基于边界网关自适应DDoS攻击防御策略.docVIP

基于边界网关自适应DDoS攻击防御策略摘要： 传统基于主机的防御无法应对分布式拒绝服务（ＤＤｏＳ）攻击对整个自治系统的冲击。提出了双过滤并行净化网络方案、基于自治系统的自适应概率包标记方案和基于源地址验证的单播反向路径转发策略，形成了基于边界网关的ＤＤｏＳ攻击防御体系，提高了包标记方案的效率，简化了防御部署。实验验证了该防御体系的有效性 关键词： 中图分类号： ＴＰ３９３．０８ 文献标识码：Ａ 文章编号：２０９５－２１６３（２０１１）０１－００７９－０４ ０引言 分布式拒绝服务ＤＤｏＳ（Ｄｉｓｔｒｉｂｕｔｅｄ Ｄｅｎｉａｌ ｏｆ Ｓｅｒｖｉｃｅ） 攻击是利用大量攻击主机同时对受害者发起拒绝服务攻击，使受害者无法提供正常服务。根据攻击目标的资源可用性，ＤＤｏＳ攻击可分为资源消耗攻击和带宽消耗攻击[１]。带宽消耗攻击通过使用大量的数据流来消耗目标的带宽资源，不仅使受害者不能接收合法请求，而且对其所在网络造成严重拥塞，甚至可能造成附近网络瘫痪。ＤＤｏＳ攻击利用了Ｉｎｔｅｒｎｅｔ体系结构上的缺陷，因此在网络体系结构不变的前提下，无法完全从根本上阻止ＤＤｏＳ攻击，只能尽量缓解攻击造成的危害 文献[２]提出了通过中间网络的响应比通过受害网络要有效，因为中间网络能处理大量攻击流，并可分布协作处理，可以检测路由器流量，定位跟踪节点或过滤等。文献[３]提出了集合蜜罐、路由黑洞等特点的网络排污口方案，能有效防御ＤＤｏＳ攻击；文献[４]给出了基于概率包标记的ＩＰ地址追踪方法，能有效追踪攻击源；文献[５]提出了单播路径反向验证技术，对ＩＰ欺骗攻击有很好效果。但是，排污口技术无法对攻击流量和合法流量区分对待，概率包标记局限于路径较短的简单网络，路径反向验证只适用于伪造ＩＰ地址攻击 基于以上局限性，本文提出了自适应双过滤净化网络，使用双层过滤器并动态提取黑白名单规则配置边界网关的访问控制列表ＡＣＬ（Ａｃｃｅｓｓ ｃｏｎｔｒｏｌ ｌｉｓｔ），动态适应流量变化，过滤净化攻击流量；基于自治域号ＡＳＮ（Ａｕｔｏｎｏｍｏｕｓ Ｓｙｓｔｅｍ Ｎｕｍｂｅｒ）的自适应概率包标记方案，使用动态标记概率适应网络拓扑，以ＡＳＮ作标记提高攻击源追踪效率；基于源地址的反向路径入口地址验证，在攻击源入口处进行报文过滤。三个模块组合形成基于边界网关的自适应ＤＤｏＳ攻击防御技术 １相关工作 １．１ 传统ＤＤｏＳ攻击防御技术 针对ＤＤｏＳ攻击的常用方法是在恶意流量入口的边界路由器上配置访问控制列表ＡＣＬ来过滤攻击流量，同时使用限速限制带宽来减缓拥塞。但是，ＤＤｏＳ攻击源自大量分散的主机，而且经常使用源地址欺骗，使用ＡＣＬ过滤恶意流量的方法耗费成本太高；防火墙在进行攻击检测和保护目标网络的同时，也对受害主机的正常访问造成一定影响；运营商经常采用ＢＧＰ触发黑洞路由技术来防御ＤＤｏＳ攻击，其原理是通过一台路由器在ＡＳ内部的所有ＩＢＧＰ邻居上触发黑洞路由，拒绝所有发向攻击对象的流量。这样将使合法访问也无法正常进行，对攻击流量的记录和分析也较为困难[３]。在传统的ＤＤｏＳ攻击防御策略中，一般将抗ＤＤｏＳ攻击设备串联在网络中，一旦发生攻击，直接由这些设备进行流量分析过滤。这样固然响应迅速，但相当于在网络中增加了一个或多个结点，从而增加了潜在的故障点。若抗ＤＤｏＳ攻击设备防御失败，则会造成整个网络断线 １．２基于网络排污口路由的ＤＤｏＳ攻击防御技术 网络排污口（Ｓｉｎｋｈｏｌｅ）路由技术[６]可在发生攻击时通过ＢＧＰ协议触发边界路由器上路由策略，将流量牵引至排污口路由器，与之相连的ＤＤｏＳ攻击记录分析设备对攻击流量进行记录和分析，进而提取出过滤规则和完成攻击源的追溯。排污口技术同时集合了黑洞路由、蜜罐网络技术[４]的特点。与蜜罐技术不同，排污口技术重点保护的是整个自治域网络的整体安全，而不是一两台主机。排污口技术能有效应对大规模ＤＤｏＳ攻击，但无法区分攻击流量与合法流量，即攻击发生时，抛弃攻击流量的同时，合法流量也被抛弃 １．３基于包标记的ＩＰ追踪技术 当发生ＤＤｏＳ攻击时，追溯攻击源，在上游配置过滤器，可提高ＤＤｏＳ攻击防御效果，减小对下游和受害网络的危害[７]。在路径追溯方面，广泛采用的方法是数据包标记技术，即利用数据包中没有利用到的空闲空间记录所经过路由信息。最简单的包标记方案是将路由器地址写入数据包的ＩＰ选项字段，但数据包长度增加可能会导致数据包额外分段。文献[５]提出一种概率包标记（ＰＰＭ）技术，即以某一概率向数据包中添加路由地址信息。其占用网络资源少，只需要网络中部分路由器参与包标记，且无附加流量。该方法征用数据包头部的不常用字段，如ＩＰ首部选项，ＩＰ包首部标准字段空间，或者对原包重新封装。由于数据包头部空间有限，不足以存放