張賽超+孫迪+趙丹

摘要：根據(jù)網(wǎng)絡(luò)流量自相似性的形成機(jī)理和LDoS攻擊流的特點(diǎn)，綜合網(wǎng)絡(luò)中TCP和UDP常見(jiàn)協(xié)議，提出一個(gè)基于NS2的LDoS入侵流模擬方法，使用該法得到的流量數(shù)據(jù)可用于對(duì)低速率拒絕服務(wù)攻擊入侵的研究。

關(guān)鍵詞：低速率拒絕服務(wù)；NS2；自相似

DOIDOI：10.11907/rjdk.162867

中圖分類(lèi)號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-7800（2017）006-0183-03

0 引言

拒絕服務(wù)攻擊DoS（Denial of Service）是目前常見(jiàn)且難于防范的一種攻擊方法。它向目標(biāo)節(jié)點(diǎn)發(fā)送大量無(wú)用的數(shù)據(jù)包，目的是降低目標(biāo)結(jié)點(diǎn)性能，甚至讓目標(biāo)節(jié)點(diǎn)停止服務(wù)。拒絕服務(wù)攻擊問(wèn)題之所以一直得不到合理有效的解決，原因是由于網(wǎng)絡(luò)協(xié)議本身存在安全缺陷。

隨著DoS網(wǎng)絡(luò)監(jiān)測(cè)和防范技術(shù)越來(lái)越成熟，衍生出了DoS攻擊的變種——低速率拒絕服務(wù)攻擊LDoS（Low-rate Denial of Service）。LDoS主要利用端系統(tǒng)或網(wǎng)絡(luò)中的自適應(yīng)機(jī)制所存在的安全漏洞，通過(guò)周期性攻擊，造成TCP性能的震蕩，嚴(yán)重降低TCP的吞吐量，大幅降低網(wǎng)絡(luò)的服務(wù)質(zhì)量。LDoS攻擊根據(jù)其針對(duì)路由隊(duì)列管理和擁塞控制機(jī)制的不同有許多變種，當(dāng)前國(guó)內(nèi)針對(duì)LDoS攻擊已經(jīng)開(kāi)展了廣泛研究[1-3]。本文主要針對(duì)主動(dòng)隊(duì)列管理機(jī)制AQM（Active Queue Managemen）隨機(jī)早期檢測(cè)RED（Random Early Detection）的LDoS攻擊提出一個(gè)NS2（Network Simulator version 2）模擬方法。實(shí)驗(yàn)結(jié)果表明，該法產(chǎn)生的網(wǎng)絡(luò)模擬流量保持了真實(shí)網(wǎng)絡(luò)流量的自相似特性，模擬產(chǎn)生得到的LDoS入侵流可以用于LDoS攻擊檢測(cè)等方面的研究。

1 網(wǎng)絡(luò)流量統(tǒng)計(jì)自相似過(guò)程及針對(duì)AQM的LDoS攻擊原理

大量研究表明，突發(fā)網(wǎng)絡(luò)到達(dá)過(guò)程更符合漸近或嚴(yán)格的自相似模型[4]。因此對(duì)網(wǎng)絡(luò)流量的模擬是否具有自相似性直接影響到網(wǎng)絡(luò)流量模擬的準(zhǔn)確程度以及高速網(wǎng)絡(luò)傳輸中流量控制和統(tǒng)計(jì)復(fù)用的性能。

一個(gè)隨機(jī)過(guò)程{X（t），t∈R}是統(tǒng)計(jì)自相似的，滿(mǎn)足X（t）=α-HX（αt）， H > 0 為Hurst參數(shù)， α是正實(shí)數(shù)。

RED是最常用的一種AQM算法。RED算法通過(guò)計(jì)算平均隊(duì)列長(zhǎng)度Lav及丟包概率p，控制網(wǎng)絡(luò)擁塞，RED算法可防止全局同步。

LDoS攻擊的核心思想是周期性地發(fā)送攻擊流，攻擊瓶頸鏈路或者路由器，使其在瞬間產(chǎn)生擁塞， 由于TCP協(xié)議的超時(shí)機(jī)制，發(fā)送方在發(fā)送TCP報(bào)文段時(shí)，會(huì)為每一個(gè)報(bào)文段設(shè)置一個(gè)超時(shí)定時(shí)器。如果在收到該報(bào)文的確認(rèn)之前定時(shí)器超時(shí)，則擁塞窗口Cwnd會(huì)減為1，系統(tǒng)進(jìn)入慢開(kāi)始，并嘗試使系統(tǒng)恢復(fù)到穩(wěn)定狀態(tài)。如圖1所示，在T周期內(nèi)，向被害方發(fā)送脈沖強(qiáng)度為R，持續(xù)時(shí)間為τ的攻擊脈沖（τ≤T）。從理論上來(lái)說(shuō)，若是攻擊方能精確知道TCP發(fā)送方每次發(fā)送報(bào)文所設(shè)置的超時(shí)重傳時(shí)間的值，在其每次重傳數(shù)據(jù)包的時(shí)候發(fā)動(dòng)脈沖攻擊，將會(huì)使得每次重傳都失敗，這樣擁塞窗口將一直保持為1，吞吐量為0。

2 NS2模擬方法

NS2（Network Simulator version2）是由VINT項(xiàng)目組和加州大學(xué)伯克利分校聯(lián)合開(kāi)發(fā)的，源代碼公開(kāi)、免費(fèi)的多協(xié)議網(wǎng)絡(luò)模擬軟件。NS2采用費(fèi)列對(duì)象模型，由兩個(gè)相互關(guān)聯(lián)的類(lèi)來(lái)實(shí)現(xiàn)，一個(gè)在C++中， 實(shí)現(xiàn)程序功能的模擬；另一個(gè)在Otcl中，在Otcl中類(lèi)的主要功能是提供C++對(duì)象面向用戶(hù)的模擬參數(shù)、過(guò)程以及接口。

NS2模擬過(guò)程大致如下：確定鏈路基本特征，配置模擬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，編寫(xiě)Otcl腳本→建立協(xié)議代理，具體包括建立業(yè)務(wù)模型及端系統(tǒng)協(xié)議綁定→確定網(wǎng)絡(luò)上的業(yè)務(wù)量分布，配置業(yè)務(wù)量模型參數(shù)→設(shè)置Trace對(duì)象→編寫(xiě)其他輔助過(guò)程→解釋Otcl腳本并執(zhí)行→分析Trace文件，→調(diào)整模擬拓?fù)洹⑴渲煤蜆I(yè)務(wù)模型，再重復(fù)上述模擬過(guò)程。

3 網(wǎng)絡(luò)模擬拓?fù)?/p>

圖2為L(zhǎng)DoS攻擊網(wǎng)絡(luò)拓?fù)鋱D。圖中節(jié)點(diǎn)C作為路由節(jié)點(diǎn)，采用RED算法，C與接收節(jié)點(diǎn)D帶寬為2Mb，延遲l0ms；1--K個(gè)節(jié)點(diǎn)作為T(mén)CP發(fā)送節(jié)點(diǎn)與節(jié)點(diǎn)D為T(mén)CP鏈路，1--M個(gè)節(jié)點(diǎn)作為UDP發(fā)送節(jié)點(diǎn)與節(jié)點(diǎn)D為UDP鏈路，這K+M個(gè)節(jié)點(diǎn)與節(jié)點(diǎn)C的鏈路帶寬都為1Mb，延遲10ms，模擬產(chǎn)生正常流；節(jié)點(diǎn)A作為攻擊節(jié)點(diǎn)，與節(jié)點(diǎn)D采用UDP鏈路，節(jié)點(diǎn)A與節(jié)點(diǎn)C鏈路帶寬5Mb，延遲10ms，采用CBR流模擬LDoS攻擊流，CBR流量產(chǎn)生器的random標(biāo)志位設(shè)為1，產(chǎn)生隨機(jī)噪聲。

4 正常業(yè)務(wù)背景流模擬

4.1 業(yè)務(wù)流模擬

NS2的流量產(chǎn)生器POO（OTcl類(lèi)為Application/Traffic/Pareto類(lèi)）除了"On"、"Off"兩種狀態(tài)之間的時(shí)間產(chǎn)生業(yè)務(wù)流符合Pareto分布外，其它時(shí)間按指數(shù)On/Off分布。這種分布可用來(lái)產(chǎn)生自相似業(yè)務(wù)流。在應(yīng)用層使用POO流量發(fā)生器模擬生成正常TCP背景流。圖2中的1～K個(gè)結(jié)點(diǎn)發(fā)送TCP報(bào)文段，NS2關(guān)鍵代碼如下：

4.3 實(shí)驗(yàn)及結(jié)果

整個(gè)模擬實(shí)驗(yàn)時(shí)間為4 000s，模擬時(shí)先不發(fā)動(dòng)LDoS攻擊，這樣可得沒(méi)有LDoS攻擊的正常的業(yè)務(wù)流。每間隔0.01s采樣，采用小波法[6]估計(jì)其自相似性，結(jié)果如表1所示。模擬得到的背景流分為純UDP流、純TCP流及TCP/UDP混合流，它們表征流量自相似的特征參數(shù)赫斯特指數(shù)都在0.5～1.0之間，說(shuō)明仿真得到的業(yè)務(wù)流具有自相似性。

在第3 000秒開(kāi)始LDoS攻擊，攻擊周期T=1秒，攻擊持續(xù)時(shí)間τ=0.2s，攻擊強(qiáng)度R=1.5Mb，攻擊次數(shù)N=500，發(fā)起攻擊共500s，LDoS攻擊時(shí)段為3 000～3 500s。圖3顯示實(shí)驗(yàn)3在3 000～3 020s內(nèi)采樣的時(shí)間-流量圖，LDoS攻擊使得網(wǎng)絡(luò)流量發(fā)生周期性的水平躍變。

正常網(wǎng)絡(luò)流量在受到LDOS攻擊時(shí)，攻擊期間的H值與正常流量相比，都存在不同程度的下降，因此可以根據(jù)網(wǎng)絡(luò)流量Hurst指數(shù)的異常變化檢測(cè)LDoS攻擊[6]。實(shí)際中可分析正常網(wǎng)絡(luò)業(yè)務(wù)流Hurst 參數(shù)值的變化范圍，設(shè)置發(fā)生 LDoS 攻擊時(shí)Hurst減小的門(mén)限值。對(duì)于本文中的6個(gè)實(shí)驗(yàn)，設(shè)定Hurst的減小的門(mén)限值為0.20，在第10秒處的Hurst指數(shù)分別為-0.501，0.476， 0.476，0.356，0.476，0.359都能檢測(cè)到LDOS攻擊。

5 結(jié)語(yǔ)

本文利用NS2提供的POO流量產(chǎn)生器，采用多個(gè)重尾的On/Off源疊加，使用該方法產(chǎn)生的模擬背景流保持了網(wǎng)絡(luò)流量最大的特征——自相似性，同時(shí)結(jié)合TCP，UDP協(xié)議模擬LDoS攻擊，更接近真實(shí)網(wǎng)絡(luò)環(huán)境，而模擬得到LDoS入侵流可應(yīng)用于流量特征分析等方面的研究。

參考文獻(xiàn)：

[1]張曉瑜，吳志軍，岳猛，閆長(zhǎng)燦.基于網(wǎng)絡(luò)流量奇異性特征的LDoS攻擊檢測(cè)方法[J].計(jì)算機(jī)工程與設(shè)計(jì)，2016，01：50-54.

[2]岳猛，吳志軍，姜軍.云計(jì)算中基于可用帶寬歐氏距離的LDoS攻擊檢測(cè)方法[J].山東大學(xué)學(xué)報(bào)：理學(xué)版，2016，09：92-100.

[3]王傳安，王亞軍，郭曉，宋雪亞.針對(duì)SIP服務(wù)器的LDOS生死鏈攻擊模型[J].計(jì)算機(jī)應(yīng)用與軟件，2015，08：300-303.

[4]LELAND WE，TAQQU MS，WILLINGER W，et al.On the self-similar nature of ethernet traffic （extended version）[J]. IEEE/ACM Transactions on Networking，1994，2（1）：1-15.

[5]Long-lasting transient conditions in simulations with heavy-tailed workloads[C].In Proceedings of the 1997 Winter Simulation Conference，1997：1005-1012.

[6]周剛，劉淵.低速率TCP拒絕服務(wù)攻擊的小波檢測(cè)方法[J].計(jì)算機(jī)工程與應(yīng)用，2011（32）：115-117.

（責(zé)任編輯：陳福時(shí)）