1、第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究計算機入侵檢測技術DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四章第四章 DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第一節第一節 引言引言隨著DDoS攻擊的日益增多，該攻擊手段已逐漸引起全球各國的高度重視，并被認為是目前Internet所面臨的最大威脅之一。人們通過不斷努力研究，提出了一些可行的解決辦法。從DDoS攻擊的過程和效果來看，當攻擊發生時，攻擊者通過控制傀儡機向目標發送大量的請求，導致系統資源耗盡或網絡擁塞，從而使目標系統或網絡不能響應正常用戶的請求。第

2、四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第一節 引言引言常見的表現有：1、被攻擊主機上有大量處于等待狀態的TCP連接；2、網絡中充斥著大量無用的數據包，源地址為假；3、制造高流量無用數據，造成網絡擁塞，使受害主機無法正常和外界通訊；4、利用受害主機提供的服務或傳輸協議上的缺陷，反復、高速的發出特定的服務請求，使受害主機無法及時處理所有正常請求，嚴重時會造成系統死機；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第一節 引言引言雖然DDoS的攻擊類型很多，但對于絕大部分攻擊而言，防護重點可集中于以下兩個方面：1、緩解攻擊所造成的網絡擁塞狀況2、防止被攻擊主機的資源

3、耗盡。由于DDoS攻擊引起的網絡擁塞，是由惡意主機控制大量傀儡機所造成的，并非傳統意義上的端到端擁塞，所以只能在路由器上進行控制，因而本文所討論的DDoS攻擊防護是基于IP擁塞控制來進行的。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第二節 DDoS攻擊與網絡擁塞網絡產生擁塞的根本原因在于用戶提供給網絡的負載超過了網絡的存儲和處理能力。擁塞具體表現為無效數據包增加、報文時延增加與丟失、服務質量降低等。一般情況下形成網絡擁塞的三個直接原因是：（1）路由器存儲空間不足。幾個輸入數據流共同需要同一個輸出端口，如果入口速率之和大于出口速率，在這個端口就會建立隊列。如果沒有足夠的存儲空間

4、，數據包就會被丟棄，對突發數據流更是如此；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第二節DDoS攻擊與網絡擁塞（2）帶寬容量相對不足。直觀的說，當數據的總輸入帶寬大于輸出數據帶寬時，在網絡低速鏈路處就會形成帶寬瓶頸，網絡就會發生擁塞，相關證明可參考香農信息理論；（3）處理器處理能力弱、速度慢。如果路由器的CPU在執行排隊緩存、更新路由表等操作時，處理速度跟不上高速鏈路，也會產生擁塞。同理，低速鏈路對高速CPU也會產生擁塞。以上是早期Internet網絡發生擁塞的三個主要原因。對此，TCP擁塞控制給出了較好的解決方案。在實際應用中，如果所有的端用戶均遵守或兼容TCP控制，網絡

5、的擁塞應該能得到很好的控制。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四章 DDoS攻擊與IP擁塞控制研究第三節第三節 IP擁塞控制研究進展擁塞控制研究進展這里討論一下近年來IP擁塞控制的有關策略，并對其應用于DDoS攻擊時的防護能力進行簡要評價。根據DDoS攻擊的原理和機制，可對各種機制的防護能力給出以下評價標準：條件一：是否能按一定規則進行特征設定；條件二：是否能根據一定規則對流經的數據加以分；條件三：針對不同類型的數據包，是否能提供不同優 先級的服務。如果一個擁塞控制機制滿足了以上三個條件，就基本具備了防護DDoS攻擊的能力。第四章第四章DDoS攻擊與攻擊與IP擁塞控

6、制研究擁塞控制研究第三節 IP擁塞控制研究進展對現有若干算法是否符合條件，進行分析和評價： 1、先進先出（FIFO）；2、隨機早期檢測算法RED（Random Early Detection）；3、顯示擁塞指示算法ECN（Explicit Congestion Notification）；4、公平排隊算法FQ（Fair Queuing）；5、加權公平排隊算法WFQ（Weighted Fair Queuing）；6、加權隨機先期檢測WRED（Weighted Random Early Detection）；7、定制排隊；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節 IP擁塞

7、控制研究進展1、先進先出（FIFO）：傳統的先進先出策略是在目前Internet上使用最廣泛的一種方式。它的最大優點是便于實施，但由于FIFO本質上是一種“去尾”（Drop-tail）的算法，所以當突發性數據到達時容易出現包丟失現象，其公平性較差，對上層的TCP快速恢復的效率也較低。對照評價標準可知，該算法沒有滿足任何一個條件。由于過于簡單以及缺乏智能性，完全不能用于DDoS攻擊防護；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節 IP擁塞控制研究進展2、 隨機早期檢測算法RED（Random Early Detection）：隨機早期檢測算法是按一定的概率丟棄進入路由器的

8、數據包。RED的早期設計思路是避免丟棄屬于同一連接的連續數據包，從而提高連接的吞吐量。通過分攤包丟失率，RED可以在各連接之間獲得較好的公平性，對突發業務的適應性較強。RED算法 的處理過程中，包丟失率P為平均排隊長度 的函數， 、 和 為可配置的RED參數， 為排隊長度的統計平均。eQminQmaxQmaxPeQ第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究丟失概率1QminQmax平均隊長第三節IP擁塞控制研究進展RED存在一些不足，例如可能會引起網絡的不穩定，而選擇合適的配置參數也不是一件容易的事，如圖4.1所示。近年來，研究者提出了許多RED的改進算法，這些算法都在一定程

9、度上，從不同方面改善了RED的性能。圖4.1 隨機早期檢測算法RED示意圖第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節IP擁塞控制研究進展對照評價標準可知，該方法對DDoS攻擊的防護作用不大，這是因為其思路是分攤包丟失率，對正常業務和攻擊數據“過分公平”，不能做到有所區分，從而導致在攻擊發生時大量正常業務無法得到服務；3、顯示擁塞指示算法ECN（Explicit Congestion Notification）：前面兩種擁塞控制算法都是通過包丟失來告訴端系統，網絡已經發生擁塞。而顯示擁塞指示算法通過明確的擁塞提示（RFC2481）來實現擁塞控制，對一次性大批量數據傳輸的效

10、果比較理想，但對時延有一定要求。對照評價標準可知，該方法對防護DDoS攻擊效果不大，原因在于無攻擊特征識別和區分功能，在攻擊發生時智能性較差；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節 IP擁塞控制研究進展4、公平排隊算法FQ（Fair Queuing）：在公平排隊算法中路由器對每個輸出線路都建有一個排隊隊列。當一條線路空閑時，路由器就來回掃描所有隊列，依次將每隊的第一個包發出。FQ的帶寬分配獨立于數據包大小，各種服務在隊列中幾乎是同時開始的。因此在沒有犧牲統計復用的情況下提供了另外的公平性，與端到端的擁塞控制機制可以較好地協同。它的缺點在于實現起來很復雜，需要每個數據

11、流的排隊處理、每個流的狀態統計、數據包的分類以及包調度的額外開銷等。對照評價標準可知，該方法對防護DDoS攻擊效果不大，原因同ECN法；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節IP擁塞控制研究進展5、加權公平排隊算法WFQ（Weighted Fair Queuing）：加權公平排隊算法是FQ的改進算法。根據不同數據流的不同帶寬要求，對每個排隊隊列采用加權方法分配緩存資源，從而增加FQ對不同應用的適應性，該算法還有其它一些改進算法。對照評價標準可知，該方法通過改進后可用于防護DDoS攻擊，思路是首先對攻擊進行檢測和分類，然后將入口數據按攻擊數據、正常數據、可疑數據三種類

12、型分別排隊處理，對攻擊數據直接丟棄，而通過對可疑和正常數據賦予相應權值來提供不同質量的服務。當路由器性能良好、處理能力強的情況下，甚至可以采取更復雜、智能的處理策略，例如多優先級隊列；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節IP擁塞控制研究進展6、加權隨機先期檢測加權隨機先期檢測WRED（Weighted Random Early Detection）：是將隨機先期檢測與優先級排隊結合起來，這種結合為高優先級分組提供了優先通信處理能力。當某個接口開始出現擁塞時，它有選擇地丟棄較低優先級的通信，而不是簡單地隨機丟棄分組。對照評價標準可知，該方法通過改進后可用于防護DDo

13、S攻擊，思路與WFQ類似，它們都符合評價標準的條件三，改進應從增加條件一和條件二著手；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節IP擁塞控制研究進展7、定制排隊定制排隊是為允許具有不同最低帶寬和延遲要求的應用程序共享網絡而設計的。定制排隊為不同協議分配不同的隊列空間，并以循環方式處理隊列，為特定的協議分配較大的隊列空間可以提高其優先級，定制排隊比優先級隊列更為公平。定制排隊可以保證每一個特定的通信類型得到固定的可用帶寬，同時在鏈路緊張的情況下，避免了數據流企圖超出預分配量限制的可能。對照評價標準可知，該方法通過改進后可用于防護DDoS攻擊，改進思路與WFQ和WRED類似

14、，都是在資源分配和使用時為不同業務提供優先級加權；第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第三節IP擁塞控制研究進展除了以上7種方法以外，還有其它一些方法。如將FQ與RED算法結合起來的Flow RED算法，它將緩存分成若干排隊隊列，再在每個數據流使用RED算法，仿真表明它的公平性也較好；又如核心無狀態公平排隊算法CSFQ（Core-Stateless Fair Queuing）在網絡邊界路由器執行數據流管理，而在核心并不做處理，等等。以上非常簡略的分析了當前的一些主流IP擁塞控制算法，并對其防護DDoS攻擊的可行性進行了評價。可以看出，這些算法的防護能力存在著較大差異，其

15、中的任何一種都不能不加改進，就有效的應用于控制DDoS攻擊所造成的網絡擁塞。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四章第四章 DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節第四節 一種針對一種針對DDoS攻擊的擁塞控制機制攻擊的擁塞控制機制一、回推機制的思路回推機制的思路是：當路由器不能完全確定流經的數據包是屬于正常流量還是攻擊流量時，通過回推（pushback）機制來盡可能找到異常包，并將之丟棄，而對正常業務提供較好的服務。可分為DDoS攻擊示意圖、回推機制的功能、聚合檢測、限速、回推等幾個部分。為了達到這個目的，回推使用聚合擁塞控制ACC（Aggregati

16、on Congestion Control），其功能是識別擁塞的聚合流量，并在路由器端執行丟棄動作。聚合特征可以是“到特定主機或服務器的包”、“TCP SYN包”、“校驗和錯誤的IP數據包”，等等。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節一種針對DDoS攻擊的擁塞控制機制1、DDoS攻擊示意圖如圖4.2所示。圖中的服務器T遭受攻擊，并且到達T的流量來自編號R1至R8的所有路由器。圖中粗線表示可疑流量流經的主要路徑，細線表示正常業務流量流經的主要路徑。當攻擊發生而又缺乏防護措施時，正常業務流量幾乎不可能到達目的地T。在圖中，鏈路R2-R5、R3-R6、R5-R8、 R6

17、-R8、R8- D為粗線，表示有較多可疑流量流經，但這些路徑上仍然可能有正常業務的流量流經了它們，只是由于R8-T的擁塞，大多數正常流量的包被丟棄了。R7R6R4R5R3R2R1R8T圖4.2 進行中的DDoS攻擊示意圖第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節一種針對DDoS攻擊的擁塞控制機制圖中的示例顯示，正常流量與可疑流量一同流入路由器R2，R3，R4，而流入R1的只有可疑流量。鏈路R2-R5，R3-R6，R4-R7可能既有正常流量，也有可疑流量。這種情況下，正常流量的損失將取決于鏈路的擁塞程度。R7R6R4R5R3R2R1R8T圖4.2 進行中的DDoS攻擊示意

18、圖第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節 一種針對DDoS攻擊的擁塞控制機制2、回推機制（pushback） 回推機制的思路是：當路由器不能完全確定流經的數據包，是屬于正常流量還是攻擊流量時，通過回推（pushback）機制來盡可能找到異常包，并將之丟棄，而對正常業務提供較好的服務。可分為DDoS攻擊示意圖、回推機制的功能、聚合檢測、限速、回推等幾個部分。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節一種針對DDoS攻擊的擁塞控制機制圖4.3說明了路由器上回推機制的工作流程，這里的輸入隊列表示了路由器的各個輸入鏈路。限速器回推進程匹配擁塞特征？N

19、輸出隊列Y調整局部ACC更新擁塞特征輸入隊列P丟棄 圖4.4 回推機制工作過程第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節一種針對DDoS攻擊的擁塞控制機制首先，數據包被檢查是否匹配擁塞特征（攻擊特征），若不匹配擁塞特征，將包送至輸出隊列，若匹配則將之送至限速器；由限速器根據當前擁塞情況來決定對包是丟棄還是轉發；丟棄的包被送到回推進程；回推進程可根據擁塞情況，選擇丟棄該數據包或將其回送限速器，此外，根據擁塞的程度，回推進程將定期更新限速器的參數，并通知上游的后臺進程對其同步更新。限速器回推進程匹配擁塞特征？N輸出隊列Y調整局部ACC更新擁塞特征輸入隊列P丟棄 圖4.4 回

20、推機制工作過程第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節一種針對DDoS攻擊的擁塞控制機制輸出隊列限制和緩存過大正常流量的其余部分；限速動作執行過程中，一個正常的包未被丟棄到限速器，并不表示它的優先級較高，當其加入到輸出隊列后，如果正常流量過大出現擁塞時，也會被丟棄到回推進程中。擁塞發生時，回推進程將不斷的從限速器、輸出隊列中得到被丟棄的包，在到達數據流為恒速的情況下，后臺將得數量相等的丟棄包，但應優先從限速器得到。只要攻擊仍在進行過程中，回推進程將不斷從限速器獲取丟棄包，當緩存不夠時，將其徹底丟棄。當攻擊停止時，回推進程和限速器無需采用特別行為，在下一個執行周期，無攻

21、擊被識別時限速將自動停止。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究第四節一種針對DDoS攻擊的擁塞控制機制由以上可見，回推機制是一種可行的DDoS攻擊防護機制。在判定引起擁塞的攻擊特征之后，該機制采取隊列緩存與帶寬計算相結合的方法，對那些引起擁塞的可疑數據按照一定策略進行處理，并在上、下行路由器之間通過一定格式的消息包進行通信，保證了整個攻擊數據流經的鏈路上各路由節點采取一致策略。第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究附:參考文獻1. P. R. Jelena Mirkovic, Greg Prier, “Attacking ddos at the s

22、ource,” in 10th IEEE International Conference on Network Protocols, Paris, France,November 2002.2. L.Vicisano, L.Rizzo, J.Crowcroft. TCP-like Congestion Control for Layered Multicast Data Transfer. In IEEE INFOCOM98, Feb. 1998.3. 羅萬明，林闖，閻保平。TCP/IP擁塞控制研究。計算機學報，2001，24(1)：118.4. Nagel, J.: “On Packet

23、Switches with Infinite Storage,”IEEE Trans, on commun. ,vol. COM-35,pp. 435-438,April 1987.5. A.K.Parekh,R.G.Gallager. A generalized processor sharing approach to flow control in integrated services networks: the single-node. IEEE/ACM Trans. Networking, 1993,1(3): 344357.第四章第四章DDoS攻擊與攻擊與IP擁塞控制研究擁塞控制研究附:參考文獻6. A.K.Choudhury, E.L.Hahne. Dynamic Thresholds for Multiple Loss Priorities. In: IEEE ATM97 Workshop, Lisbon, Portugal, May 1997.7. Athuraliya S, Low S