针对DDoS攻击的检测与控制系统

金伟等：针对DDoS攻击的检测与控制系统19针对DDoS攻击的检测与控制系统金伟崔鸿王志郭发勤汪屹文贺帅（中国民航大学天津300000）摘要：基于TCP协议的超时重传，实现了一个可以有效防御DDoS攻击中SYNFlood攻击的检测与控制系统。由于SYNFlood攻击无法实现超时重传机制，系统通过主动丢包的方式来验证发送方是否能够实现该机制，进而判断发送方意图，过滤攻击流量，同时采用黑名单、TCP代理服务器等机制提高系统性能。测试证明，此系统能在可以接受的延迟范围内有效降低攻击损害程度，保障Web服务正常提供。关键词：DDoS攻击；SYNFlood；网络安全；TCP代理；超时重传中图分类号：TP393.08文献标识码：ADetectionandControlSystemforDDoSAttackJinWeiCuiHongWangZhiGuoFa-qinWangYi-wenHeShuai(TheCivilAviationUniversityofChinaTianjin300000)Abstract:BasedonthetimeoutretransmissionmechanismofTCPprotocol,adetectionandcontrolsystemisdesignedtopreventSYNFloodattack(akindofDDoSattack)effectively.DuetothefactthattheSYNFloodattackcannotachievethetimeoutretransmissionmechanism,thesystemverifiesthesenderwhetherhecanimplementthemechanismbymeansofdiscardingthepacketforwardly,andthenjudgestheintentionofthesenderandfilterstheattacktraffic.Atthesametime,thesystemalsousestheblacklist,TCPproxyserverandothermechanismstoimprovesystemperformance.TestshaveshownthatthesystemcaneffectivelyreducethedegreeofattackdamagewithinanacceptableconnectiondelayrangeandensurethatWebservicesareprovidednormally.Keywords:ddosattack;synflood;networksecurity;detectionattack;controldefense第08卷第06-07期2017年7月Vol.08No.06-07Jul.2017网络空间安全CyberspaceSecurity1引言随着网络技术的日益发达，网络安全问题也日益严峻。网络环境中越来越多的黑客用多样的攻击手段侵犯着诸如政府、企业以及普通网民的利益，对社会造成了极其严重的不良影响。正是由于网络攻击方式的多样性，要想检测以及防御各种攻击方式，就要先研究其具体的攻击手段，了解攻击方式，从而制定相应的防御规则和控制系统。在众多攻击方式中，DDoS攻击中的SYNFlood攻击是一种很常见的攻击方式，针对此种攻击方式，我们提出了一种检测与控制系统的研发方案。2SYNFlood攻击DDoS（DistributedDenialofService)攻击,即分布式拒绝服务攻击，指攻击者借助Client/Service(客户端/服务器)技术，将多台普通计算机集合起来，对一台或多台目标计算机发起攻击，从而成倍的提高了拒绝式服务的攻击力度。而SYNFlood攻击正202017年第06-07期网络空间安全CyberspaceSecurity图1网络环境拓扑图是DDoS攻击中极具代表性的一种。根据TCP/IP协议栈，在客户端与服务器建立一次TCP连接时，需要有“三次握手”的过程，即客户端向服务器发送SYN报文，服务器接收到SYN报文后，为该次连接分配资源，并向客户端发送SYN+ACK报文，这种状态下的连接称为“半连接”，客户端收到SYN+ACK报文后，向服务器发送一个ACK报文，至此连接建立。SYNFlood攻击利用“三次握手”的漏洞，先构造了一次合法的SYN请求，但是在服务器返回了SYN+ACK报文后，不回复ACK报文，或是利用随机改写源IP地址技术使得服务器发送的SYN+ACK报文收不到回应。若攻击者发送大量的SYN报文，将导致服务器不仅需要维护着一个非常大的“半连接”请求列表，而且还要不断对这个列表中的IP进行SYN+ACK的重试，这极大地消耗了服务器的硬件资源，导致服务器无法提供正常服务甚至堆栈溢出进而宕机。3部署环境3.1基本思想为了提高系统性能，在Web服务器之前部署一个双网卡代理服务器，而我们的检测与控制系统则部署在这个代理服务器上，所有发向Web服务器的SYN报文都会被代理服务器拦截并进行处理（丢弃或转发）。这个代理服务器的存在可以极大地减轻Web服务器的压力，使得检测与控制系统和Web服务器更加健壮。3.2环境拓扑4.防御程序4.1基本思想超时重传是TCP协议保证数据可靠性的一个重要机制，其原理是在发送某一个数据包之后就开启一个计时器，在一定时间内如果没有收到发送的数据包的ACK报文，那么就重新发送数据包，直到收到ACK报文为止。SYNFlood攻击不回复ACK报文即不监听SYN+ACK报文的特点决定了SYNFlood攻击是无法实现超时重传机制的。利用这一点，可以在收到SYN数据包时记录IP地址并一律丢弃，当再次收到来自该IP地址的SYN数据包时再予以通过，即可达到过滤恶意SYN数据包的效果。另外，为了应对未利用随机改写源IP地址技术的攻击，我们增加了黑名单功能，当同一IP地址的SYN请求数量达到黑名单阈值时，系统会将该IP地址加入黑名单，之后将直接拒绝该IP地址的SYN请求。3.2算法流程（1）抓取发向Web服务器的SYN数据包，以无符号字符串的格式完整地从尾部存入队列。队列采取链式队列，既能动态调整大小，又能更充分地利用内存空间。（2）逐个从队列首部取出数据包，提取IP地址并在黑名单中检索，若该IP地址在黑名单中存在，则直接丢弃该包；若不存在，则进行下一步处理。（3）设计一个哈希表用以记录IP地址，同时记录收到来自该IP地址的SYN数据包数量。当数据包顺利通过“黑名单”的检测之后，提取IP地址并在哈希表中检索，若该IP地址在哈希表中不存在，则说明第一次收到来自该IP地址的SYN数据包，将该IP地址存入哈希表，并初始化收到SYN数据包数量值为一，丢弃该数据包。若该IP地址在哈希表中存在，则说明该数据包为超时重传包，将收到SYN数据包数量值加一，之后检查数量值，若未达到黑名单阈值，则将该数据包转发至服务器；若达到阈值，则将该IP地址加入黑名单，并从哈希表中删除该IP地址，丢弃该数据包。（4）黑名单以及哈希表中的表项需要定时清金伟等：针对DDoS攻击的检测与控制系统21图2核心算法流程图理，一是为了减小内存开销，二是可以提高检索速度，三是考虑到攻击采用的IP地址的时效性。在黑名单和哈希表中记录了各表项的最后更新时间，亦即每次访问到该表项时都会更新该时间。每隔一段时间，将会运行一次清理线程，将黑名单和哈希表中的过期表项删除。另外，为了减少每次更新时间值时访问系统时间的开销，设定了一个全局变量用以代表当前时间，每隔一段时间运行一个线程来更新此全局变量。（5）对于SYNFlood攻击的检测，将其并入控制系统中。当哈希表表项数量暴增时，即收到了大量的来自不同IP地址的SYN数据包，则说明Web服务器遭受到了SYNFlood攻击；若同时黑名单表项数量暴增，则可以判断出攻击并未采取随机改写源IP地址技术，并且为分布式攻击，反之则说明攻击采取了随机改写源IP地址技术，攻击源可能为分布式也可能来自于一台机器。另外，当哈希表表项数量变化不明显，但黑名单表项增加时，说明Web服务器受到了单台机器并未采取随机改写源IP地址的SYNFlood攻击。4.3核心流程4.4测试结果（1）不采取随机改写源IP地址技术进行攻击。对于每个客户端，代理服务器通过了黑名单阈值范围内数量的恶意SYN数据包，随后便一直拦截所有的恶意SYN数据包。普通用户的正常访问只要不处在攻击刚开始的时间段内，延迟就处在不可感知的范围内。（2）采取了随机改写源IP地址技术进行攻击。在每秒收到一万个SYN数据包的情况下，误通过的攻击SYN数据包每秒小于1个。普通用户的正常访问延迟在2秒以内。在每秒收到一百万个SYN数据包的情况下，误通过的攻击SYN数据包每秒小于3个。普通用户的正常访问延迟在7秒以内，亦处在可接受的范围内。另外，测试时使用的Web服务器以及代理服务器均采取单核处理器，内存亦仅有512MB。在现实情况中，服务器的性能会更强，再配合使用减小半连接过期时间等基础防御措施，能达到更好的控制效果。5结束语拒绝服务攻击是网络安全领域亟待解决的问题之一。本文介绍了分布式拒绝服务（DDoS）攻击，详细分析了SYNFlood攻击的原理，并紧贴原理提出了针对SYNFlood的防御方法。这种方法依赖TCP/IP协议，实现简单，成本低廉，适用于对中小型服务器进行SYNFlood防御。实验证明，本方法能在可接受的延迟内有效降低SYNFlood给服务器带来的危害，缓解服务器在遭受攻击时的压力。在未来工作中，我们将继续探索提高系统性能的方法，探索“白名单”或多级“黑名单”等思路，优化哈希表结构，与其它防御方法进行结合处理。基金项目：大学生创新创业训练计划项目（项目编号：IECAUC2016029）。参考文献[1][2]侯建柱,朴春慧,范通让.隐私保护云存储架构的研究[J].222017年第06-07期网络空间安全CyberspaceSecurity河北省科学院学报,2013,30(2):45-48.[3][4]李顺东,窦家维,王道顺.同态加密算法及其在云安全中的应用[J].计算机研究与发展,2015,52(6):1378-1388.[5]张薇,马建峰.LPCA-分布式存储中的数据分离算法[J].系统工程与电子技术,2007,29(3):453-458.[6]ShamirA.(1985)Identity-BasedCryptosystemsandSignatureSchemes.In:BlakleyG.R.,ChaumD.(eds)AdvancesinCryptology.CRYPTO1984.LectureNotesinComputerScience,vol196.Springer,Berlin,Heidelberg.[7]苏金树,曹丹,王小峰,等.属性基加密机制[J].软件学报,2011,22(6).[8]赵丽丽.代理重加密在云计算中的应用[J].信息安全.作者简介：金伟（1996-），男，汉族，安徽六安人，就读于中国民航大学，本科；主要研究方向和关注领域：Web安全、逆向工程。崔鸿（1972-），男，汉族，辽宁法库人，中国民航大学计算机学院，讲师；主要研究方向和关注领域：网络与网络安全、机场噪声监测。王志（1997-），男，汉族，河南信阳人，就读于中国民航大学，本科；主要研究方向和关注领域：僵尸网络、Web安全。郭发勤（1996-），男，土家族，重庆忠县人，就读于中国民航大学，本科；主要研究方向和领域：渗透测试、Web安全。汪屹文(1996-)，男，汉族，浙江衢州人，就读于中国民航大学，本科；主要研究方向和关注领域：Web安全、漏洞挖掘。贺帅（1995-），男，汉族