基于P2P僵尸网络防治技术研究.docVIP

基于P2P僵尸网络防治技术研究 　　摘 要： 针对传统DDoS防御方法只能进行被动防御攻击，无法根除攻击流量这一问题，提出了IP城域网清洗方案。在研究了典型P2P僵尸网络SuperNet的架构、传播和引导策略、抖动处理方法、交互和控制策略以及参数选择的基础上，给出了传统防御方法的不足。最后针对现有的僵尸网络，设计了IP城域网清洗方案，同时给出了攻击流量识别方案、引流方案、DDoS流量清洗方案和正常流量回注技术的实现方法。 　　关键词： 僵尸网络； 分布式拒绝服务攻击； 流量清洗； P2P协议 　　中图分类号： TN915.09?34； TM417 文献标识码： A 文章编号： 1004?373X（2016）11?0086?04 　　Abstract： Since the traditional DDoS （distributed denial of service） defense method can only perform the passive defense attack， and is unable to eradicate the attack flow， the IP MAN （metropolitan area network） cleaning solution is put forward. On the basis of the study of the SuperNet architecture of typical botnet based on P2P， propagating and guiding strategy， dither processing method， interaction and control strategy， and parameters selection， the shortcomings of the traditional defense methods are given. In terms of the available botnets， the IP MAN cleaning scheme was designed. The implementation methods of attact flow identification scheme， drainage scheme， DDoS flow cleaning scheme and normal flow reinjection technology are given. 　　Keywords： botnet； distributed denial of service attack； flow cleaning； P2P protocol 　　0 引 言 　　随着Internet的飞速发展，各种网络攻击方法层出不穷，计算机网络的完整性、安全性、保密性均受到了非常大的挑战，其中以P2P驱动的分布式拒绝服务攻击（DDoS）为最常见的网络攻击技术[1?3]。由于这种僵尸网络没有中心控制点，当防御系统发现并清除网络中的部分僵尸主机时，并不会影响僵尸网络的运行，所以这类僵尸网络对网络安全的威胁性更大，P2P僵尸网络将成为Internet面临的最艰巨的挑战。 　　针对上述问题，结合传统DDoS防御的不足[4?5]，提出了IP城域网流量清洗方案。方案通过监控所有流量，遇到DDoS攻击时首先通知安全管理中心，然后通知流量清洗中心，进而对攻击流量进行引流、清洗、回注，从而实现对流量的防护和管理。 　　1 基于P2P的僵尸网络 　　僵尸网络是指攻击者利用网络构建的相互通信、集中控制的计算机群。分布式拒绝服务攻击（DDoS）属于DoS攻击的一种，但其是利用分布、协作的方式来对目标进行攻击，攻击者命令网络上可发动攻击的的主机，同时对目标进行攻击，使上百万的数据流入侵攻击目标，占领其系统资源和网络带宽，堵塞目标主机的服务请求，使其不能提供正常工作，其原理如图1所示。 　　由于P2P网络自身的节点对等，所以在P2P僵尸网络中没有单纯作为服务器的DoS控制器，而是由客户端和服务器共同担任僵尸程序的双重角色。接收攻击者命令的僵尸主机角色由客户端扮演，同时服务器将接收到的命令传送至其他节点。 　　2 典型的僵尸网络 　　从攻击者的角度，希望僵尸网络具有健壮性、隐蔽性和可控性[8]，对典型的僵尸网络SuperNet从架构、网络的传播与引导、抖动处理、控制与交互及参数选择方面进行分析，说明了P2P僵尸网络的难以预防性。 　　2.1 SuperNet的架构 　　构建僵尸网络的关键在于充分利用已有的信息实现对大量僵尸主机的控制。由于僵尸主机的分布呈现聚簇的现象，而漏洞主机IP地址的分布也呈现相同的现象，故