基于网络层的DDoS攻击模型与安全防御策略研究.docx

?

?

基于网络层的DDoS攻击模型与安全防御策略研究

?

?

摘??要：由于多向量攻击的发展，网络层攻击变得越来越复杂，攻击者将高Gbps（Gigabitspersecond）和高Mpps（Millionpacketpersecond）攻击结合在一起，基于网络的容量攻击会耗尽服务器资源并消耗可用带宽，最终的结果是拒绝向合法用户提供服务。针对这种情况，论文对网络层攻击的模型深入分析，提出了网络层发生的DoS（DenialofService）攻击防御模型，通过构建并弹性获得吸收攻击所需的帶宽容量和过滤攻击流量的网络架构和安全策略，仅将正确流量进入网络，减少数据中心受到DDoS（DistributedDenialofService）攻击的可能性，提高数据中心对网络层DDoS攻击的防御能力，改善网络环境，显著提升网络系统的安全性能。

关键词：DDoS攻击;网络层;安全策略;攻击防御

：TP393?????：A

1引言

随着网络的日益普及，专门针对不同网络系统攻击的数量、类型、大小和成本也相应增加。波耐蒙研究所（PonemonInstitute）进行的一项全球调查的结果表明，分类中排第一的是拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击，占每年所有网络犯罪的55%以上，是影响最大的网络犯罪。世界知名企业Akamai（阿卡迈）预测2020年平均DDoS攻击将产生1.5Tbps的网络流量。如果数据中心已成为DDoS攻击的目标，则有25%的机会在3个月内再次受到攻击，并且有36%的可能性在一年内会再次成为攻击目标。

2?DoS/DDoS攻击

在DoS攻击中，攻击者可以使用Internet连接来利用软件漏洞或向服务器发送多个虚假请求，最终导致该站点不可用并阻止其响应合法用户的请求，发起DDoS攻击的第一步是招募一系列机器人，一旦节点计算机变成机器人，它连接到攻击者的控制电路，并开始接受来自控制服务器的指令，来自指挥控制服务器的指令包括使用选定的攻击方法从机器人恶意软件向特定目标发起攻击的指令[1]。一群被控制的主机被称为僵尸网络，它通常由数千个被控制的主机组成。每当僵尸网络所有者想要发起攻击时，都会向僵尸网络的控制服务器发送消息。僵尸网络中任何受影响的机器都将服从命令，发起一场协调、适时的分布式攻击，即分布式拒绝服务攻击[2]。可以使用各种按需付费的DDoS服务来创建自己的僵尸网络，使用此类服务的任何人都可以发起强大的DDoS攻击。

2.1?最早记录

第一次公开记录的DDoS攻击发生在1996年9月，攻击对象是纽约市历史最悠久的互联网服务提供商Panix。SYN泛滥被用来耗尽可用的网络连接，并阻止合法用户连接到Panix服务器。一个全球互联网专家小组花了大约36个小时的工作，最终才夺回了Panix域名的控制权。2005年，“”域名在美国的一个长假周末再次被劫持。第二个重要的里程碑是电子干扰剧场（EDT）对DDoS的使用。这时黑客使用的是内部开发工具，让组织外部的任何人都可以加入。开发的工具包（FloodNet）可以将用户的流量引导到EDT预先确定的目标，希望加入“sit-in”的人只需从下拉菜单中选择他们的目标点击攻击，等待FloodNet自动轰炸攻击服务器。

2.2?国内影响最严重的DDoS攻击

2013年，中国部分互联网遭遇了有史以来最大的拒绝服务攻击。据中国互联网络信息中心（CNNIC）称[17]，袭击始于周日凌晨2点，随后在凌晨4点发生了更严重的袭击。此次攻击的目标是注册中心，主要是域名为“.cn”的网站。

2.3?流量最大的一次DDoS攻击

最近一次是在2016年1月，“新世界黑客组织”（NewWorldHackinggroup）声称对英国广播公司（BBC）的全球网站和唐纳德·特朗普（DonaldTrump）的网站被攻陷事件负责。该组织针对所有BBC网站，包括其iPlayer点播服务进行了DDoS攻击，并在新年前夕把所攻击的网站关闭至少3个小时。这次攻击被称为DoS攻击史上流量最大的一次，攻击速度超过600Gbps。

DDoS攻击的业务影响是巨大的，通过消耗网络带宽在Internet上造成严重破坏，使可用的计算资源（如磁盘、内存、空间或处理器时间）不堪重负，破坏配置信息或重置设备信息，使企业名誉受损，还可能造成严重的法律后果。

3?网络层DDoS攻击模型

应用层和网络层是DDoS攻击的主要目标。对于网络层攻击是通过协议发送恶意数据包，以消耗目标的可用连接和可用带宽;对于应用层攻击是消耗Web服务器用来处理请求的计算资源（主要是CPU和内存）。网络层攻击是经常遇到的攻击，归因于许多主要站点上的中断服务，SYN泛洪、ACK泛洪或基于UDP的放大攻击都属于网络层攻击。网