李碩，張權

（國防科技大學電子科學與工程學院，湖南長沙410073）

基于蜜罐的CC攻擊防護體系*

李碩，張權

（國防科技大學電子科學與工程學院，湖南長沙410073）

近年來，互聯(lián)網上流行一種應用層DDoS攻擊——CC攻擊。CC攻擊的危害很大：輕則導致頁面無法訪問，重則導致整個服務器癱瘓。目前針對CC攻擊的防護一般采用基于網站代碼優(yōu)化的檢測方法，然而這種方法會導致服務器在遭到CC攻擊時消耗部分主機資源。在傳統(tǒng)入侵防御系統(tǒng)基礎上，添加一個建立與真實系統(tǒng)相似的蜜罐主機，從而保證受保護主機在提供正常服務的同時免受CC攻擊。

CC攻擊；蜜罐；入侵防御系統(tǒng)

0 引言

進入21世紀以來，計算機網絡技術得到了飛速發(fā)展，Internet迅速普及到千家萬戶，網絡正在逐漸改變每一個人的生活方式和工作方式。與此同時，網絡安全問題也越來越嚴重。目前網絡入侵的頻率不斷增加，危害性日趨嚴重，其中以消耗網絡資源為目的的入侵行為尤其突出［1］。從影響網絡整體性能的角度分析以消耗網絡資源為目的的入侵行為，其中分布式拒絕服務攻擊的危害最大。分布式拒絕服務攻擊（Distributed Denial of Service，DDoS）是一種分布式協(xié)作的大規(guī)模網絡攻擊，能在一定時間內使得被攻擊的網絡主機徹底喪失正常服務的能力。許多著名網站如Amazon，Yahoo和CNN等都曾因為遭受DDoS攻擊而導致網站癱瘓［2-3］。統(tǒng)計表明，近年來DDoS攻擊的數(shù)量仍然呈現(xiàn)快速增長趨勢，已經成為影響網絡安全的一個重要威脅［4-5］。目前，簡單的、基于網絡層面的DDoS攻擊有向復雜的、基于應用層資源的攻擊發(fā)展的趨勢，Challenge Collapsar（CC）攻擊就是曲型的代表。

1 研究背景

1.1 CC玫擊

CC攻擊得名于著名的黑客工具軟件CC。該攻擊軟件可以針對指定網站的統(tǒng)一資源定位器（Uniform Resource Locator，URL）發(fā)動基于頁面訪問請求的DDoS攻擊。與一般分布式拒絕服務攻擊的區(qū)別在于CC攻擊主要針對WEB服務器發(fā)送大量并發(fā)請求，針對性較強。目前，CC攻擊主要針對WEB應用程序中比較消耗資源的功能，例如論壇中的搜索服務，發(fā)送高頻率請求。一般的服務器在收到幾百個并發(fā)請求時，數(shù)據(jù)庫服務可能會崩潰，導致服務器不能正常響應。

曲型的CC攻擊的包括：直接攻擊、代理攻擊和僵尸網絡攻擊。直接攻擊主要針對代碼有問題或設置上存在漏洞的WEB服務。僵尸網絡攻擊就是曲型的DDoS攻擊，利用僵尸網絡向服務器發(fā)起大量并發(fā)請求，受害主機收到的請求中沒有任何攻擊者的IP地址信息，同時所有請求來自大量分散的地址，無法判定其與正常多個用戶訪問行為之間的差別，因此傳統(tǒng)的安全防護手段很難鑒別并阻斷此類攻擊。代理攻擊中CC攻擊者會操作一批（例如100個）代理服務器，例如每個代理同時發(fā)出10個請求使得WEB服務器同時收到1 000個并發(fā)請求，并且攻擊者在發(fā)出請求后立刻斷掉與代理的連接，避免代理返回的數(shù)據(jù)將本身的帶寬堵死導致不能再次發(fā)動請求，這時WEB服務器會將響應這些請求的進程送入隊列，數(shù)據(jù)庫服務器也同樣如此，這就導致正常請求排隊的位置非常靠后，這時就會出現(xiàn)頁面打開極其緩慢或者白屏的現(xiàn)象。代理服務器的數(shù)量增大或者同時發(fā)出的請求數(shù)增加會給WEB服務器帶來更大的壓力，從而導致服務器拒絕服務。

根據(jù)上文對CC攻擊的介紹，可以歸納出CC攻擊具有以下三個特征［6］：

1）與傳統(tǒng)流量型DDoS攻擊不同，CC攻擊針對網站服務器的性能弱點，可能僅需很小的流量就可以達到拒絕服務的效果。

2）不同于基于TCP的半開連接或者SYN Flood攻擊，CC攻擊中，攻擊者發(fā)送的請求包含完全正常的應用數(shù)據(jù)，攻擊行為特征不明顯甚至沒有攻擊特征，很難與正常訪問區(qū)分。

3）CC攻擊一般都會利用代理服務器或者僵尸網絡實施，在服務器端看來請求的源IP地址不同，很難根據(jù)IP地址區(qū)分正常訪問與CC攻擊。與此同時，利用代理服務器或者僵尸網絡進行攻擊，攻擊主機都完全采用真實的IP地址，因此可以欺騙網絡中的URPF［7］（單播逆向路徑轉發(fā)）功能，使服務器無法識別、阻斷CC攻擊流量。但是同樣由于CC攻擊一般都會利用代理服務器或者僵尸網絡，因此對實時情況（例如隨機驗證碼）的反應不會特別靈敏。

1.2 蜜罐

在網絡攻防中，黑客在攻擊時所用的新的攻擊技術對管理員來說是陌生的，因此黑客往往能夠利用新興技術突破網絡的安全防護，對內部網絡的信息安全構成威脅。如何應對未知的攻擊技術成為一個難題。蜜罐（Honeypot）技術作為一種應對黑客攻擊的新興網絡安全技術，很快脫穎而出。“蜜網項目組”（The Honeynet Project）的創(chuàng)始人Lance Spitzner對蜜罐進行了權威的定義：蜜罐是一種安全資源，其價值在于被掃描、攻擊和攻陷［8］。蜜罐技術是一種不同于防火墻和入侵檢測系統(tǒng)的主動防御系統(tǒng)，它建立一個虛擬的環(huán)境，故思留下各種漏洞和弱點引誘攻擊者，從而監(jiān)視和跟蹤攻擊者的行為。管理員通過蜜罐主機對攻擊活動進行監(jiān)視、檢測和分析，掌握攻擊者的攻擊目的和身份，從而提高受保護網絡的安全性。通過監(jiān)控攻擊者攻擊蜜罐的數(shù)據(jù)流，可以檢測到外圍防護設備沒有阻斷的攻擊數(shù)據(jù)流。比如，盡管對攻擊數(shù)據(jù)流進行了加密處理，蜜罐仍然能夠記錄與其交互過程中的攻擊數(shù)據(jù)［9］。因此，蜜罐既能把攻擊者從正常主機的目標上引開，又能及時檢測到攻擊者的入侵，還可消耗攻擊者的時間和精力，增加攻擊者的工作量［10］。

蜜罐分為低交互蜜罐和高交互蜜罐兩種。低交互蜜罐的優(yōu)點包括：很容易建立和維護；不需要大量的計算資源；運行風險比運行可以被攻擊者完全攻陷和控制的蜜罐要小得多。低交互蜜罐的主要缺點是：不能提供完整的交互，不能給攻擊者提供一個真正的超級用戶外殼程序，也就不能對新的攻擊技術做出響應［11］。高交互蜜罐為攻擊者提供一個完整的可交互系統(tǒng)，這思味著蜜罐不模擬任何服務、功能或基礎操作系統(tǒng)，相反，它提供與服務器一樣真實的系統(tǒng)和服務［12］。因此，攻擊者能夠完全攻擊主機并控制它，這就使管理員能夠了解更多的有關攻擊者所使用的工具、手段和動機，更好的了解攻擊者團體。

2 CC攻擊防護體生設計方案

本文設計的綜合入侵防御系統(tǒng)結構圖如圖1所示。該入侵防御系統(tǒng)的基本規(guī)則為：對于正常的通信流量，直接放行；對于不符合防火墻規(guī)則、被入侵檢測系統(tǒng)認定為惡思的“壞”數(shù)據(jù)，直接阻斷。對于CC攻擊經常指向的.asp等數(shù)據(jù)，在交付web服務器的同時轉發(fā)給蜜罐系統(tǒng)。因為CC攻擊并不會對受害主機的操作系統(tǒng)造成較大的威脅，而且管理員需要掌握更多的攻擊特征，因此在蜜罐的選擇上，本文選擇高交互蜜罐。

圖1 綜合入侵防御系統(tǒng)模塊圖

由于蜜罐系統(tǒng)的運算處理能力與服務器相比存在一定差距，因此在蜜罐系統(tǒng)正常運轉的情況下，受保護的服務器不會因為CC攻擊而宕機。當有攻擊者向被保護主機發(fā)起CC攻擊時，系統(tǒng)的應對步驟如下：

1）當攻擊者向被保護主機發(fā)起CC攻擊時，防火墻的流量統(tǒng)計模塊發(fā)現(xiàn)大量并發(fā)TCP/IP請求，在交付受保護的服務器同時轉發(fā)給蜜罐主機，蜜罐主機也執(zhí)行相應的MYSQL數(shù)據(jù)庫服務工作。

2）當蜜罐主機工作至近乎滿負荷甚至有拒絕服務的趨勢時，發(fā)送反饋數(shù)據(jù)包給防火墻。

3）防火墻收到蜜罐主機的反饋數(shù)據(jù)包后，暫停轉發(fā)數(shù)據(jù)包。由于CC攻擊一般采用的是僵尸網絡或者代理服務器，根據(jù)這個特性，防火墻根據(jù)流量統(tǒng)計的數(shù)據(jù)向每個請求發(fā)起者發(fā)送隨機驗證碼并等待響應。

4）如果某請求發(fā)起者回復正確驗證碼，繼續(xù)對此IP的數(shù)據(jù)包進行轉發(fā)；如果對方對驗證碼的響應超時，則直接加入黑名單，禁止此IP的任何訪問請求；如果沒有正確回復驗證碼，則同樣將此IP加入黑名單，禁止此IP的任何訪問請求。

采用這種方法，理論上不但可以在保證受保護服務器正常提供服務的情況下完成對CC攻擊的防護，更可以保證在遭受CC攻擊時，非攻擊者提交的正常訪問請求依然可以得到響應。

3 實驗驗證

本文設計的驗證實驗結構圖如圖2所示，并設置實驗組和對照組。實驗組為本文設計的基于蜜罐的CC防護體系，其中硬件防火墻采用Cisco ASA 5505防火墻；對照組1為傳統(tǒng)防護體系，其中硬件防火墻采用Cisco ASA 5505防火墻；對照組2為現(xiàn)在流行的軟件防御系統(tǒng)，本組未采用硬件防火墻，采用針對CC攻擊設計的“X盾”軟件防火墻。

圖2 實驗模塊圖

對照組1：當僅受傳統(tǒng)防御系統(tǒng)保護的WEB服務器受到CC攻擊時，不僅WEB服務器崩潰，Cisco防火墻的單項監(jiān)控界面和總體監(jiān)控界面分別如圖3和圖4所示，從圖中可以看到，防火墻的CPU已經100%的使用，內存占用達到95%，端口所支持的連接數(shù)也接近滿負荷，防火墻基本失去作用。

圖3 Cisco防火墻單項監(jiān)控界面

圖4 Cisco防火墻總體監(jiān)控界面

對照組2：采用“X盾”防火墻在防御CC攻擊的情況下，能達到一定的防護效果，但是依然會存在WEB服務器響應慢甚至不能響應的的情況。如圖5所示，對“X盾”防火墻所保護的WEB服務器進行ping操作發(fā)現(xiàn)，大量的ping包沒有收到回復，防火墻在處理大量CC攻擊包的時候已經導致WEB服務器主機資源被大量消耗，甚至無法正常處理訪問信息。

圖5 對采用“X盾”防火墻保護的WEB服務器ping包截圖

實驗組：用攻擊主機對采用基于蜜罐的CC防護體系保護的WEB服務器發(fā)起CC攻擊，在驗證碼輸入錯誤的情況下，直接被禁止訪問，在Cisco防火墻的監(jiān)控界面基本看不出變化。如圖6所示，對所保護的WEB服務器進行ping操作發(fā)現(xiàn)得不到目標主機響應，說明攻擊主機的ip已經被加入黑名單，不能訪問WEB服務器。

圖6 驗證碼輸入錯誤時對WEB服務器ping包截圖

從以上實驗結果中對比能夠看出，基于蜜罐的CC防護體系不僅可以抵抗CC攻擊，而且可以減少WEB服務器的資源消耗，營造更好的用戶體驗氛圍。

4 結語

傳統(tǒng)的入侵防御系統(tǒng)可以使得被保護主機的安全性得到很大的提高，但是面對CC攻擊的防護結果卻不盡如人思。采用本文提出的方法，在傳統(tǒng)入侵防御系統(tǒng)的基礎上采用防火墻和蜜罐聯(lián)動協(xié)作的方法，不但可以保護主機免于受到傳統(tǒng)攻擊，而且能夠在保證受保護服務器提供良好服務的情況下完成對CC攻擊的防護。在下一步工作中可以對目標是訪問者還是攻擊者的區(qū)分方式進行改進，以達到更好的防護效果。

［1］李劍.信息安全導論［M］.北京：北京郵電學院出版社，2007：150-151.

［2］CHANG R K C.Defending against Flooding based Distributed Denial of Service Attack：a Tutorial［J］.IEEE Comm Magazine，2002，40（10）：42-51.

［3］賈月琴，張寧，宋曉虹.對網絡安全技術的討論［J］.微計算機信息，2005，3：108-1.

［4］孫欽東，張德運，高鵬.基于時間序列分析的分布式拒絕服務攻擊檢測［J］.計算機學報，2005，28（5）：767-773.

［5］張利軍.Distributed Reflection Denial of Service［D］.南京：南京農業(yè)大學，2004：5.

［6］陳仲華，張連營，王孝明.CC攻擊檢測方法研究［J］.電信科學，2009（5）：62-65.

［7］華三通信技術有限公司.URPF技術白皮書［EB/OL］，2008 -08-16［2015-03-04］.http：//www.h3c.com.cn/Products__ _Technology/Products/Router/Catalog/MSR/MSR_50/White _Paper/200807/609244_30003_0.htm.

［8］John Hoopes，Aaron Bawcom，and Fred Shore.虛擬安全：沙盒、災備、高可用性、取證分析和蜜罐［M］.北京：科學出版社，2010：12-13.

［9］Seungwon Shin，Jaeyeon Jung，and Hari Balakrishnan.Malware prevalence in the kazaa filesharing network［C］//.Internet Measurement Conference.Rio de Janeiro：Paul Barford，2006：333-338.

［10］Hecker C，Nance K L，and Hay B.Dynamic Honeypot Construction［C］//.In Proceedings of the 10th colloquium for Information Systems Security Education.Adelphi：University of Maryland，2006：95-102.

［11］Iyatiti Mokube，Michele Adams.Honeypots Concepts，Approaches，and Challenges［C］//.ACM-SE 2007.New York：ACM New York，2007：321-326.

［12］The Honeypot Project.Know Your Enemy：Honeypots［EB/OL］，2005-10-04［2015-03-04］.http：//www.honeynet. org/papers/honeynet/index.html.

《信息安全與通信保密》雜志啟用科技期刊學術不端文獻檢測系統(tǒng)

為了提高來稿質量，杜絕學術造假，促進《信息安全與通信保密》的健康發(fā)展，從2009年1月起，本刊編輯部將正式啟用科技期刊學術不端文獻檢測系統(tǒng)，對所有來稿進行檢查。對于檢測出有不端行為的稿件，編輯部將直接退稿。在此，希望廣大作者在撰寫論文時，一定要本著實事求是的科學精神，引用他人的研究成果時務必在參考文獻中列出，并在正文中相應位置進行標注。大家共同努力，維護學術研究的誠信，杜絕學術不端行為，促進《信息安全與通信保密》的可持續(xù)發(fā)展，為廣大作者搭建一個更好、更高、更權威的學術爭鳴和技術交流的平臺。

《信息安全與通信保密》雜志社

二OO九年一月一日

Protection System of CC Attack based on Honeypot

LI Shuo，ZHANG Quan
（College of Electronic Science&Engineering，NUDT，Changsha Hunan 410073，China）

In recent years，DDoS on the application layer，that is，CC attack，has become increasingly popular on the Internet，and this attack would result in the failure of web page response or even the paralysis of whole server.Now the detection based on the optimization of website code is usually adopted for the protection of CC attack.This method，however，may lead to resource consumption of the host server during the CC attack.By adding a highly interactive honeypot to the traditional intrusion prevention system，the server can be effectively prevented from CC attack.

CC attack，honeypot，intrusion prevention system

TP393

A

1009-8054（2015）09-0099-04

李 碩（1991—），男，碩士研究生，主要研究方向為信息網絡安全；

張 權（1974—），男，博士，教授，主要研究方向為信息網絡安全?！?/p>

2015-04-13