基于GUARD的DDOS攻击防护策略

夏元轶++赵俊峰

摘 要 分布式拒绝服务（distributed denial of service，简称DDOS）攻击是当今互联网的重要威胁之一。基于攻击包所处网络层次，将DDOS攻击分为网络层DDOS攻击和应用层DDOS攻击，介绍了基于GUARD的DDOS攻击防护策略，最后分析了现有检测和控制方法应对DDOS攻击的不足，并探究了GUARD在DDOS攻击防护中的应用与发展趋势。

【关键词】DDOS攻击 GUARD技术

1 DDOS攻击与防护的现状

大多数情况下，网络中的数据包利用TCP/IP协议传输，这些数据包遵循正常的协议规范，是无害的，但是如果出现过多的异常数据包，就会造成网络设备或者服务器过载；或者数据包利用了某些协议的缺陷，人为的不完整或畸形，就会造成网络设备或服务器无法正常处理，迅速消耗了系统资源，造成拒绝服务，这就是DDOS的工作原理。DDOS攻击之所以难以防范，就在于攻击流和正常流混合在一起，很难有效地分辨出攻击流。

2 传统防护方案的不足

传统安全设备对DDOS的防护策略为“简单阈值策略”，“简单閾值策略”是一种基于网络层的检测机制，即统计单位时间（通常以秒为单位时间）内来自同一源IP的数据包数量，当单位时间内来自同一源IP的数据包数量超过临界值时，就认为该IP为隐患攻击源，并拒绝来自该IP的所有数据请求。

这种“简单阈值策略”的检测和清洗方式存在以下弊端：“简单阈值策略”只统计数量，不观察数据包的特征，当出现正常访问流量高峰时会产生误判和误杀；传统安全设备的“简单阈值策略”的每次计数都需要经过CPU处理，当DDOS攻击源分散且流量大时，安全设备会先因CPU能力不足而崩溃，原本用于防护的设备反而成为了网络中的第一故障点。传统安全设备通常串行于主干线路，串行连接即故障隐患。

3 GUARD在DDOS攻击防护中的应用

3.1 DDOS防护技术检测联动和旁路清洗

DDOS防护技术应采用一种更先进的，规避上述三种弊端的技术，具备更智能的检测和防护策略，设备应通过多种机制检测数据的合法性，避免误判和误杀；

具备独立的用于检测和防护DDOS攻击的芯片，而不是以消耗CPU为代价的冒险式防护；避免设备串行于主干线路中，网络正常时数据不需要流经设备，只有发生攻击时，设备才成为流量路径上的关卡。

抗DDOS由检测设备和清洗设备两种设备组成。检测设备采用旁路分光或镜像模式，确保在物理和逻辑上均不会成为网络中的串行节点。清洗设备采用旁路模式，出现攻击时可通过自动改变路由成为网络中的串行节点，起到流量清洗的作用。

高效的异常流量检测和清洗技术，以支持深度包检测技术，两者以进一步确定隐藏在后台的流量攻击报文，输出NetStreamFlow流量的NetFlow的网络设备的信息，通过分析和对流量的检测，以实现准确的高效地鉴定。高度的使用和分发多核硬件配置，以便产生一个高性能清洗异常业务到因特网，可以通过智能多装置簇群集方法来实现自动牵引和业务流的灵活重新注入。路由器/交换机到DDOS攻击，当发现异常流量的清洗设备的邻位路由器。 BGP路由更新通过线路自动发布，快速使用用户流量。在另一方面，基于策略的路由的MPLS VPN中和通过GRE的VPN清洗设备，二层透明传输，清洗等方法并重新注入高速流量用户后，正常的流量不会受到影响。

3.2 异常流量清洗设备的指纹识别防护

当网络出现异常的时候，会有某一种指纹分布出现波动，超过我们建立的分布模型值，这时就可以根据这个指纹特征对异常报文进行过滤。如果仅采用单个指纹特征的进行防护的效果不会理想（单个指纹特征就像“简单阈值防护”），所以可采用多个报文特征聚合成一个指纹特征的方法，例如源IP和TTL组合成一个整体，作为一个指纹进行统计过滤，这样对于一些复杂的异常流量攻击会有更好的效果。流量清洗防护将成为专业的，日常和攻击时都不会影响业务的防护模式。

4 总结与展望

在某些情况下，机器可能成为所有者同意的DDOS攻击的一部分，在操作回收中，这些攻击可以使用不同类型的互联网分组，如TCP，UDP，ICMP等。这些系统泄漏者的集合被称为僵尸网络/根服务器。像Stacheldraht这样的DDOS工具仍然使用以IP欺骗和放大为中心的经典DoS攻击方法，如smurf攻击和脆弱攻击（这些攻击也称为带宽消耗攻击），也可以使用SYN洪水。较新的工具可以使用DNS服务器用于DoS目的。与MyDoom的DDOS机制不同，僵尸网络可以针对任何IP地址。脚本小子使用它们来拒绝合法用户知道的网站的可用性。更复杂的攻击者使用DDOS工具来勒索，甚至针对他们的业务竞争对手，简单的攻击如SYN洪水可能出现与广泛的源IP地址，给出一个分布良好的DoS的外观。这些泛洪攻击不需要完成TCP三次握手，并尝试耗尽目标SYN队列或服务器带宽。由于源IP地址可能被轻易地欺骗，攻击可能来自有限的一组源，或甚至可能源自单个主机。堆栈增强（例如syn cookie）可能有效减轻SYN队列溢出，但是完全的带宽耗尽可能需要涉及。如果攻击者从单个主机加载攻击，则会被归类为DoS攻击，事实上，任何对可用性的攻击都将被归类为拒绝服务攻击。另一方面，如果攻击者使用许多系统同时对远程主机发起攻击，这将被归类为DDOS攻击。检测和防御DDOS攻击仍旧是一个艰巨的课题。而区分DDOS攻击流和正常的突发流就成了问题的关键。

参考文献

[1]吴杨，祝凯捷，李伟，王凯，王东霞.DDOS攻击检测误报警去除策略研究[J].信息工程大学学报，2016（04）.

[2]贾斌，马严，赵翔.基于组合分类器的DDOS攻击流量分布式检测模型[J].华中科技大学学报（自然科学版），2016（S1）.

[3]张玮.防御和控制DDOS攻击新方法的研究[J].黑龙江科技信息，2016（32）.

[4]庄建儿.浅析网络DDOS攻击与治理[J].通讯世界，2015（01）.

作者单位

国网江苏省电力公司信息通信分公司 江苏省南京市 210024