DDoS硬件防火墙技术研究.docx

1、 DDoS硬件防火墙技术研究 章建国，陈欢 （上海市公安局网安总队，上海200025）摘要：分布式拒绝服务攻击已成为危害互联网安全的突出安全问题，本文分析了分布式拒绝服务攻击的攻击原理和防御原理，并提出了一种结合白名单和黑名单的硬件防火墙实现方案。关键词：分布式拒绝服务攻击；攻击原理；白名单；黑名单；防火墙TP393.08：A：1671-1122( 2010) 12-0028-020 引言随着互联网络带宽的不断增加和多种DDoS（Distributed Denial of service，分布式拒绝服务攻击）黑客工具的不断发布，DDoS攻击的实施越来越容易，DDoS攻击事件正在成上升趋势。出于

2、商业竞争、打击报复和网络敲诈等多种因素，导致很多IDC托管机房、商业站点、游戏服务器、聊天网络等网络服务商长期以来一直被DDoS攻击所困扰，随之而来的是客户投诉、同虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。2009年7月，上海私车牌照拍卖网站的服务器就遭遇了不法分子的DDoS攻击。防御DDoS攻击成为网络服务商面临的难题。1 DDoS攻击原理DDoS攻击是在传统的DoS攻击基础上产生的一类攻击方式，利用大量“傀儡机”来发起进攻，比DoS攻击更大的规模来进攻受害者（如图1）。常见的DDoS攻击手段有SYNFlood、ACK Flood、UDP Flood、ICMP Flood、TCP

3、Flood等，较难防御的属于SYN Flood类的拒绝服务攻击。一个正常的TCP连接需要三次握手（如图2），首先客户端发送一个包含SYN标志的数据包，其后服务器返回一个SYN/ACK的应答包，表示客户端的请求被接受，最后客户端再返回一个确认包ACK，这样才完成TCP连接。在服务器端发送应答包后，如果客户端不发出确认，服务器会等待到超时，期间这些半连接状态都保存在一个空间有限的缓存队列中（如图3）；如果大量的SYN包发到服务器端后没有应答，就会使服务器端的TCP资源迅速耗尽，导致正常的连接不能进入，甚至会导致服务器的系统崩溃。2 硬件实现防御分布式拒绝服务攻击应对DDoS攻击是一个系统丁程，仅仅

4、依靠某种系统或产品防御DDoS攻击是不现实的，可以肯定的是，完全杜绝DDoS目前是不可能的，但通过适当的措施抵御90%的DDoS攻击是可以做到的，由于攻击和防御都有成本，若通过适当的办法增强了抵御DDoS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDoS攻击。2.1 DDoS的攻击数据包分析下面以SYN Flood攻击为例，分析DDoS的攻击数据包的特征。首先，用微软公开的NDIS（网络驱动接口规范）底层驱动源码，经过NTDDK（驱动开发工具）修改后生成一个能够Debug（命令行方式的程序或内存调试）的底层驱动程序，在一个能够提供W

5、eb服务的Windows操作系统装到网卡驱动程序里面。其中把Debug的结果利用16进制的数字4位一组隔开，取前32组为研究目标。然后反复正常访问此服务器的Web服务，取其Debug结果。我们会发现正常连接前的SYN的包头前3组是完全一致或者是逐组递增一个单位的，然后访问者会与此服务器建立一个正常的TCP通道，开始互相交换数据。现将正常的访问调换为常见的一个SYN攻击软件对目标服务器进行攻击，然后抓包。Debug结果则是杂乱无章的，毫无章法可言，完全由攻击软件随机生成，只是用来跟目标服务器建立空连接，并没有接下来的回应，更不用说建立真正的连接了。2.2基于“白名单”的防御实现利用SYN包的特点

6、建立起一个对DDoS攻击的一般防御方法。我们将收到的SYN包头数据存在内存中，每次新收到的包头数据将与内存中原来的数据进行比对，符合相同或者递增的视为合法SYN数据包，然后为此来源IP开通一条独立的TCP连接，并且将此IP列入“白名单”中，在一段时间内（比如10分钟内）再次连接无需验证。另外设定来自Www.lw5u.coM一个超时时间（比如60秒），清理一下内存中的存包。周而复始，一套完整的防御DDoS算法即完成。将此算法写成透明的网桥模式，并置于服务器与客户端之间，即成为种基于“白名单”的硬件防火墙(如图4)。通过测试，一台P4 3.0级别的服务器可以抵御25-30M强度的SYN攻击。对于三

7、、四年前来说已经相当优越了´当时售价10多万元一台的绿盟黑洞不过也才30M的吞吐量。其实作为攻击方的主机，要随机产生这些SYN包，需要消耗的CPU资源以及宽带资源也是相当大的，同样一台P4 3.0级别的主机满负荷使用，顶多能发出IOM左右强度的SYN包。2.3基于黑名单的防御优化为了使攻击更加有效，一方面黑客用更多的“傀儡机”进行攻击，另一方面新一代的攻击软件应运而生。老一代的SYN攻击软件是将包头的所有数据随机产生，故产出效率较低，新一代的SYN攻击软件，他们发出的包头大多数数据是不变的，包头数据两两之间只有几个微小的改变，故其发送数据包的效率大幅度提高，一台P4 3.0级别的主

8、机最少能发出30M左右的数据包，可谓威力大幅增长。但是由于新一代攻击软件包头变化不大的特性，我们仅要做一些小小的改动就可以不费吹灰之力将其过滤。针对市面上多种新型攻击软件抓包一一做分析，掌握各种攻击软件的特点，再根据特点识别其属于何种攻击软件发出的包，并将该种类型的包列入“黑名单”，由于只需认识攻击包头特征直接判断是否合法，所以此时防御的效率比原来提高了几十倍甚至上百倍，这种技术被称为“指纹流”。此外，由于原来被称为无法防御的百兆级别的攻击已经走下神坛了，现在攻击多数以千兆计算，故对防火墙的处理能力要求进一步提高，需对硬件产品作升级，如将百兆网口换成了千兆网口，将中央处理器的主频提高等。3 优

9、缺点分析“白名单”与“黑名单”相结合的硬件防御方法具有效率高、成本低、对硬件依赖相对较低的特点，并且各种SYN变种攻击软件只要稍作优化就能发挥高效的防御功能等优点。但是，其也存在以下缺陷：一是以上方法主要针对SYN Flood类的拒绝服务攻击，对TCP全连接攻击、CC攻击等其他常用攻击方式防御效果较差；二是要收集并分析所有攻击软件发包特征，工作量较大，且攻击软件升级较快，相关防御措施在短时间内难以修来自www.L补；三是难以抵御来自内部网络的攻击。4 结束语目前网络安全界对于DDoS的防范尚没有更好的办法，主要仍依靠平时的维护和扫描。简单的通过软件防范的效果非常不明显，即便是使用了硬件安防设施

10、也仅仅能起到降低攻击级别的效果，DDoS攻击只能被减弱，无法被彻底消除。本文通过分析DDoS攻击与防御原理，结合SYN Flood攻击实例，提出了一种“白名单”与“黑名单”相结合的硬件防御分布式拒绝服务攻击的方法，并分析了其优缺点，对进一步优化改进提供帮助。（责编张岩）参考文献：【1】徐明伟，吴建平分布式拒绝服务攻击研究综述，小型微型计算机系统，2004，25(3)：336-347【2】林梅琴，李志蜀，袁小玲等分布式拒绝服务攻击及防范研究，计算机应用研究，2006，23(8)：136-138【3】David Dittridi分布式拒绝服务(DDoS)攻击工具分析- TFN2KDB/OL.【4】甘冀平典型DoS攻击原理及抵御措施DB/OL. 2005-3-20. -全文完-