使用的恶意的SaaS（software-as-a-Service）模式。在这种模式下DDoS攻击的整个流程被虚拟化为一种服务进行出售，攻击者只需要简单的购买攻击流量就可发动攻击，甚至不需要知道攻击的实现原理。这使得发动DDoS攻击的门槛大大降低，也是目前DDoS攻击愈演愈烈的原因之一。

3.2利用移动设备进行攻击

云服务广泛网络访问和快速伸缩的特性促进了大规模、复杂DDoS攻击的发展。云计算的广泛网络访问的特征可以保证访问者在各种平台下能够方便地访问云服务，然而在一些新兴的平台如移动设备缺乏必要的防范措施，这也给新型的DDoS攻击提供了发展契机。随着移动设备的爆发式发展，其计算能力和带宽已和之前的同类产品不可同日而语，所以移动设备正越来越多地被用于发起DDoS攻击。

3.3云平台下DDoS攻击的扩散性

由于云平台使用了虚拟化技术同时为多个用户提供服务，而在这种模式下针对其中一个用户的DDoS攻击比传统服务提供模式更容易对同一供应商下的其他用户产生影响。在云平台下的虚拟化技术的支持下一台物理服务器很有可能会虚拟为多台虚拟机供多个用户使用，而这多个用户可能会对主机上的设备进行一定程度上的共享。这就使得当一个用户受到攻击时很有可能会对同一台主机上的其他用户造成影响。

3.4云环境下特有的费用攻击

云环境具有服务可度量的特点，所以出现了云环境下特有的DDoS攻簦即费用攻击。由于云平台采用了按量付费的计费模型，在遭受DDoS攻击的时候会产生大量额外资源（带宽、算力等）的消耗，从而会使被攻击者承受超额的经济支出。如被攻击者在云平台的余额不足或额度不够的话，还会造成服务暂停。

4主要防御技术

4.1防火墙和入侵防御系统

目前，在云服务访问接入点位置针对DDoS攻击的防御方式普遍采用入侵防御系统和防火墙相结合的技术方案。防火墙首先根据请求的IP地址和端口号等信息对流量进行初步的过滤，接下来入侵检测系统会深入检测数据包的内容来对流量进行进一步的过滤。如果攻击者使用的是在规则集中合法的IP地址和端口来进行DDoS攻击，那么此次攻击生成的恶意流量就会顺利通过防火墙程序的检查，但由于有入侵检测系统的存在，在深度检测数据包的内容后依然会发现攻击意图并对恶意流量进行过滤。

现有的云平台大多采用的是集中式云防火墙的设计。云平台用户不需要自己建设防火墙，仅需要将制定好的规则集提供给云服务提供商，后者根据不同用户提供的规则集在整个系统的网络访问接入点设置集中式的防火墙。这种集中式的云防火墙可以降低用户的系统构建难度，并且比自己建设防火墙系统更为安全。不过当这种防火墙受到云环境下的新型DDoS攻击时就会体现出以下几点不足：

1）防火墙失效：由于云防火墙具有集中式的特点，一旦宕机，针对DDoS攻击的防御将无从谈起；

2）规则集爆炸：为整个云平台中的服务搭建集中式防火墙会产生一个庞大的规则集合，由于集中式的云防火墙集中了统一服务商下大量云服务用户的规则集合，这可能造成在对访问流量进行如此大量的规则遍历、匹配时消耗过长时间，拉低系统效率。

3）难以满足应用个性化需求：云服务用户的个性化需求可能不单单在规则集方面，识别为DDoS的攻击速率的流量阈值，周期等都可能包含在云服务用户的个性化需求中。理想的情况下应该对这些参数都能够进行个性化设置，而集中式的防火墙难以满足这种定制化需求。

虽然入侵防御系统和防火墙对DDoS攻击有一定防御作用，但由于上述缺点的存在，针对DDoS攻击的防御不能仅在云服务访问接入点位置进行，还需要结合其他方案共同使用。

4.2软件定义网络

洪水DDoS攻击产生的流量和正常的高并发场景产生的正常流量具有相似的特征，都是在较短内产生了比平时更多的网络请求和较大的请求增量。简单的设置请求总量阈值或增量阈值来防御DDoS攻击是不合理的，这样做很可能会使一些正常网络请求遭到拒绝。例如2015年9月12日苹果iPhone6S开放预售，大量的消费者涌人导致商城瘫痪了104分钟。云平台有按需自助、弹的特性，这种高并发的场景本可使用云平台的优势来迅速扩充系统资源从而满足访问需求。可见精确区分洪水DDoS攻击产生的流量和正常的高并发场景产生的正常流量是很重要的。观察结果显示，在系统收到的网络请求异常增加时，如果这种异常是由洪水DDoS攻击所导致，由于攻击者通常希望能够最大限度地发挥所掌握的僵尸网络的攻击能力，现象会是每个IP地址请求的速率都会异常升高；而如果异常是由正常的高并发访问导致，则会体现为仅是IP地址的数量上升，每个IP地址请求的速率并不会异常升高。另一方面，虽然洪水DDoS攻击和高并发的正常流量都具有在较短时间产生大规模流量的特点，但由于洪水DDoS攻击产生的流量通常来自于僵尸网络中安装的攻击程序，而正常流量来自于独立的普通用户，因此，攻击流量的每个请求包的相关系数会比正常流量的相关系数大，通常利用这一区别来进行洪水DDoS攻击的筛选。

然而在高负载情况下使用上述方法进行检测可能会对系统性能造成较大影响甚至使过滤失效，而结合软件定义网络的方法可以更好的解决网络层DDoS攻击过滤的问题。软件定义网络的原理是应用虚拟化技术将网络控制层从传统网络架构的设备中独立出来并配置独立的控制系统。这种控制系统相较于传统控制方式在效率效率方面会有极大的提升，将处理规则集成在此控制系统中即可解决传统方式的效率问题。

4.3针对低速率DDoS防御

应用层DDoS攻击不仅有洪水攻击这一种攻击模式，目前攻击者为了规避DDoS防御系统更多采取的是低速率、隐蔽式的攻击的模式。低速率DDoS攻击相对洪水DDoS攻击其流量特征与正常流量更为接近，所以更加难以发现。此种攻击模式主要针对云平台的网络协议的特点来发动攻击，具有周期性、脉冲性以及低速性的特点。攻击者周期性发送请求，并且每一次脉冲持续时间较短，这样就会触发TCP协议的超时重传机制，迫使流量重复进入重传状态来达到攻击目的。

针对云环境下应用层隐蔽式低速率DDoS攻击的防御目前还未有行之有效的解决方案。隐蔽式DDoS攻击因为其攻击速率较低、流量在结构上和正常流量相同，使得洪水DDoS攻击检测相关算法并不适用；传统网络环境中的隐蔽式DDoS检测方法如深度包检测，在云环境中面对大规模攻击流量时难以满足实时性的需求。云环境中由于有多个云服务用户的存在，其构造的应用层协议也是各不相同，而应用层DDoS攻击防御和具体应用的漏洞有关，因此需要针对不同应用的特点提供定制化的应用层DDoS攻击防御措施。

4.4针对费用攻击的防御

费用攻击是指攻击者利用云平台的收费机制对云平台上的应用进行的攻击。传统的DDoS攻击模式一般是直接向被攻击者发起大量的请求以期超出系统负载上限直接使被攻击应用瘫痪；而费用攻击是利用云平台的按需付费的付费模型，发动的攻击一般是在被攻击系统的可承受范围内的，并且经过精心伪装和正常请求的内容基本相同，其目的是让被攻击者承担更高的费用，如被攻击者在云平台的余额不足或额度不够的话，还会造成服务暂停。针对这类攻击的防御主要使用的是黑名单检测算法和基于网络访问日志中应用请求分布检测算法。黑名单检测算法通过检测访问日志对一段时间之内应用收到的请求来得出各个请求发起者的行为特征，从而锁定恶意用户并加入到黑名单。请求分布检测算法是指根据平时统计的各个网络访问参数的统计学分布规律，找出低概率事件大量发生的可疑区间，对此类访问进一步分析即可较为有效地过滤掉恶意访问流量。

5结束语

随着云技术的快速发展，DDoS的攻防也有了显著的变化。上文总结了云环境下出现的新型DDoS攻击的特点，云化的僵尸网络，利用移动设备的攻击，攻击在云平台上的扩散性和针对云平台用户的费用攻击，同时总结了针对此类新型攻击的一系列解决方案，包括防火墙和入侵防御系统，软件定义网络，针对低速率DDoS攻击的防御和针对费用攻击的防御等。从以往网络安全攻防的发展势头来看，我们有理由推断在可预见的未来还会有更先进的DDoS攻击方式出现。但笔者愿意相信随着网络安全技术的进步，这种危害公共信息安全的攻击总有一天会销声匿迹。