基于蜜罐技術的DDoS攻擊防御研究

張寶全+周楓+黃祖源

引言

隨著網絡信息技術的快速發(fā)展，信息安全問題也層出不窮。信息安全技術是整個信息技術的重中之重。信息安全就是一場攻擊方（黑客等）和防御方（網絡安全管理員等）之間的博弈。

在各種網絡攻擊中，以DDos攻擊危害性最大也最難防御。DoS（Denial of Service，拒絕服務）攻擊是一種攻擊者通過發(fā)送大量偽造請求消耗服務器資源或網絡帶寬從而導致服務器或網絡癱瘓的網絡攻擊手段Ⅲ。DoS一般是一對一的攻擊，破壞程度低，如果是多對一的攻擊，破壞程度就會很高，那么目標主機就很容易癱瘓，這就是所謂的DDoS攻擊。DDoS是分布式拒絕服務（Distributed Denial of Ser.vice）攻擊的英文縮寫。顧名思義，黑客用網絡上的已被攻破和控制的電腦作為“傀儡”，然后用為數(shù)眾多的分布在不同地理位置的“傀儡”主機對目標服務器發(fā)動如同洪水猛獸般的大規(guī)模密集式攻擊，使得目標服務器系統(tǒng)資源或網絡帶寬被占用耗盡甚至癱瘓以致不能為真正用戶的正常請求提供服務。

近些年來大規(guī)模且破壞嚴重的DDoS攻擊層出不窮，盡管它是網絡空間中一種極其簡單粗暴的攻擊方式，但卻是讓世界各大網站管理員談虎色變的話題。僅2016全年就發(fā)生了這7起嚴重的DDoS攻擊事件：（1）暴雪DDoS攻擊；（2）珠寶店遭遇25000個攝像頭組成的僵尸網絡攻擊；（3）Anonymous組織發(fā)起的“Operation Oplcarus”攻擊；（4）精準的NS1攻擊；（5）五家俄羅斯銀行遭遇DDoS攻擊；（6）Mirai僵尸網絡攻擊KrebsonSecurity；（7）美國大半個互聯(lián)網下線事件。

盡管DDoS攻擊具備了分布式的特定，攻擊強度也強大了很多，但是我們并非對此就束手無策和坐以待斃。目前應對DDoS攻擊已有了很多方法，可以從不同的位置進行防御，如表1所示。

本文提出了一種基于蜜罐技術的DDoS攻擊防御技術，有了如下改進：（1）本技術部署在受害服務器端，不需要ISP的支持與配合，不依賴資源優(yōu)勢和更多額外設備的支持。（2）本技術通過蜜罐技術采集異常網絡流量來檢測被保護的服務器系統(tǒng)是否受到DDoS攻擊，不考慮源IP地址的真?zhèn)巍＃?）蜜罐系統(tǒng)對攻擊行為進行記錄，遠程存儲的日志記錄對攻擊行為的分析和防御措施的部署提供詳細的參考信息，甚至還可以對攻擊取證提供法律證據(jù)。（4）本技術采取判斷重定向機制，能夠識別、滲透和分析這種機制，并以一種自動的、受控制的方式處理訪問請求，對訪問行為進行重定向，攻擊行為由蜜罐系統(tǒng)處理，正常用戶的訪問由真實服務器處理，保障了系統(tǒng)的可用性和可靠性。

1DDoS攻擊特點分析

通過對近年來大規(guī)模的破壞嚴重的DDoS攻擊細致的分析，可以得出DDoS攻擊有以下主要特點：

（1）攻擊規(guī)模強度大。由于黑客利用被攻陷的眾多傀儡主機或“僵尸網絡”同時對目標服務器進行攻擊，將匯聚形成巨大的攻擊洪流，短時間內即可達到目標服務器的處理容量上限，導致目標服務器無法為真正用戶提供正常服務，即所謂的拒絕服務?！?0·21美國網絡癱瘓事件”就是由于黑客對Dyn公司運營的根域名服務器發(fā)動了DDoS攻擊，使得根域名服務器無法對正常網站提供DNS域名解析服務，從而導致全美Twitter、紐約時報等主要網站幾乎都中斷了服務。Dyn公司表示針對物聯(lián)網智能設備的被Mirai惡意程序感染的僵尸網絡可能就是發(fā)起該DDoS估計的罪魁禍首，這是有組織有預謀的大規(guī)模網絡攻擊行為，來自千萬數(shù)量級的IP地址（tens of millions of IP addresses at the same time）參與了攻擊。圖1是Twitter網站狀態(tài)歷史記錄，大規(guī)模的DDoS攻擊最終使得網站癱瘓、無法訪問。

（2）攻擊影響范圍大。DDoS攻擊的目標種類繁多，可以是各大門戶網站、政府政務網站、企事業(yè)單位網站或域名解析服務器。“10·21美國網絡癱瘓事件”幾乎導致整個北美網絡癱瘓，如圖2紅色部分區(qū)域用戶表示他們無法訪問網站。

（3）攻擊源分布式。DDoS不同于DoS之處就是DoS是一對一的映射，而DDoS是多對一的映射，攻擊源可能位于網絡中的不同節(jié)點位置和不同的地理位置。特別是僵尸網絡發(fā)起的DDoS攻擊，其僵尸主機遍布全球各地。攻擊者從多個攻擊源對目標服務器發(fā)動攻擊。

（4）攻擊行為匿名。一般來說，攻擊者為了隱藏身份，通常會隨機偽造源地址，通常會控制一個大型的僵尸網絡向目標服務器發(fā)動攻擊。

（5）反偵探技術強。攻擊者進行攻擊行為后，一般會篡改或者刪除服務器日志記錄，讓防御者防不勝防。

2蜜罐技術分析

2.1蜜罐技術

網絡信息安全如此糟糕，究其根源就是攻擊者與防御者之間在進行著一場不對稱的攻防博弈，攻擊者肆意而為，而防御者必須確保系統(tǒng)整體的安全性能，最為可怕的是防御者即使在被攻陷后還很難了解攻擊者的來源、攻擊方法和攻擊目標。而蜜罐技術可以捕獲黑客的攻擊行為，并對深入分析和研究黑客攻擊行為提供了資料和證據(jù)。

蜜罐是英文Honeypot的意譯，蜜罐類似‘銹餌”或“陷阱”，好比一個情報收集系統(tǒng)，故意引誘攻擊者來攻擊。并對黑客攻擊行為進行詳細的記錄，可以得知系統(tǒng)的漏洞和黑客的攻擊過程，竊聽黑客之間的聯(lián)系，收集黑客所用的攻擊工具和手段，以便進行下一步對真實服務器的防御部署。蜜罐就是網絡管理員經過精心設計的“黑匣子”，看似漏洞百出卻盡在掌握之中，主要目的就是收集攻擊者的入侵數(shù)據(jù)，提取有價值的數(shù)據(jù)然后通過分析工具對這些數(shù)據(jù)解讀和分析最后得出結論用于下一步的安全防御。設計蜜罐的初衷就是讓黑客入侵，其價值就在于被探測、被攻擊和被威脅。網絡安全管理員可以對蜜罐采集的信息分析處理，然后打入黑客控制的僵尸網絡內部，獲取重要的攻擊防御信息，切斷黑客的遠程控制機制，最終把攻擊行為消滅于無形。endprint

蜜罐系統(tǒng)有這些功能：阻止、推測和記錄、響應。

（1）阻止。蜜罐系統(tǒng)能夠有效的阻止多種攻擊。例如，能夠創(chuàng)建tarpit系統(tǒng)降低諸如蠕蟲發(fā)動的TcP/IP自動工具。蜜罐系統(tǒng)也可以設置欺騙系統(tǒng)給黑客造成假象，迷惑和阻止黑客的攻擊行為。

（2）探測和記錄。當目標服務器被攻擊時，蜜罐系統(tǒng)必須要探測出入侵行為，并盡可能詳盡的如實記錄攻擊行為，可以附帶報警機制。

（3）響應。倘若攻擊行為發(fā)生，關鍵的一步就是收據(jù)證據(jù)——攻擊者何時何地干了何事。這是至關重要的，涉及到防御措施部署和法律取證問題，沒有證據(jù)，一切只是紙上談兵。蜜罐系統(tǒng)還需要判定攻擊者是否留下了后門或者修改了關鍵信息以及有沒有以蜜罐服務器為跳板滲透到網絡中。必要的時候可以將蜜罐服務器迅速關閉做分析，而不會影響正常的用戶訪問行為。

2.2蜜罐工作模塊和Honeyd軟件包

蜜罐要迷惑黑客并完成相應任務絕非易事，必須要解決偽裝逼真、適度控制、信息采集記錄三大難題，這樣才不易被黑客識破并能完成任務。總而言之，蜜罐系統(tǒng)包含這4個模塊：偽裝模塊、信息采集模塊、風險控制模塊、數(shù)據(jù)分析模塊。

偽裝模塊：要使蜜罐以假亂真，黑客才會對其進行攻擊，所以蜜罐要逼真的偽裝，盡可能的像真實服務器。最好的偽裝方法是將修改過敏感信息的工作系統(tǒng)的數(shù)據(jù)直接拷貝到蜜罐服務器上，對關鍵的信息如用戶口令等用虛假信息替換。

信息采集模塊：蜜罐系統(tǒng)的關鍵作用就是信息采集記錄和分析，所以要盡可能詳盡的采集黑客人侵攻擊行為，完整的記錄黑客攻擊的整個過程。特別是蜜罐服務器與攻擊源主機進行信息交互時，可以用Sniffer抓包軟件把進出蜜罐系統(tǒng)的每一個數(shù)據(jù)包記錄下來，這些信息對后續(xù)的分析非常有用。

風險控制模塊：蜜罐的價值就在于引誘黑客攻擊，只有被探測、攻擊、利用的時候才能收集到攻擊信息，從而實現(xiàn)蜜罐的價值。但是在引入蜜罐系統(tǒng)的時候如果風險控制不當，可能會對真實服務器產生潛在的危險，這是我們必須加以控制的。比如將蜜罐系統(tǒng)與真實工作系統(tǒng)做相應的隔離，放置于不同的DMZ區(qū)（Demilitarized Zone，非軍事區(qū)），達到信息過濾的作用，以保障真實工作系統(tǒng)的信息安全。

數(shù)據(jù)分析模塊：對采集記錄下來的信息進行分析，區(qū)分開入侵到系統(tǒng)的黑客和正常訪問的用戶。對黑客的掃描、入侵、攻擊行為進行分析，確定黑客的所作所為，包含攻擊用的手段和工具等，然后將分析得出的結論用于下一步的防御部署之中。

Honeyd是—款優(yōu)秀的虛擬蜜罐（virtual honeypot）軟件。虛擬蜜罐就是指一種快速的方式在一個物理服務器上配置若干個蜜罐。虛擬蜜罐軟件可以模仿IP堆棧、操作系統(tǒng)以及真實系統(tǒng)的應用程序，使得在網絡上看起來就像運行著某種操作系統(tǒng)的真實系統(tǒng)。虛擬蜜罐系統(tǒng)建立好后，在它被攻陷之后很容易重新建立和再次使用。Honeyd可以用一臺主機在局域網中模擬出多個不同的地址滿足實驗環(huán)境的要求，并且所有的虛擬主機皆可ping通，通過設置和修改配置文件可以虛擬運行各種服務。Honeyd可被用來模仿成千上萬的系統(tǒng)，每個系統(tǒng)使用不同的端口和不同的IP地址，可以組建成蜜網（Honeynet）系統(tǒng)，大大減少了費用開支。

Honeyd是一種輕量級的守護程序，它能夠產生為數(shù)眾多的虛擬主機，可以對虛擬主機進行配置以提供個性化的服務，系統(tǒng)特征也是與配置參數(shù)相適應的，以至于看起來就像真實的系統(tǒng)在運行。在一個局域網的網絡仿真中，Honeyd能夠使單個主機擁有多達65536個IP地址。Honeyd通過把真實的系統(tǒng)隱藏在虛擬的系統(tǒng)中，達到了阻止黑客攻擊的目的，確保了真實系統(tǒng)的安全性。

3基于蜜罐技術的DDoS攻擊的防御模型

3.1本模型框架設計

本文提出了一個適用于Web網站服務器防御DDoS攻擊的模型。我們假設該Web網站原始拓撲結構如圖3所示。

為了保護Web服務器免受黑客DDoS攻擊，我們對該網絡拓撲結構做一些改動。添加關鍵設備蜜罐子網，然后增加輔助設備網關重定向器，如圖4所示。重定向器中安裝好入侵檢測系統(tǒng)（intrusiondetection system，IDS）。下面詳細說明該模型主要模塊的作用和整體工作原理。

重定向器：主要功能是監(jiān)測和鑒定正常訪問行為和惡意攻擊行為。它對任何訪問者都是不可見的，其中安裝好IDS。檢測方法主要有基于異常流量的檢測和基于特征匹配的檢測，在異常入侵檢測系統(tǒng)中常常采用以下幾種檢測方法：

（1）基于貝葉斯推理檢測法；

（2）基于特征選擇檢測法；

（3）基于模式預測的檢測法；

（4）基于統(tǒng)計的異常檢測法；

（5）基于機器學習檢測法；

（6）數(shù)據(jù)挖掘檢測法；

（7）基于應用模式的異常檢測法；

（8）基于文本分類的異常檢測法；

（9）基于黑名單/白名單的異常檢測法。

如果鑒定為正常訪問行為，則不用重定向，由真實服務器響應請求，其網絡拓撲結構同原始網絡結構一樣，對正常的網絡通信沒有明顯的影響，從而保障重要客戶的訪問行為。但是，如果鑒定為惡意攻擊行為，重定向器則激活重定向機制，網絡拓撲結構就變成圖4所示，將訪問行為重定向至蜜罐子網中。重定向器只是在重定向的時候消耗少量的系統(tǒng)資源，故不會對Web網站產生較大的負載影響。

蜜罐：模型中的蜜罐起著至關重要的作用，是一個陷阱誘捕機制。引誘黑客攻擊蜜罐，從而稀釋攻擊真實服務器的流量，同時記錄黑客的攻擊過程。在該模型中，將蜜罐服務器的連接超時時間、同時允許打開的半連接數(shù)的值設置為0。這樣，很多請求會在短時間內丟棄，蜜罐服務器資源就不容易被占用消耗殆盡，可以承受大量的攻擊流。對于重定向器鑒定的惡意攻擊行為被重定向至蜜罐子網中后，日志詳盡的記錄下這些攻擊信息。有了這些攻擊信息，我們可以對癥下藥，部署防御措施。本模型選用的蜜罐系統(tǒng)是Honeyd。Honeyd是一款用于搭建虛擬蜜罐的開源軟件，其在一臺物理主機虛擬出多個操作系統(tǒng)并配置不同地址的虛擬技術使他們看起來就像是運行在某個特定操縱系統(tǒng)上一樣，在掩護真實服務器的同時又設置了一個引誘黑客的陷阱，是比較流行的蜜罐，蜜網程序。Honeyd不僅為我們的方案節(jié)省了開支，也可以讓我們根據(jù)需要添加功能。endprint

3.2技術要點

整個模型還要保證能夠實現(xiàn)以下幾個技術要點：

（1）攻擊流必須主動地被引入蜜罐子網中。主要靠重定向器完成，其中安裝好入侵檢測系統(tǒng)snort。

（2）不能中斷對主要客戶的服務，還是靠重定向器實現(xiàn)。

（3）蜜罐系統(tǒng)的日志記錄必須做到安全可信?？梢酝ㄟ^日志遠程安全存儲保障。

（4）必須要嚴格控制攻擊者利用蜜罐子網發(fā)起對第三方的攻擊，可以把蜜罐子網和服務器子網隔離，服務器放置在單獨的DMZ區(qū)。

4防御模型的實施

4.1攻擊重定向技術實現(xiàn)

攻擊重定向技術是實現(xiàn)該防御模型的關鍵技術之一。我們需要安裝和配置好snort開源軟件包。為了安全性，我們只需要打開Web服務器的wvcw服務的80端口即可。然后在snort規(guī)則語句中加入該語句：

alert tcp any any->222.197.198.143/24 80（itype：10000；msg“DDoS attack”；）

這條語句的意思是對來自于任何源IP地址和任何端口傳送到主機地址為222.197.198.143的80端口的服務器的TCP連接，如果每秒的連接請求次數(shù)大于一萬次，則鑒定其為DDoS攻擊。語句從左到右逐次解釋如下，語句頭部分的“alert”生成一個警報并記錄下來；“tcp”是協(xié)議類型；兩個連續(xù)的“any”，前一個表示任意IP地址，后一個表示任意端口號；“>”表示請求方向；“222.197.198.143”表示目的主機IP地址；“24”表示子網掩碼為24位長，即子網掩碼為255.255.255.0；“80”表示端口號；“itype：1000”表示測試ICMP的type字段的值；“msg”定義了要包含在警告信息中的文本。

然后我們在snort轉發(fā)規(guī)則中加入下列轉發(fā)判斷語句。

變量message由alert語句中msg賦值，IP1、IP2……是重定向白名單中的IP地址，如果源地址不在白名單里，則重定向到蜜罐子網，由蜜罐子網處理攻擊行為。

4.2蜜罐服務器配置

我們把真實Web服務器內容拷貝到蜜罐中，然后修改和替換其中敏感和重要的信息，最終達到迷惑攻擊者的目的。

實驗中需要用到Honeyd軟件包，Honeyd不能獨立運行，需要三個函數(shù)庫作為配套，libenvent，libdnet，libdcap。Honeyd的庫有很多，所以編譯和安裝Honeyd比較難。大略步驟是先安裝libpcap包、libdnet包、libevent包，最后再安裝Honeyd包。這樣就完成Honeyd的安裝。

然后對虛擬蜜罐配置，通過合理的使用create，set，add，bind指令創(chuàng)建一個虛擬的操作系統(tǒng)，并綁定IP地址。然后對路由拓撲配置，有了這些配置，我們就可以通過“#./Honeyd-f Honeyd.conf”指令啟動Honeyd程序。

在蜜罐子網中，我們要防止蜜罐子網被黑客攻陷淪為“跳板”進行下一步攻擊，必須做好訪問控制。訪問控制可以通過編寫好的腳本將蜜罐子網內的全部外出訪問請求都過濾掉，從而防止蜜罐子網被攻陷淪為“跳板”攻擊第三方。

4.3遠程日志存儲功能的實現(xiàn)

通過把日志記錄遠程存儲，確保日志記錄不會被黑客篡改和刪除。由于遠程日志只能由網絡安全管理員訪問，普通用戶和攻擊者無法訪問，安全性是可以保證的。當黑客攻擊行為被引誘到蜜罐服務器中時，日志詳細的記錄了黑客的所作所為。由于蜜罐服務器端是Unix域套接字，而遠程日志存儲需要TCP套接字通信，兩者速度并不一致，需要緩沖技術，如圖5所示，日志記錄通過緩沖區(qū)安全的傳送到遠程日志存儲服務器中存儲。

4.4模塊主流程

整個模塊以守護進程（Daemon）的方式脫離終端控制始終在后臺運行，不會被終端中斷。主流程分5步：

（1）Init daemon

初始化，使程序以守護進程方式運行；

（2）IntAgrogram

初始化程序全局變量；

（3）Cterat send thread

創(chuàng)建新的線程并與遠程數(shù)據(jù)中心建立連接；

（4）Int unix socket

創(chuàng)建Unix的數(shù)據(jù)包套接字；

（5）Recv Drocess_log

接收和保存Honeyd發(fā)送的日志記錄。

5結束語

本文分析了信息安全領域中最常見且破壞嚴重的DDoS攻擊，然后提出了一種基于蜜罐誘捕技術的應對DDoS攻擊的防御模型，該模型只需要部署在目標服務器端，簡單易行。本模型采取蜜罐技術記錄了攻擊行為特征并遠程存儲日志記錄，對DDoS攻擊的分析及防御部署非常有用。本模型采取重定向技術，使正常訪問請求轉發(fā)到真實服務器中處理，異常攻擊則重定向到蜜罐子網處理，保證了真實服務器的可用性和可靠性。本模型還采用了訪問控制技術，蜜罐系統(tǒng)流出請求被過濾，遠程日志服務器只能由安全管理員訪問，確保了在引入蜜罐技術的同時不會帶來新的潛在威脅。最后通過Honeyd軟件包搭建了該模型的虛擬蜜罐，并實施了該模型的防御功能。

但是，本模型也存在一些不足之處。一是沒有考慮到源IP地址的真?zhèn)?；二是重定向器可能對正常訪問行為和惡意攻擊行為會存在誤判，這是我們后續(xù)研究的重點。endprint