IPv6下基于源地址驗(yàn)證的DRDoS攻擊防御方案研究

翟瑞+李丁蓬+付順順

摘要：在網(wǎng)絡(luò)攻擊日益泛濫的今天，分布式拒絕服務(wù)攻擊帶來的危害持續(xù)上升，其中最為典型的就是DRDoS攻擊（分布式反射拒絕服務(wù)攻擊），IPv6網(wǎng)絡(luò)也面臨這樣的危險(xiǎn)。為了應(yīng)對DRDoS攻擊帶來的嚴(yán)峻安全形勢，保障下一代互聯(lián)網(wǎng)通信的健康安全，在IPv4接入網(wǎng)源地址驗(yàn)證的基礎(chǔ)上進(jìn)行了改進(jìn)。結(jié)合IPv6網(wǎng)絡(luò)特點(diǎn)實(shí)現(xiàn)動(dòng)態(tài)過濾，引入域內(nèi)攻擊測試服務(wù)器對數(shù)據(jù)包源地址進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，該方案能有效識(shí)別偽造源地址的數(shù)據(jù)包，進(jìn)而實(shí)現(xiàn)對DDRoS攻擊的有效防御。

關(guān)鍵詞：源地址驗(yàn)證；分布式反射拒絕服務(wù)攻擊；防御方案；網(wǎng)絡(luò)安全

DOIDOI：10.11907/rjdk.172880

中圖分類號：TP309

文獻(xiàn)標(biāo)識(shí)碼：A文章編號文章編號：1672-7800（2018）001-0199-03

Abstract：With the increasing proliferation of cyber attacks， the dangers of distributed denial of service attacks continue to rise. Which is currently the most typical is DRDoS attacks （distributed reflex denial of service attacks）， IPv6 network is also facing such a danger. In order to deal with the DRDoS attack to bring the severe security situation， to protect the next generation of Internet communication health and safety and stability. In this paper， based on the IPv4 address network source address authentication to improve， combined with the characteristics of IPv6 network to achieve dynamic filtering， and the introduction of domain attack test server to verify the source address of the packet. Through the experimental results， we can see that the scheme effectively identifies the packets with the source address， and realizes the effective defense of the DDRoS attack.

Key Words：source address verification； DRDoS attack； defense program； network security

0引言

IPv4地址已在全球分配完畢，IPv6網(wǎng)絡(luò)受到越來越多的國家重視，但I(xiàn)Pv6網(wǎng)絡(luò)同樣面臨安全問題，也會(huì)受到分布式拒絕服務(wù)攻擊的威脅。DRDoS（分布式反射拒絕服務(wù)）是一個(gè)精心設(shè)計(jì)的分布式拒絕服務(wù)攻擊，其基本思想是通過使用UDP（用戶數(shù)據(jù)報(bào)協(xié)議）來調(diào)用大量服務(wù)（如DNS域名服務(wù)器、NTP服務(wù)器或在線視頻游戲協(xié)議）。利用UDP協(xié)議的特點(diǎn)，攻擊者可以使用第三方IP使數(shù)據(jù)包反彈并隱藏攻擊來源。雖然對DRDoS（分布式反射拒絕服務(wù)）攻擊的研究已經(jīng)進(jìn)行了多年，但實(shí)際網(wǎng)絡(luò)對此類攻擊的防范作用效果不明顯。信息安全公司Verisign最新發(fā)布的2017年第一季度DDOS攻擊趨勢報(bào)告[1]指出，基于UDP協(xié)議的攻擊類型在所有攻擊類型中占據(jù)了主要地位，最常見的UDP洪水攻擊均為DRDoS攻擊。

對DRDoS攻擊的檢測防御方法研究很多。如Peng等[2]提出了基于現(xiàn)有IP過濾偽造源IP的方案，但針對現(xiàn)有IP進(jìn)行的攻擊則無能為力。Jin等[3]提出基于跳數(shù)映射的反射端監(jiān)測過濾方案，但方案實(shí)施復(fù)雜。針對請求回應(yīng)包的檢測模型法[4]對過濾攻擊包有較好效果，但實(shí)施中可能導(dǎo)致開銷過大?；谡埱蟀c回應(yīng)包比例異常[5]檢測DRDoS攻擊并實(shí)現(xiàn)過濾的方案，主要實(shí)現(xiàn)攻擊完成之后的檢測，防御效果不理想。

針對這些方案的不足，本文提出了一種基于源地址驗(yàn)證的DRDoS攻擊防御方案，從源頭上遏制DRDoS攻擊的發(fā)生。

1DRDoS攻擊原理分析

在DRDoS攻擊中，攻擊主機(jī)向一些特定服務(wù)器發(fā)送請求數(shù)據(jù)包，而請求數(shù)據(jù)包中的源地址設(shè)置為DRDoS攻擊目標(biāo)[6]。當(dāng)服務(wù)器收到請求報(bào)文后，向攻擊目標(biāo)的IP地址發(fā)送回應(yīng)報(bào)文，但回應(yīng)報(bào)文本身的大小是請求數(shù)據(jù)包大小的數(shù)倍[7]。當(dāng)眾多的攻擊主機(jī)發(fā)送攻擊包時(shí)，則攻擊目標(biāo)會(huì)收到來自特定服務(wù)器洪水般的回應(yīng)報(bào)文，最終導(dǎo)致崩潰無法提供正常服務(wù)。那么只要將攻擊主機(jī)發(fā)出的偽造源地址報(bào)文攔截，就可實(shí)現(xiàn)對DRDoS攻擊的防御[8]。

如圖1所示，DRDoS攻擊中，攻擊主機(jī)與攻擊目標(biāo)主機(jī)的位置基本分為兩種情況：①攻擊主機(jī)與攻擊目標(biāo)主機(jī)位于同一子網(wǎng)內(nèi)；②攻擊主機(jī)與攻擊目標(biāo)主機(jī)位于不同的子網(wǎng)內(nèi)[9]。兩種情況相比，第①種情況存在的概率微乎其微。本文針對第②種情況，提出了源地址驗(yàn)證方案應(yīng)對DRDoS攻擊。

2源地址驗(yàn)證方案

本文的源地址驗(yàn)證方案根據(jù)網(wǎng)絡(luò)中部署位置的不同分為兩層，分別是接入網(wǎng)IPv6源地址驗(yàn)證、域內(nèi)IPv6源地址驗(yàn)證。

2.1接入網(wǎng)IPv6源地址驗(yàn)證

傳統(tǒng)的接入網(wǎng)源地址驗(yàn)證是在交換機(jī)端將局域網(wǎng)內(nèi)的主機(jī)IP地址、MAC地址綁定在一起，對通過的報(bào)文進(jìn)行過濾[10]。但目前的IP地址配置方案大多采用動(dòng)態(tài)分配，如果采用之前的過濾方案，不僅無法過濾偽造IP地址的數(shù)據(jù)包，反而影響了正常的通信行為。另外，由于無法保證子網(wǎng)中的主機(jī)不發(fā)生變化，新增的主機(jī)必然無法通過綁定列表的過濾，這需要源地址驗(yàn)證方案能適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境，在保證不影響正常通信的情況下實(shí)現(xiàn)偽造源地址數(shù)據(jù)包的識(shí)別與過濾。首先，基于DHCP服務(wù)的IP地址分配情況，動(dòng)態(tài)配置綁定列表。對源IP地址及MAC地址不相符的數(shù)據(jù)包直接進(jìn)行攔截。對于只有IP地址屬于綁定列表的情況，交換機(jī)轉(zhuǎn)發(fā)給路由器進(jìn)行域內(nèi)驗(yàn)證。endprint

2.2域內(nèi)IPv6源地址驗(yàn)證方法

路由器對收到的新IP地址的報(bào)文首先保存在路由器緩存中，之后路由器發(fā)送以新IP地址為源IP地址、目的IP地址為域內(nèi)測試服務(wù)器的IP地址測試報(bào)文。隨后路由器以自身IP地址向測試服務(wù)器發(fā)送測試報(bào)文。之后路由器監(jiān)聽轉(zhuǎn)發(fā)的報(bào)文中是否有源地址為測試服務(wù)器地址，目的IP地址為之前新IP地址的報(bào)文。若收到相應(yīng)報(bào)文，則將之前保存的報(bào)文轉(zhuǎn)發(fā)出去，若直到路由器收到測試服務(wù)器對其回復(fù)時(shí)還未收到相應(yīng)報(bào)文，則將此IP地址添加到黑名單，不再向外轉(zhuǎn)發(fā)源地址為此IP地址的報(bào)文。另外，在本域的邊界路由器上進(jìn)行設(shè)置，當(dāng)收到源IP地址為本域測試服務(wù)器的地址報(bào)文時(shí)，直接丟棄，如圖2所示。

算法過程如下：①交換機(jī)形成IP地址、MAC地址綁定列表；②交換機(jī)檢查報(bào)文中是否存在IP地址或MAC地址屬于綁定列表；若存在轉(zhuǎn)步驟③，若不存在則轉(zhuǎn)步驟④；③交換機(jī)對收到的報(bào)文IP地址、MAC地址以及端口信息與綁定列表的信息進(jìn)行核對；若符合則轉(zhuǎn)發(fā)報(bào)文，不符合則將報(bào)文丟棄；④將報(bào)文轉(zhuǎn)發(fā)給路由器，路由器暫時(shí)將其保存在緩存中，并提取出報(bào)文的源IP地址IP1。以IP1為源IP地址，以本域測試服務(wù)器IP地址為目的IP地址發(fā)送測試報(bào)文。隨后以本路由器IP地址為源IP地址，向測試服務(wù)器發(fā)送測試報(bào)文；⑤本域測試服務(wù)器收到測試報(bào)文后，分別發(fā)送回應(yīng)報(bào)文；⑥路由器在規(guī)定時(shí)間內(nèi)監(jiān)測收到的回應(yīng)報(bào)文情況，若收到測試服務(wù)器對IP1地址的回應(yīng)報(bào)文，則將之前保存的報(bào)文轉(zhuǎn)發(fā)，并將IP1添加到白名單。若先收到測試服務(wù)器對路由器的回應(yīng)報(bào)文，則結(jié)束等待，丟棄之前保存的報(bào)文，并添加到黑名單。若在規(guī)定時(shí)間未收到任何回應(yīng)報(bào)文，則丟棄保存的報(bào)文；⑦邊界路由器對測試路由器發(fā)出的報(bào)文丟棄。

3實(shí)驗(yàn)驗(yàn)證

本文通過模擬仿真實(shí)驗(yàn)的方式，對提出的IPv6下基于源地址驗(yàn)證的DRDoS攻擊防御方案進(jìn)行驗(yàn)證。實(shí)驗(yàn)環(huán)境：PC機(jī)配置為Intel（R）_Core（TM）_i5-3470@_3.20GHz，內(nèi)存為8G；操作系統(tǒng)為Ubuntu14.04TLS；NS3.26。

本文使用虛擬化網(wǎng)絡(luò)仿真平臺(tái)NS3，可以實(shí)現(xiàn)對數(shù)百個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的仿真，并可對網(wǎng)絡(luò)中的路由器等模塊進(jìn)行修改，搭建的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖3所示。

設(shè)計(jì)3種測試方案：①各主機(jī)之間正常發(fā)送IP報(bào)文；②偽造拓?fù)鋬?nèi)主機(jī)源地址發(fā)送IP報(bào)文；③偽造拓?fù)渫庵鳈C(jī)源地址發(fā)送IP報(bào)文。

在傳統(tǒng)接入網(wǎng)源地址驗(yàn)證方案及IPv6下基于源地址驗(yàn)證的DRDoS攻擊防御方案這兩種情況下進(jìn)行實(shí)驗(yàn)，分別進(jìn)行100次實(shí)驗(yàn)，每次實(shí)驗(yàn)報(bào)文數(shù)量不少于1 000個(gè)，對不同測試下的轉(zhuǎn)發(fā)延時(shí)、源地址驗(yàn)證成功率進(jìn)行統(tǒng)計(jì)。通過對發(fā)出的數(shù)據(jù)包與在路由器處轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行比較分析，得出統(tǒng)計(jì)表1。

通過實(shí)驗(yàn)可以看出，采用傳統(tǒng)接入網(wǎng)源地址驗(yàn)證方案的實(shí)驗(yàn)環(huán)境對偽造源地址的報(bào)文攔截效果較差，存在較大的誤攔截率。而IPv6下基于源地址驗(yàn)證的DRDoS攻擊防御方案，不管是針對拓?fù)鋬?nèi)偽造源地址還是拓?fù)渫鈧卧煸吹刂返膱?bào)文，都能有效攔截，進(jìn)而實(shí)現(xiàn)對DRDoS攻擊的防御。對拓?fù)渫獾牡刂夫?yàn)證有時(shí)間限制，在遇到網(wǎng)絡(luò)阻塞情況下會(huì)導(dǎo)致超時(shí)丟棄報(bào)文。因此，本文的方案中允許再次發(fā)送報(bào)文進(jìn)行驗(yàn)證，直到完成驗(yàn)證。另外，由于保證本文源地址驗(yàn)證全部實(shí)現(xiàn)導(dǎo)致增加了轉(zhuǎn)發(fā)延時(shí)。

4結(jié)語

本文利用綁定列表過濾方案與測試源地址驗(yàn)證方案相結(jié)合的方式，雖然增加了轉(zhuǎn)發(fā)延時(shí)，但可有效防御IPv6網(wǎng)絡(luò)中的DRDoS攻擊發(fā)生，可見本文方案是有效的DRDoS攻擊防御方案。下一步研究方向是在保證偽造源地址攔截率的基礎(chǔ)上，進(jìn)一步降低轉(zhuǎn)發(fā)延時(shí)，提升效率，以及降低誤攔截率。

參考文獻(xiàn)：

[1]VERISIGN. Inc，Q1 2017： DDoS trends infographic[EB/OL].http：//www.verisign.com/assets/infographic-ddos-trends-Q12017_en_IN.pdf.

[2]PENG T， LECKIE C， RAMAMOHANARAO K. Detecting reflector attacks by sharing beliefs[J].Global Telecommunications Conference， GLOBECOM '03. IEEE，2003（3）：1358-1362.

[3]JIN C， WANG H， SHIN K， et al. An effective defense against spoofedtraffic [J]. ACM International Conference on Computer and Communications Confercnce SecUrity 2003（10）：30-41.

[4]OHTA K， YAMAMOTO A. Detecting DRDoS attacks by a simple response packet confirmation mechanism[J]. Computer Communications，2008，31（14）：3299-3306.

[5]何雪妮.一種改進(jìn)的檢測算法[J].自動(dòng)化與儀器儀表，2012，161（3）：150-151.

[6]賀燕.DRDoS攻擊檢測模型的研究[D].西安：陜西師范大學(xué)，2010.

[7]姜開達(dá)，章思宇，孫強(qiáng).基于NTP反射放大攻擊的DDoS追蹤研究[J].通信學(xué)報(bào)，2014（s1）：153-156.

[8]李剛.基于流記錄的掃描和反射攻擊行為主機(jī)檢測[D].南京：東南大學(xué)，2016.

[9]張明清，揣迎才，唐俊，等.一種DRDoS協(xié)同防御模型研究[J].計(jì)算機(jī)科學(xué)，2013，40（9）：99-102.

[10]孫鵬.面向SDN的源地址驗(yàn)證方法研究[J].電光與控制，2016（3）：49-53.

（責(zé)任編輯：杜能鋼）endprint