基于行為分析的DDoS攻擊源追蹤技術(shù)研究

□張志強(qiáng)，劉三滿，曹 敏

(山西警察學(xué)院，山西 太原 030401)

一、引言

分布式拒絕服務(wù)(Distributed Denial of Service，DDoS)攻擊利用IP協(xié)議的缺陷，對(duì)一個(gè)或多個(gè)目標(biāo)進(jìn)行攻擊，消耗網(wǎng)絡(luò)帶寬及系統(tǒng)資源，使合法用戶無(wú)法得到正常服務(wù)。由于采用了源IP地址欺騙、代理等技術(shù)，現(xiàn)有的各種網(wǎng)絡(luò)追蹤技術(shù)不能有效追蹤DDoS 攻擊源。由于追蹤和防范難度大，分布式拒絕服務(wù)攻擊(DDoS攻擊)成為黑客常用的攻擊手段之一。[1-9]近年來(lái)，DDoS攻擊屢見不鮮，給國(guó)家、社會(huì)和個(gè)人造成了嚴(yán)重危害。據(jù)CNCERT抽樣監(jiān)測(cè)，[10]2018年我國(guó)境內(nèi)峰值超過(guò)10Gbps的大流量DDoS攻擊平均每月超過(guò)4000起。由于TCP/IP協(xié)議通過(guò)源IP地址區(qū)分不同數(shù)據(jù)包的發(fā)送者，且TCP/IP協(xié)議路由機(jī)制只檢查數(shù)據(jù)包目標(biāo)地址的有效性，攻擊者可以把源IP地址修改為虛假IP地址，同時(shí)可以把其他主機(jī)作為跳板進(jìn)行攻擊。在對(duì)DDoS攻擊源進(jìn)行追蹤過(guò)程中可能會(huì)線索中斷，對(duì)取證人員開展追蹤取證工作造成一定困難。

針對(duì)DDoS攻擊源追蹤難的問(wèn)題，本文提出一種基于行為分析的DDoS攻擊源追蹤技術(shù)，以進(jìn)一步提升對(duì)DDoS攻擊源追蹤的效率。

二、目前DDoS攻擊源追蹤技術(shù)分析

(一)DDoS主要攻擊方式

1.UDP Flood攻擊。攻擊者通過(guò)消耗網(wǎng)絡(luò)帶寬資源，阻塞正常通信而導(dǎo)致服務(wù)癱瘓。

2.TCP SYN Flood攻擊。攻擊者利用TCP三次握手機(jī)制存在漏洞，向目標(biāo)服務(wù)器發(fā)送大量偽造IP地址的SYN報(bào)文請(qǐng)求建立連接，目標(biāo)主機(jī)因收不到ACK報(bào)文而緩存區(qū)溢出，導(dǎo)致拒絕服務(wù)。

3.HTTP Flood攻擊。攻擊者通過(guò)持續(xù)給目標(biāo)主機(jī)發(fā)送HTTP虛假請(qǐng)求，耗盡服務(wù)器帶寬或者連接資源，導(dǎo)致不能為合法用戶提供服務(wù)。

DDoS攻擊的主要特點(diǎn)是通過(guò)代理機(jī)攻擊，使用過(guò)載流量消耗目標(biāo)主機(jī)資源或或者消耗網(wǎng)絡(luò)帶寬，從而造成拒絕服務(wù)。

(二)目前DDoS攻擊源追蹤技術(shù)[11-16]

1.包標(biāo)記策略。選擇一定比例數(shù)據(jù)包增加標(biāo)記，通過(guò)數(shù)據(jù)包中的標(biāo)記，追蹤分析數(shù)據(jù)包傳播路徑和源頭。

2.流水印策略。在多個(gè)數(shù)據(jù)包序列中加入流水印，以一定的準(zhǔn)確率檢測(cè)到水印信息。適用于數(shù)據(jù)流出現(xiàn)重打包、丟包等情況。

3.日志記錄方法。通過(guò)各類日志等文件，分析數(shù)據(jù)包傳播痕跡，重構(gòu)攻擊路徑。

4.滲透測(cè)試方法。利用系統(tǒng)及網(wǎng)絡(luò)安全漏洞進(jìn)行滲透，控制目標(biāo)主機(jī)，目標(biāo)主機(jī)主動(dòng)向取證人員主動(dòng)發(fā)送攻擊者信息。

(三) 當(dāng)前DDoS攻擊源追蹤存在的問(wèn)題

目前對(duì)于DDoS事后攻擊主要通過(guò)日志方法等手段對(duì)攻擊源進(jìn)行追蹤，如果從日志等文件中不能分析出相關(guān)線索，將造成追蹤線索中斷，DDoS攻擊源追蹤取證將比較困難。

三、基于行為分析的DDoS攻擊源追蹤技術(shù)

(一)DDoS攻擊行為建模

DDoS攻擊是攻擊者對(duì)目標(biāo)系統(tǒng)進(jìn)行的以拒絕服務(wù)為主要目的的行為。本文基于隨機(jī)Petri網(wǎng)[17]對(duì)DDoS攻擊行為進(jìn)行建模，通過(guò)和正常網(wǎng)絡(luò)行為進(jìn)行對(duì)比，分析DDoS攻擊行為的主要特征。

1.隨機(jī)Petri網(wǎng)(SPN)

隨機(jī)Petri網(wǎng)可以描述為一個(gè)四元組SPN=(P,T,F,λ)，其中：

(1)P=(p1,p2,...pm)是有窮位置集合；

(2)T=(t1,t2,...tm)，是有窮變遷集合；(P∩T≠Φ；P∪T≠Φ)

(3)F?(P×T)∪(T×P)，是弧的集合；

(4)λ=(λ1，λ2，...,λn)，是變遷平均實(shí)施速率集合。

2.基于隨機(jī)Petri網(wǎng)的DDoS攻擊行為模型

DDoS攻擊行為可描述為：

ASPN=〈P,T,F,M0,λ〉，其中

(2)T=(T1,T2,...Tm)表示攻擊行為的變遷集合；

(3)F是有向弧線集合，表示攻擊路徑，如攻擊者利用本機(jī)及跳板主機(jī)進(jìn)行攻擊將用不同攻擊路徑表示；

(4)M0表示初始標(biāo)識(shí)，表示攻擊開始的位置；

(5)λ是時(shí)間變遷的平均實(shí)施速率集合，它反映攻擊行為的能力，主要包括DDoS攻擊所達(dá)帶寬峰值等。

(二)DDoS攻擊行為分析

通過(guò)隨機(jī)Petri網(wǎng)對(duì)DDoS攻擊行為進(jìn)行建模分析，可以刻畫DDoS攻擊的主要網(wǎng)絡(luò)行為特征，結(jié)合DDoS攻擊者歷史行為，可根據(jù)攻擊行為的主要特性對(duì)攻擊源進(jìn)行重點(diǎn)追蹤：

1.受攻擊目標(biāo)的集中性

DDoS攻擊目標(biāo)分布領(lǐng)域比較集中。[18]據(jù)CNCERT監(jiān)測(cè)分析，[10]2018年受DDoS攻擊目標(biāo)IP地址數(shù)量約9萬(wàn)個(gè)，攻擊目標(biāo)主要分布在色情、博彩等互聯(lián)網(wǎng)地下黑產(chǎn)、文化體育和娛樂(lè)領(lǐng)域，此外還包括運(yùn)營(yíng)商IDC、金融、教育、政府機(jī)構(gòu)等。

2.活躍攻擊團(tuán)伙的集中性

由于DDoS需要一定的設(shè)備及技術(shù)支撐，DDoS攻擊團(tuán)伙比較集中。據(jù)CNCERT監(jiān)測(cè)，2018年共發(fā)現(xiàn)50個(gè)DDoS攻擊團(tuán)伙利用僵尸網(wǎng)絡(luò)進(jìn)行攻擊，相同攻擊團(tuán)伙的攻擊目標(biāo)相對(duì)集中，不同團(tuán)伙之間相互獨(dú)立。

3.參與攻擊地址的集中性

參與DDoS攻擊的受控主機(jī)相對(duì)比較集中。2018年參與攻擊較多的境內(nèi)肉雞地址主要位于江蘇省、浙江省和山東省，其中大量肉雞地址歸屬于中國(guó)電信。

(三)案例分析

DDoS攻擊主要發(fā)生在網(wǎng)站和游戲行業(yè)等目標(biāo)，攻擊的主要目的為商業(yè)惡性競(jìng)爭(zhēng)等，通過(guò)DDoS攻擊妨礙競(jìng)爭(zhēng)對(duì)手的業(yè)務(wù)活動(dòng)，打擊對(duì)手的聲譽(yù)，從中獲取優(yōu)勢(shì)。由于受攻擊技術(shù)和設(shè)備的限制，攻擊者采用的攻擊方法和表現(xiàn)的特征比較固定，可通過(guò)分析DDoS攻擊行為特征，與攻擊者相關(guān)的歷史攻擊行為進(jìn)行匹配分析，從而確定可疑的攻擊組織。

以游戲行業(yè)中的DDoS攻擊為例，假如，在歷史攻擊事件中，A組織曾采用大規(guī)模肉雞進(jìn)行過(guò)DDoS攻擊。若某游戲客戶B遭受到大規(guī)模的四層連接耗盡型攻擊，從攻擊數(shù)據(jù)看，黑客動(dòng)用了超過(guò)20萬(wàn)的肉雞資源，攻擊手法為建連之后向服務(wù)器發(fā)起高頻率的惡意請(qǐng)求，并帶有隨機(jī)Payload，攻擊新建峰值超過(guò)了170Wcps。當(dāng)發(fā)生DDoS攻擊后，通過(guò)DDoS攻擊數(shù)據(jù)對(duì)攻擊者行為進(jìn)行分析，若攻擊方式與A組織的攻擊方式匹配，則可和其他追蹤技術(shù)相結(jié)合，對(duì)A組織進(jìn)行重點(diǎn)追蹤分析。

圖1 DDoS攻擊行為分析流程圖

四、基于行為分析的DDoS攻擊源追蹤技術(shù)與現(xiàn)有追蹤技術(shù)對(duì)比

基于行為分析的DDoS攻擊源追蹤技術(shù)，通過(guò)數(shù)據(jù)包分析攻擊者的行為特征，與攻擊者的歷史行為進(jìn)行對(duì)比分析，從而確定可疑的攻擊者。具體過(guò)程如圖1所示。在對(duì)攻擊者追蹤過(guò)程中，若其他方法不能生效，通過(guò)基于行為分析的方法可以為追蹤提供線索，與其他追蹤技術(shù)相結(jié)合對(duì)攻擊者進(jìn)一步進(jìn)行追蹤。

基于行為分析DDoS攻擊源追蹤技術(shù)與現(xiàn)有技術(shù)在技術(shù)難度上的比較如表1所示。

表1 基于行為分析DDoS攻擊源追蹤技術(shù)與現(xiàn)有技術(shù)比較

五、結(jié)束語(yǔ)

本文通過(guò)對(duì)DDoS攻擊行為進(jìn)行建模分析，為DDoS攻擊源追蹤提供方法和線索，以提升攻擊源追蹤效率。下一步將構(gòu)建DDoS攻擊仿真環(huán)境，把Petri網(wǎng)行為建模與仿真方法結(jié)合進(jìn)行分析，進(jìn)一步研究DDoS攻擊源追蹤方法。