「网络安全」网络攻击DDoS

本文作为网络安全草稿

“云滴冻结”攻击，一种云环境内部的分布式拒绝服务攻击。

网络攻击行为——DDoS，即分布式拒绝服务攻击，是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

在“云滴冻结”攻击中，多个攻击者就是云环境内部被入侵控制或租借出的云服务器，这些服务器就是僵尸虚拟机。

以下是对DDoS分布式拒绝服务攻击的分析。

攻击行为简介

DDoS不同于Dos，为多个攻击方分布在不同地方发起的攻击，多个攻击方可以是分散的也可以是一个攻击者控制的。

攻击行为原理

要理解DDoS攻击，首先要理解DoS，因为DDoS攻击时基于DoS的特殊形式的拒绝服务攻击。

DoS攻击一般是采用一对一方式的，它利用网络协议和操作系统的一些缺陷，采用欺骗和伪装的策略来进行网络攻击，使网站服务器充斥大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。

DDoS则是大量的主机同时发懂DoS的行为。

攻击行为特点

与DoS单体发起攻击相比，DDoS的攻击时借助大量有攻击进程的主机同时发起的集团行为。

这种攻击方式难以防范，不能够用对DoS的方法，直接对单一的IP地址进行拉入黑名单就能解决。

攻击行为方法

一个完整的DDoS攻击体系由攻击者、主控端、代理端和攻击目标四部分组成。

主控端和代理端分别用于控制和实际发起攻击，其中主控端只发布命令而不参与实际的攻击，代理端发出DDoS的实际攻击包。对于主控端和代理端的计算机，攻击者有控制权或者部分控制权．它在攻击过程中会利用各种手段隐藏自己不被别人发现。真正的攻击者一旦将攻击的命令传送到主控端，攻击者就可以关闭或离开网络．而由主控端将命令发布到各个代理主机上。

每一个攻击代理主机都会向目标主机发送大量的服务请求数据包，这些数据包经过伪装，无法识别它的来源，而且这些数据包所请求的服务往往要消耗大量的系统资源，造成目标主机无法为用户提供正常服务。甚至导致系统崩溃。

在“云滴冻结”攻击（CDF）中，云服务器中的僵尸虚拟机就是被控制的代理段，而攻击者就是主控端。

云滴冻结攻击步骤

1. 攻击者选择云服务器集群作为攻击目标
2. 在目标云服务器中租贷或感染N台虚拟机作为僵尸虚拟机
3. Ｎ 台僵尸虚拟机中两两互相发送网络数据包｛ＳＶｂｏｔｓ［ｉ］，ＤＶｂｏｔｓ［ｊ］，Ｔ，Ｍ｜ｉ，ｊ＜Ｎ，ｉ≠ｊ｝，以 达到过载云服务器 集群资源的目的

攻击行为后果

目标主机无法为用户提供正常服务。甚至导致系统崩溃。

表现出的形式主要分为两种

1. 流量攻击
   主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法网络包被虚假的攻击包淹没而无法到达主机；
2. 资源耗尽攻击
   主要是针对服务器主机的攻击，即通过大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务。

表现有：
(1)被攻击主机上有大量等待的TCP连接。

(2)网络中充斥着大量的无用的数据包，源地址为假。

(3)制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯。

(4)利用受害主机提供的服务或传输协议上的缺陷，反复高速地发出特定的服务请求，使受害主机无法及时处理所有正常请求。

(5)严重时会造成系统死机。

攻击行为防范措施

(1)全面综合地设计网络的安全体系，注意所使用的安全产品和网络设备。

(2)提高网络管理人员的素质，关注安全信息，遵从有关安全措施，及时地升级系统，加强系统抗击攻击的能力。

(3)在系统中加装防火墙系统，利用防火墙系统对所有出入的数据包进行过滤，检查边界安全规则，确保输出的包受到正确限制。

(4)优化路由及网络结构。对路由器进行合理设置，降低攻击的可能性。

(5)优化对外提供服务的主机，对所有在网上提供公开服务的主机都加以限制。

(6)安装入侵检测工具(如NIPC、NGREP)，经常扫描检查系统，解决系统的漏洞，对系统文件和应用程序进行加密，并定期检查这些文件的变化。

“云滴冻结”攻击的博弈论防范措施

VMI-N-IDS协同入侵检测系统是一种实例化的防范DDoS的一种防范措施。

首先给出两个定义

1. 可疑度
   一 个 网络连接的可疑度π定义为，防御者主观认为的该网络连接是一个恶意的攻击行为的概率．
2. 恶意度
   是一个关于入侵检测管理单元识别度γ和网络连接可疑度π的函数，表示为（γ，π）

定义后可以得到防御者效用函数。同理我们可以得到攻击者的效用函数。

函数由用攻防双方的代价权重，收益权权重，和未行动收益权重。

然后通过模型分析，得出我们的可疑度和恶意度在攻防双方都理性的情况下设置为多少最合适。

这种方法能够有效减少防守方的宽带消耗，对低于CDF攻击效果显著。

---

本文参考：
王一川，马建峰，卢笛，张留美，孟宪佳《面向云环境内部DDoS攻击检测的博弈论优化》