ISSN1673—9418CODENJKYTA8
JournalofFrontiersofComputerScienceandTechnology
1673-9418/2008/02(01)-0001-19
低速率拒绝服务攻击研究综述枣
何炎祥t一,刘篱“,曹强t,熊HEYanxian91”,LIUTa01+,CAO琦t,韩奕t
Qian91,XIONGQil,HANYil
E-mail:fest@publie2.bta.net。cn
http:llwww.ee萄,org
Tel:+86-10—51616056
1.武汉大学计算机学院,武汉430079
2。武汉大学软件工程国家重点实验室,武汉430079
l。SchoolofComputer,WuhanUniversity,Wuhan430079,China
2.StateKeyLaboratoryofSoftwareEngineering,WuhanUniversity,Wuhan430079,China
+Correspondingauthor:E-mail:liutao_61@126。COB
HEYanxiang。LIUTao,CAOQiang,eta1.AsurveyofLow-rateDenial-of-Serviceattacks.JournalofFrontiersofComputerScienceandTechnology,2008,2(1):1-19。‘
Abstract:Low-ratedeniM-of-serviceattackisanovelcategoryofattacksthatareaimedatexploitingtheadaptivebehaviorexhibitedbyseveralnetworkandsystemprotocols.DifferentfromtraditionalDoSattacks,thiskindofattackscanmakeseriousdestroyonthevictimsbyusingperiodicallynon-suspiciouslow-rateattackstreams.Sincetheyhavebeenbroughtforward,thesenewattackshavecausedspecialconcern;theproblemsofdetectinganddefendingtowardsthemhavegraduallybecomeimportantresearchissuesinthenetworksecurityarea。Inthepaper,theoreticalanalyses,modelingandsimulationsofvariousLDoSattacksarepresented,thedifficultiesofdefendingandcurrentsolutionsarediscussed.Attheendofthepaper,severalproblemswhichneedfurtherresearchesareputforward,inordertoprovidereferencetothefutureresearchworkonthedefendingofthiskindofattacks。
Keywords:networksecurity;Low-rateDoS(LDoS)attacks;TCPcongestioncontrol;AQM;attackdefense
摘要:低速率拒绝服务攻击是近年来提出的一类新型攻击,其不同手传统洪泛式DoS攻击,主要是利用端系统或网络中常见的自适应机制所存在的安全漏洞,通过低速率周期性攻击流,以更高的攻击效率对受害者进行破坏盈不易被发现。LDoS攻击毒提交缓来便得到了研究者锅酌充分重视,葵硬去特强分析与检测防范方法逐渐成为网络安全领域的一个重要研究课题。首先对目前已提出的各种LDoS攻击方式进行了分类描述和建横,并在NS2乎台上进行了嶷验验证,接着对LDoS攻击的捡测防范罐点进行了讨论并对已有的各种检测防范方
+theNationalNaturalScienceFoundationofChinaunderGrantNo.60642006,60773008(国家自然科学基金)Received2007-09。Accepted2007—11.
2JournalofFrontiersofComputerScienceandTechnology计算机科学与探索2008,2(1)
案进行了小结,最后指出了有待进一步研究的几个问题,以期为今后此类攻击检测防范研究工作提供参考。
关键词:网络安全;低速率拒绝服务攻击;TCP拥塞控制;AQM;攻击防范
文献标识码:A中图分类号:TP309
1引言
拒绝服务攻击(Denial—of—Service,DoS)一直是Internet面临的最为严峻的威胁之一,其主要通过连续向攻击目标发送超出其处理能力的过量数据,消耗其有限的网络链路或操作系统资源,使之无法为合法用户提供有效服务。许多著名的网站,如Yahoo、Amazon及CNN等都曾因DoS攻击导致网站关闭…。过去的几年中,DoS攻击技术不断发展,造成的破坏性也越来越大。特别是近年来,出现了一类低速率拒绝服务攻击(Low—rateDoS,LDoS)t2-sl,比传统DoS攻击更具威胁性。
对于传统的DoS攻击,尽管其破坏性很大,但是其攻击原理致使其存在一个共同特点——需要攻击者采取一种压力(sledge—hammer)方式向被攻击者发送大量攻击包,即要求攻击者维持一个高频、高速率的攻击流。正是这种特征,使得各种传统DoS攻击与正常网络流量相比都具有一种异常统计特性,使得对其进行检测相对简单。因此,许多DoS检测方法【6I都把这种异常统计特征作为识别DoS攻击的特征,一旦检测到攻击,就激活包过滤机制丢弃所有具有攻击特征的数据流传送的数据包,或采用一定的速率限制技术来降低攻击影响。
LDoS攻击与传统的洪泛式DoS攻击截然不同,其最大特点是不需要维持高速率攻击流,耗尽受害者端所有可用资源,而是利用网络协议或应用服务中常见的自适应机制(如,TCP的拥塞控制机制)中所存在的安全漏洞,通过周期性地在一个特定的短暂时间间隔内突发|生地发送大量攻击数据包,从而降低被攻击端服务性能。LDoS攻击只是在特定时间问隔内发送数据,相同周期其它时间段内不发送任何数据,此间歇性攻击特点,使得攻击流的平均速率比较低,与合法用户的数据流区别不大,不再具有上述异常统计特性,使得很难用已有的方法对其进行防范。
可以认为LDoS攻击是对传统DoS攻击的改进形式,它与传统DoS攻击相比,更加彻底地做到了有的放矢,因此攻击效率有了大幅度的提高,且更加有效地躲避了检测和防范。LDoS攻击的提出给攻击防范问题的研究带来了新的挑战。
对于LDoS攻击的研究尚处于起步阶段,但相关研究工作主要出现在近年来一流国际会议上,说明其得到了充分的重视。2003年在计算机网络方面的顶级会议SIGCOMM上,Rice大学的Aleksandar首次提出了针对TCP协议的低速率拒绝服务攻击121,主要针对TCP拥塞控制机制中的漏洞,文中提出了一种潜在的LDoS攻击模型,通过准确计算,只需少量攻击数据就可导致受害者端拒绝服务或服务质量的下降。在2004的ICNP以及2005年的INFOCOM上,Guirguis提出了RoQ攻击『3,41,其实质也是针对TCP协议中拥塞控制以及路由器队列管理机制中的漏洞,使得特定的路由器的性能发生下降。2005年的NDSS会议上,
XiapuLuo又提出了pulsing攻击』51,原理与前述攻击非常相似。网络中也已出现此种类型的攻击171,因此,
提出针对此类攻击的检测防范方法已经成为当今网络安全领域刻不容缓的问题。而针对此类攻击进行攻击建模及攻击特征分析,也非常重要,是今后防范研究工作的基础。
文章主要对LDoS攻击相关研究成果进行了综述。第2章对目前已提出的各种LDoS攻击进行了分类描述以及分析建模;第3章通过NS2平台上的仿真实验对第2章中的理论分析结果进行了验证,并从攻击效果和攻击效能两个方面对各种攻击参数进行了详细分析;第4章对此类攻击的检测防范方法所存在的困难进行了讨论,并对已有的各种检测防范方案进行了小结;最后第5章总结并指出了未来的研究方向。
何炎祥等:低速率拒绝服务攻击研究综述3
2低速率拒绝服务攻击的基本方法
虽然目前所提出的LDoS攻击方式多种多样【2.5,8-10],但是其所依据的根本原理是相同的,即都是利用网络或端系统自适应机制设计上所存在的缺陷来进行攻击。许多系统都需要依靠自适应机制使之维持在一个较稳定的运行状态,即当系统初始时或环境发生变化时,系统可以通过自适应机制逐渐调整或重新回到一个稳定状态。自适应协议在设计时主要注重的是系统稳态的有效性、公平性和稳定性,对其安全性考虑不多,这就导致了其自身的脆弱性。为了使系统达到最高性能,系统或网络协议往往假设系统大部分时间都是处于稳定状态,并全力保证系统稳定状态的性能,但却忽略了系统的暂态性能,即系统不稳定及从不稳定到稳定状态转换过程中的性能。LDoS攻击利用系统暂态性能比较低的特征,通过周期性发起一定强度的攻击流,使系统不断在失效和稳定两个状态间切换,即总是处于低效暂态,从而降低系统的整体性能。LDoS攻击对系统性能的影响,如图1所示,其中假设系统初始状态性能为0,稳定状态(SteadyState)性能为ss,攻击所导致失效状态(DisabledState)性能为DS,攻击开始后系统从稳定状态转入失效状态所需时间为t,,从失效状态通过自适应机制恢复到稳定状态所需时间为t,。LDoS攻击主要使用周期性的数据流形成攻击脉冲,因此主要参数包括攻击周期r,攻击脉冲持续时间r,脉冲强度6。每当系统通过自适应机制刚达到稳定状态嬲时,攻击者发送攻击脉冲,系统受攻击影响性能经过时间t,快速降至DS,此时停止攻击,系统通过自适应机制逐浙恢复至稳态,此时再发动下轮攻击,如此循环,系统始终无法稳定,性能严重降低。上述性能所指指标随攻击目的的不同而不同,例如,当攻击目标为网络链路带宽时,性能可指链路利用率;当攻击目标为网络中某路由器时,性能可指队列抖动或排队延迟等;当攻击目标为应用服务时,性能可指请求接收率、服务处理时间等。另外对于LDoS攻击数据流来说,根据攻击方式的不同,也不一定是脉冲形式,还可以呈现正弦波、余弦波等其它形式【11】,但攻击原理和攻击效果都是一致的。文章后述LDoS攻击,均以脉冲波形攻击流为例进行讨论。
时性能)
时性能)
(time)
(time)图1LDoS攻击模型及其对系统性能的影响Fig.1LDoSattackmodelanditseffectto
systemperformance
目前提出的LDoS攻击按其攻击所利用的脆弱点不同,大致可分为针对TCP拥塞控制机制和针对路由器主动队列管理机制两大类。为论述清晰,下文均以单攻击者,单攻击目标(链路或路由器)的攻击模型为例对各类攻击进行分析。
2.1针对TCP拥塞控制机制的LDoS攻击TCP协议是目前互联网中使用最为广泛的传输协议。根据MCI的统计,互联网上总字节数的95%及总数据包数的90%均使用TCP协议传输【121。因此目前提出的各种LDoS攻击大多数也都是针对TCP协议中最重要的自适应机制——拥塞控制机制所提出的。2.1.1TCP协i义的拥塞控制机制
TCP拥塞控制机制主要作用是使TCP连接在网络发生拥塞时退避(backoff),也就是说TCP源端会对网络发出的拥塞信号(congestionnotification)如丢包、重复的ACK等,作出响应,通过自适应地调整发送端窗口的大小,使网络链路达到最有效的利用。
在拥塞控制机制下,可将链路状态分为三种情况:慢启动状态、超时重传状态和稳定状态,其中,标准TCP稳定状态下主要采用AIMD算法【13】和快重传/快恢复算法㈣。
慢启动状态(Slowstart):当建立新的TCP连接或连接从超时中恢复时,链路进入慢启动状态,拥塞窗●
4JournalofFrontiersofComputerScienceandTechnology计算机科学与探索2008,2(1)
lYl(Congestionwindow,Cwnd)为—个数据包大小(MSs)。源端按‰以大小发送数据,每收到一个ACK确认,‰以就增加一个数据包发送量,这样Cwnd就将随着往返时间(RoundTripTime,RTT)呈指数增长,源端向网络发送的数据量将急剧增加。当‰蒯增长到慢启动阀值ssthresh时,链路进入稳定状态,Cwnd按线性规律增长。
超时重传状态:如果TCP源端发现其所设置的超时重传计数器【?51超时,即认为网络发生了严重拥塞(主要因为由传输引起的数据包损坏和丢失的概率很小(<<l%)o此时链路就进入超时重传状态,慢启动阈值(ssthresh)被设置为当前Cwnd的一半,重传丢失的数据包,且Cwnd被置为1,链路重新进入慢启动状态。
稳定状态:标准版本的TCP当链路处于稳定状态时,使用基于发送窗口的和增积减(AdditiveIncrease
MultiplicativeDecrease,AIMD)算法,对网络状况作出快速反应,以保证链路的稳定性及带宽享用的公平
性。加法增大AI:当网络中没有拥塞时,发送窗口Cwnd以线性的方式每个往返时间R刀增加一个报文段长度(MSS);乘法减小MD:当网络中出现轻度拥塞时,即TCP源端连续收到3个相同的确认包时,则将其Cwnd减半,并重传此包。快重传是指当TCP源端如果是收到3个相同的ACK,则认为网络轻度拥塞,重传丢失的数据包,而不必等待RTO超时,同时将Cwnd减为原先的一半。快恢复是基于“管道”模型(pipemodel)的“数据包守恒”的原贝1](conservationof
packetsprinciple),即同一时刻在网络中传输的数据包数量是叵定的,只有当“旧”数据包离开网络后,才
c钾忍哦
ssthresho
ssthresh’=cwndo/2能发送“新”数据包进入网络。如果发送方收到一个重复的ACK,则认为已经有一个数据包离开了网络。于是将拥塞窗口加1。因此根据快恢复原理,如果源端收到3个相同的ACK,则Cwnd设置为婴+
:z
3MSS。
TCP链路状态变化如图2所示,当链路初始时。拥塞窗口锄以设为1,链路进入慢启动状态,Cwnd按指数规律增长;当Cwnd达到慢启动阀值ssthresh时,链路进入稳定状态,‰以按线性规律增长(AI)。当∞以增长到某个程度时(轻度拥塞现象发生,TCP源端将收到3个相同的ACK),则将Cwnd减半(MD),然后再进入AI阶段。某一时刻,如果TCP源端发现超时,则链路进入超时重传状态,随后重新采用慢启动算法。
有关TCP拥塞控制算法在文献[16]dP有详细介绍,此处只是侧重于LDoS攻击所利用到的拥塞控制特性对其进行简要介绍。
2.1.2攻击原理
针对TCP拥塞控制机制的LDoS主要利用TCP拥塞控制机制所存在的安全漏洞。无论是匣启动、超时重传还是AIMD,其核心思想都是不断探测网络所能承受的最大传输上限,当发现网络数据包丢失,则认为达到网络传输上限,迅速减小拥塞窗口,避免给网络带来更严重的拥塞。LDoS正是利用这一机制,在大部分时间里保持沉默,而在特定时刻,短时间内发送脉冲式攻击流,造成部分网络数据包丢失,使得TCP发送方误认为存在拥塞,开始重传并减小拥塞窗
状态状态状态图2无攻击状态下TCP链路状态变化
Fig.2TCPlinkstatewithoutattack
何炎祥等:低速率拒绝服务攻击研究综述5
口的大小。值得注意的是,对TcP发送方而言,脉冲攻击的发起时刻不同,其收到的拥塞信号也不同。如果TCP发送方的重传计数器超时,它将导致超时重传并随后进入慢启动,拥塞窗口减小到1;如果TCP发送方收到3个重复的ACK,链路将进入快重传广陕恢复,按AIMD原理降低拥塞窗口。
为了简化分析,将TCP拥塞控制中的超时重传和AIMD两种机制分开考虑,并将针对TCP协议的LDoS攻击分为两类:基于重传超时机制的LDoS攻击和基于AIMD机制的LDoS攻击。对于每一类攻击,又可以根据攻击脉冲发送时间点与重传定时器的超时点是否完全重合,分为同步和异步两种方式。2.1.3基于超时重传机制的LDoS攻击
根据TCP超时重传机制,发送端为发送出去的每个报文段设置一个定时器,如果在收到对该报文的确认之前定时器就超时了,则发送端将其发送窗口Cwnd减为1,然后重新发送此包,并根据指数退避算法1171将RTO设为原来的q倍(q一般取2),等待应答包的到来,如果重传包仍然超时,则继续重传,直到重
RTO。。‰7
传成功或放弃重传;如果重传成功收到应答包,则系统进入慢启动状态。按TCP协议,对于非重传报文段,当发送端收到其ACK时,需要根据其所测得的往返时延R刀更新此链路的重传超时时间(RTO),式(1)为计算方法【1q:
RTO=min{RTO.。,max{RTO。i。,
艘mmax(G,4xVRTT)}1(1)为了使网络达到接近最优的吞吐率,最小重传时间推荐RTO。i。为1s0Sl。R加~为RTO上限值。G是时钟尺度,艘刀和y尺刀分别表示平滑后的往返时延和往返时延的变化。
2.1.3.1基于超时重传机制的同步LDoS攻击模理这是一种理想状况下的攻击,攻击者精确知道TCP发送方每次发送包时所设置的RTO值,在其每次重传数据包的时候发动攻击脉冲,使得每次重传都失败,这样攻击达到最完美的效果:拥塞窗口一直保持为1,吞吐量为0。此类攻击如图3(a)所示,可以看到每个脉冲发送时间点都与重传定时器的超时点相重合。
Cwnd
l
Attackrate
O
RTO。。%
(b)基于重传超时的异步Shrew攻击
Cwnd
队列缓冲区满
C
l
Attackrate
fo
RTO。。%”
(c)基于重传超时的异步LS攻击。(d)基于重传超时的异步FB攻击图34种基f超时重传机制的LDoS攻击的攻击模型
Fig.3Thefourattackmodelsoftimeoutmechanism—targetedLDoSattacks
time
tlme
6JournalofFrontiersofComputerScienceandTechnology计算机科学与探索2008,2(1)
根据超时重传机制中重传超时时间的计算方法,第i次发起攻击脉冲的时间点ti可由式(2)得出,设攻击开始于气,重传超时时间初始值为RTOo。
ti=0l+RTOH1≤i≤J7、k
fRm—ifq*RTO¨>尺加一
RTOi={(2)‘【q*RTOHelse
其中,q值一般取2,R册一是RTO的最大值,Ⅳ一是TCP发送方最终放弃发送数据包的最大重传次数。2.1.3.2基于超时重传机制的异步LDoS攻击模璎同步攻击效果固然很好,但要求攻击者对RTO把握得非常精确,因为攻击脉冲的持续时间较短,如果脉冲发送时刻把握不准确则会严重影响其攻击效果,而根据式(1)可知,实际网络中链路的RTO取值与其RrITI'大小以及变化关系密切,很难精确对其进行计算,因此同步LDoS在实际中难以实现。另一种更简单的方式是使攻击流具有固定周期,这种攻击称为异步攻击,其脉冲发送时间点与重传定时器的超时点并无重合。
Kuzmanovic和Knightly提出的Shrew攻击【21就属于这类攻击,其攻击模型如图3(b)所示。假定攻击开始时,TCP发送方的RTO为RTO。i。(对于一般链路正常状态下,R刀较小,因此职研hlax(G,4×y尺刀)值也较小,根据式(1),RTO取RTO。洒可能性比较大)。当前一个攻击脉冲发出后,TCP发送方进入超时重传状态,与同步攻击相比,攻击方将滞后一个较短的时间%发送下一个攻击脉冲,使得发送方能够在气时间段内成功地重传并发送一些数据包,让RTO能够通过式(1)的计算重新回到RTO。¨从而保证下一次攻击周期可以保持不变。一般正。,被设置为2~3R刀,连续两个攻击脉冲的时间间隔为RTO。i。+%。
对于异步LDoS攻击,根据其攻击目的和攻击周期设置方式不同,有很多变种,如Guirguis就针对Shrew攻击提出了两种变种㈣:链路饱和状态的异步LDoS攻击(LinkSaturationattack,LSattack)以及满队列状态的异步LDoS攻击(FullBufferattack,FBattack)。LS攻击滞后一个时间段正。,7,在此期间攻击者等待TCP发送方从超时重传中恢复过来,发送窗口‰以按慢启动或AIMD算法逐渐增大,当Cwnd增大到与链路为其提供的可用带宽相等时,再发送下一个攻击脉冲,其攻击模型如图3(c)所示。假设漫启动阀值为s,链路可用带宽为C,往返时延为rtt,则‰’=(1bs+C-s)*rtt。FB攻击滞后时间段气”,在此时间段内,攻击者等待TCP发送方从超时重传中恢复过来,Cwnd不断增大,直至TCP发送方所发送的数据包占满整个链路及路由器的整个等待队列。攻击模型如图3(d)所示。假没路由器队列容量为B,则死,”=(1b。+C-s+.型坐婆旦—尘)半厅t。这两种攻击的攻击效果
Z
虽然没有Shrew攻击好,但是其攻击效能即每个攻击包所造成的攻击影响要比Shrew攻击的强,因为它们在保证攻击效果减弱并不严重的情况下,拉长了脉冲间隔时间,实际上就是,减少了实现攻击所需的攻击包个数。理论上可以证明,FB攻击效率>IS攻击效率>Shrew攻击效率【191。
2.1.4基于AIMD机制的LDoS攻击
根据TCP协议,如果TCP发送方进入快恢复,就调用AIMD算法调整拥塞窗口。定义广义A肌m(口,b),a>0,0<b<l算法如下:当发送方进入快恢复状态时,拥塞窗口从形减小到bxW,然后每隔一个R刀,拥塞窗口增大a,这个过程将一直持续,直到接收到另一个拥塞信号。TCPTahoe,TCPReno等都使用AIMD(1,O.5)。考虑到许多TCP实现时并不是在每收到一个包时就发送一个ACK,而是在收到连续d个包时才发送ACK。于是广义A埘D(o,b)的加法增大修改为:每隔d个尺刀,拥塞窗口增大a。这个结论可进一步表述为:每隔1个R玎,拥塞窗口增大车。
o与基于超时重传机制的LDoS攻击不同,基于AIMD机制的LDoS攻击所发出的攻击脉冲强度稍
何炎祥等:低速率拒绝服务攻击研究综述
7
弱,只会引起网络的轻度拥塞,TCP发送方所收到的拥塞信号是3个重复的ACK包,而不是重传计时器
超时。根据AIMD算法,当TCP发送方收到3个重复
的ACK后会立即重发此包,将其拥塞窗口cwnd减为
bxcwnd(MD算法),然后再按照和式增算法(AI)以线
性规律增大窗El。在基于AIMD机制的LDoS攻击
下,链路始终处于AIMD状态下,而不会进入超时重
传或慢启动状态,但是其拥塞窗口是不断减小的,系
统性能逐步下降,最后拥塞窗口减少到一个极限值并
维持在这个极限值左右不变,系统性能达到最差,且无法恢复。
2.1.4.1基于AIMD机制的同步LDoS攻击模璎
这也是一种理想情况下的攻击。定义cwnd。为在第i次攻击脉冲到来前拥塞窗口的大小,则第i次攻击脉冲使得拥塞窗口从cwndz降为bxcwnd,随后拥
塞窗口根据AI算法线性增加。当拥塞窗口从bxcwndi
增加到fxcwndi(6叮≤1)时发动第i+1次攻击脉冲。因此,对于同步LDoS攻击来说,其攻击脉冲发送时间与拥塞窗口大小达到前一次攻击脉冲发起时刻窗
13大小的,(6<佟1)倍时的时刻完全一致。设拥塞窗
口初始值为cwndo,则第i次攻击脉冲发起时刻拥塞窗口满足关系:
,二:cwnd
i
=1cwna(3)
.=Lj,
‘睁cwnd,一l
i>1
拥塞窗口从bxcwnd¨增大到f×cwndH需要的时
间为:
.攻击脉冲发出,MD。3
Cwnd
J}?机制触发时商点
户了
一s彝cwnd014≥铂j研1’扛号
cwnd=3c”碱一?膳L二二二二:二二羔二:二!:!
,
k一无攻击阶段——*攻击阶段
—(f-b)×cw—ndi_l×d×尺刀(4)
因此,第i次攻击脉冲的发起时间为:
屯:“+—(f-b)xcw—ndi_1xd×肿T
i≥1(5)
由式(3)、(5)可进一步求得:
喊+告×_(f-b)xcwndoxd×R刀
(6)
i≥1,to为攻击开始时间‘
攻击模型如图4(a)所示,由式(3)可得,攻击脉
冲间隔时间逐渐变短,脉冲越来越密集。拥塞窗13不
断减小最后趋近于其最小取值1,链路陛能达到最差。
2.1.4.2基于AIMD机制的异步LDoS攻击模型同样由于精确的时钟难以控制(RrITI’不好估算),
研究者又提出异步式的基于AIMD机制的LDoS攻击,其以固定周期死肿发送脉冲攻击流,攻击模型如
图4(b)所示。
根据前面的推导,异步式攻击拥塞窗口满足如下关系:
c伽啦=6×c~il-I-aⅡ×斋2
6M~喊+予×菩×器
(7)
拥塞窗口最终收敛于:
c埘崛=l—im。c嘲2南×揣
(8)
由式(8)可知,攻击周期越短,即攻击脉冲越密
集,最终窗口收敛值越小。异步攻击持续一段时间后,
Cwnd
c"n或
攻击后窗口最后收敛值cwng
一蕊磊妊‘问点
I羽孔卜攻击阶段一
●
仰俐…。
time
同定脉冲发送周期瓦肿
(b)基于AIMD的异步攻击
图4两种基于超时重传机制的LDoS攻击的攻击模型
Fig.4
ThetwoattackmodelsofAlMD-targetedLDoSattacks
8JournalofFrontiersofComputerScienceandTechnology计算机科学与探索2008,2(1)
拥塞窗口值将稳定于某一个极小值周围(约为1),链路性能无法提高。
MinaGuirguis和AzerBestavros提出的一种RoQ攻击实例就是基于AIMD机制的异步式攻击的一个例子[31,攻击者向目标链路发送一定强度的攻击脉冲,引起网络轻度拥塞,使得TCP发送端收到一定量的重复ACK,在极短的时间内通过MD机制多次减半其拥塞窗口,使其快速降为l;此时停止发送攻击脉冲,TCP发送端因并未发生重传计时器超时的情况,只能通过AI机制以线性规律慢速地增加其窗口大小,当发送端窗口大小增大到足以填充满可用链路带宽或足以将链路带宽和缓冲区队列全部填充满时,攻击者再次发送攻击脉冲,使之又重新减为1;如此重复,系统性能始终无法提高。
以上均属于理论模型分析,在实际Internet中,由于TCP发送方的拥塞窗口是同时受超时重传和AIMD两种机制控制的,因此实际攻击效果很可能是基于超时重传和基于AIMD两种情况的交替出现,即某一时刻攻击产生超时重传效果,而另一时刻则可能产生AIMD的效果,这取决于攻击强度以及当时网络中的拥塞状况。
2.2针对路由器主动队列管理机制的LDoS攻击
上面提到的针对TCP协议拥塞控制机制的LDoS攻击,攻击目标一般是某一受害主机或某一确定的网络链路。而如果将攻击目标定为网络中的一个节点,比如一个路由器,则将会影响到所有通过此网络节点的链路,攻击的影响范围将明显扩大。针对路由器主动队列管理机制的LDoS攻击『31就是这样一类攻击。
2.2.1路由器主动队列管理机制
主动队列管理(ActiveQueueManagement,AQM)技术f20l是IETF为了解决Intemet拥塞控制问题而提出的一种路由器缓存管理技术。队列管理主要是在网络发生拥塞时通过丢包来管理队列长度。AQM的目的就是将队列长度稳定在一个较小的值,使得最小化数据传输延迟,最大化此路由器的吞吐量。
最早提出的AQM算法是随机早检测(RandomEadyDetection,RED)算法f2l】,也是目前最常用的一种AQM算法。其它算法如BLUEIz2l、AREDt23,241、SRED圆等原理与RED基本一致,其自适应特性也大致相同,因此文章仅以RED为例进行讨论。
RED的基本思想是路由器通过监控队列的平均长度来探测拥塞。一旦发现拥塞逼近,就随机地选择源端来通知拥塞,使它们在队列溢出之前降低发送数据速率,以缓解网络拥塞。RED算法主要包括两步,首先计算平均队列长度,然后计算丢弃包的概率。RED计算平均队列长度avgq,采用带权值的方法:
avgq=(1州q)xavgq+qxwq
其中,加q为权值,g为采样测量时实际队列长度。从而“过滤”掉由于Intemet数据的突发性导致的短期队长变化,尽量反映长期的拥塞变化『21l。权值加口决定了路由器对输入流量变化的反应程度。计算平均队长的目的就是为了反映拥塞程度并据此来计算丢包概率。RED计算丢弃包概率的算法如下:
P6(£)=
0avgq(t)≤Q。i。
东P薏‘删明(th。
(9)
Qmin≤倒gg(£)≤Q一
1
avgq(t)≥Q一
则=瓦丽pb(t)(10)
其中,p(£)表示包丢弃概率,平均队列长度倒gq(f)为瞬时队列长度指数平滑处理(Exponentially—Weighted—Moving-Average,EWMA)后所得值,Q。i。和Q一是队列长度的相关阀值,尸0为最大丢弃概率。由上式可知,包丢弃概率p(£)不仅和a彩gq(t)有关,而且还和从上一次丢包开始到现在连续进入队列的包的数量count有关。随着count的增加,下一个包被丢弃的可
何炎祥等:低速率拒绝服务攻击研究综述9
能性也在缓陧增加,主要是为了在到来的包之间均匀问隔地丢包,避免连续丢包,以消除对突发流的偏见和产生全局同步现象。
正常情况下,路由器平均队列长度如图5所示,当链路达到稳定以后,路由器平均队列长度始终在某一固定值(略大于Q血。)左右轻度浮动,如某一时刻t。,网络流量突然增加,队列长度明显增长,则路由器会根据RED算法相应增大其包丢弃概率,因此经过一较短时间(£,.t,),队列长度又会重新回到稳定状态,由此可见路由器的主动队列管理机制实际上也是一种自适应机制。
越
必
蕨
墨
霜
辨
时间t图5正常情况下RED路由器平均队列长度
Fig.5TheaveragequeuesizeofREDrouter
undernormalcircumstance
2.2.2针对RED路由器的LDoS攻击模型
针对RED路由器的LDoS攻击目的就是通过周期性定时地向目标路由器发送攻击脉冲,使系统一直交替地处于过载(ove卜load)和欠载(under—load)的状态,队列长度始终无法稳定,从而严重影响路由器的性能,增长数据传输延迟时间,减小路由器吞吐量。另外,RED机制还会直接影响端系统的数据传输控制,因为端系统的拥塞控制反馈信号全都来自于队列管理睛况(丢包或标记)。所以,当路由器受到攻击时,其会向端系统传输控制机制发送大量噪声反馈信号,端系统会根据这些反馈信号,调整自己的发送速率,而以新的速率发送的包又会导致队列抖动更为严重,有时队列甚至为空,网络链路利用率急剧下降。攻击模型如图6所示,攻击开始时,由于攻击脉冲强度较大,使得所经路由器的平均队列长度迅速增加,且TCP合法链路大量包丢失;脉冲过后,由于端系统拥塞控制的作用,合法TCP链路都进入超时等待状态,停止发送数据包,且由于RED机制的影响此时丢弃概率会因前一时刻平均队列长度过长而变大,以上两个原因直接导致平均队列长度迅速减小,甚至有时队列会为空;但随着平均队列长度的减小,RED机制会逐渐降低队列的丢弃概率,且TCP合法链路也会逐渐从超时重传中恢复过来,一段时间以后平均队列长度又会逐渐增长;当队列长度进入稳定状态(恢复到正常值)后,攻击方又会立即发起下一次攻击脉冲。RED机制控制下,路由器队列恢复时间为一定值,可通过实验测得。因此针对RED的LDoS攻击也是一种定周期攻击方式,其攻击周期为路由器队列恢复时间。
图6针对RED的LDoS攻击模型Fig.6REDrouter-targetedLDoSattackmodel
这种类型的攻击比针对TCP超时重传和AIMD机制的攻击影响更为严重,因为前者只是针对单一链路,而后者则会影响所有通过此路由器的链路性能。对于被动队列管理算法,如传统Droptail算法,LDoS攻击对其也有一定的影响,但由于其并无自适应特征,所以效果并不是很理想。
上述针对TCP拥塞控制机制以及针对路由器主动队列管理机制的LDoS攻击,是目前比较常见的LDoS攻击。除了上述类型的攻击以外,还有许多其他形式的LDoS攻击,如针对终端主机访问控制机制的LDoS攻击『4】、针对应用服务周期性更新机制的LDoS攻击1261等。另外,这些已有类型的攻击,还可以通过改
10Journa/ofFrontiersofComputerScienceandTechnology计算机科学与探索2008,2(1)
变其攻击周期、攻击脉冲方式或强度,产生新的攻击变种。
3仿真实验与效果分析
为了更加深入地对LDoS攻击进行分析,在NS2127|平台上对上述几种典型LDoS攻击进行了模拟,并根据实验所得结果,对各种参数对攻击效果的影响进行了分析。
3.1针对TCP拥塞控制机制的LDoS攻击第2章讨论了6种针对TCP拥塞控制机制的LDoS攻击,其中2种同步攻击只是理想情况下的攻击方式,无法实现,作者对其它2种具有代表性的异步攻击进行了模拟。
实验采用的网络拓扑结构如图7所示,采用TCPReno传输合法用户数据,UDP传输攻击数据。各链路的传播时延均为10ms。TCP发送方、UDP攻击方和路由器A之间链路带宽为15Mb/s,接收方和路由器B之间的链路带宽为30Mb/s,路由器A和路由器B之间的链路是整个网络的瓶颈,带宽为1.5Mb/s,路由器缓冲区队列采用RED管理策略。
基于超时重传的异步Shrew攻击实验参数:攻击周期丁为1.4S,攻击脉冲突发数据率6为15Mb/s,脉冲持续时间丁为100ms,攻击开始时刻5.1S,攻击模拟时间20s。TCP发送端的拥塞窗口随时问的变化如图8(a)所示。当攻击开始后,TCP发送方不断进入等待状态,等待RTO时间后,拥塞窗口获得短暂的恢复时间。因为TCP协议中RTO是根据当前网络的情况动态变化的,所以发送方每次等待的时间并不完全相同,于是拥塞窗口的恢复时间及恢复后的值也并不是完全一致的。但攻击效果基本与理论分析结果图3(b)一致。
为了在NS2上模拟基于AIMD的异步攻击,在原有的TCP协议基础上,对TCPReno进行了相应修改。基于AIMD的异步LDoS攻击实验参数:攻击周期丁为0.5s,攻击脉冲突发数据率6为9.85Mb/s,脉冲持续时间r为10ms,攻击开始时刻8.7S,攻击模
k一”舭争,。图7针对TCP拥塞控制机制的LDoS攻击网络拓扑结构
Fig.7Thesimulationnetwork
topologyofTCP-targetedLDoSattacks模拟时间/s模拟时f日3/s
(a)基于超时重传的异步LDoS攻击(b)基于AIMD的异步LDoS攻击图8针对TCP拥塞控制机制的LDoS攻击对被攻击端拥塞窗口的影响Fig.8TheeffectofTCPcongestiontargetedLDoSattacktovictim’SCwnd
0~
何炎祥等:低速率拒绝服务攻击研究综述
拟时间14s。TCP发送端的拥塞窗口随时间的变化如图8(b)所示。该图表明,当攻击发起后,拥塞窗口逐渐收敛于一个较小的值,这与理论分析结果图4(b)符合得很好。
下面通过三组实验,从攻击效果D和攻击效能P两个方面分别考虑主要攻击参数:攻击周期r、攻击脉冲持续时间丁和攻击脉冲突发数据率6的影响,并对实验结果进行简要分析。攻击效果D为攻击发生后链路损失的平均有效带宽,攻击效能为攻击效果D与攻击代价c的比值,其中攻击代价C为平均攻击数据率8xrlT,显然攻击效能强调的是攻击数据的有效性。
(1)攻击周期r
实验参数:8=9.85Mb/s,r=10ms,T在0.1s~2.0s
,^、
{
.。
窆
≤
懈
靶
水
罪
瀣
摧变化(实验中步长取0.1s)。实验结果如图参所示。
从攻击效果图9(a)来看,周期越长,链路损失的带宽就越小,但根据C--ZxrlT,攻击代价也会相应减少。从攻击效能图9(b)来看,当攻击周期在1.2s一1.4s时,攻击效能最高,此时的攻击周期r正好在l+2RTT一1+3RTT之间。
(2)攻击脉冲持续时间7-
实验参数:8=2Mb/s,扛1s,丁在10ms。200m5变化(实验中取步长为10ms)。实验结果如图10所示。
从攻击效果图lO(a)来看,攻击对链路有效带宽造成的损失随突发数据持续时间增大而增大,但同时攻击代价C也增加。由图lO(b)可得当下在60ms~80ms之内取值时,攻击效能最大,而此值正好约等于R刀。
攻击周期,s‘攻击周期/s
(a)r对攻击效果的影响(b)T对攻击效能的影响图9攻击周期对攻击效果、效能的影响(针对TCP拥塞控制LDoS攻击)
Fig.9TheeffectofattackperiodTtoattackimpactandefficiency(TCP—targeted)三
童
杂
轻
水
疆
藩
裂
突发数据持续时间/ms突发数据持续时间/ms(a)r对攻击效果的影响(b)_r对攻击效能的影响图10攻击脉冲持续时间对攻击效果、效能的影响(针对RED路由器LDoS攻击)
Fig.10Theeffectofattackdurationrtoattackimpactandefficiency(TCP-targeted)
12JournalofFrontiersofComputerScienceandTechnology计算机科学与探索2008。2(1)
(3)攻击脉冲突发数据率6
实验参数:,-=50ms,T=I.2S,6在0.5Mb/s~10Mb/s变化(实验中取步长为O.5Mb/so实验结果如图11所示,从攻击效果图11(a)来看,链路损失的有效带宽随突发数据率的增大而增大,但与此同时攻击代价C也增大。由图1l(b)可知当占在2Mb/s~3Mb/s之间取值时,攻击效能最高。此时的数据率略大于网络的瓶颈链路带宽。
从以上这三组实验中,还可以得出一个很重要的结论:基于AIMD和基于超时重传的两类攻击不论是在攻击效果还是在攻击效能上,其对某一攻击参数的敏感程度是基本一致的。从实验结果图可以看出,基于超时重传的攻击效果要略优于基于AIMD的攻击。因为基于超时重传的攻击使被攻击者拥塞窗口降为1,而基于AIMD的攻击只是将其减半,很显然前者引起的链路有效带宽损失要大。但是基于超时重传的攻击必须使网络严重拥塞,而基于AIMD的攻击只需导
o
≥
蓦
≮
椿
靼
水
辎
瀣
裂致网络轻度拥塞即可,因此前者的攻击代价要明显大于后者的攻击代价。综合以上两点,很难明确确定两者攻击效能的优劣关系,但从攻击实验结果来看,基于超时重传的攻击效能要略优于基于AIMD的攻击,这一点应该与8和丁的取值有关。
3.2针对路由器主动队列管理机制的LDoS攻击
第2章讨论了针对路由器主动队列管理机制的LDoS攻击,在NS2平台下,作者针对采用RED算法的路由器进行了攻击模拟实验。实验环境:瓶颈链路带宽16Mb/s,其他链路带宽100Mb/s,路由器缓冲区大小2Mb,TCP数据流29条,攻击数据流l条,链路传输时延平均分布在15ms~25ms间。路由器平均队列长度的上下门限Q商。、Q一分别为50、120个数据包(1个数据包1MB),最大丢弃概率l=0.1。采用的网络拓扑结构如图12所示。
突发数据率/(Mb/s)突发数据率/(Mb/s)(a)6对攻击效果的影响(b)6对攻击效能的影响
图11攻击脉冲突发数据率对攻击效果、效能的影响(针对RED路由器LDoS攻击)
Fig.11Theeffectofattackpulseintensity6toattack
impactandefficiency(TCP-targeted)16Mb/s号?00M从
ARouterB
Attacker
图12针对路由器队列管理机制的LDoS攻击网络拓扑结构
Fig.12Thenetworktopologyofrouterqueuemanagement—targetedLDoSattacks
函一
何炎祥等:低速率拒绝服务攻击研究综述
13
攻击实验参数:攻击脉冲强度8=15Mb/s,脉冲持
续时间'----0.333
S
T攻击周期T=4ST攻击开始时亥,130s,
攻击持续时间为40s。路由器平均队列长度随时间的变化如图13所示,当攻击开始后,队列长度始终处于过长和过短交替状态,队列抖动较大,无法进入稳定状态,攻击效果基本与理论分析结果一致。
时间/s
图13针对路由器队列管理机制的LDoS攻击对
被攻击端RED路由器队列长度的影响
Fig.13
TheeffectofREDrouter-targetedLDoSattackstovictim’s
Queue
length
同样,通过三组实验分别对影响攻击效果D和攻击效能P的参数:攻击脉冲强度6、脉冲长度r和’攻击周期r进行分析。因针对路由器队列管理机制的LDoS攻击的目的是让路由器队列长度始终处于强抖动状态,从而降低其性能,故将攻击效果D定为攻击前后队列抖动的比值。攻击效能P仍为攻击效
果D与攻击代价C的比值,C---SxT"/T。
(1)攻击周期r
实验参数:固定8=15
Mb/s,,,---0.333
S
T选取T--1
s,
/'--2S,T=3S,T=4S,T=4.5S,T=5s,T=5.5s,T=6S,阽6.5s,T=7s,T=7.5s,T=8s,T=8.5s,T=9s,T=10S,贴
11
s,扛12.5
S,T=14
S,强15S。实验所得攻击效果随r
的变化情况如图14(a),由图可知,当r在4s~6
s间
取值时,攻击效果较好,当T--4S时,攻击效果达到最佳。通过实验测得路由器队列在RED机制控制下,由不稳定状态恢复到稳定状态所用时间约为4.5S。可见针对RED的RoQ攻击的周期近似等于平均队列长度恢复所需的时间,此点与理论分析一致。这主要是因为,若攻击周期过长,则队列长度在下次攻击开
始前已经I炙复到正常值,每两次攻击间,路由器有一
段时间是处于稳定状态的,因此攻击效果变差。若攻击周期过短,则丢弃概率一直很高,队列长度一直处于较短状态,抖动不明显,因此攻击效果变差。由图14(b)可知,随着攻击周期的增长攻击效能呈明显递增趋势,这主要是由攻击代价6xr/T减小程度大于攻击效果降低程度所导致的。
(2)攻击脉冲持续时间r实验参数:固定T=4
s,6=15
Mb/s,取I----0.1
s、
0.333s,0.5S、0.7S、0.9S、1.1s、1.5s,2
S。攻击效果随r
的变化情况如图15(a),随着脉冲持续时间的不断增
l2
34
56
7
8910ll12131415
l2
34
56
78
9lOll12131415
攻击周期/s攻击周期,s
(a)T对攻击效果的影响
(b)T对攻击效能的影响
图14攻击周期对攻击效果、效能的影响(针对RED路由器LDoS攻击)
Fig.14
Theeffect
ofattackperiodTto
attackimpactandefficiency(RED-targeted)
87654
3
2lO
温赣相督
14
JournalofFrontiersofComputerScienceandTechnology计算机科学与探索2008,2(1)
长,攻击效果肯定越来越好,但攻击代价也越来越高。
由图15(b)可得,当丁约为0.333S时,攻击效能达到
最好,而此值正与本实验中尺玎相近。这是因为,正
常情况下,TCP发送端每隔一个R玎大约发送一个窗口的数据,若脉冲长度小于尺刀,则有的TCP数据流可能正好避开了攻击脉冲,从而没有受影响。若脉冲长度大于尺刀,则平均队列长度将一直维持比较大
的值,抖动相比脉冲长度等于R玎时要小。
(3)攻击脉冲突发数据率6实验参数:固定T=4
S,r=O.333
S,取6=5
Mb/s、
10Mb/s,15Mb/sl20Mb/s、30Mb/s、40Mb/s,50Mb/s,60Mb/s、70Mb/s、80Mb/s、90
Mb/s。攻击效果和攻击
效能随6的变化情况如图16,其变化规律与图16中丁对攻击效果和攻击效能的影响相似。实验中,当占
取值约为15Mb/s时,攻击效能最高。
通过以上三组实验得出的攻击参数最优取值,可能与具体的实验环境有关,但是仍可以得出一个重要结论:对于针对路由器队列管理机制的LDoS攻击,当攻击周期丁取值约等于路由器队列恢复所需时间、攻击脉冲r取值约等于一个R刀时间、攻击脉冲强度6在不同环境中取值不同但存在一取值时,使得攻击效能达到最佳。
4LDoS攻击的防范
4.1
LDoS攻击所存在的防范难点
传统DoS攻击的防范一直是一个非常棘手的问
题12s,291,目前仍未得到很好的解决。而与传统DoS攻击相比,LDoS攻击的防范更加困难,其不仅具有传统
O.0O.20.40.60.81.O1.21.41.61.82.00.00.20.40.60.81.01.21.41.61.82.0
脉冲持续时间/s
脉冲持续时f日q/s
(a)r对攻击效果的影响
(b)r对攻击效能的影响
图15脉冲持续时间对攻击效果、效能的影响(针对RED路由器LDoS攻击)
Fig.15
Theeffectofattackduration
rtoattack
impactandefficiency(RED—targeted)
突发数据率/(Mb/s)突发数据率/(Mb/s)
(a)6对攻击效果的影响
(b)6对攻击效能的影响
图16脉冲突发数据率对攻击效果、效能的影响(针对RED路由器LDoS攻击)
Fig.16
Theeffectofattackpulse
intensity艿to
attackimpactand
efficiency(RED-targeted)
98765
4
321
眯蓑佃督
何炎祥等:低速率拒绝服务攻击研究综述15
DoS所存在问题,而且还存在如下一些难点:
(1)因LDoS攻击源端大部分时间内都保持沉默,只是周期性在短时间间隔内发送攻击流,平均速率较低,很难将其与正常数据流区别开来;
(2)攻击所导致的系统不稳定现象与正常隋况下的系统状态转换并无很大区别,除非攻击持续很长时间以后,发现系统不稳定现象一直没有消除,才可能引起检测机制的怀疑;
(3)如果攻击目标为网络中某一路由器,则攻击数据包的源地址和目的地址都可不同,只需要它们在传输过程中都经过攻击目标即可,因此传统的以源地址、目的地址作为攻击包识别主要特征的方法[30l在此就毫无用处了;即使通过其它方法识别出了所有攻击包,但由于包中的目的地址、源地址均可能是非法或无效地址,因此也很难推算出具体的攻击目标。
另外,攻击者还可能采用分布式方式来实施攻击,形成分布式低速率拒绝服务攻击(DistributedLDoS,DLDoS),即由多个攻击源端同时或分时地发送数据流,最后在攻击目的端才汇聚成完整的攻击流,这样来自每个源端的攻击流特征将更加不明显,甚至与正常数据流毫无差别,将攻击检测和防范工作难度进一步加深。
4.2现有的LDoS攻击防范方法
自LDoS攻击提出以来,研究者们根据此类攻击原理提出了许多不同的攻击方式,对于其检测和过滤防范方法也做了一些研究,但是由于针对LDoS攻击的研究仍处于起步阶段,目前尚未提出较为有效的防御方案。而且,就目前提出的方法来说,大都是专门针对某一种具体方式的LDoS攻击,其中基于超时重传异步的Shrew攻击提出最早,因此大部分均为针对此种攻击所提出的,对于LDoS这一大类攻击的整体防范方案仍有待进一步研究。文中对已提出的LDoS防范方法做了简单的分析和归类。
目前防范方法主要从两个角度出发,一类是对具体协议进行修改,除去其所存在的安全漏洞。但许多协议都是广泛实现和应用的,如果对其进行修改,可能会影响大多数用户的利益,因此并不实用。另一类从攻击特征的角度对LDoS攻击流进行检测和过滤的方法也被提出,以求对LDoS攻击进行防范且不会涉及对合法用户程序的大规模修改。
4.2.1基于协议的LDoS攻击防范方法
此类方法最具代表性的就是针对Shrew攻击的随机化minRTO方法。Shrew攻击所利用的一个关键漏洞就是端系统最小超时等待时间minRTO存在一致性,正是minRTO一般取值均为ls,才使得链路状态恢复过程具有固定的周期性特征。Kuzmanovic在2003年提出Shrew攻击的同时,就提出了随机化端系统的最小超时等待时间minRTO的取值来破坏超时重传的周期性规律习,使得攻击者无法准确预测TCP端下一次发送数据的时间,也就无法在准确的时刻发送攻击数据流,从而缓解LDoS攻击的影响。G.Yang再次提出此观点【31】,并通过实验对其进行了进一步验证。然而,虽然随机化minRTO对Shrew攻击有一定的缓解效果,但其会在没有LDoS攻击的时候降低TCP的性能,且其只能对Shrew攻击进行防范,而无法确定攻击流是否存在。另外,攻击者可能针对这种防范方法改变其攻击策略,例如下一次攻击流发送时间也按同样的方法随机化生成。
4.2.2基于攻击流特征检测的LDoS攻击防范方法此类方法又可粗略分为基于脉冲高速率特征的检测方法、基于攻击流时域特征的检测方法以及基于攻击流频域特征的检测方法三类。
(1)基于脉冲高速率特征的检测防范方法
虽然LDoS攻击平均速率较低,但是其在攻击数据流发送的短暂问期内攻击流速率仍然比较高。因此可根据攻击流周期性高脉冲的特征对其进行检测。Kuzmanovic提出可通过路由器AQM机制(如RED—pDf321等)对高速率流的包丢弃作用来过滤Shrew攻击
16JournalofFrontiersofComputerScienceandTechnology计算机科学与探索2008,2(1)
流闭。SandeepSarat和AndreasTerzis提出通过控制路由器队列缓冲区的大小并使用合适的AQM技术,即可避免LDoS攻击1∞1。但实验证实,目前所用AQM机制只对持续时间较长的高速率流有过滤作用,对于LDoS这类持续时间较短的高速率流来说作用并不明显,如更改AQM机制使其对持续时间较短的高速率流也起到过滤作用,则可能导致大量合法TCP数据流一并被识别成非法数据流一起过滤掉。Y.K.Kwok提出了一种新的路由器队列管理方法HAWKf341,其在传统AQM算法的基础上又加入了一种数据流检测算法,主要基于LDoS脉冲速率强度、持续时间和发送周期等特征,对到来的数据流分别对其短时间间隔内峰值速率以及长时间间隔峰值速率超过所没门限值的次数进行检测,如果符合设定攻击特征,则丢弃此数据流的所有数据包。这种方法的优点是容易实现,但是其误报率较高,且需要一定的存储空间来存放攻击流特征信息。
(2)基于时域特征的检测防范方法
从攻击数据流的周期性特征的角度,就数据流进行采样分析,如果其与设定的攻击特征相符,则识别为攻击流。HabinSun提出通过对数据流进行取样和特征提取,使用在语音识别中常用的动态时间环绕方法(DynamicTimeWarping,DTW)将数据与样本进行匹配,当攻击流被识别出来以后则采用差额循环算法(DeficitRoundRobin,DRR),进行带宽分配和资源保护,从而消除LDoS攻击流的影响门。另外他们还提出一种回溯算法来减小检测防范机制对合法TCP流性能的影响。这套方案的优点在于其对攻击的识别率高、误报率低,不仅能检测到“标准”的LDoS攻击,对于周期、脉冲长度发生变化以及分布式的LDoS攻击也能进行检测,而且其回溯算法,使得在检测到LDoS攻击后,能逐步向上游路由器推进,尽可能接近攻击源,以尽量减少受影响的TCP流。但仍然存在效率以及对性能影响等问题,且其中所采用的DRR算法并没实现对LDoS攻击流的过滤作用。
(3)基于频域特征的检测防范方法
由于LDoS攻击低平均速率以及背景数据流的影响,时域特征检测方法对其效果都欠佳。因此研究者们又提出频域特征检测方法。YuChen提出了—种基于光谱分析的协同检测过滤(CollaborativeDetectionandFiltering,CDF)算法【35I,将路由器的包到达速率作为时域采样序列,对其进行预处理,尽量放大攻击流与正常流在频谱上的区别,然后进行傅立叶变换得到频域序列,对得到的频域序列进行频谱分析,将其与预先通过学习生成的攻击频谱特征模板库进行匹配,从而判定是否存在LDoS攻击。这种算法检测准确率较高,且对于软、硬件实现都比较合适,但存在一定的误报率,在对付伪造IP地址的攻击中,存储开销较大,有可能导致溢出错误。WeiWei也提出了相似的频谱特征检测方法[361。另外,YuChen还提出了一种协同检测方法[351,通过在固定范围内,路由器问相互传播检测信息来实现协同防范。XiapuLuo提出了一种基于小波分析的检测方法四,将时域和频域特征结合起来,对攻击数据流进行准确描述,采用基于异常的检测方法实现高精度的检测。这种方法不仅可以检测出Shrew攻击等常规LDoS攻击,而且还可以对变周期的LDoS攻击和传统洪泛式DoS攻击进行检测。
以上这些检测及防范方法对防御LDoS攻击都有一定作用,但仍存在一系列的问题有待解决,如:如何提高检测方法的准确率和执行效率,实现在网络海量数据上进行实时分析;检测到LDoS攻击以后如何做到及时响应,减轻攻击对合法数据传送效率的影响;对于实际检测系统来说,则要求其满足应用环境的可适应性、自身的安全性和可靠性,且对网络和系统的性能影响较小。
5总结与展望
LDoS攻击的威胁及应对技术研究将成为网络安
何炎祥等:低速率拒绝服务攻击研究综述17
全领域另一个重要的研究课题与难点。其研究目前还相当不成熟,首先掌握这种攻击的方法尚存在着一些技术难题,比如如何精确确定攻击的时间,对于DLDoS如何同步其攻击数据流,使其在特定的时间在特定的路由器汇集,以形成脉冲攻击流。其次,由于LDoS和DDoS的攻击原理不一样,不能完全套用传统的DDoS检测和保护机制来检测与防范LDoS,需要在了解LDoS攻击的基础上使用针对性更强的方法解决LDoS的检测和防范问题。再者,与传统DoS一样,LDoS最佳防范方法应采用分布式体系结构,然而不论是在传统的DoS防范上,还是在LDoS防范中,分布式的方法存在着诸多困难,如在异构网络环境下消息的传递方式,知识的共享与理解,检测点的部署问题,防范系统本身的安全性和鲁棒性等,这些都是需要进行广泛研究的问题。最后,各种检测与防范机制都需要设置众多的参数,目前很多方法使用人工的方法进行设置,如何使用自适应的方法使之参数达到最优化,也是有待研究的问题。
文章详细讨论了低速率拒绝服务攻击的原理,对目前所提出的各种方式的LDoS攻击进行了分类描述、建模分析以及仿真模拟实验验证,分析了LDoS防范所存在的难点,对已提出的LDoS防范方法做了简单的分类总结,以期为今后此类攻击检测防范研究工作提供参考。
References:
【1】WilliamsM.Ebay.Amazon.Buy.cornhitbyattacks[EB/OL].NetworkWorld2001.http://www.nwfusion.com/news/2000/0209attack.html.
【2】2KuzmanovicA,KnightlyEW.Low--rateTCP-targeteddenialofserviceattacks[C]//ProceedingsofACMSIGCOMM2003,Kadsruhe,Germany,2003:75-86.
【3】3GuirguisM,BestavrosA,MattaLExploitingthetransientsofadaptationfornoQattacksonInternetresources[C]//ICNP2004,Berlin,Germany,2004:184-195.[4】GuirguisM.ReductionofQuality(RoQ)砒tacksonInternetend—systems[C]//Proceedingsofthe24thIEEEINFOCOM,Miami,Florida,2005.
【5】LuoX,ChangR.OnanewclassofpulsingdeniM-of-serviceattacksandthedefense[C]//ProeeedingsofNetworkandDistributedSystemSecuritySymposium(NDSS’05),SanDiego,CA,2005.
[6】QayyumA,IslamMH,JamilM.Taxonomyofstatisticalbasedanomalydetectiontechniquesforintrusiondetec—tion[C]//ProceedingsoftheIEEESymposiumonEmergingTechnologies,2005.
【7】7DelioM.Newbreedofattackzombieslurk[HEB/OL].[20051.http:Ilwww.wired.com/news/technology/012824369700.html.【8】8KanhereSS,NaveedA.Anoveltuneablelow-intensityadversarialattack[C]//theIEEEConferenceonLocalCorn—puterNetworks,2005.
【9】GuirguisM,BestavrosA,MattaI.BandwidthstealingvialinktargetedRoQattacks[C]//Proceedingsofthe2ridI-ASl’EDInternationalConferenceonCommunicationandComputerNetworks(CCN’04),Cambridge,Massachusetts,2004.
【10】SunH,LuiJ,YauD.Defendingagainstlow-rateTCPattacks:dynamicdetectionandprotection[C]//ProceedingsofICNP’04:the12thIEEEInternationalConferenceonNetworkProtocols,Berlin,Germany,2004.
【11】SunH,LuiJCS,YauDKY.Distributedmechanismindetectinganddefendingagainstthelow-rateTCPat-tack[J].ComputerNetworks,2006,50(13):2312—2330.【12】ThompsonK,MillerGJ,WilderR.Wide—areaInternettrafficpatternsandcharacteristics[J].IEEENetwork,1997,11(6):10—23.
[13】ChiuDM,JainR.Analysisoftheincreaseandde-creasealgorithmsforcongestionavoidanceincomputernetworks[J].ComputerNetworksandISDNSystems,1989,
17(1):l一14.
【14】JacobsonV.RCF1144CompressingTCP/IPHeadersforlow-speedseriallinks[S].InternetEngineeringTaskForce(IETF),1990.
18JournalofFrontiersofComputerScienceandTechnology计算机科学与探索2008,2(1)
【15】PaxsonV,AllmanM.InternetRFC2988ComputingTCP’Sretransmissiontimer[S].2000.
【16]JacobsonV.Congestionavoidanceandcontrol[J].ACMComputerCmmReview,1988,18(4):314-327.
[17】KarnP,PaaridgeC.Improvinground-triptimeesti-matesinreliabletransportprotocols[J].ComputerCom-
municationReview。1995,25(1):66.74.
[18】AllmanM,PaxsonV.Onestimatingend-to-endnetworkpathproperties{J].ComputerCommunicationReview,1999,
29(4):263—274.
【19】GuirguisM,BestavrosA,MattaI.Ontheimpactoflow-rateattacks[C]//Proceedingsofthe41stIEEEInternationalConferenceonCommunications(ICC’06)。2006.
【20】BradenB,ClarkD.IETFRFC2309RecommendationsonqueuemanagementandcongestionavoidanceintheIn-temet[S].1998.
[21】FloydS,JacobsonV.Randomeadydetectiongatewaysforcongestionavoidance[J].IEEE/ACMTransactionsonNetworking,1993,1(4):397--413.
【22]FengW.BLUE:anewctassofactivequeuemanagementalgorithms,CSE2TR2387299[R/OL].UMichigan.【1999].
http://www.eecs.umich.edu/wuchang/blue/.
【23】FengW.Techniquesforeliminatingpacketlossincon-gestedTCP/IPnetworks,CSE2TR349-97[R].US:Uni-
versityofMichigan,1997.
[24】FengWC,KandlurDD,SahaD.Aself-configuringREDgateway[C]//INFOCOM’99,ProceedingsofEighteenthAnnualJointConferenceoftheIEEEComputerandCommunicationsSocieties,IEEE,1999.
[25】LakshmanTV,WongLH.SRED:stabilizedRED[C]//ProceedingofIEEEINFOCOM.Amsterdam:ElsevierPress,
1999.
【26】ChanMC.Effectofmalicioussynchronization[C]//the4thInternationalConferenceonAppliedCryptographyGet-many,2006.[271McCanneS,FloydS.ns—LBNLnetworksimulator[EB/OL】.【19961.http://www-nrg.ee.1b1.gov/ns/.
【28】SpechtS,LeeR.Distributeddenialofservice:taxo—nomiesofattacks【C]//ToolsandCountermeasures.Pro-ceedingof2004PDCS,SanFrancisco,2004.
[29】ChangRKC.Defendingagainstflooding-baseddis—tributeddenial—of—serviceattacks:atutorial[J].IEEECommunicationsMagazine,2002,40(10):42-51.
【30】StonelR.Centertrack:anIPoverlaynetworkfortrack—ingDoSfloods[C]//The9thUSENIXSecuritySymposium,2000.
[31】YangG,GerlaM,SanadidiMY.Defenseagainstlow-rateTCP-targeteddenial-of-serviceattacks[C]//Alexandria,Egypt:InstituteofElectricalandElectronicsEngineersInc,Piseataway,NJ08855-1331,UnitedStates,2004.[32】MahajanR,FloydS,WetherallD.Controllinghish—bandwidthflowsatthecongestedrouter[M].Riverside,CA:InstituteofElectricalandElectronicsEngineersComputerSociety,2001.
[33】SaratS,TerzisA.Ontheeffectofrouterbuffersizesonlow—ratedenialofserviceattacks[C]//SanDiego,CA,UnitedStates:InstituteofElectricalandElectronicsEn—gineersInc,Piscataway,NJ08855—1331,UnitedStates,2005.
[34】KwokYK.HAWK:Haltinganomalieswithweightedchokingtorescuewell-behavedTCPsessionsfromshrewDDoSattacks【C】,,Zhan百iajie,China.SpringerVedag,
Heidelberg,D-69121,Germany,2005.
【35】ChenY,HwangK.CollaborativedetectionandfilteringofshrewDDoSattacksusingspectralanalysis[J].JournalofParallelandDistributedComputing,2006,66(9):1137-1151.
[36】WeiW.Anovelmechanismtodefendagainstlow-ratedenial-of-serviceattacks[C]//UnitedStates:SpringerVe卜lag,Heidelberg,Germany,2006,3975.
何炎祥等:低速率拒绝黢务攻击研究综述
19
何炎祥(1952-),粥,教授,博士生导师,研究方向为分布并行处理、信息安全等。
HE
Yanxiang
was
bornin1952?Heis
a
professoranddoctoralsupervisor
at
SchoolofComputer,Wuhan
University。Hismain
researchinterestsincludedistributedparallelprocessandinformationsecurity.e£e.
裁隧(1984-),女,褥±研究玺,主要研究方离为网络与信息安全、入侵检测等。
LIU
Tao
was
bom
in1984,Sheis
a
Ph.D.candidateat
SchoolofComputer,WuhanUniversity.Her
researchinterestsincludenetworkandinformation
security,intrusiondetection。etc。
营援(1985一),隽,颈圭聚究玺,主要藓究方淘隽褒终安全、久疆硷溺等。
CAO
QiangWas
bornin1985.Heis
a
mastercandidate
at
SchoolofComputer,WuhanUniversity.His
research
interestsincludenetwork
securityandintrusiondetection,etc.
熊琦(1983一),男,博士研究生,主要研究方向为网络与信息安全、网络可生存性等。
XIONGQi
was
bornin1983。Heis
a
Ph.D.candidateatSchoolof
Computer,WuhanUniversity.His
research
interestsincludenetworkand
informationsecurity,network
reliability,ete,
韩奕(1985一),男,硕士研究生,主要研究方向为网络安众、入侵检测等。
HAN
Yi
was
born
in
1985。He
is
a
mastercandidateatSchool
ofComputer。WuhanUniversity.His
researchinterestsincludenetworksecurityandintrusiondetection,etc.
低速率拒绝服务攻击研究综述
作者:何炎祥, 刘陶, 曹强, 熊琦, 韩奕
作者单位:何炎祥(武汉大学,计算机学院,武汉,430079;武汉大学,软件工程国家重点实验室,武汉430079), 刘陶,曹强,熊琦,韩奕(武汉大学,计算机学院,武汉,430079)
刊名:
计算机科学与探索
英文刊名:JOURNAL OF FRONTIERS OF COMPUTER SCIENCE & TECHNOLOGY
年,卷(期):2008,2(1)
被引用次数:1次
参考文献(36条)
1.Williams M.Ebay https://www.wendangku.net/doc/637477615.html, hit by attacks 2001
2.Kuzmanovic A.Knightly E W Low-rate TCP-targeted denial of service attacks 2003
3.Guirguis M.Bestavros A.Matta L Exploiting the transients of adaptation for RoQ attacks on Internet resources 2004
4.Guirguis M Reduction of Quality (RoQ) attacks on Internet end-systems 2005
5.Luo X.Chang R On a new class of pulsing denial-of-service attacks and the defense 2005
6.Qayyum A.Islam M H.Jamil M Taxonomy of statistical based anomaly detection techniques for
intrusion detection 2005
7.Delio M New breed of attack zombies lurk
8.Kanhere S S.Naveed A A novel tuneable low-intensity adversarial attack 2005
9.Guirguis M.Bestavros A.Matta I Bandwidth stealing via link targeted RoQ attacks 2004
10.Sun H.Lui J.Yau D Defending against low-rate TCP attacks:dynamic detection and protection 2004
11.Sun H.Lui J C S.Yau D K Y Distributed mechanism in detecting and defending against the low-rate TCP attack 2006(13)
12.Thompson https://www.wendangku.net/doc/637477615.html,ler G J.Wilder R Wide-area Internet traffic patterns and characteristics 1997(06)
13.Chiu D M.Jain R Analysis of the increase and decrease algorithms for congestion avoidance in computer networks 1989(01)
14.Jacobson V Compressing TCP/IP Headers for low-speed serial links 1990
15.Paxson V.Allman M Internet RFC 2988 Computing TCP's retransmission timer 2000
16.Jacobson V Congestion avoidance and control 1988(04)
17.Karn P.Partridge C Improving round-trip time estimates in reliable transport protocols 1995(01)
18.Allman M.Paxson V On estimating end-to-end network path properties 1999(04)
19.Guirguis M.Bestavros A.Matta I On the impact of lowrate attacks 2006
20.Braden B.Clark D Recommendations on queue management and congestion avoidance in the Internet 1998
21.Floyd S.Jacobson V Random early detection gateways for congestion avoidance 1993(04)
22.Feng W BLUE:a new class of active queue management algorithms,CSE2TR2387299
23.Feng W Techniques for eliminating packet loss in congested TCP/IP networks[CSE2TR349-97] 1997
24.Feng W C.Kandlur D D.Saha D A self-configuring RED gateway 1999
https://www.wendangku.net/doc/637477615.html,kshman T V.Wong L H SRED:stabilized RED 1999