IPv6下基于源地址验证的DRDoS攻击防御方案研究

翟瑞+李丁蓬+付顺顺


摘要:在网络攻击日益泛滥的今天,分布式拒绝服务攻击带来的危害持续上升,其中最为典型的就是DRDoS攻击(分布式反射拒绝服务攻击),IPv6网络也面临这样的危险。为了应对DRDoS攻击带来的严峻安全形势,保障下一代互联网通信的健康安全,在IPv4接入网源地址验证的基础上进行了改进。结合IPv6网络特点实现动态过滤,引入域内攻击测试服务器对数据包源地址进行验证。实验结果表明,该方案能有效识别伪造源地址的数据包,进而实现对DDRoS攻击的有效防御。
关键词:源地址验证;分布式反射拒绝服务攻击;防御方案;网络安全
DOIDOI:10.11907/rjdk.172880
中图分类号:TP309
文献标识码:A文章编号文章编号:1672-7800(2018)001-0199-03
Abstract:With the increasing proliferation of cyber attacks, the dangers of distributed denial of service attacks continue to rise. Which is currently the most typical is DRDoS attacks (distributed reflex denial of service attacks), IPv6 network is also facing such a danger. In order to deal with the DRDoS attack to bring the severe security situation, to protect the next generation of Internet communication health and safety and stability. In this paper, based on the IPv4 address network source address authentication to improve, combined with the characteristics of IPv6 network to achieve dynamic filtering, and the introduction of domain attack test server to verify the source address of the packet. Through the experimental results, we can see that the scheme effectively identifies the packets with the source address, and realizes the effective defense of the DDRoS attack.
Key Words:source address verification; DRDoS attack; defense program; network security
0引言
IPv4地址已在全球分配完毕,IPv6网络受到越来越多的国家重视,但IPv6网络同样面临安全问题,也会受到分布式拒绝服务攻击的威胁。DRDoS(分布式反射拒绝服务)是一个精心设计的分布式拒绝服务攻击,其基本思想是通过使用UDP(用户数据报协议)来调用大量服务(如DNS域名服务器、NTP服务器或在线视频游戲协议)。利用UDP协议的特点,攻击者可以使用第三方IP使数据包反弹并隐藏攻击来源。虽然对DRDoS(分布式反射拒绝服务)攻击的研究已经进行了多年,但实际网络对此类攻击的防范作用效果不明显。信息安全公司Verisign最新发布的2017年第一季度DDOS攻击趋势报告[1]指出,基于UDP协议的攻击类型在所有攻击类型中占据了主要地位,最常见的UDP洪水攻击均为DRDoS攻击。
对DRDoS攻击的检测防御方法研究很多。如Peng等[2]提出了基于现有IP过滤伪造源IP的方案,但针对现有IP进行的攻击则无能为力。Jin等[3]提出基于跳数映射的反射端监测过滤方案,但方案实施复杂。针对请求回应包的检测模型法[4]对过滤攻击包有较好效果,但实施中可能导致开销过大。基于请求包与回应包比例异常[5]检测DRDoS攻击并实现过滤的方案,主要实现攻击完成之后的检测,防御效果不理想。
针对这些方案的不足,本文提出了一种基于源地址验证的DRDoS攻击防御方案,从源头上遏制DRDoS攻击的发生。
1DRDoS攻击原理分析
在DRDoS攻击中,攻击主机向一些特定服务器发送请求数据包,而请求数据包中的源地址设置为DRDoS攻击目标[6]。当服务器收到请求报文后,向攻击目标的IP地址发送回应报文,但回应报文本身的大小是请求数据包大小的数倍[7]。当众多的攻击主机发送攻击包时,则攻击目标会收到来自特定服务器洪水般的回应报文,最终导致崩溃无法提供正常服务。那么只要将攻击主机发出的伪造源地址报文拦截,就可实现对DRDoS攻击的防御[8]。
如图1所示,DRDoS攻击中,攻击主机与攻击目标主机的位置基本分为两种情况:①攻击主机与攻击目标主机位于同一子网内;②攻击主机与攻击目标主机位于不同的子网内[9]。两种情况相比,第①种情况存在的概率微乎其微。本文针对第②种情况,提出了源地址验证方案应对DRDoS攻击。
2源地址验证方案
本文的源地址验证方案根据网络中部署位置的不同分为两层,分别是接入网IPv6源地址验证、域内IPv6源地址验证。
2.1接入网IPv6源地址验证
传统的接入网源地址验证是在交换机端将局域网内的主机IP地址、MAC地址绑定在一起,对通过的报文进行过滤[10]。但目前的IP地址配置方案大多采用动态分配,如果采用之前的过滤方案,不仅无法过滤伪造IP地址的数据包,反而影响了正常的通信行为。另外,由于无法保证子网中的主机不发生变化,新增的主机必然无法通过绑定列表的过滤,这需要源地址验证方案能适应不断变化的网络环境,在保证不影响正常通信的情况下实现伪造源地址数据包的识别与过滤。首先,基于DHCP服务的IP地址分配情况,动态配置绑定列表。对源IP地址及MAC地址不相符的数据包直接进行拦截。对于只有IP地址属于绑定列表的情况,交换机转发给路由器进行域内验证。
2.2域内IPv6源地址验证方法
路由器对收到的新IP地址的报文首先保存在路由器缓存中,之后路由器发送以新IP地址为源IP地址、目的IP地址为域内测试服务器的IP地址测试报文。随后路由器以自身IP地址向测试服务器发送测试报文。之后路由器监听转发的报文中是否有源地址为测试服务器地址,目的IP地址为之前新IP地址的报文。若收到相应报文,则将之前保存的报文转发出去,若直到路由器收到测试服务器对其回复时还未收到相应报文,则将此IP地址添加到黑名单,不再向外转发源地址为此IP地址的报文。另外,在本域的边界路由器上进行设置,当收到源IP地址为本域测试服务器的地址报文时,直接丢弃,如图2所示。
算法过程如下:①交换机形成IP地址、MAC地址绑定列表;②交换机检查报文中是否存在IP地址或MAC地址属于绑定列表;若存在转步骤③,若不存在则转步骤④;③交换机对收到的报文IP地址、MAC地址以及端口信息与绑定列表的信息进行核对;若符合则转发报文,不符合则将报文丢弃;④将报文转发给路由器,路由器暂时将其保存在缓存中,并提取出报文的源IP地址IP1。以IP1为源IP地址,以本域测试服务器IP地址为目的IP地址发送测试报文。随后以本路由器IP地址为源IP地址,向测试服务器发送测试报文;⑤本域测试服务器收到测试报文后,分别发送回应报文;⑥路由器在规定时间内监测收到的回应报文情况,若收到测试服务器对IP1地址的回应报文,则将之前保存的报文转发,并将IP1添加到白名单。若先收到测试服务器对路由器的回应报文,则结束等待,丢弃之前保存的报文,并添加到黑名单。若在规定时间未收到任何回应报文,则丢弃保存的报文;⑦边界路由器对测试路由器发出的报文丢弃。
3实验验证
本文通过模拟仿真实验的方式,对提出的IPv6下基于源地址验证的DRDoS攻击防御方案进行验证。实验环境:PC机配置为Intel(R)_Core(TM)_i5-3470@_3.20GHz,内存为8G;操作系统为Ubuntu14.04TLS;NS3.26。
本文使用虚拟化网络仿真平台NS3,可以实现对数百个网络节点的仿真,并可对网络中的路由器等模块进行修改,搭建的网络拓扑结构如图3所示。
设计3种测试方案:①各主机之间正常发送IP报文;②伪造拓扑内主机源地址发送IP报文;③伪造拓扑外主机源地址发送IP报文。
在传统接入网源地址验证方案及IPv6下基于源地址验证的DRDoS攻击防御方案这两种情况下进行实验,分别进行100次实验,每次实验报文数量不少于1 000个,对不同测试下的转发延时、源地址验证成功率进行统计。通过对发出的数据包与在路由器处转发的数据包进行比较分析,得出统计表1。
通过实验可以看出,采用传统接入网源地址验证方案的实验环境对伪造源地址的报文拦截效果较差,存在较大的误拦截率。而IPv6下基于源地址验证的DRDoS攻击防御方案,不管是针对拓扑内伪造源地址还是拓扑外伪造源地址的报文,都能有效拦截,进而实现对DRDoS攻击的防御。对拓扑外的地址验证有时间限制,在遇到网络阻塞情况下会导致超时丢弃报文。因此,本文的方案中允许再次发送报文进行验证,直到完成验证。另外,由于保证本文源地址验证全部实现导致增加了转发延时。
4结语
本文利用綁定列表过滤方案与测试源地址验证方案相结合的方式,虽然增加了转发延时,但可有效防御IPv6网络中的DRDoS攻击发生,可见本文方案是有效的DRDoS攻击防御方案。下一步研究方向是在保证伪造源地址拦截率的基础上,进一步降低转发延时,提升效率,以及降低误拦截率。
参考文献:
[1]VERISIGN. Inc,Q1 2017: DDoS trends infographic[EB/OL].http://www.verisign.com/assets/infographic-ddos-trends-Q12017_en_IN.pdf.
[2]PENG T, LECKIE C, RAMAMOHANARAO K. Detecting reflector attacks by sharing beliefs[J].Global Telecommunications Conference, GLOBECOM '03. IEEE,2003(3):1358-1362.
[3]JIN C, WANG H, SHIN K, et al. An effective defense against spoofedtraffic [J]. ACM International Conference on Computer and Communications Confercnce SecUrity 2003(10):30-41.
[4]OHTA K, YAMAMOTO A. Detecting DRDoS attacks by a simple response packet confirmation mechanism[J]. Computer Communications,2008,31(14):3299-3306.
[5]何雪妮.一种改进的检测算法[J].自动化与仪器仪表,2012,161(3):150-151.
[6]贺燕.DRDoS攻击检测模型的研究[D].西安:陕西师范大学,2010.
[7]姜开达,章思宇,孙强.基于NTP反射放大攻击的DDoS追踪研究[J].通信学报,2014(s1):153-156.
[8]李刚.基于流记录的扫描和反射攻击行为主机检测[D].南京:东南大学,2016.
[9]张明清,揣迎才,唐俊,等.一种DRDoS协同防御模型研究[J].计算机科学,2013,40(9):99-102.
[10]孙鹏.面向SDN的源地址验证方法研究[J].电光与控制,2016(3):49-53.
(责任编辑:杜能钢)
相关文章!
  • 融合正向建模与反求计算的车用

    崔庆佳 周兵 吴晓建 李宁 曾凡沂<br />
    摘 要:针对减振器调试过程中工程师凭借经验调试耗时耗力等局限性,引入反求的思想,开展了

  • 浅谈高校多媒体教育技术的应用

    聂森摘要:在科学技术蓬勃发展的今天,我国教育领域改革之中也逐渐引用了先进技术,如多媒体技术、网络技术等,对于提高教育教学水平有很

  • 卫星天线过顶盲区时机分析

    晁宁+罗晓英+杨新龙<br />
    摘 要: 分析直角坐标框架结构平台和极坐标框架平台结构星载天线在各自盲区状态区域附近的发散问题。通过建