分布式拒絕服務攻防技術發展趨勢研究

仇必青 牟春旭 閆申

摘 要：分布式拒絕服務（DDoS）攻擊深刻影響網絡安全和數據安全，對行業的影響包括服務癱瘓、品牌聲譽損失等，其背后的動機包括勒索、攻擊能力演示、故意破壞、政治糾紛、黑客活動、商業競爭、干擾過濾以及其他數據盜竊活動等。文章從 DDOS 攻擊和防御 2個角度分析其技術發展趨勢，首先分別介紹了DDoS 攻擊和防御的相關概念及工作原理，然后總結 DDOS 攻擊和防御的各類技術特征，最后展望了 DDoS 攻擊和防御的技術發展趨勢。

關鍵詞：DDoS攻擊; DDoS 防御：;技術特征;發展趨勢

中圖法分類號：TP393文獻標識碼：A

１ 引言

隨著云計算、大數據、人工智能（ＡＩ）、視頻直播等的高速發展，互聯網已深度融入人們的日常工作生活，給人們提供各種數據支持和網絡服務，網絡帶寬也隨之不斷增高。物聯網（ＩｏＴ）和網絡連接的進步無意中促進了分布式拒絕服務（ＤＤｏＳ）攻擊的發展，其數量、頻率和強度都有所增長，已成為影響網絡安全和數據安全的重大威脅。微軟報告稱，２０２２ 年該公司遭受ＤＤｏＳ 攻擊的峰值達到每秒３．４７ 太比特；而騰訊的報告稱，２０２２ 年該公司遭受ＤＤｏＳ 攻擊的峰值達到每秒１．４５ 太比特，ＤＤｏＳ 攻擊造成的嚴重破壞事件仍不斷增加。由此可見，每一秒都是抵御ＤＤｏＳ 攻擊的關鍵。目前，安全系統仍缺乏針對ＤＤｏＳ 攻擊的有效防御方法。需要研究者分析攻擊的發展態勢，并構建識別、防御、緩解全過程管理體系。

２ ＤＤｏＳ 攻擊

２．１ ＤＤｏＳ 攻擊的概念

（１）ＤＤｏＳ 攻擊的定義。

ＤＤｏＳ 攻擊由拒絕服務（ＤｏＳ）攻擊發展而來，攻擊者在一段時間內利用分布在網絡上的各類設備對目標發起看似合法的請求，占據大量服務資源，使網絡服務無法正常提供。僵尸主機是一種連接到互聯網并且被感染惡意軟件的設備，可執行編程任務。僵尸主機執行的操作包括發送大量垃圾郵件、嗅探流量、捕獲敏感信息、網絡釣魚、點擊欺詐、密鑰記錄、傳播加密貨幣挖掘軟件以及發起攻擊。

（２）ＤＤｏＳ 攻擊的工作原理。

發起攻擊的僵尸主機通過管理肉雞控制流量，使各種肉雞向受害者的基礎設施發送攻擊流量。攻擊者利用ＩｏＴ 等互聯網連接設備的各種弱點傳播其制作的惡意代碼，互聯網連接設備感染后將逐步成為攻擊者的肉雞，攻擊者發送命令讓其控制的肉雞執行。當攻擊者發起攻擊時，會指示肉雞創建與受害者基礎設施的連接，使各種肉雞向受害者的基礎設施發送攻擊流量，攻擊者通過管理肉雞控制流量，不斷消耗受害者所有可用網絡資源。

２．２ ＤＤｏＳ 攻擊的分類

（１）資源消耗型攻擊。

中央處理器（ＣＰＵ）、內存、網絡帶寬、套接字等是攻擊者嘗試消耗的主要資源。此外，消耗對互聯網運行至關重要的基礎設施的所有帶寬和計算資源也是攻擊者的常用方式。一般情況下，資源消耗型攻擊通過協議漏洞攻擊或格式錯誤的數據包攻擊實現。其中，協議漏洞攻擊是利用包括ＴＣＰ，ＵＤＰ，ＩＣＭＰ，ＨＴＴＰ等在內的各種協議來消耗服務交付所需的重要資源，主要的攻擊類型包括ＴＣＰ ＳＹＮ 攻擊、ＴＣＰ ＰＵＳＨ 混合ＡＣＫ 碎片攻擊、ＵＤＰ 洪泛攻擊、ＩＣＭＰ 洪泛攻擊、ＨＴＴＰ洪泛攻擊、ＳＩＰ 洪泛攻擊和慢速ＨＴＴＰ 攻擊等。

（２）零日攻擊。

零日ＤＤｏＳ 攻擊是指攻擊者利用未被大眾發現的安全漏洞或病毒發起攻擊。除了利用的安全漏洞或病毒未知，攻擊的影響也是未知的，只有在攻擊發起之后，才有可能識別攻擊的安全漏洞或病毒，并有針對性地提出適當的防御措施。保持系統最新和正確的配置可以一定程度上減少未知漏洞，從而進一步減少零日攻擊的機會。

（３）融合攻擊。

融合攻擊是指攻擊者融合包括ＩｏＴ、工業互聯網、勒索等在內的不同新型技術手段或攻擊策略來加強攻擊，并使系統難以檢測和減輕攻擊。攻擊者可以組合不同類型的洪泛攻擊，或者可以將不同的放大攻擊與新型攻擊混合。其中，在融合ＩｏＴ 攻擊中，攻擊者將存在漏洞的攝像頭、智能電視、智能音箱、智能手表等ＩｏＴ 設備與目標受害者創建連接，并消耗其可用資源；勒索ＤＤｏＳ 攻擊（ＲＤＤｏＳ）利用ＤＤｏＳ 攻擊變體進行破壞，攻擊者的主要目的是讓受害者支付贖金，以換取暫?；虿粚κ芎φ甙l起進一步的攻擊；經濟可持續性否認（ＥＤｏＳ）是利用ＤＤｏＳ 攻擊迫使受害者為網絡分配更多的計算資源，增加了受害者保持服務運行所需的成本。

２．３ ＤＤｏＳ 攻擊發展趨勢

ＤＤｏＳ 攻擊已經從單純的資源比拼演進成競技斗爭。攻擊者為了繞過防御措施，偽裝自己（ＣＣ 攻擊）、低頻掃射、ＲＤＤｏＳ 、ＥＤｏＳ 等新型融合技術層出不窮。從多個ＣＣ 攻擊案例可以分析，攻擊已逐步顯現出多ＩＰ 疊加低ＱＰＳ 的特征，通過惡意移動應用控制移動終端，并使其變成肉雞，進一步獲得海量的可用攻擊ＩＰ 源，海量連接需求讓服務器壓力劇增并逐步崩潰。隨著地緣沖突的持續發酵，新型融合技術導致攻擊持續升級，以關鍵信息基礎設施為目標的攻擊也將與日俱增。一是資源消耗型攻擊將異軍突起。比如ＵＤＰ Ｆｒａｇｍｅｎｔ Ｆｌｏｏｄ 類型的大流量攻擊顯著增多，百Ｇｂ 級別以上的大流量攻擊將越來越普遍，呈現出大流量攻擊增長幅度高于整體威脅增長幅度的態勢。資源消耗型攻擊將繼續在Ｔｂ 級別的大流量攻擊中扮演重要角色。二是零日ＤＤｏＳ 攻擊等新型攻擊手段將不斷涌現，由于利用的安全漏洞或病毒未被公布，攻擊造成的不利后果將無法估計。三是攻擊目標將趨于明確，攻擊持久性將持續加強。受害者一旦被攻擊者選為攻擊目標，將更容易遭受多次攻擊，從目標被攻擊頻次來看，將呈現不斷上升態勢。受害者目標被攻擊的周期將不斷變長，攻擊持久性也將持續加強。

３ ＤＤｏＳ 防御

３．１ ＤＤｏＳ 防御的概念

（１）ＤＤｏＳ 防御的定義。

ＤＤｏＳ 防御是指為應對攻擊者發起的侵略、保障網絡服務持續進行或者因網絡可能即將被攻擊而發出警戒以減少外部侵略傷害的行為。

（２）ＤＤｏＳ 防御的工作原理。

防御攻擊的最終目標是預防。在攻擊前后，防御的必要工作包括預防、檢測、緩解。

預防攻擊是指在攻擊者發動攻擊之前采用禁用不必要的服務、資源限制、安全加固等手段進行預防，以避免或縮小攻擊的負面影響。最常用的預防策略是使用多層防火墻預防攻擊。

檢測攻擊是指當攻擊者發起攻擊后，發現過載信號或攻擊造成損害，并第一時間判斷已發生攻擊行為的措施。檢測發現攻擊者，然后阻止攻擊者制造的虛假流量是防御ＤＤｏＳ 攻擊的主要方法?？梢允褂妹酃薇O控器和ＩＤＳ 機制，也可以通過協議特性、系統特性、請求特性等進行檢測，同時，連續網絡監控也可以用于攻擊告警檢測。

緩解攻擊是指檢測識別到ＤＤｏＳ 攻擊后，采取適當、必要的措施來應對并減輕（響應）攻擊造成的不利后果，以避免或最小化服務遭受的損害。在ＤＤｏＳ 攻擊期間，系統管理員很難訪問網絡的路由器和服務器。因此，有必要組建一個能夠進行入侵響應的專業團隊。入侵響應團隊能夠在攻擊發生后收集數據，及時追蹤構成ＤＤｏＳ 網絡的主機并關閉這些主機的連接服務［１～２］ 。

３．２ ＤＤｏＳ 防御分類

（１）基于信息熵的ＤＤｏＳ 檢測防御。

在網絡的正常狀態下，所有網絡節點接收的流量速率相對穩定，并且信息熵的值最大。在ＤＤｏＳ 攻擊下，一個或多個主機獲得的流量會明顯超過正常速率，在這種情況下，熵值會下降。根據網絡節點的信息熵值是否超過設定的閾值來判斷網絡是否遭受ＤＤｏＳ 攻擊。

（２）基于ＴＣＰ 代理的ＤＤｏＳ 檢測防御。

ＴＣＰ 代理機制主要針對ＴＣＰ ＳＹＮ 洪泛攻擊，ＴＣＰＳＹＮ 請求不直接到達服務器，而是通過代理過濾該請求。當ＴＣＰ ＳＹＮ 請求到達過濾設備時，該設備不會將其直接移交給后續服務器，而是應答“ＳＹＮ＋ＡＣＫ”響應，并等待客戶端回復。如果請求來自合法用戶，客戶端將響應“ＳＹＮ＋ＡＣＫ”，清洗設備與受保護服務器建立ＴＣＰ 連接，并將該連接添加到信任列表中，合法的用戶和服務器可以通過清洗設備進行正常的數據通信。如果請求來自攻擊者，由于攻擊者通常不會響應，這將導致半開放連接，過濾設備將暫時保存半開的連接，并在超時后將其丟棄。

（３）基于統計分析的ＤＤｏＳ 檢測防御。

基于統計分析技術的預測通過對匯總收集的包含網絡特征的各類數據進行數學統計及整理、分析，以求最準確地預測攻擊發生可能性。分別統計正常合法請求的數據特征、攻擊者發起的非法請求的數據特征，計算常規流量的統計模型，然后使用統計推斷測試來確定新的流量是否屬于該模型。若與統計模型不一致，則將該流量實例分類為不一致，需要后期進一步分析、證實該流量是否屬于正常流量。根據數據特征屬性統計結果的差異，進一步檢測判斷是否發生ＤＤｏＳ 攻擊。

（４）基于機器學習的ＤＤｏＳ 檢測防御。

基于機器學習的檢測防御是一種使用學習模型進行ＤＤｏＳ 攻擊預測的方法，該模型是經所有可用數據集合提煉而成。根據使用數據集合是否標記，可以分為有監督和無監督２ 種。其中，有監督是在一個學習模型的基礎上，給出一定的數據樣本集合，系統根據已知的輸入，經過處理，能夠得到正確的輸出結果；無監督是沒有一個固定的學習模型，需要在數據集合的基礎上進行提煉，以得到學習模型，然后利用模型對數據進行處理。機器學習涉及貝葉斯決策理論、多元技術、聚類、多層感知器、線性判別、局部模型、分類樹、強化學習、隱馬爾可夫模型（ＨＭＭ）等技術。各種檢測方法主要包括貝葉斯網絡、模糊邏輯、遺傳算法、Ｋ?ＮＮ 算法、神經網絡、軟件代理技術、ＳＶＭ 等。

（５）基于人工神經網絡的ＤＤｏＳ 檢測防御。

人工神經網絡（ＡＮＮ）具有自學習、自組織、良好的容錯性和魯棒性、并行性等優點，因此受到了越來越多的關注。因ＡＮＮ 不僅可以識別現有的攻擊模式，還可以識別未知的攻擊模式，被越來越多的研究人員用于檢測ＤＤｏＳ 攻擊。該技術提高了入侵檢測系統（ＩＤＳ）的智能性和適應性。自組織映射（ＳＯＭ）、精確ＳＴＯＲＭ、反向傳播神經網絡（ＢＰＮＮ）、卷積神經網絡（ＣＮＮ）、遞歸神經網絡（ＲＮＮ）、長短期記憶（ＬＳＴＭ）等算法被越來越多的研究人員用于檢測網絡中的ＤＤｏＳ 攻擊。

３．３ ＤＤｏＳ 防御發展趨勢

針對ＤＤｏＳ 攻擊新型融合手段的不斷升級，防御技術逐步向新技術融合的方向發展。一是基于ＴＣＰ代理的檢測防御將繼續在ＴＣＰ ＳＹＮ 洪泛攻擊中發揮獨特作用，減少可疑流量對服務器資源的占用。二是防御技術逐步向新型動態防護方向發展。首先設置符合系統實際情況的防護方案，再基于統計分析和機器學習，發現可用ＩＰ 信息，并判斷是否屬于肉雞，然后對肉雞實施限速，同時對ＪＳ 實施校驗，并對肉雞實施封禁，針對請求偽造和字符不易匹配等問題，結合ＡＩ 等新技術進行特征分析，及時進行策略配置和業務調整。三是單純依靠某一類技術已很難防御不斷演化發展的新型攻擊，需要研究者結合信息熵、ＴＣＰ 代理、機器學習、統計分析、人工神經網絡等創新技術，從地理區域、訪問頻率、請求特征等多個維度，獲取流量的特征，利用融合創新技術，主動感知可疑流量，不斷優化、調整防御措施，建立實時監控與動態防御相結合的立體防護手段。

４ 結束語

網絡功能虛擬化（ＮＦＶ）、物聯網（ＩｏＴ）、５Ｇ 和云計算等技術的快速發展，網絡結構也不斷演進，導致ＤＤｏＳ 攻擊的質量和數量都顯著增加。本文從攻擊和防御２ 個角度分析ＤＤｏＳ 攻防的技術發展趨勢，首先分別介紹了ＤＤｏＳ 攻擊和防御的相關概念及工作原理，然后總結ＤＤｏＳ 攻擊和防御的各類技術特征，最后展望了ＤＤｏＳ 攻擊和防御的技術發展趨勢。

參考文獻：

［１］ ＤＩＬＭＵＲＯＤ Ｔ．Ｃｌａｓｓｉｆｉｃａｔｉｏｎ ｏｆ ＤＤｏＳ ａｔｔａｃｋｓ［Ｊ］．ＡＣＡＤＥＭＩＣＩＡ：Ａｎ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｍｕｌｔｉｄｉｓｃｉｐｌｉｎａｒｙ Ｒｅｓｅａｒｃｈ Ｊｏｕｒｎａｌ， ２０２２， １２（１１）：５５－５７．

［２］ ＫＵＭＡＲ Ｒ Ｂ，ＨＡＲＩ Ｓ．Ｏｎ ｉｍｐｒｏｖｉｎｇ ｔｈｅ ｐｅｒｆｏｒｍａｎｃｅ ｏｆ ＤＤｏＳａｔｔａｃｋ ｄｅｔｅｃｔｉｏｎ ｓｙｓｔｅｍ［Ｊ］．Ｍｉｃｒｏｐｒｏｃｅｓｓｏｒｓ ａｎｄ Ｍｉｃｒｏｓｙｓｔｅｍｓ，２０２２，９３：１－１６．

作者簡介：

仇必青（１９８７—），碩士，高級信息系統項目管理師／ 研究員，研究方向：網絡安全、數據安全。

閆申（１９９３—），碩士，研究方向：密碼學（通信作者）。