利用僵尸網(wǎng)絡(luò)攻擊進(jìn)行攻擊檢測的研究

利用僵尸網(wǎng)絡(luò)攻擊進(jìn)行攻擊檢測的研究

ddos是英文ddos服務(wù)的縮寫，即拒絕服務(wù)服務(wù)攻擊。這意味著攻擊者控制大量計算機(jī)在目標(biāo)網(wǎng)絡(luò)上發(fā)送大量服務(wù)數(shù)據(jù)，從而消耗網(wǎng)絡(luò)帶的寬度，并目標(biāo)服務(wù)器系統(tǒng)資源。這是沒有必要提供正常的服務(wù)功能的唯一目的。常見的攻擊技術(shù)包括帶寬攻擊、資源耗盡攻擊、慢速攻擊和反射攻擊。目前代表性的DDOS攻擊技術(shù)主要包括:以SYNFlood洪水攻擊為代表的帶寬攻擊、以CC攻擊為代表的資源耗盡型攻擊、慢速攻擊和利用互聯(lián)網(wǎng)服務(wù)器發(fā)起的DDOS反射放大攻擊。DDOS攻擊會造成網(wǎng)絡(luò)服務(wù)器無法正常訪問、網(wǎng)絡(luò)通道堵塞,種植在受害者主機(jī)中的僵尸程序會竊取海量用戶個人信息,可以說DDOS攻擊對個人信息安全乃至國家互聯(lián)網(wǎng)安全均構(gòu)成嚴(yán)重威脅。自DDOS攻擊出現(xiàn)以來,十余年時間里攻擊技術(shù)和防御措施都在不斷變遷,但是DDOS攻擊并未得到有效治理,僵尸網(wǎng)絡(luò)規(guī)模仍在不斷擴(kuò)張。對DDOS攻擊技術(shù)、防御措施和追蹤溯源技術(shù)進(jìn)行研究,對有效打擊此類犯罪具有重要的現(xiàn)實(shí)意義。本文將對這些問題進(jìn)行梳理和研究,嘗試找出當(dāng)前最為有效的應(yīng)對措施。一、ddos攻擊DDOS攻擊者通過多種方式將惡意程序種植在互聯(lián)網(wǎng)主機(jī)上,被感染的主機(jī)組成一個規(guī)模龐大的僵尸網(wǎng)絡(luò),接受攻擊者的指令控制,向目標(biāo)網(wǎng)絡(luò)發(fā)起大流量DDOS攻擊。研究僵尸網(wǎng)絡(luò)的檢測技術(shù)是打擊DDOS攻擊的重要環(huán)節(jié)。(一)基于反匯編技術(shù)的僵尸檢測技術(shù)在僵尸網(wǎng)絡(luò)出現(xiàn)的最初階段,研究人員普遍采用蜜罐技術(shù)進(jìn)行檢測。蜜罐就是在互聯(lián)網(wǎng)上搭建一些存在不同類型、不同級別安全漏洞的計算機(jī),這些主機(jī)極易被攻擊者捕獲,成為僵尸網(wǎng)絡(luò)中的一臺“肉機(jī)”。通過這種方式,研究人員可以從僵尸網(wǎng)絡(luò)內(nèi)部觀察其通信流程,了解其控制機(jī)理,同時通過蜜罐捕獲僵尸樣本程序,利用反匯編技術(shù)研究其運(yùn)行、擴(kuò)散原理,有助于防御措施的形成。如果僵尸程序代碼中固化了控制服務(wù)器的域名或IP地址,還可以通過這一渠道關(guān)停涉案控制服務(wù)器,有效降低僵尸網(wǎng)絡(luò)的危害,甚至可以根據(jù)這一線索定位到幕后的實(shí)際操控者。但是,蜜罐技術(shù)發(fā)揮作用的前提是攻擊者發(fā)現(xiàn)蜜罐,并在其中種植僵尸程序,否則蜜罐無法發(fā)揮作用,因此它實(shí)際上是一種被動的檢測機(jī)制。同時,新型的僵尸網(wǎng)絡(luò)在擴(kuò)張時會有意識地判斷目標(biāo)是否為蜜罐裝置,進(jìn)而規(guī)避蜜罐的檢測機(jī)制。新型僵尸程序也不再固化控制服務(wù)器的域名和IP地址,而是采用更加靈活多變的方式去動態(tài)調(diào)整控制服務(wù)器的地址信息,這些因素都造成現(xiàn)階段蜜罐的實(shí)際檢測效率下降。(二)基于ddos技術(shù)的僵尸網(wǎng)絡(luò)檢測技術(shù)僵尸網(wǎng)絡(luò)的實(shí)際控制者(botmaster)通過控制服務(wù)器(C&Cservernetwork)實(shí)際操控僵尸網(wǎng)絡(luò)(botnet)向目標(biāo)主機(jī)(victim)發(fā)起DDOS流量攻擊。目前,僵尸程序很少采用IP地址直接與控制服務(wù)器聯(lián)系,而是通過域名映射機(jī)制來尋找控制服務(wù)器。僵尸主機(jī)在DNS解析之后才會發(fā)起攻擊,如果能在DNS解析環(huán)節(jié)進(jìn)行攔截,將可以有效阻止此類攻擊?；谶@一思路設(shè)計的解決方案是將這些域名預(yù)先綁定到授權(quán)DNS服務(wù)器上,建立一個“黑名單”機(jī)制。僵尸網(wǎng)絡(luò)控制服務(wù)器的域名可以通過反匯編僵尸樣本程序或是從網(wǎng)絡(luò)安全廠商渠道獲得。當(dāng)僵尸主機(jī)提出域名解析請求時,由于其請求解析的域名出現(xiàn)在“黑名單”中,DNS服務(wù)器會將這些域名解析為本地回路地址,導(dǎo)致僵尸主機(jī)不會實(shí)際發(fā)出攻擊流量,從而有效阻斷僵尸網(wǎng)絡(luò)的攻擊行為。這種方式還可以準(zhǔn)確判斷僵尸網(wǎng)絡(luò)的實(shí)際規(guī)模和僵尸主機(jī)的具體分布情況,同時可以確定控制服務(wù)器的具體位置。對于境內(nèi)的服務(wù)器可以采取行政手段通知相關(guān)管理機(jī)構(gòu)清除僵尸程序,或是關(guān)停相關(guān)服務(wù)器。對于境外服務(wù)器,可以通知國家網(wǎng)絡(luò)安全管理部門封堵控制服務(wù)器的IP地址,阻斷其與僵尸網(wǎng)絡(luò)的聯(lián)系通道。二、ddos攻擊的防御機(jī)制早期對抗DDOS攻擊的主要辦法是在邊界路由器上配置ACL規(guī)則來禁止攻擊流量,但是由于攻擊源主機(jī)數(shù)量眾多,并且發(fā)出的攻擊數(shù)據(jù)包通常采用虛假IP地址,因此ACL規(guī)則不能靈活地對抗DDOS攻擊。硬件防火墻可以防御一定量級的DDOS攻擊,但使用這種防御措施時,攻擊流量已經(jīng)到達(dá)網(wǎng)絡(luò)出口位置,當(dāng)流量達(dá)到G級別時,被攻擊網(wǎng)絡(luò)的出口帶寬將被整體耗盡,不管防火墻的處理能力多強(qiáng),總帶寬被耗盡,防火墻也無法發(fā)揮作用了,從外部看來整個被攻擊網(wǎng)絡(luò)實(shí)際上處于斷線狀態(tài)。因此,硬件防火墻不能有效應(yīng)對大流量DDOS攻擊。(一)基于流量近源清洗的ddos攻擊黑洞路由是運(yùn)營商早期普遍采用的抵制大流量攻擊的防御措施。當(dāng)攻擊發(fā)生時,可以在ISP邊界路由器上配置特殊的BGP路由通告,攻擊流量會被整體路由至黑洞。這種方式可以在攻擊流量到達(dá)目標(biāo)網(wǎng)絡(luò)之前將其遷移走,避免對網(wǎng)絡(luò)出口帶寬造成堵塞,從而達(dá)到一定的防護(hù)效果。但是由于合法數(shù)據(jù)混雜在攻擊流量中一并被路由至黑洞,造成合法用戶也無法訪問目標(biāo)網(wǎng)絡(luò),實(shí)際上間接地達(dá)成了部分攻擊目標(biāo)。圖1顯示的是目前中國電信等大型運(yùn)營商普遍采用的近源清洗機(jī)制,來自因特網(wǎng)的DDOS攻擊流量到達(dá)R1路由器后,R1會發(fā)布一條到達(dá)被攻擊目標(biāo)的BGP路由,ISP內(nèi)部路由器不會采納這條路由信息,也就是ISP內(nèi)部網(wǎng)絡(luò)達(dá)到IDC機(jī)房的正常通信數(shù)據(jù)不受影響。而在攻擊流量的進(jìn)入位置,即R2路由器會采納這條路由信息,將所有發(fā)往目標(biāo)主機(jī)的通信數(shù)據(jù)全部牽引至sinkhole路由器R3,這其中既有攻擊流量,也有合法用戶的正常通信流量。R3路由器不是簡單的將所有數(shù)據(jù)丟棄,而是將通信流量轉(zhuǎn)發(fā)給分析設(shè)備,經(jīng)過分析設(shè)備清洗之后的合法流量正常轉(zhuǎn)發(fā)給R1路由器,攻擊流量則被丟棄。這種方式是在最靠近攻擊源的位置實(shí)現(xiàn)流量遷移,避免了對目標(biāo)網(wǎng)絡(luò)帶寬造成阻塞,同時可以保證合法用戶仍可以正常訪問目標(biāo)服務(wù)器,有效降低DDOS攻擊造成的實(shí)際危害。(二)基于生物處理技術(shù)的平臺加速隨著互聯(lián)網(wǎng)的發(fā)展,用戶對瀏覽網(wǎng)站的速度和效果愈加重視。傳統(tǒng)的網(wǎng)絡(luò)訪問中,客戶在瀏覽器地址欄中輸入目標(biāo)網(wǎng)站的域名,經(jīng)過DNS服務(wù)器解析之后,世界各地的網(wǎng)絡(luò)用戶均去訪問相同的網(wǎng)站服務(wù)器。這導(dǎo)致距離較遠(yuǎn)的用戶,由于通信數(shù)據(jù)需要經(jīng)過較長距離傳輸,甚至跨越不同的運(yùn)營商,造成訪問速度遲緩,給用戶帶來不同體驗(yàn)。同時,由于所有用戶均訪問相同的源服務(wù)器,消耗服務(wù)器的出口帶寬,增加服務(wù)器的處理壓力。在峰值時段,甚至?xí)a(chǎn)生類似拒絕服務(wù)攻擊的效果。CDN是ContentDeliveryNetwork的縮寫,即“內(nèi)容分發(fā)網(wǎng)絡(luò)”。CDN加速一般是指加快用戶下載資源的速度或是加快用戶瀏覽網(wǎng)頁的速度。CDN加速的基本思路是盡可能避開因特網(wǎng)上所有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸,例如跨運(yùn)營商傳輸和遠(yuǎn)距離傳輸,使內(nèi)容傳輸更加快速、穩(wěn)定。在因特網(wǎng)的不同位置放置節(jié)點(diǎn)服務(wù)器,將網(wǎng)站內(nèi)容同步緩存在這些節(jié)點(diǎn)上,用戶訪問網(wǎng)站時,CDN調(diào)度系統(tǒng)能夠根據(jù)網(wǎng)絡(luò)流量和各節(jié)點(diǎn)的連接、負(fù)載狀況,以及到用戶的距離和響應(yīng)時間等綜合因素將用戶的請求重新定向到離用戶最近或是訪問效果最佳的節(jié)點(diǎn)服務(wù)器上,由該節(jié)點(diǎn)服務(wù)器為用戶提供內(nèi)容服務(wù)。相對于直接訪問源站,這種方式縮短了用戶和訪問內(nèi)容之間的網(wǎng)絡(luò)距離,實(shí)現(xiàn)了瀏覽速度的加快。開啟CDN加速不僅可以提升網(wǎng)站訪問速度,改善用戶體驗(yàn),更重要的是可以緩解集中訪問或黑客攻擊給服務(wù)器帶來的帶寬和資源消耗壓力。開啟CDN服務(wù)之后,各地的節(jié)點(diǎn)服務(wù)器從源站服務(wù)器獲取網(wǎng)站內(nèi)容,不同地區(qū)的用戶訪問最近的節(jié)點(diǎn)服務(wù)器,而不是直接訪問源站服務(wù)器,從而降低了源站服務(wù)器的處理壓力。目前大型互聯(lián)網(wǎng)企業(yè)普遍采用CDN加速機(jī)制預(yù)防DDOS攻擊,圖2說明了這種防御措施。某些類型DDOS攻擊,如SYNflood、CC攻擊需要與目標(biāo)服務(wù)器建立TCP連接,首先要進(jìn)行域名解析,此時因特網(wǎng)上的攻擊者和普通用戶一樣,他們將域名解析請求依次提交給本地DNS服務(wù)器和授權(quán)DNS服務(wù)器,授權(quán)服務(wù)器返回一個CNAME類型應(yīng)答報文,將用戶引導(dǎo)至調(diào)度服務(wù)器。調(diào)度服務(wù)器根據(jù)當(dāng)前各節(jié)點(diǎn)服務(wù)器負(fù)載情況,將用戶請求重定向到最近的且負(fù)載較輕的節(jié)點(diǎn)服務(wù)器上。通過將攻擊源分散到多個節(jié)點(diǎn)上可以有效降低攻擊威力,同時保護(hù)源站服務(wù)器不受影響。三、)快速定位攻擊源目前電信等運(yùn)營商采用netflow技術(shù)來對DDOS攻擊進(jìn)行溯源追蹤。分析溯源主要解決攻擊來源的準(zhǔn)確定位問題,黑客利用僵尸網(wǎng)絡(luò)發(fā)起DDOS攻擊時經(jīng)常會使用虛假源IP地址,使用常規(guī)的調(diào)查方法無法準(zhǔn)確溯源。電信運(yùn)營商擁有國內(nèi)骨干網(wǎng)絡(luò)資源,可以利用采集到的全網(wǎng)netflow數(shù)據(jù)找出攻擊發(fā)起點(diǎn)接入網(wǎng)絡(luò)設(shè)備的物理電路接口,進(jìn)而通過該接口準(zhǔn)確定位攻擊源,而不需要對源IP地址的歸屬地進(jìn)行推測判斷。但是這種方法的實(shí)施成本很高,無法大面積推廣。目前,常見的取證方法是在遭受DDOS攻擊的服務(wù)器端抓取網(wǎng)絡(luò)數(shù)據(jù)包,從中提取、分析出攻擊報文,進(jìn)而確定攻擊主機(jī)的IP地址。某些DDOS攻擊(如CC攻擊)由于必須與目標(biāo)服務(wù)器建立完整的TCP三次握手連接,因此這些攻擊必須使用真實(shí)的IP地址,對于這類攻擊可以使用抓包的方式確定攻擊者的IP地址,下面舉例分析。(一)提取數(shù)據(jù)的提取當(dāng)服務(wù)器出現(xiàn)運(yùn)行緩慢,CPU利用率明顯增高的情況,很可能遭受了DDOS攻擊,此時可以在服務(wù)器端抓取網(wǎng)絡(luò)通信數(shù)據(jù)包,分析存在的問題,嘗試找出攻擊者所處的網(wǎng)絡(luò)位置。在服務(wù)器端使用sniffer捕獲通信數(shù)據(jù),圖3為提取出的部分?jǐn)?shù)據(jù)包?？梢钥吹絀P地址為的主機(jī)向目標(biāo)服務(wù)器發(fā)送了大量數(shù)據(jù)庫查詢命令,這些查詢命令id變量的參數(shù)均為50。這些查詢命令導(dǎo)致服務(wù)器運(yùn)行速度緩慢。圖4給出了正常通信方式和藍(lán)天CC攻擊器通信方式的對比,可見正常情況下,客戶機(jī)與服務(wù)器通過TCP三次握手建立連接之后,才會提交一個HTTP-GET報文,請求瀏覽某個網(wǎng)頁。而藍(lán)天CC攻擊器在第二次握手之后,立即發(fā)出了HTTP-GET請求報文,即它剩去了一個通信數(shù)據(jù)包,這樣做的目的應(yīng)該是為了提高攻擊速度,增大攻擊威力。(二)dga算法分析近年來,僵尸網(wǎng)絡(luò)控制者為了躲避公安機(jī)關(guān)的打擊、確保僵尸網(wǎng)絡(luò)的控制通道暢通、普遍采用一種名為DGA(DomainGenerationAlgorithm)的域名生成算法。采用這種算法后,黑客主機(jī)不再使用唯一的固定域名,而是在不同時間生成多組域名,黑客只需提前注冊其中部分域名,即可實(shí)現(xiàn)對僵尸網(wǎng)絡(luò)的完全控制。由于不清楚DGA算法的實(shí)現(xiàn)細(xì)節(jié),網(wǎng)絡(luò)安全防護(hù)人員很難提前預(yù)測出惡意域名信息,進(jìn)而無法對僵尸網(wǎng)絡(luò)實(shí)施有效打擊。因此對DGA算法進(jìn)行破解,提前預(yù)測未來所有可用域名信息,對抑制僵尸網(wǎng)絡(luò),打擊此類犯罪有重要意義。目前DGA算法破解方法是將提取到的“僵木儒”惡意程序反編譯為匯編代碼,通過分析匯編程序鎖定DGA算法,再將其轉(zhuǎn)化為高級語言程序,運(yùn)行并輸出結(jié)果。但是,在大量匯編代碼中識別和定位出DGA算法需要消耗大量時間,取證分析難度較大。本文提出一種基于網(wǎng)絡(luò)數(shù)據(jù)包捕獲的DGA算法破解方法,這種方法的總體思路是將惡意程序在測試主機(jī)上運(yùn)行起來,同時捕獲惡意程序發(fā)出的網(wǎng)絡(luò)數(shù)據(jù)包,從中提取出DNS解析請求報文。DGA算法生成的惡意域名雖然處于動態(tài)變化狀態(tài),但是動態(tài)域名中的頂級域名部分一定是穩(wěn)定不變的,可以使用靜態(tài)源代碼分析工具在匯編代碼中搜索、定位到這組字符串,進(jìn)而快速、準(zhǔn)確地鎖定到DGA算法的核心代碼,提高分析效率。最后將匯編代碼轉(zhuǎn)化為可以直接運(yùn)行的C語言程序,輸出結(jié)果。下面通過一個具體實(shí)例分析這種DGA算法破解方法。將待檢測的僵尸程序在聯(lián)接互聯(lián)網(wǎng)的測試主機(jī)上真實(shí)運(yùn)行起來,同時使用wireshark捕獲測試主機(jī)收發(fā)的網(wǎng)絡(luò)數(shù)據(jù)包?？梢圆东@到僵尸程序發(fā)出大量域名解析請求報文,部分解析請求如圖5所示。通過分析這些報文發(fā)現(xiàn),僵尸程序共產(chǎn)生10個域名,每個域名的前6個字符固定為dqsdqs,第7個字符為a-j之間的某個字符,頂級域名為.biz或者.ch。在本次測試中這些域名解析請求均未得到響應(yīng),DNS服務(wù)器返回結(jié)果顯示查無此記錄,說明這些域名均處于注冊狀態(tài)。從捕獲數(shù)據(jù)包來看,這款僵尸程序疑似采用了DGA域名生成算法。通過分析捕獲的DNS請求報文,可以判斷出惡意程序生成的動態(tài)域名中1~3位是隨機(jī)字符,具體實(shí)現(xiàn)細(xì)節(jié)需要分析惡意程序匯編代碼確定;4~6位是前面1~3位隨機(jī)字符的復(fù)制;第7位字符為a~j之間的某個字符;最后連接一級域名.biz。通過分析域名結(jié)構(gòu)可以粗略得到DGA生成算法,如圖6-b所示。3位隨機(jī)字符的生成算法需要具體分析惡意程序的匯編代碼才能確定。從僵尸樣本程序中準(zhǔn)確定位DGA算法代碼是取證分析的關(guān)鍵環(huán)節(jié)。在本例中頂級域名為.biz和.ch。由于DGA算法在生成一個域名之前,一定會將二、三級域名字符串與頂級域名字符串連接起來。因此使用靜態(tài)逆向分析工具IDA-pro打開僵尸程序,搜索頂級域名字符串即可定位DGA算法的核心匯編代碼。在本例中搜索.biz或.ch可以定位DGA算法關(guān)鍵代碼,命中字符串附近區(qū)域匯編代碼即為DGA算法相關(guān)程序。將DGA算法的匯編代碼轉(zhuǎn)化為C語言程序的具體過程本文不進(jìn)行詳細(xì)闡述,運(yùn)行轉(zhuǎn)化得到的C程序,給定一個日期,即可得到該日期使用的所有惡意域名信息。如果生成的惡意域名數(shù)量較少,網(wǎng)絡(luò)安全管理人員可以提前注冊這些惡意域名,防止它們被黑客注冊。如果生成的惡意域名數(shù)量較多,可以將破解出的DGA算法預(yù)先綁定到DNS授權(quán)服務(wù)器上,當(dāng)收到來自僵尸主機(jī)的DNS解析請求時可以不進(jìn)行應(yīng)答,這在一定程度上可以阻斷僵尸網(wǎng)絡(luò)的控制通道。圖7顯示的是本例DGA算法破解程序的