攻击DDoS硬件防火墙技术研究

DDoS硬件防火墙技术研究

2O10.12

硬件防火墙技术研究

章建国,陈欢

(上海市公安局网安总队,上海200025)

摘要:分布式拒绝服务攻击已成为危害互联网安全的突出安全问题,本文分析了分布式拒绝服务攻击

的攻击原理和防御原理,并提出了一种结合白名单和黑名单的硬件防火墙实现方案.

关键词:分布式拒绝服务攻击;攻击原理;白名单;黑名单;防火墙

中图分类号:TP393.08文献标识码:A文章编号:1671—1122(2010)12—0028—02ResearchonDDo SHardwareFirewall

ZHANGJian—guo.CHENHuan

(The ShanghaiPublic S ecurityBureau,Shanghai200025,China)

Ab stract:Distributeddenialo fs ervic eattackhasbecomeabigdangertoInternetsecurity.Thepaperanalyzesthedistributeddenialo fserviceattack,theprincip leo fattackanddefense,andputs forwardakindo fhardwarefirewallschemecombiningwhitelistwithblacklist.

Keywords:Distributeddenia 1 ofserviceattacks;TheprincipleofAttack;Whitelist;B lacklist;Firewal1

0引言

随着互联网络带宽的不断增加和多种DDo S(DistributedDenialo fservice,分布式拒绝服务攻击)黑客工具的不断发布,DDoS

攻击的实施越来越容易,DDoS攻击事件正在成上升趋势.出于商业竞争,打击报复和网络敲诈等多种因素,导致很多IDC托管

机房,商业站点,游戏服务器,聊天网络等网络服务商长期以来一直被DDoS攻击所

困扰,随之而来的是客户投诉,同虚拟主机

用户受牵连,法律纠纷,商业损失等一系列问题.2009年7月,上海私车牌照拍卖网站的服务器就遭遇了不法分子的DDoS攻击.

防御DDoS攻击成为网络服务商面临的难题.

1DDoS攻击原理

DDoS攻击是在传统的DoS攻击基础上产生的一类攻击方式,利用大量"傀儡机"来

发起进攻,比DoS攻击更大的规模来进攻受害者(如图1o常见的DDoS攻击手段有S YN

Flood,ACKFlood,UDPFlood,ICMPFlood,TCPFlood等,较难防御的属于SYNFlood类

的拒绝服务攻击.一个正常的TCP连接需要三次握手(如图2),首先客户端发送一个包

含S YN标志的数据包,其后服务器返回一个S YN/AC K的应答包,表示客户端的请求被接

受,最后客户端再返回一个确认包ACK,这样才完成TCP连接.在服务器端发送应答包后,

如果客户端不发出确认,服务器会等待到超时,期间这些半连接状态都保存在一个空间有

限的缓存队列中(如图3);如果大量的S YN包发到服务器端后没有应答,就会使服务器端

的TCP资源迅速耗尽,导致正常的连接不能进入,甚至会导致服务器的系统崩溃J.2硬件实现防御分布式拒绝服务攻击图'分布式拒绝服务攻击体系结构

应对DDoS攻击是一个系统工程,仅仅依靠某种系统或产品防御DDoS攻击是不现实的,可以肯定的是,完全杜绝DDoS目

前是不可能的,但通过适当的措施抵御90%的DDoS攻击是可以做到的,由于攻击和防御都有成本,若通过适当的办法增强了

●

收稿时间:201010—22

作者简介:章建国(1969),男,高级工程师,硕士,主要研究方向:网络安全技术;陈欢

(1982一),男,助理工程师,本科,主要研究方向:网络安全技术.

1麓l

.i@Ii,I≮圆*'i……

一L__』

图2TCP三次握手

蠢

_@;

●—■L…

图3 S YNF lo o d恶意

不完成三次握手

抵御DDoS的能力,也就意味着加大了攻击者的攻击成本,那

么绝大多数攻击者将无法继续下去而放弃,也就相当于成功

的抵御了DDoS攻击J.

2.1DDoS的攻击数据包分析

下面以SYNF1ood攻击为例,分析DDoS的攻击数据包的

特征.首先,用微软公开的NDIS(网络驱动接口规范)底层驱

动源码,经过NTDDK(驱动开发工具)修改后生成一个能够

Debug(命令行方式的程序或内存调试)的底层驱动程序,在一

个能够提供Web服务的Windows操作系统装到网卡驱动程序

里面.其中把D ebug的结果利用l6进制的数字4位一组隔开,

取前32组为研究目标.然后反复正常访问此服务器的Web服

务,取其D ebu g结果.我们会发现正常连接前的S YN的包头前

3组是完全一致或者是逐组递增一个单位的,然后访问者会与

此服务器建立一个正常的TCP通道,开始互相交换数据.现将

正常的访问调换为常见的一个S YN攻击软件对目标服务器进行

攻击,然后抓包.D ebug结果则是杂乱无章的,毫无章法可言,

完全由攻击软件随机生成,只是用来跟目标服务器建立空连接,

并没有接下来的回应,更不用说建立真正的连接

2_2基于"白名单"的防御实现

利用SYN包的特—建立起一个对DDo S攻击的一般防御方法.我们将收到的S YN包头数据存在内存中,每次新收到的包头数据将与内存中原来的数据进行比对,符合相同或者递增的视为合法SYN数据包,然后为此来源IP开通一条独立的TCP连接,并且将此IP列入"白名单'中,在一段时间内(比如10分钟内)再次连接无需验证.另外设定一个超时时间(比如60秒),清理下内存中的存包.周而复始,一套完整的防御DDoS算法即完成.将此算法写或透明的网桥模式,并置于眼务器与客户端之间,即成为一种基于"白名'的硬件防火墙(如图4).

图4防火墙防御原理

通过测试,一台P43.0级别的服务器可以抵御25—30M强度的S YN攻击.对于三,四年前来说已经相当优越了,当时售价10多万元一台的绿盟黑洞不过也才30M的吞吐量.其实作为攻击方的主机,要随机产生这些S YN包,需要消耗的CPU资源以及宽带资源也是相当大的,同样一台P43.0级别的主机满负荷使用,顶多能发出10 M左右强度的S YN包J.

2.3基于黑名单的防御优化

为了使攻击更加有效,一方面黑客用更多的"傀儡机"进

行攻击,另一方面新一代的攻击软件应运而生.老一代的S YN攻击软件是将包头的所有数据随机产生,故产出效率较低,新一代的S YN攻击软件,他们发出的包头大多数数据是不变的,包头数据两两之间只有几个微小的改变,故其发送数据包的效率大幅度提高,一台P43.0级别的主机最少能发出30M左右的数据包,可谓威力大幅增长.

但是由于新一代攻击软件包头变化不大的特性,我们仅要做一些小小的改动就可以不费吹灰之力将其过滤.针对市面上多种新型攻击软件抓包一一做分析,掌握各种攻击软件的特点,

再根据特点识别其属于何种攻击软件发出的包,并将该种类型的包列入"黑名单",由于只需认识攻击包头特征直接判断是否合法,所以此时防御的效率比原来提高了几十倍甚至上百倍,这种技术被称为"指纹流"l4J.此外,由于原来被称为无法防御的百兆级别的攻击已经走下神坛了,现在攻击多数以千兆计算,故对防火墙的处理能力要求进一步提高,需对硬件产品作升级,如将百兆网口换成了千兆网口,将中央处理器的主频提高等.3优缺点分析

"白名单"与"黑名单"相结合的硬件防御方法具有效率高,

成本低,对硬件依赖相对较低的特|,并且各种SYN变种攻

击软件只要稍作优化就能发挥高效的防御功能等优点.但是,其也存在以下缺陷:一是以上方法主要针对S YNF lo o d类的拒绝服务攻击,对TCP全连接攻击,CC攻击等其他常用攻击方式防御效果较差;二是要收集并分析所有攻击软件发包特征,工作量较大,且攻击软件升级较快,相关防御措施在短

时间内难以修补;三是难以抵御来自内部网络的攻击.

4结束语

目前网络安全界对于DDoS的防范尚没有更好的办法,主

要仍依靠平时的维护和扫描.简单的通过软件防范的效果非常不明显,即便是使用了硬件安防设施也仅仅能起到降低攻击级别的效果,DDoS攻击只能被减弱,无法被彻底消除.本文通过分析DDoS攻击与防御原理,结合SYNFlood攻击实例,提出了一种"白名单"与"黑名单"相结合的硬件防御分布式拒绝服务攻击的方法,并分析了其优缺点,对进一步优化改进提供帮助.(责编张岩)

参考文献:

…1徐明伟,吴建平分布式拒绝服务攻击研究综述UJl小型微型计算机系统,2004,25(3):336-347

[21林梅琴,李志蜀,袁小玲等.分布式拒绝服务攻击及防范研究U].

计算机应用研究,2006,23(8):136—138.

[31 DavidDittrich分布式拒绝服务(DDo S)攻击工具分析——TEN2K[DB/0L 1 http://www.pcix.com/secttrity/hack/262)95.htm 1.2002-12-10.

『41甘冀平典型Do S攻击原理及抵御措施fDB/OL].http://www.net 130.com/2005/3-20/83720-2.html,2005-3-20.

29