1引言
拒绝服务(DoS,denialofservice)攻击以其多发性、高损失性和高抵御难度,已经成为互联网上4种主要攻击方式之一[1]。如今对于DoS攻击还没有很好的抵御措施。虽然一些抵御措施一定程度上降低了DoS攻击的发生率和危害性,但是DoS攻击仍然是最大的网络安全威胁之一。2007年电子犯罪调查中显示,在所有受访者当中,49%的受访者曾受到过DoS攻击(受攻击率排名第五)[2]。
DoS攻击的种类繁多,而且每种攻击都有10个以上的变种,这使得有效抵御DoS攻击变得难以实现。
DoS攻击依据其所针对的对象,大体上分为如下3类[3]。①针对网络带宽、针对系统资源和针对应用程序资源。针对网络带宽的DoS攻击,网络带宽广义上是指网络用户连接到其上游设备的网络连接能力。同样,服务器也是通过一定的网络带宽连接到因特网上的。攻击者通过攻击服务器的网络带宽,使服务器无法正常连接到因特网,从而造成拒绝服务。②针对系统资源的DoS攻击。系统资源一般指的是主机系统上的内存、CPU等。任何的计算机程序都必须在一定的系统资源上才能正常地运行,服务器所提供的网络服务也同样是服务器系统上运行的服务程序。利用某些系统或协议的漏洞,攻击者消耗大量的服务器系统资源,致使服务器程序运行缓慢或假死。③针对应用程序资源的DoS攻击。程序员在编写计算机应用程序的时候,由于疏忽或本身的编程技术不成熟等因素,往往会在正式发行版本的应用程序中遗留一些bug。在正常情况下,这些bug不会对服务器系统有任何的影响,但攻击者却可以利用这些bug来攻击服务器。
DoS攻击实现容易,却难以防御。只要对计算机系统有一定了解的计算机使用者都可以对某服务器系统发起DoS攻击。但是要想很好地抵御DoS攻击,所需要耗费的财力、物力、人力是巨大的。往往投入很多,但效果却不明显。科研人员也在不断地对DoS攻击进行研究,以求解决这个问题。经过多年的研究也提出了如下一些抵御DoS攻击的方法。
1)蜜罐技术[1],它是一种网络诱骗技术。利用一定数量的蜜罐主机来诱骗攻击者,蜜罐主机拥有服务器的部分特征并能够观察、记录攻击者的行为以供分析。蜜罐主机让攻击者无法准确地找到服务器主机,反而会让自己被蜜罐主机记录并追踪。
2)隐藏减缓技术,它是一种隔离技术。在用户和服务器系统之间放置一个P2P网络,利用P2P网络来形成一个隔离带,从而使攻击者无法找到真实的服务器主机,而合法用户与服务器主机之间通过秘密信道进行通信。
3)SYNCookie技术[4],用以抵御SYN欺骗攻击。对于到来的SYN数据包并不为其分配TCP连接请求表项,而是把以一定的方式生成ISN序号的Cookie嵌入到SYNACK数据包中发给客户端。只有当客户端按正常方式发回ACK数据包,再由服务器对ISN序号Cookie进行验证后才建立连接和分配资源。这也是一种有握手的连接方式。
蜜罐技术、隐藏减缓技术和SYNCookie技术一定程度地抑制了DoS攻击,可以看到这些技术虽然不尽相同,但它们所表达的是一个共同的思想——迷惑攻击者,使其无法找到目标主机。在这一思想引导下,文献[5]和文献[6]提出了端信息跳变的思想。
2基于端信息跳变的DoS攻击防护机制
2.1端信息跳变
端信息跳变(endhopping)是指在端到端的数据传输中,通信双方或一方按协定伪随机地改变端口、地址、时隙、加密算法,甚至协议等端信息,从而破坏敌方攻击和对抗干扰,实现主动网络防护。显然,端信息跳变可以是服务器的单方面端信息跳变,也可以是对等主机的双方面端信息跳变。
2.2基于端信息跳变的DoS攻击防护策略
从DoS攻防交互行为上看,攻击者总是希望破坏或阻止正常的网络服务,服务方则希望减弱、阻断DoS攻击以提供良好的服务。显然,DoS攻防构成了非合作博弈。攻防双方无法完全掌握敌手的类型和信息价值,构成了非合作不完全信息的攻防博弈。文献[6]通过不完全信息的动态博弈分析,讨论了当前DoS防范的困境,指出了信息不对称性和未能形成服务方—用户联盟是DoS防范困境的根本原因,并进一步证明了若改进DoS攻防博弈,引入端信息跳变策略,增加服务类型并构造服务方—用户联盟,就能够实现主动的DoS防御。从而在博弈理论上证明了端信息跳变策略抗DoS机制的主动性和有效性。
文献[5]从协同式网络对抗的角度出发,给出了基于端信息跳变的主动网络防护模型,如图1所示。模型由预警分析、协同控制、端信息管理和任务切换4个模块以及诸多分布在不同子网的任务机群组成。其中,协同控制模块是整个系统的核心,协调各模块实现网络抵御;预警分析模块负责对当前网络遭受的攻击进行信息收集、分析;端信息管理模块用于伪随机地产生端信息跳变图案;任务切换模块则按照协同控制模块的指令进行干扰、通信、蜜罐等任务转换,实现协同抵御。通信机、干扰机和蜜罐机是协同式防护模型的基本单元,不过其任务并非固定不变,而是根据协同控制模块的指令动态切换。
模型系统中端口、地址、协议、服务时隙等端信息伪随机跳变,致使敌手针对通信机进行的拒绝服务等攻击难以形成有效破坏,反而可能被诱骗至蜜罐主机;对于截获攻击,由于采用加密算法的跳变,加之通信机和干扰机协同工作,敌手截获到的是端信息伪随机变化的数据报文,难以进行选择、排序并解密为明文数据,从而提高了系统机密性。从某种意义上讲,端信息跳变可以看作迷惑攻击者的动态蜜罐系统。与传统蜜罐不同,前者对于延长攻击扫描时间和攻击时间均有效果,而后者当情报搜集完成后即失去了效用。因此,端信息跳变技术大大提高了攻击者的时间代价。
在此模型系统基础上,本文设计并实现了端信息跳变的原型系统,进行了实验模拟,并做了相关的性能分析。分析发现端信息跳变技术能够很好地抵御DoS攻击[5]。
2.3存在的问题
以上描述的端信息跳变模型中,攻击者因为无法得到同步算法而无法得到服务器的端信息。没有服务器的端信息,也就失去了攻击的对象,所以更谈不上攻击了。因此,端信息跳变模型能够很好地抵御DoS攻击,实验结果也证明了这点。然而,虽然攻击者无法通过直接的同步算法获得服务器的端信息,但是对于正常用户(也就是服务器所完全信任的用户,通过时间戳获得服务器端信息)在获得服务器端信息后会建立正常的TCP连接。根据TCP三次握手协议知道,客户端会发送一个SYN请求数据包给服务器,在这个SYN请求数据包中包含了服务器的IP地址和端口,也即服务器的端信息。那么在攻击者看来,只要能即时地捕获这些SYN请求数据包就可以像拥有时间戳算法一样。并且,要获得SYN请求数据包并不难,攻击者可以监听服务器端的网络,也可以监听某合法用户的网络。简而言之,就是监听服务器端信息的网络泄露。
3插件机制
为了防止端信息的网络泄露,本文在原跳变系统上引入插件机制。
首先,需要一个性能较高的数据包校验转发路由。这个路由必须承担校验验证码和转发数据包的工作,而且不能够因为这个转发路由而影响整个系统的性能。
其次,要为这个路由分配一个公开的IP地址和端口,也就是说这个IP地址和端口对于所有的客户端都是可见的、可访问的。