杭長山

摘要：近年來，分布式拒絕服務(wù)（DDoS）攻擊已經(jīng)成為互聯(lián)網(wǎng)所面臨的最為嚴(yán)重的威脅之一。它具有易于實施、難以防范、攻擊力度強、事后難以追蹤攻擊源等特點，對網(wǎng)絡(luò)應(yīng)用具有極大的危害?，F(xiàn)有傳統(tǒng)的針對分布式拒絕服務(wù)攻擊的防御技術(shù)如防火墻、入侵檢測系統(tǒng)等只能被動地抵御攻擊，難以適應(yīng)云環(huán)境下亦趨復(fù)雜的攻擊模式，防御的效果不夠理想。隨著云技術(shù)的迅速普及，在云環(huán)境的資源池化、按需自助、廣泛的基于網(wǎng)絡(luò)的訪問、快速擴充或縮減及可度量的服務(wù)等特點下，如何有效防御云環(huán)境下新形態(tài)的分布式拒絕服務(wù)攻擊是目前網(wǎng)絡(luò)安全領(lǐng)域面臨的重大挑戰(zhàn)之一。

關(guān)鍵詞：云計算；分布式拒絕服務(wù)攻擊；防火墻；軟件定義網(wǎng)絡(luò)；費用攻擊

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2017）17-0029-02

1云計算相關(guān)概念

目前業(yè)界對“云計算”一詞有多種定義，這其中以美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technolo-gy，NIST）所給出的定義最受業(yè)界認(rèn)可。所謂云計算是指如下所述的一種計算方式：它使用廣為普及的互聯(lián)網(wǎng)網(wǎng)絡(luò)連接來達(dá)到對各種資源隨時、按需、便捷的訪問和共享的目的。云計算與傳統(tǒng)網(wǎng)絡(luò)服務(wù)商所提供的服務(wù)模式之間的區(qū)別主要在于以下幾點：資源池（Resouree Pooling）、按需自助（On-Demand Serf-Service）、廣泛的基于網(wǎng)絡(luò)的訪問（Broad Network Access）、快速擴充或縮減（Rapid Elasticity）以及可度量的服務(wù)（Measured Ser-vice）?！百Y源池”是從服務(wù)提供商的資源提供技術(shù)角度描述的。不同于傳統(tǒng)服務(wù)商直接租用整臺物理服務(wù)器給用戶，云服務(wù)提供商利用虛擬化技術(shù)將所擁有的資源進(jìn)行虛擬化并向用戶提供虛擬服務(wù)器。在這種技術(shù)的支持下一個物理服務(wù)器可以拆分成多個虛擬服務(wù)器向多個用戶提供服務(wù)，或?qū)⒍嗯_物理服務(wù)器虛擬為同一臺虛擬機對一個客戶提供服務(wù)，服務(wù)的提供更加靈活?！鞍葱枳灾笔侵冈诜?wù)的獲取方式方面，云平臺用戶在需要獲得服務(wù)的時候不需要像傳統(tǒng)方式一樣預(yù)先與服務(wù)提供商聯(lián)系進(jìn)行資源的配置等操作，可以進(jìn)行網(wǎng)上自助服務(wù)?！皬V泛的基于網(wǎng)絡(luò)的訪問”是指在訪問方式角度來說，云平臺用戶可以隨時隨地簡單的通過各種網(wǎng)絡(luò)終端連接自己的云平臺服務(wù)控制端進(jìn)行操作；“快速擴充或縮減”是指云平臺具有良好的可擴充性，用戶甚至可以在預(yù)先設(shè)置好的情況下由系統(tǒng)自動分配所需的資源，達(dá)到最為經(jīng)濟且高效的效果?！翱啥攘康姆?wù)”是從服務(wù)提供商計費角度的描述。與傳統(tǒng)的服務(wù)商的計費模式不同，云服務(wù)提供商的計費模型是以用戶對云資源的占有量（如使用了多少CPU，多少內(nèi)存，多少流量）來計費的。

結(jié)合以上美國國家標(biāo)準(zhǔn)與技術(shù)研究院對云計算提出的定義，可將云平臺依據(jù)云計算資源的所有權(quán)分為以下三種模式：公有云（Public Cloud）、私有云（Private Cloud）和混合云（Hybrid Cloud）。在公有云模式下，所有資源歸服務(wù)提供商所有，提供商應(yīng)用一系列云技術(shù)公開向用戶提供服務(wù)，用戶只需要單純的調(diào)用服務(wù)商的服務(wù)即可構(gòu)建自身業(yè)務(wù)。例如阿里云就是典型的公有云服務(wù)模式，其優(yōu)勢在于使用方便。私有云是指用戶本身擁有大量的資源，并通過云技術(shù)將擁有的資源云化，用于實現(xiàn)自身復(fù)雜業(yè)務(wù)的服務(wù)模式。此模式多見于用戶對云服務(wù)具有巨大需求并且對服務(wù)的數(shù)據(jù)安全和可用性等方面有極高要求的場景，例如各地的政務(wù)云就是典型的私有云服務(wù)模式。在這種服務(wù)模式可更好地保證自身的數(shù)據(jù)安全性、系統(tǒng)的可靠性。而混合云則是將兩者相結(jié)合的技術(shù)，在安全性可靠性更好的私有云上實現(xiàn)核心業(yè)務(wù)，使用經(jīng)濟便捷的公有云來實現(xiàn)外圍的業(yè)務(wù)邏輯，這種服務(wù)模式尤其適合只有部分業(yè)務(wù)對安全和可靠性有極高要求的場景或是已經(jīng)擁有一定數(shù)量資源但又無法完全滿足業(yè)務(wù)需求的場景。其優(yōu)勢在于能夠在成本與安全間達(dá)到平衡，并避免對已有資源的浪費。

2分布式拒絕服務(wù)攻擊的概念

分布式拒絕服務(wù)攻擊是指攻擊者通過各種手段獲得大量被控計算機作為攻擊平臺（僵尸網(wǎng)絡(luò)），向被攻擊的網(wǎng)絡(luò)應(yīng)用發(fā)起大量網(wǎng)絡(luò)請求，超出應(yīng)用的承受上限從而使其停止服務(wù)。

通常，僵尸網(wǎng)絡(luò)分為一臺或少量幾臺主控機和大量的代理機，分別安裝有對應(yīng)的軟件。攻擊者遠(yuǎn)程向主控機發(fā)送指令，接下來主控機控制代理機來向被攻擊者發(fā)送大量網(wǎng)絡(luò)請求進(jìn)行攻擊。相對于其他攻擊模式，DDoS攻擊不需對被攻擊的網(wǎng)絡(luò)應(yīng)用進(jìn)行深度的分析，所以實施較為容易；攻擊往往混雜在合法的訪問中，難以進(jìn)行對其進(jìn)行有效的過濾；在攻擊者擁有較大規(guī)模的僵尸網(wǎng)絡(luò)的情況下，攻擊會產(chǎn)生巨大的惡意流量，對被攻擊者產(chǎn)生巨大的沖擊；由于采用了攻擊者、主控機、僵尸網(wǎng)絡(luò)三層結(jié)構(gòu)，事后追查的時候很難精確定位攻擊者。

3云計算環(huán)境下分布式拒絕服務(wù)攻擊的特點

3.1云化的僵尸網(wǎng)絡(luò)

從DDoS攻擊的原理可知，DDoS攻擊的效果強弱很大程度上取決于攻擊者擁有的僵尸網(wǎng)絡(luò)的規(guī)模大小。利用傳統(tǒng)方式構(gòu)建大規(guī)模的僵尸網(wǎng)絡(luò)不但技術(shù)上十分困難，還需要耗費大量時間。但在云計算時代，黑客可以利用公有云平臺來建立僵尸網(wǎng)絡(luò)，這種方式比傳統(tǒng)的僵尸網(wǎng)絡(luò)構(gòu)建方式更加快速并且成本低廉。在網(wǎng)絡(luò)上甚至已經(jīng)發(fā)展出了專供黑客使用的惡意的SaaS（software-as-a-Service）模式。在這種模式下DDoS攻擊的整個流程被虛擬化為一種服務(wù)進(jìn)行出售，攻擊者只需要簡單的購買攻擊流量就可發(fā)動攻擊，甚至不需要知道攻擊的實現(xiàn)原理。這使得發(fā)動DDoS攻擊的門檻大大降低，也是目前DDoS攻擊愈演愈烈的原因之一。

3.2利用移動設(shè)備進(jìn)行攻擊

云服務(wù)廣泛網(wǎng)絡(luò)訪問和快速伸縮的特性促進(jìn)了大規(guī)模、復(fù)雜DDoS攻擊的發(fā)展。云計算的廣泛網(wǎng)絡(luò)訪問的特征可以保證訪問者在各種平臺下能夠方便地訪問云服務(wù)，然而在一些新興的平臺如移動設(shè)備缺乏必要的防范措施，這也給新型的DDoS攻擊提供了發(fā)展契機。隨著移動設(shè)備的爆發(fā)式發(fā)展，其計算能力和帶寬已和之前的同類產(chǎn)品不可同日而語，所以移動設(shè)備正越來越多地被用于發(fā)起DDoS攻擊。

3.3云平臺下DDoS攻擊的擴散性

由于云平臺使用了虛擬化技術(shù)同時為多個用戶提供服務(wù)，而在這種模式下針對其中一個用戶的DDoS攻擊比傳統(tǒng)服務(wù)提供模式更容易對同一供應(yīng)商下的其他用戶產(chǎn)生影響。在云平臺下的虛擬化技術(shù)的支持下一臺物理服務(wù)器很有可能會虛擬為多臺虛擬機供多個用戶使用，而這多個用戶可能會對主機上的設(shè)備進(jìn)行一定程度上的共享。這就使得當(dāng)一個用戶受到攻擊時很有可能會對同一臺主機上的其他用戶造成影響。

3.4云環(huán)境下特有的費用攻擊

云環(huán)境具有服務(wù)可度量的特點，所以出現(xiàn)了云環(huán)境下特有的DDoS攻擊，即費用攻擊。由于云平臺采用了按量付費的計費模型，在遭受DDoS攻擊的時候會產(chǎn)生大量額外資源（帶寬、算力等）的消耗，從而會使被攻擊者承受超額的經(jīng)濟支出。如被攻擊者在云平臺的余額不足或額度不夠的話，還會造成服務(wù)暫停。

4主要防御技術(shù)

4.1防火墻和入侵防御系統(tǒng)

目前，在云服務(wù)訪問接入點位置針對DDoS攻擊的防御方式普遍采用入侵防御系統(tǒng)和防火墻相結(jié)合的技術(shù)方案。防火墻首先根據(jù)請求的IP地址和端口號等信息對流量進(jìn)行初步的過濾，接下來入侵檢測系統(tǒng)會深入檢測數(shù)據(jù)包的內(nèi)容來對流量進(jìn)行進(jìn)一步的過濾。如果攻擊者使用的是在規(guī)則集中合法的IP地址和端口來進(jìn)行DDoS攻擊，那么此次攻擊生成的惡意流量就會順利通過防火墻程序的檢查，但由于有入侵檢測系統(tǒng)的存在，在深度檢測數(shù)據(jù)包的內(nèi)容后依然會發(fā)現(xiàn)攻擊意圖并對惡意流量進(jìn)行過濾。

現(xiàn)有的云平臺大多采用的是集中式云防火墻的設(shè)計。云平臺用戶不需要自己建設(shè)防火墻，僅需要將制定好的規(guī)則集提供給云服務(wù)提供商，后者根據(jù)不同用戶提供的規(guī)則集在整個系統(tǒng)的網(wǎng)絡(luò)訪問接入點設(shè)置集中式的防火墻。這種集中式的云防火墻可以降低用戶的系統(tǒng)構(gòu)建難度，并且比自己建設(shè)防火墻系統(tǒng)更為安全。不過當(dāng)這種防火墻受到云環(huán)境下的新型DDoS攻擊時就會體現(xiàn)出以下幾點不足：

1）防火墻失效：由于云防火墻具有集中式的特點，一旦宕機，針對DDoS攻擊的防御將無從談起；

2）規(guī)則集爆炸：為整個云平臺中的服務(wù)搭建集中式防火墻會產(chǎn)生一個龐大的規(guī)則集合，由于集中式的云防火墻集中了統(tǒng)一服務(wù)商下大量云服務(wù)用戶的規(guī)則集合，這可能造成在對訪問流量進(jìn)行如此大量的規(guī)則遍歷、匹配時消耗過長時間，拉低系統(tǒng)效率。

3）難以滿足應(yīng)用個性化需求：云服務(wù)用戶的個性化需求可能不單單在規(guī)則集方面，識別為DDoS的攻擊速率的流量閾值，周期等都可能包含在云服務(wù)用戶的個性化需求中。理想的情況下應(yīng)該對這些參數(shù)都能夠進(jìn)行個性化設(shè)置，而集中式的防火墻難以滿足這種定制化需求。

雖然入侵防御系統(tǒng)和防火墻對DDoS攻擊有一定防御作用，但由于上述缺點的存在，針對DDoS攻擊的防御不能僅在云服務(wù)訪問接入點位置進(jìn)行，還需要結(jié)合其他方案共同使用。

4.2軟件定義網(wǎng)絡(luò)

洪水DDoS攻擊產(chǎn)生的流量和正常的高并發(fā)場景產(chǎn)生的正常流量具有相似的特征，都是在較短內(nèi)產(chǎn)生了比平時更多的網(wǎng)絡(luò)請求和較大的請求增量。簡單的設(shè)置請求總量閾值或增量閾值來防御DDoS攻擊是不合理的，這樣做很可能會使一些正常網(wǎng)絡(luò)請求遭到拒絕。例如2015年9月12日蘋果iPhone6S開放預(yù)售，大量的消費者涌人導(dǎo)致商城癱瘓了104分鐘。云平臺有按需自助、彈性服務(wù)的特性，這種高并發(fā)的場景本可使用云平臺的優(yōu)勢來迅速擴充系統(tǒng)資源從而滿足訪問需求?？梢娋_區(qū)分洪水DDoS攻擊產(chǎn)生的流量和正常的高并發(fā)場景產(chǎn)生的正常流量是很重要的。觀察結(jié)果顯示，在系統(tǒng)收到的網(wǎng)絡(luò)請求異常增加時，如果這種異常是由洪水DDoS攻擊所導(dǎo)致，由于攻擊者通常希望能夠最大限度地發(fā)揮所掌握的僵尸網(wǎng)絡(luò)的攻擊能力，現(xiàn)象會是每個IP地址請求的速率都會異常升高；而如果異常是由正常的高并發(fā)訪問導(dǎo)致，則會體現(xiàn)為僅是IP地址的數(shù)量上升，每個IP地址請求的速率并不會異常升高。另一方面，雖然洪水DDoS攻擊和高并發(fā)的正常流量都具有在較短時間產(chǎn)生大規(guī)模流量的特點，但由于洪水DDoS攻擊產(chǎn)生的流量通常來自于僵尸網(wǎng)絡(luò)中安裝的攻擊程序，而正常流量來自于獨立的普通用戶，因此，攻擊流量的每個請求包的相關(guān)系數(shù)會比正常流量的相關(guān)系數(shù)大，通常利用這一區(qū)別來進(jìn)行洪水DDoS攻擊的篩選。

然而在高負(fù)載情況下使用上述方法進(jìn)行檢測可能會對系統(tǒng)性能造成較大影響甚至使過濾失效，而結(jié)合軟件定義網(wǎng)絡(luò)的方法可以更好的解決網(wǎng)絡(luò)層DDoS攻擊過濾的問題。軟件定義網(wǎng)絡(luò)的原理是應(yīng)用虛擬化技術(shù)將網(wǎng)絡(luò)控制層從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的設(shè)備中獨立出來并配置獨立的控制系統(tǒng)。這種控制系統(tǒng)相較于傳統(tǒng)控制方式在效率效率方面會有極大的提升，將處理規(guī)則集成在此控制系統(tǒng)中即可解決傳統(tǒng)方式的效率問題。

4.3針對低速率DDoS防御

應(yīng)用層DDoS攻擊不僅有洪水攻擊這一種攻擊模式，目前攻擊者為了規(guī)避DDoS防御系統(tǒng)更多采取的是低速率、隱蔽式的攻擊的模式。低速率DDoS攻擊相對洪水DDoS攻擊其流量特征與正常流量更為接近，所以更加難以發(fā)現(xiàn)。此種攻擊模式主要針對云平臺的網(wǎng)絡(luò)協(xié)議的特點來發(fā)動攻擊，具有周期性、脈沖性以及低速性的特點。攻擊者周期性發(fā)送請求，并且每一次脈沖持續(xù)時間較短，這樣就會觸發(fā)TCP協(xié)議的超時重傳機制，迫使流量重復(fù)進(jìn)入重傳狀態(tài)來達(dá)到攻擊目的。

針對云環(huán)境下應(yīng)用層隱蔽式低速率DDoS攻擊的防御目前還未有行之有效的解決方案。隱蔽式DDoS攻擊因為其攻擊速率較低、流量在結(jié)構(gòu)上和正常流量相同，使得洪水DDoS攻擊檢測相關(guān)算法并不適用；傳統(tǒng)網(wǎng)絡(luò)環(huán)境中的隱蔽式DDoS檢測方法如深度包檢測，在云環(huán)境中面對大規(guī)模攻擊流量時難以滿足實時性的需求。云環(huán)境中由于有多個云服務(wù)用戶的存在，其構(gòu)造的應(yīng)用層協(xié)議也是各不相同，而應(yīng)用層DDoS攻擊防御和具體應(yīng)用的漏洞有關(guān)，因此需要針對不同應(yīng)用的特點提供定制化的應(yīng)用層DDoS攻擊防御措施。

4.4針對費用攻擊的防御

費用攻擊是指攻擊者利用云平臺的收費機制對云平臺上的應(yīng)用進(jìn)行的攻擊。傳統(tǒng)的DDoS攻擊模式一般是直接向被攻擊者發(fā)起大量的請求以期超出系統(tǒng)負(fù)載上限直接使被攻擊應(yīng)用癱瘓；而費用攻擊是利用云平臺的按需付費的付費模型，發(fā)動的攻擊一般是在被攻擊系統(tǒng)的可承受范圍內(nèi)的，并且經(jīng)過精心偽裝和正常請求的內(nèi)容基本相同，其目的是讓被攻擊者承擔(dān)更高的費用，如被攻擊者在云平臺的余額不足或額度不夠的話，還會造成服務(wù)暫停。針對這類攻擊的防御主要使用的是黑名單檢測算法和基于網(wǎng)絡(luò)訪問日志中應(yīng)用請求分布檢測算法。黑名單檢測算法通過檢測訪問日志對一段時間之內(nèi)應(yīng)用收到的請求來得出各個請求發(fā)起者的行為特征，從而鎖定惡意用戶并加入到黑名單。請求分布檢測算法是指根據(jù)平時統(tǒng)計的各個網(wǎng)絡(luò)訪問參數(shù)的統(tǒng)計學(xué)分布規(guī)律，找出低概率事件大量發(fā)生的可疑區(qū)間，對此類訪問進(jìn)一步分析即可較為有效地過濾掉惡意訪問流量。

5結(jié)束語

隨著云技術(shù)的快速發(fā)展，DDoS的攻防也有了顯著的變化。上文總結(jié)了云環(huán)境下出現(xiàn)的新型DDoS攻擊的特點，云化的僵尸網(wǎng)絡(luò)，利用移動設(shè)備的攻擊，攻擊在云平臺上的擴散性和針對云平臺用戶的費用攻擊，同時總結(jié)了針對此類新型攻擊的一系列解決方案，包括防火墻和入侵防御系統(tǒng)，軟件定義網(wǎng)絡(luò)，針對低速率DDoS攻擊的防御和針對費用攻擊的防御等。從以往網(wǎng)絡(luò)安全攻防的發(fā)展勢頭來看，我們有理由推斷在可預(yù)見的未來還會有更先進(jìn)的DDoS攻擊方式出現(xiàn)。但筆者愿意相信隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步，這種危害公共信息安全的攻擊總有一天會銷聲匿跡。