防范DDoS的路由器轉(zhuǎn)發(fā)層面措施

1、防范DDoS的路巾器轉(zhuǎn)發(fā)層面措施肖敏（綿陽(yáng)師范學(xué)院物理與電子工程學(xué)院四川綿陽(yáng)621000）摘 要 介紹了 DD o攻擊以及針對(duì)路由器的0攻擊的原,分析了目前Do敏擊研究現(xiàn)狀業(yè)界針對(duì) 路由器防范D o攻擊的常規(guī)做提出了一種在控制面結(jié)合網(wǎng)絡(luò)處流量管理的DD o的防御手段在路由 器轉(zhuǎn)發(fā)面上通過(guò)對(duì)控制消息報(bào)文的分離處理來(lái)保證控制消息和路由不受惡意擊報(bào)文彪響通 過(guò)協(xié)議報(bào)文的分類(lèi)和優(yōu)級(jí)的區(qū)分來(lái)保證重要報(bào)文的調(diào)度。關(guān)鍵詞 DD oS;網(wǎng)絡(luò)處理器流量管理；分離中圖分類(lèi)號(hào) T P393 文獻(xiàn)標(biāo)識(shí)碼 A文章編虧：1672-612x（ 2010） 02-0084-040引言DDoS（分布式拒絕服務(wù)）是一種基于DoS

2、（拒絕服務(wù)）的分布和協(xié)作的大規(guī)模攻擊方式。它并非針對(duì)主 機(jī)或網(wǎng)絡(luò)設(shè)備的漏洞進(jìn)行攻擊而是利用網(wǎng)絡(luò)上數(shù)量眾多的傀儡機(jī)向同一目標(biāo)發(fā)送大量數(shù)據(jù)M達(dá)到消 耗目標(biāo)網(wǎng)絡(luò)或者主機(jī)資源使合法用戶(hù)被拒絕服務(wù)的目的1。1研究現(xiàn)狀由于IP網(wǎng)絡(luò)的開(kāi)放性，各種網(wǎng)絡(luò)設(shè)備也成為DDoS攻擊的對(duì)象。由于路由器需要對(duì)用戶(hù)報(bào)文進(jìn)行較 深入的分析處理也易于遭受攻擊而路由器所處的網(wǎng)絡(luò)位置較高因此對(duì)路由器的攻擊造成的網(wǎng)絡(luò)故障 也具有更大的破壞性。路由器通常是嵌入式系統(tǒng)自身對(duì)外開(kāi)放的業(yè)務(wù)和服務(wù)非常有限針對(duì)路由器的DDoS攻擊通常有兩 種:一種是針對(duì)性的DDoS攻擊。這種攻擊首先通過(guò)對(duì)設(shè)備進(jìn)行服務(wù)端口掃描或利用公認(rèn)開(kāi)放的各種服務(wù) 端口，采用

3、TCP SYN F lood TCP RST F lood P i ng F loo等各種具有明確到攻擊目標(biāo)的目的地址的報(bào)文對(duì)設(shè) 備的服務(wù)端口發(fā)起大量的攻擊報(bào)文致使設(shè)備相關(guān)資源被大量消耗無(wú)法對(duì)正常的用戶(hù)提供服務(wù)另一種 是利用各種機(jī)制中的漏洞如TTL = 1報(bào)文、ARP /RARP報(bào)文、廣播報(bào)文、組播報(bào)文上送等協(xié)議機(jī)制漏發(fā) 起大量不具有明確的攻擊目標(biāo)的報(bào)文這種方式同樣可以造成路由器的CPU資源被大量消耗從而影響正 常服務(wù)的提供。由于各種DDoS攻擊層出不窮，難于防范，而路由器設(shè)備的智能能力有限對(duì)攻擊的防護(hù)手 段不多,目前DDoS攻擊是路由器面臨的最大安全威脅2。DDoS研究人員提出多種防范方法其

4、分類(lèi)機(jī)制較為多樣化。按照功能特征可以分為基于驗(yàn)證的方法 和基于包過(guò)濾的方法?；隍?yàn)證的方法以Capab ilities, I3等為代表,其主要原理是在發(fā)送方和接受方之 間建立認(rèn)證機(jī)制;基于包過(guò)濾的方法主要原理則是根據(jù)檢測(cè)到的網(wǎng)絡(luò)擁塞程頗過(guò)實(shí)現(xiàn)響應(yīng)機(jī)制丟棄攻 擊包來(lái)進(jìn)行速率限制從而減弱DDoS對(duì)攻擊目標(biāo)的破壞。代表有LACC （ LocalAggregated- based Congest ion Con troF和）Pushback機(jī)制 4。在轉(zhuǎn)發(fā)面和控制面分離的路由器上針對(duì)路由器的DDoS攻擊，其主要對(duì)象是控制面上的CPU?，F(xiàn)階 段業(yè)界通常采用在轉(zhuǎn)發(fā)面上實(shí)現(xiàn)訪(fǎng)問(wèn)控制列表ACL ）單播反向路徑

5、轉(zhuǎn)發(fā)（uRPF ）承諾訪(fǎng)問(wèn)速率（CAR ） 等技術(shù)來(lái)防范DDoS攻擊5;在控制面上則有上送報(bào)文服務(wù)模塊來(lái)對(duì)轉(zhuǎn)發(fā)面上送的報(bào)文進(jìn)行監(jiān)控和,分析 并根據(jù)分析結(jié)果動(dòng)態(tài)調(diào)整防范策Bddos攻擊器 HYPERLINK / /2路由器針對(duì)DD oS的防御措施DDoS攻擊路由器,主要是攻擊控制面的CPU。而控制面CPU主要負(fù)責(zé)路由計(jì)算以及系統(tǒng)管理等重要 工作，因此控制面CPU的安全在路由器中具有極其重要的意義。雖然攻擊是針對(duì)控制面CPU，但是要防范 DDoS,則需是整個(gè)路由器系統(tǒng)的聯(lián)動(dòng)，需要在系統(tǒng)結(jié)構(gòu),底層操作系統(tǒng)，轉(zhuǎn)發(fā)面和控制面做充分的考慮。6 本文重點(diǎn)研究討論的是在控制面結(jié)合NP和TM應(yīng)對(duì)DDoS的措施，

6、主要工作包括在路由器邏輯架構(gòu) 設(shè)計(jì)上將協(xié)議報(bào)文通道和控制消息通道分離，在NP上實(shí)現(xiàn)對(duì)協(xié)議報(bào)文的分類(lèi)和過(guò)濾，在TM上實(shí)現(xiàn)對(duì)協(xié)議 報(bào)文的調(diào)度和監(jiān)管。211協(xié)議報(bào)文通道和控制消息通道分離對(duì)于那些控制消息通道和協(xié)議報(bào)文通道沒(méi)有分離的路由器當(dāng)受到DDoS攻擊時(shí)，控制面CPU和轉(zhuǎn)發(fā) 面NP之間的通道會(huì)完全被惡意攻擊報(bào)文占據(jù)，控制消息完全湮沒(méi)在惡意攻擊報(bào)文中，從而導(dǎo)致路由器不 能及時(shí)對(duì)攻擊做出反應(yīng),進(jìn)而導(dǎo)致正常的服務(wù)不能被響應(yīng)。刀圖1是本文所考慮采用的協(xié)議報(bào)文通道和控制消息通道完全分離的路由器的結(jié)構(gòu)?？刂泼娴腍 ost CPU具有兩個(gè)相互獨(dú)立的網(wǎng)口:一個(gè)網(wǎng)口通過(guò)內(nèi)部以太網(wǎng)交換和NP和TM連接，進(jìn)行控制信息的

7、交互和 路由信息的更新;另一個(gè)網(wǎng)口則直接和TM相連,協(xié)議報(bào)文經(jīng)過(guò)NP的分類(lèi)和過(guò)濾，TM的調(diào)度和監(jiān)管后被 送到H ost CPU。另外H ost CPU的運(yùn)行狀況也通過(guò)反壓信號(hào)傳遞給TM,改變TM的相關(guān)配置,使送到H ost CPU的報(bào)文始終在其處理能力范圍內(nèi)ddos攻擊器 HYPERLINK / /DRAM日*RJ45PHYsfcal.FL .MACSr SFPFUYskaJNelwork ProcessorTrafficMfiDagcment在這種結(jié)構(gòu)方式中,當(dāng)路由器受到DDoS攻擊時(shí)，路由器內(nèi)部的控制消息和路由信息更新完全不受惡 意攻擊報(bào)文的影響。因此路由器發(fā)現(xiàn)受到攻擊時(shí)，能夠迅速通過(guò)控制

8、消息通道來(lái)改變配置信息，以達(dá)到及 時(shí)調(diào)整防范策略的目的。EibcmiSwitchGEHost CPU圖1協(xié)議報(bào)文通道和控制消息通道分離的路由器結(jié)構(gòu)F ig. 1 T he arch itecture of router contain ing Independent P rotocol packet path and Contro Im essag e path212協(xié)議報(bào)文的分類(lèi)和過(guò)濾21211協(xié)議報(bào)文的分類(lèi)協(xié)議報(bào)文分類(lèi)的目的是為了讓報(bào)文進(jìn)入TM后獲得不同的調(diào)度。NP在Ingress上收到的包是從路由 器接口經(jīng)過(guò)PHY和MACs處理后的報(bào)文,NP通過(guò)解析二層頭和三層頭會(huì)發(fā)現(xiàn)報(bào)文是應(yīng)該被轉(zhuǎn)發(fā)還

9、是上送 H ost CPU處理。例如收到一個(gè)ARP請(qǐng)求報(bào)文,而目的IP正是路由器接口的IP那么這個(gè)報(bào)文就需要送到 百蓋&報(bào)文的優(yōu)先應(yīng)應(yīng)該顯然岬不是所有上優(yōu)先級(jí)oi低pu的協(xié)議報(bào)文都應(yīng)該具有同樣的優(yōu)先級(jí)，例如表1是部分本文所采用的協(xié)議報(bào)文的分類(lèi)優(yōu)先級(jí)設(shè)置。通過(guò)分類(lèi)能夠?qū)⒅匾膮f(xié)議報(bào)文和次要的協(xié) 議報(bào)文區(qū)分開(kāi)，從而使其在TM中獲得不同的對(duì)待。分類(lèi)設(shè)置里的4個(gè)級(jí)別對(duì)應(yīng)于TM中的第一級(jí)調(diào)度點(diǎn) 中的4個(gè)隊(duì)列，而這4個(gè)隊(duì)列是按照嚴(yán)格優(yōu)先來(lái)進(jìn)行調(diào)度的從而保證了重要報(bào)文能夠優(yōu)先獲得調(diào)度。表1協(xié)議報(bào)文內(nèi)部?jī)?yōu)先級(jí)T ab. 1 Interna l P r ior ity of P rotoco l packet類(lèi)

10、型訪(fǎng)問(wèn)業(yè)務(wù)最高高中低單播路由協(xié)議R IP /O SPF /ISIS /BG PK組播路由協(xié)議P IMK用戶(hù)協(xié)議DHCP / IGM PKIP v6鄰居發(fā)現(xiàn) /ARP /RARPK其他用戶(hù)報(bào)文IPv4TTLj、于等于 1KIP v6HO PL IM、于等于 1KIPv4選項(xiàng)包 分片包KIPv6 N ex tH eade等 于 0K21212協(xié)議報(bào)文的過(guò)濾對(duì)于一些直接攻擊高等級(jí)業(yè)務(wù)的DDoS攻擊，簡(jiǎn)單地通過(guò)分類(lèi)并不能有效防御。因此在本文中還采用 了 ACL對(duì)協(xié)議報(bào)文進(jìn)行過(guò)濾。ACL條目是可以通過(guò)靜態(tài)配置或控制面上送服務(wù)模塊動(dòng)態(tài)生成?？刂泼娴?上送服務(wù)模塊對(duì)上送的報(bào)文進(jìn)行分析若在一定時(shí)間窗口內(nèi)發(fā)現(xiàn)某

11、一條流按五元組區(qū)分）上送CPU的次 數(shù)超過(guò)規(guī)定的話(huà)則會(huì)通過(guò)控制消息通道下發(fā)一個(gè)條目通知NP丟棄該流，從而實(shí)現(xiàn)對(duì)該攻擊流的過(guò)濾。如果NP在查ACL過(guò)濾表時(shí)返回的是通過(guò)那么該報(bào)文則會(huì)被賦予分類(lèi)設(shè)置中的最高優(yōu)先級(jí)而如果 返回的是失敗，則直接丟棄該報(bào)文對(duì)于那些不需要做ACL的報(bào)文則按照分類(lèi)設(shè)置中的對(duì)應(yīng)的優(yōu)先級(jí)處 理 ddos 攻擊器 HYPERLINK http:/www.blddos.eom/o http:/www.blddos.eom/o 213協(xié)議報(bào)文的調(diào)度和監(jiān)管通過(guò)NP對(duì)協(xié)議報(bào)文進(jìn)行分類(lèi)和過(guò)濾后報(bào)文被送到分類(lèi)設(shè)置所對(duì)應(yīng)的TM的隊(duì)列中。TM中有512個(gè) 隊(duì)列用于協(xié)議報(bào)文的調(diào)度調(diào)度共分為3級(jí)。如圖

12、2所示。第一級(jí)按每4個(gè)隊(duì)列為一 組進(jìn)行調(diào)度共128個(gè)調(diào)度點(diǎn)。 每組內(nèi)的4個(gè)隊(duì)列按照嚴(yán)格優(yōu) 先進(jìn)行調(diào)度，分類(lèi)設(shè)置中的4 個(gè)等級(jí)就跟這4個(gè)隊(duì)列一一對(duì) 應(yīng)。每個(gè)隊(duì)列都有單令牌桶來(lái) 進(jìn)行流量監(jiān)管。只有令牌桶中 有令牌時(shí)，隊(duì)列中的報(bào)文才能 得到調(diào)度，否則就被丟棄。圖2 TM三級(jí)調(diào)度和流量監(jiān)管模丁 F ig. 2 TM m odel of 3 leve l Schedu ling and T ra ffic Po lic ing第二級(jí)共用64個(gè)調(diào)度點(diǎn)， 第一級(jí)到第二級(jí)的映射關(guān)系是 靈活配置的，甚至可以將第一 級(jí)調(diào)度后的128個(gè)隊(duì)列全部映 射到某個(gè)第二級(jí)調(diào)度點(diǎn)上。第 二級(jí)的每個(gè)調(diào)度點(diǎn)都帶有雙令 牌桶進(jìn)行流量

13、監(jiān)管并可以配 置2級(jí)嚴(yán)格優(yōu)先（PQ ），在同一 個(gè)優(yōu)先級(jí)內(nèi)部則可以配置為輪轉(zhuǎn)(RR)或加權(quán)公平調(diào)度(WFQ )。第二級(jí)調(diào)度點(diǎn)的調(diào)度邏輯如表2所示。表2第二級(jí)調(diào)度點(diǎn)邏輯T ab. 2 2nd Scheduling node. s log ic隊(duì)列C桶E桶配置優(yōu)先級(jí)有報(bào)文有令牌不關(guān)心HiHi有報(bào)文有令牌不關(guān)心LoLo有報(bào)文無(wú)令牌有令牌不關(guān)心Lo有報(bào)文無(wú)令牌無(wú)令牌不關(guān)心X無(wú)報(bào)文不關(guān)心不關(guān)心不關(guān)心XX表示該報(bào)文不會(huì)獲得調(diào)度或被丟棄第三級(jí)只有一個(gè)調(diào)度點(diǎn),第二級(jí)的全部64個(gè)隊(duì)列都映射到該調(diào)度點(diǎn)上。第三級(jí)調(diào)度點(diǎn)的內(nèi)部結(jié)構(gòu)和 第二級(jí)調(diào)度點(diǎn)是一致的。TM中除了 3級(jí)調(diào)度和流量監(jiān)管外，還能夠根據(jù)CPU的反壓信號(hào)，

14、通過(guò)控制消息通道來(lái)動(dòng)態(tài)調(diào)整TM 的各種參數(shù)，如令牌桶的CIR, P IR配置優(yōu)先級(jí)的H ,i L。等,從而實(shí)現(xiàn)不同的防范策略。3結(jié)束語(yǔ)DDoS攻擊是目前網(wǎng)絡(luò)的嚴(yán)重威脅，而針對(duì)路由器的DDoS攻擊則會(huì)造成更為嚴(yán)重的網(wǎng)絡(luò)災(zāi)難。本文 在關(guān)注DDoS的攻擊、針對(duì)路由器的攻擊原理、DDoS目前的研究現(xiàn)狀以及業(yè)界對(duì)路由器防范DDoS攻擊的 常用手段基礎(chǔ)上,重點(diǎn)研究了本文所提出的在路由器中防范DDoS攻擊的相關(guān)技術(shù)。參考文獻(xiàn)：祝瑜設(shè)備級(jí)Do攻擊防御研究A . 20(年北京地區(qū)高校研究生學(xué)術(shù)交流會(huì)論文北京2008: 1673- 1679.孫知信李清東路由器端防范Do攻擊機(jī)制綜述J南京郵電大學(xué)學(xué)報(bào)然科學(xué)版200

15、7, 27( 1): 89- 96.M atth ias Bossardt, aTEbendfcr, Bernhard P lattner. Enhancedy JbyeanbtsSeibufled ctoahsericebased on tra ffic ow nersh ip J. J ournal of N etw ork and CoppUtetions, 2007,30: 1084- 8045.G oodrich, M. T. P robab ilistic P acketM arkilBjJPf3rdacejbackca. IEEE /A CM T ransactio on N e

16、twork2008, 16: 1063- 6692.De feating DDOS A ttacks EB /OL . http: coww/wi /U S /pBodr/cq)ndeps5879 /ps6264 /ps5888/ prod_ w hite_paper0900aecd8011e927. htn2Q08- 11- 03.InteiXP2800 N etMocrksPoEB /Q Lhttp: / /deper. itteom /design /faeproducts/npfaimpi2800： htm, 2002- 09- 25.AM CC, np7510 10 Gbps N e

17、two rk P ro cessor EB /卜；/www. am cc. com. 2003- 05- 20.Sang Su L ee, Wng L ee, Y ong Sung Jeon. Imp lem enting H igtPPfe Boirenraniiag C av ium. s CN 2560 Secur ityP rocessor J. Proceed ing s of W orld A cademy of Science. Eng ineering and T edKnoJogyol 9.DD oS Defense in Router sForwarding P laneX

18、IAO M in(School of Physics and E lectronic Eng i neering, M ianyang Norm al Un iversity, M ianyangS ichuan 621000)Abstract: T h is paper introduces DDoS attacks and the princip le of DDoS attacks aga inst the rou ter, ana lyzes the current research status and the comm on m eans i ndustry em ployed to defense DDoS attacks agai nst the rou ter, and g ives a DDoS defense comb ining netw ork processo r and traf