基于接口协议的路由器攻击防御设计与实现.pdf

1、第 12 卷第 5 期2023 年 9 月网络新媒体技术Vol.12 No.5Sep.2023基于接口协议的路由器攻击防御设计与实现陈子傲1 陈俊强2(1武汉邮电科学研究院武汉 4300002烽火通信科技股份有限公司武汉 430073)摘要:网络设备经常会收到大量针对设备 CPU 的报文攻击,为了提高设备 CPU 的防护能力,一般需要在设备本机部署相应的攻击防御策略进行防护。为了提高路由器等现有网络设备的攻击防护能力,采用了基于接口协议的 CAR 限速策略,在接口维度上进行智能攻击感知,将相关配置通过操作平台数据平面对象 FDPO 的形式映射在驱动数据平面对象 DDPO,并写入转发表中,实现接

2、口维度的流量分类和限速。经过实验,拦截了 98%以上的恶意流量,有效完成攻击防御。关键词:网络攻击,攻击检测,流量分类,CAR 限速,防攻击DOI:10.20064/ki.2095-347X.2023.05.004Design and Implementation of Router Attack defenceBased on Interface ProtocolCHEN Ziao1,CHEN Junqiang2(1Wuhan Research Institute of Posts and Telecommunications,Wuhan,430000,China,2Fiberhome Co

3、mmunication Technology Co.,Ltd.,Wuhan,430073,China)Abstract:Devices on the live network often receive a large number of packet attacks targeting the CPU of the device.In order to im-prove the protection capability of the CPU of the device,it is generally necessary to deploy corresponding attack defe

4、nse policies on thedevice itself for protection.In order to improve the attack protection ability of existing network equipment such as routers,this paper a-dopts the CAR rate limiting strategy based on the interface protocol,and performs intelligent attack perception in the interface dimen-sion,and

5、 passes the relevant configuration through the operation platform data plane object FDPO form is mapped to the driver dataplane object DDPO and written into the forwarding table to realize traffic classification and speed limit in the interface dimension.Afterexperiments,more than 98%of malicious tr

6、affic was intercepted,effectively completing the attack defense.Keywords:network attacks,attack detection,flow classification,CAR limit,attack defence本文于 2022-12-31 收到,2023-02-01 收到修改稿。0引言自 21 世纪以来,中国互联网飞速发展,网络通信已经成为每个人生活中不可或缺的一部分1。但是面对蓬勃发展的互联网产业,各种通信设备直接暴露在互联网上,很容易受到各种黑客和病毒攻击,存在很大的安全风险2。当前网络中存在的攻击恶

7、意流量,其攻击目标不仅局限于计算机用户,还直指路由器等网络设备 CPU,例如拒绝服务攻击(Denial of Service,DOS)一直是网络安全的重大威胁之一3-5。网络中针对路由器等通信设备的反复攻击活动会严重地破坏互联网安全生态环境,并对社会各界造成严重影响6,7。网络中恶意攻击的方式多种多样,主要有 2 种目的:耗尽主机系统资源,致使系统崩溃,从而拒绝正常网络新媒体技术2023 年用户访问;恶意占用网络带宽资源,使被攻击网络发生阻塞导致拒绝服务8。对于网络通信设备而言,在超高宽带时代 IP 核心网转发平面的处理能力急剧提升,但控制面由于设备 CPU 运行等因素限速,处理能力的增长有限

8、9。攻击发生时,各类正常的协议报文和恶意攻击报文都需要上送至 CPU 进行处理,上送报文过多会导致 CPU 负载过高、处理性能下降等问题,若不加保护,往往会由于大量非法报文的冲击造成控制平面协议、业务的中断和 CPU 被挂死等问题10-13。1接口协议限速相关介绍为了提高对路由器等设备 CPU 的防护能力,目前各大厂商所生产使用的主流路由设备上均提供报文过滤限速相关功能,常见的方法包括但不局限于黑白名单绑定访问控制列表(Access Control List,ACL)限速、用户自定义流绑定 ACL 限速、上送队列承诺访问速率(Committed Access Rate,CAR)限速等。(1)A

9、CL 进行限速方法一般需要单独配置具体的 ACL 规则,并将 ACL 规则与防攻击策略绑定进行相关防护,使用该方法虽然可以灵活地匹配攻击流数据特征,但其操作较为繁琐,当攻击流数据特征不断发生变化时,需要及时更新 ACL 规则。(2)上送队列 CAR 限速的方法可以对上送至路由器 CPU 的某一类协议流量进行统一限速过滤处理,这种方法可以及时对攻击流进行抑制,但由于该限速范围为全局报文限速,不合适的限速大小会对路由器中由正常接口上送的协议报文产生影响。无论是使用绑定 ACL 的策略还是通过队列 CAR 的策略,主要方式都是对上送至路由器 CPU 的协议报文进行限速过滤,达到缓解路由器报文处理压力

10、的目的。CAR 接口协议则是一种更加灵活的限速机制,其限速方式和队列 CAR 相似,都可以针对某一种流量分配限速队列,但其是根据流量的来源接口信息及协议类型打上不同的标签并进行流量的分类限速。因此 CAR 接口协议比队列 CAR 限速的精细度更大,策略配置更为灵活,不会对全局报文流量造成太大影响。在大部分路由设备中,CAR 接口协议限速功能通常作为一种设备的紧急防护手段。当恶意攻击流量对设备的某个或多个接口集中攻击时,设备管理员通过在指定接口视图下配置对应协议的限速命令进行紧急限速来缓解 CPU 压力;当恶意流量消失后,管理员可以取消限速配置,恢复接口的正常流量上送。图 1接口协议攻击检测原理

11、图本文在 CAR 接口协议的基础上,构建基于 CAR 接口协议的防御体系,引入接口维度的报文解析与流量统计相关功能,通过在防攻击策略中配置对应的协议检测阈值,对不同接口上送至 CPU 的报文流量分类统计并主动进行攻击感知,其具体原理如图 1 所示。对于识别为攻击流的接口协议流量将匹配对应的接口协议 CAR 限速配置,并进行限速,在攻击流消失后可以动态感知并主动取消相关限速,恢复正常流量上送。2路由器防攻击功能实现我们设计的路由器防攻击方法基于 5G 承载网的路由设备进行具体实现,目的主要是为路由器防火墙配置,并提供安全加固手段,增强 5G 承载网网络设备本身的安全防护功能。本文所实现方法的侧重

12、点与防火墙功能略有不同,该方法主要针对的是上送至设备 CPU 的报文,用于保护路由器设备自身的安全,提供更加细化、灵活的防御策略,通过多种防护策略的部署达到保证 IP 核心网网络安全的效果。本文方法的核心功能实现在 5G 承载网路由器上的操作系统中,该功能首先由网管在路由器的网络管825 期陈子傲 等:基于接口协议的路由器攻击防御设计与实现理界面完成对应功能的配置,系统根据配置信息进行攻击流信息感知与接口协议限速,并对路由器设备端下发对应防御指令,设备则根据指令完成对应防御行为。此功能在不同的路由器设备部署实现时,需要同步升级为对应的操作系统软件版本,并在设备端完成硬件的功能适配。根据路由器不

13、同的功能将其软件模型分为平台端和转发端 2 大部分,平台端负责对上送至 CPU 的数据报文进行解析、检测等相关处理,并将防攻击相关配置以操作平台数据平面对象(FOS Data Plane Object,FD-PO)的形式下发;转发端则根据平台端下发的 FDPO 表项数据将其映射为驱动数据平面对象(Device DataPlane Object,DDPO),并将其写入驱动的转发表项中,根据转发表项完成报文限速过滤的相关功能。图 2CAR 接口协议防攻击流程图CAR 接口协议防攻击流程如图 2 所示,协议报文进入路由器设备首先在转发端进行处理,未感知到攻击流时将报文流量全速上送至平台端的协议栈组件

14、内,协议栈组件对上送报文进行解析,并根据阈值配置信息完成攻击流感知,对于识别到的攻击流信息将传入防攻击组件内,防攻击组件根据获取的接口协议信息匹配对应的 CAR 接口协议限速表项并映射为FDPO 表项下发至转发端,转发端接收到限速指令后对上送的协议报文进行限速,控制上送至平台端的报文流量速率。2.1平台端2.1.1攻击流感知路由器中的各类协议报文在经过转发端上送至平台端后会统一进入协议栈组件中进行集中处理,首先需要对进入协议栈的所有协议报文进行攻击检测,具体可以分为报文解析和流量统计 2 大部分。报文解析主要是根据进入协议栈的数据报文结构获取其对应协议类型,并将解析出来的协议类型以协议枚举的形

15、式在协议栈本地完成映射并加以保存。(1)解析报文以太帧首部,偏移至以太帧的协议类型字段,该字段若为 0 x0800(IPv4)或 0 x86DD(IPv6),则偏移至 IP 首部继续解析;若为 0 x8100 则为虚拟局域网 VLAN(Virtual Lacl Area Network)报文,需要继续偏移重新获取协议类型;否则将具体协议类型映射为对应枚举值,完成报文解析。(2)解析报文 IP 首部,确定该报文为 IPv4 报文还是 IPv6 报文,并根据对应报文结构进行偏移,获取对应 Protocol 字段的协议号,如果为 6 或 17 则偏移至传输控制协议 TCP(Transmission

16、Control Protocaol)/用户数据报协议 UDP(User Datagram Protocol)首部继续解析,否则完成协议类型映射。(3)解析 TCP/UDP 首部,主要获取传输层的源端口号和目的端口号,根据是否为知名端口号确定协议类型,并完成映射。成功完成报文解析后需要对该流量进行流量统计,并和配置的门限阈值进行对比确定是否超限,在本文中数据控制平台通过网元管理接口子系统(Network Entity Management Subsystem,NEM)完成管理员用户的相关防攻击配置信息下发,防攻击所配置的关键信息字段及含义如表 1所示。表 1 中 threshold 为攻击检测阈

17、值,作为流量统计开启的条件与攻击判别的依据,而 if_index 和 protocol 分别为接口索引值和协议枚举值,用以标识接口类型和协议类型,接口索引值全局为唯一不变值,协议类型则为枚举变量,通过一定关系与实际协议类型对应。表 1防攻击关键信息字段及含义字段含义说明threshold攻击检测阈值if_index接口索引值protocol协议枚举值cir承诺信息速率为了便于说明与理解将设备接口下的协议流量定义为接口协议流量。接口协议流量的流量统计相关功能在获取到对应协议的检测阈值后进行开启,不同接口下的不同协议流量可以同时开启流量统计,并使92网络新媒体技术2023 年用 if_index

18、和 protocol 作为流量划分的关键信息,所有统计互不影响。当报文解析首次识别到某一类接口协议流量后,系统内部以秒级为单位开启统计定时器,对该流量的每秒收包数进行计数,相关统计信息则通过if_index 和 protocol 作为关键字字段查询并保存至对应结构体成员中。定时器每完成一轮统计定时则会将计数结果与阈值进行比较,若流量统计的每秒收包数超过配置的门限阈值,则将该接口协议流量识别为攻击。此时将对应的 if_index 和 protocol 信息下发至防攻击模块,同时开启防攻击系统的攻击老化定时器,在老化时间的每一个周期末,如果流量统计的每秒收包数低于门限阈值,则认为此时攻击消失,对防

19、攻击模块下发限速指令。2.1.2接口协议限速接口协议限速相关功能主要实现于防攻击模块中,具体负责 CAR 接口协议的实现,可以分为限速信息匹配和限速配置下发 2 步。管理员配置的所有接口协议限速信息将会通过 NEM 下发至防攻击模块,该模块在本地将接收到的配置信息填入指定结构体中,并以红黑二叉树的数据结构进行保存。在协议栈组件完成攻击感知后,对应 if_in-dex 和 protocol 关键字信息将会被防攻击模块获取,本模块通过关键字进行二叉树遍历查询,匹配是否已存在对应接口协议流量的限速信息,若成功匹配,则进行攻击信息的告警上报,并完成限速 FDPO 的填充与下发,否则只进行攻击信息的上报

20、,不再下发限速 FDPO。FDPO 的构建使用统一业务管理子系统(Unified Service Management Subsystem,USM)根据需求添加对应字段和数据结构,并设计依赖链关系。多个 FDPO 之间可以有不同的迭代关系,主要有 2 种:依赖关系和父子关系,关系的建立需要使用外键进行链接才能被转发端映射。在防攻击模块中,针对不同场景提供了 2 种不同的限速模式,分别是接口限速和接口协议限速。前者将接口下所有识别到的攻击流分配统一队列限速,后者则根据配置情况对识别到的攻击协议单独分配限速队列。根据不同限速模式下发不同 FDPO:接口协议限速中,单独下发 IF_PROTOCOL_

21、CAR;接口总体限速下则额外下发 IF_CAR,并将所有的 IF_PROTOCOL_CAR 使用外键 foreign_key 字段建立依赖关联至IF_CAR 的 if_index 字段,构建多对一的依赖关系。每个 FDPO 中主要包含 if_index、protocol、cir 等限速信息,由平台端完成所有防攻击流程后在回调函数中填充并下发,其表项中所包含各字段及其含义如表 2 所示。表 2接口协议限速表项各字段及含义字段含义说明if_index接口索引值protocol协议枚举值cir承诺信息速率(Rate)cbs承诺突发尺寸(Size)prior限速优先级foreign_key关联外键2.

22、2转发端DDPO 中的元素与 FDPO 元素为一对一或一对多的关系进行映射,DDPO 在进行防攻击的 FDPO 映射时,首先检查 IF_PROTOCOL_CAR 中的 foreign_key 字段是否为空,根据该字段情况确定此时下发的限速模式。若非空则说明存在外键依赖关系,则根据 foreign_key 的值对 IF_CAR 中 if_index 的值进行检索,并与匹配成功的 IF_CAR 构建依赖映射;若为空则直接对 IF_PROTOCOL_CAR 中的值进行一对一的关系映射。转发端主要根据平台端下发的 FDPO 信息对上送的报文进行限速处理,转发层面从统一数据结构模型(Unified da

23、ta model,UDM)层接收防攻击配置,并以 DDPO 形式映射 UDM 层的 FDPO 数据,下发到转发表项中。设备芯片在上送数据报文时,首先会检测已写入芯片中的转发表项内容,并对报文进行检查,符合限速条件的数据报文将会单独分配配置的限速黑桶带宽,并根据限速带宽控制数据报文的上送速率,从而实现转发端的接口协议限速与防攻击。3防攻击实验测试3.1实验配置本文使用 Spirent(思博伦)的 TestCenter 仪表完成攻击流的构造与攻击操作,在虚拟机中进行模拟仿真035 期陈子傲 等:基于接口协议的路由器攻击防御设计与实现图 3实验设备连接拓扑图实验,实验的具体设备拓扑环境如图 3 所示

24、,其中 TC 仪表与设备 R1通过 eth7 口连接,设备 R1 与设备 R2 通过 eth1 口连接。图 4防攻击配置开启图具体的测试方 案是:在主控创建防攻击策略,分别配置互联网控制消息协议(Internet Control Mes-sage Protocol,ICMP)/开放最短路径优先(Open Shor-test Part First,OSPF)协议的检测阈值并绑定对应槽位 开 启 防 攻 击 功 能,如图 4 所示。(1)在 TC 与 R1 连接的 eth 0/3/1/7 口下配置 ICMP 的接口协议限速,限速大小为 50 kbit/s。通过仪表向设备发送目的地址为 78.10.

25、1.1 速率为 100 kbit/s 的 ICMP flood 报文,使用数据包分析器 tcpdump 进行抓包分析对比限速前后抓包结果,确定是否正确的识别出攻击流并进行限速。(2)在接口下配置总体的接口限速,限速大小为 50 kbit/s。通过仪表向设备同时发送目的地址为 78.10.1.1速率均为 100 kbit/s 的 ICMP 和 OSPF 攻击流,使用 tcpdump 抓包工具对比限速前后抓包结果,确定是否正确的识别出攻击流并进行限速。3.2实验结果与分析根据测试方案(1),在接口下配置 ICMP 的接口协议限速,并使用 Spirent 旗下的 TC(Test Center)仪表发

26、送 ICMP 攻击流,对应攻击协议被正确感知,并正确匹配限速配置,结果如图 5 所示。图 5ICMP 攻击流识别及限速结果图图 6ICMP 报文抓包上送情况图在限速配置前后分别对上送至设备的流量进行抓包,根据总体的抓包情况,对每秒上送至设备的 ICMP 报文数量进行统计,相关统计信息如图 6 所示。由图 6 中可知,在未配置接口协议限速时,ICMP 以仪表发送的 100 kbit/s 恒定进行上送。在大约 10 s-11 s 的时间点,由于配置了对应的接口协议限速,此时 ICMP 报文被有效地进行了限速过滤。根据测试方案(2),在接口下配置接口限速,并使用仪表同时向设备打 ICMP 和 OSP

27、F 混合攻击流,排除其他非攻击报文的干扰,攻击报文的总流量大小应为 200 kbit/s,此时 2种攻击流均被正确感知,并正确进行接口限速,下发 FDPO成功建立外键依赖关系,结果如图 7 和图 8 所示。图 7ICMP 与 OSPF 识别及限速结果图在限速配置前后进行抓包,根据总体的抓包情况,对每秒上送至设备的 ICMP 报文和 OSPF 报文进行统计,相关统计信息如图 9 所示。由于 2 种攻击流采用接口限速的方式进行限速,ICMP 和 OSPF 攻击流共用13网络新媒体技术2023 年同一个黑桶限速队列,且 2 种流量平分上送带宽。因此在限速生效后,ICMP 和 OSPF 的上送速率降至

28、25 kbit/s,但总速率依然保持 50 kbit/s,2 种攻击流均被有效限速过滤。图 8接口限速 FDPO 依赖建立图图 9ICMP 与 OSPF 混合抓包上送情况图4结束语目前 5G 通信已经在国内外得到普及,6G 相关研究工作也在有条不紊地推进,无论是当前的 5G 时代还是未来的 6G 时代,网络安全依然面临着严重的挑战14,15。本文针对现网设备 CPU 经常受到报文攻击问题,提出了一种基于接口协议的路由器防攻击方法,根据相关实验的验证,通过在设备上部署基于接口协议限速的防攻击策略,可以准确的感知到攻击现象、定位攻击接口协议类型,并及时下发对应的限速策略,减少攻击报文对 CPU 的

29、冲击,保证设备正常工作,提高了通信的质量。在未来随着数据业务的高速发展,针对路由器等现网设备的防攻击研究与应用依然十分重要。参考文献1 佚名.第 48 次中国互联网络发展状况统计报告发布 超十亿用户接入互联网 我国成全球最庞大数字社会J.网络传播,2021(9):76-81.2 陶乃勇.城域网华为 93 交换机防攻击加固方案研究J.山东通信技术,2017,37(2):37-39.3 孙友添.2019 年中国互联网网络安全报告出炉J.计算机与网络,2020,46(20):16-19.4 吴迪,崔翔,刘奇旭,等.泛在僵尸网络发展研究J.信息网络安全,2018(7):16-28.5 Hoque N,

30、Bhattacharyya D K,Kalita J K.Botnet in DDoS attacks:trends and challengesJ.IEEE Communications Surveys&Tutorials,2015,17(4):2242-2270.6 王印玺,黄华雪.DDoS 攻击的发展与防御综述J.现代计算机,2021(2):51-56.7 郭伟,邱菡,周天阳,等.基于 IP 熵变量的 DDoS 攻击溯源模型J.计算机工程与设计,2019,40(12):3367-3374.8 杨君刚,王新桐,刘故箐.基于流量和 IP 熵特性的 DDoS 攻击检测方法J.计算机应用研究,2

31、016,33(4):1145-1149.9 刘倩,项朝君,黄华峰,等.基于控制平面协议的 IP 核心网安全加固策略部署J.电子产品世界,2020,27(10):65-69.10 邢光林,陈璟,余俊乐,等.命名数据网络中基于包标记的 Interest 泛洪攻击缓解研究J.中南民族大学学报(自然科学版),2021,40(2):204-209.11 张新.命名数据网络中兴趣泛洪攻击防御策略研究D.呼和浩特,内蒙古大学,2022.12 郝志峰,牛晓龙,蔡瑞初,等.融合信息熵与信任机制的防攻击推荐算法研究J.计算机应用与软件,2015,32(3):284-288.13 王睿.面向软件定义物联网的信任管理及攻击防御机制研究D.济南,山东大学,2018.14 岳博石.5G 新技术驱动下的网络安全痛点分析及需求和策略研究J.网络安全技术与应用,2022(10):74-75.15 谢玮,焦贝贝.网络安全发展形势分析与趋势展望J.通信世界,2022(7):40-41.作者简介陈子傲,(1997-),男,硕士研究生,主要研究方向:数据通信。陈俊强,(1970-),男,正高职高工,主要研究方向:通信电子系统及嵌入式软件。23