基于蜜罐技术DDoS攻击防御研究.docVIP

基于蜜罐技术DDoS攻击防御研究 　　引言 　　随着网络信息技术的快速发展，信息安全问题也层出不穷。信息安全技术是整个信息技术的重中之重。信息安全就是一场攻击方（黑客等）和防御方（?W络安全管理员等）之间的博弈。 　　在各种网络攻击中，以DDos攻击危害性最大也最难防御。DoS（Denial of Service，拒绝服务）攻击是一种攻击者通过发送大量伪造请求消耗服务器资源或网络带宽从而导致服务器或网络瘫痪的网络攻击手段Ⅲ。DoS一般是一对一的攻击，破坏程度低，如果是多对一的攻击，破坏程度就会很高，那么目标主机就很容易瘫痪，这就是所谓的DDoS攻击。DDoS是分布式拒绝服务（Distributed Denial of Ser.vice）攻击的英文缩写。顾名思义，黑客用网络上的已被攻破和控制的电脑作为“傀儡”，然后用为数众多的分布在不同地理位置的“傀儡”主机对目标服务器发动如同洪水猛兽般的大规模密集式攻击，使得目标服务器系统资源或网络带宽被占用耗尽甚至瘫痪以致不能为真正用户的正常请求提供服务。 　　近些年来大规模且破坏严重的DDoS攻击层出不穷，尽管它是网络空间中一种极其简单粗暴的攻击方式，但却是让世界各大网站管理员谈虎色变的话题。仅2016全年就发生了这7起严重的DDoS攻击事件：（1）暴雪DDoS攻击；（2）珠宝店遭遇25000个摄像头组成的僵尸网络攻击；（3）Anonymous组织发起的“Operation Oplcarus”攻击；（4）精准的NS1攻击；（5）五家俄罗斯银行遭遇DDoS攻击；（6）Mirai僵尸网络攻击KrebsonSecurity；（7）美国大半个互联网下线事件。 　　尽管DDoS攻击具备了分布式的特定，攻击强度也强大了很多，但是我们并非对此就束手无策和坐以待毙。目前应对DDoS攻击已有了很多方法，可以从不同的位置进行防御，如表1所示。 　　本文提出了一种基于蜜罐技术的DDoS攻击防御技术，有了如下改进：（1）本技术部署在受害服务器端，不需要ISP的支持与配合，不依赖资源优势和更多额外设备的支持。（2）本技术通过蜜罐技术采集异常网络流量来检测被保护的服务器系统是否受到DDoS攻击，不考虑源IP地址的真伪。（3）蜜罐系统对攻击行为进行记录，远程存储的日志记录对攻击行为的分析和防御措施的部署提供详细的参考信息，甚至还可以对攻击取证提供法律证据。（4）本技术采取判断重定向机制，能够识别、渗透和分析这种机制，并以一种自动的、受控制的方式处理访问请求，对访问行为进行重定向，攻击行为由蜜罐系统处理，正常用户的访问由真实服务器处理，保障了系统的可用性和可靠性。 　　1DDoS攻击特点分析 　　通过对近年来大规模的破坏严重的DDoS攻击细致的分析，可以得出DDoS攻击有以下主要特点： 　　（1）攻击规模强度大。由于黑客利用被攻陷的众多傀儡主机或“僵尸网络”同时对目标服务器进行攻击，将汇聚形成巨大的攻击洪流，短时间内即可达到目标服务器的处理容量上限，导致目标服务器无法为真正用户提供正常服务，即所谓的拒绝服务。“10?21美国网络瘫痪事件”就是由于黑客对Dyn公司运营的根域名服务器发动了DDoS攻击，使得根域名服务器无法对正常网站提供DNS域名解析服务，从而导致全美Twitter、纽约时报等主要网站几乎都中断了服务。Dyn公司表示针对物联网智能设备的被Mirai恶意程序感染的僵尸网络可能就是发起该DDoS估计的罪魁祸首，这是有组织有预谋的大规模网络攻击行为，来自千万数量级的IP地址（tens of millions of IP addresses at the same time）参与了攻击。图1是Twitter网站状态历史记录，大规模的DDoS攻击最终使得网站瘫痪、无法访问。 　　（2）攻击影响范围大。DDoS攻击的目标种类繁多，可以是各大门户网站、政府政务网站、企事业单位网站或域名解析服务器。“10?21美国网络瘫痪事件”几乎导致整个北美网络瘫痪，如图2红色部分区域用户表示他们无法访问网站。 　　（3）攻击源分布式。DDoS不同于DoS之处就是DoS是一对一的映射，而DDoS是多对一的映射，攻击源可能位于网络中的不同节点位置和不同的地理位置。特别是僵尸网络发起的DDoS攻击，其僵尸主机遍布全球各地。攻击者从多个攻击源对目标服务器发动攻击。 　　（4）攻击行为匿名。一般来说，攻击者为了隐藏身份，通常会随机伪造源地址，通常会控制一个大型的僵尸网络向目标服务器发动攻击。 　　（5）反侦探技术强。攻击者进行攻击行为后，一般会篡改或者删除服务器日志记录，让防御者防不胜防。 　　2蜜罐技术分析 　　2.1蜜罐技术 　　网络信息安全如此糟糕，究其根源就是攻击者与防御者之间在进行着一场不对称的攻防博弈