防范DDoS的路由器转发层面措施

1、防范DDoS的路巾器转发层面措施肖敏（绵阳师范学院物理与电子工程学院四川绵阳621000）摘 要 介绍了 DD o攻击以及针对路由器的0攻击的原,分析了目前Do敏击研究现状业界针对 路由器防范D o攻击的常规做提出了一种在控制面结合网络处流量管理的DD o的防御手段在路由 器转发面上通过对控制消息报文的分离处理来保证控制消息和路由不受恶意击报文彪响通 过协议报文的分类和优级的区分来保证重要报文的调度。关键词 DD oS;网络处理器流量管理；分离中图分类号 T P393 文献标识码 A文章编亏：1672-612x（ 2010） 02-0084-040引言DDoS（分布式拒绝服务）是一种基于DoS

2、（拒绝服务）的分布和协作的大规模攻击方式。它并非针对主 机或网络设备的漏洞进行攻击而是利用网络上数量众多的傀儡机向同一目标发送大量数据M达到消 耗目标网络或者主机资源使合法用户被拒绝服务的目的1。1研究现状由于IP网络的开放性，各种网络设备也成为DDoS攻击的对象。由于路由器需要对用户报文进行较 深入的分析处理也易于遭受攻击而路由器所处的网络位置较高因此对路由器的攻击造成的网络故障 也具有更大的破坏性。路由器通常是嵌入式系统自身对外开放的业务和服务非常有限针对路由器的DDoS攻击通常有两 种:一种是针对性的DDoS攻击。这种攻击首先通过对设备进行服务端口扫描或利用公认开放的各种服务 端口，采用

3、TCP SYN F lood TCP RST F lood P i ng F loo等各种具有明确到攻击目标的目的地址的报文对设 备的服务端口发起大量的攻击报文致使设备相关资源被大量消耗无法对正常的用户提供服务另一种 是利用各种机制中的漏洞如TTL = 1报文、ARP /RARP报文、广播报文、组播报文上送等协议机制漏发 起大量不具有明确的攻击目标的报文这种方式同样可以造成路由器的CPU资源被大量消耗从而影响正 常服务的提供。由于各种DDoS攻击层出不穷，难于防范，而路由器设备的智能能力有限对攻击的防护手 段不多,目前DDoS攻击是路由器面临的最大安全威胁2。DDoS研究人员提出多种防范方法其

4、分类机制较为多样化。按照功能特征可以分为基于验证的方法 和基于包过滤的方法。基于验证的方法以Capab ilities, I3等为代表,其主要原理是在发送方和接受方之 间建立认证机制;基于包过滤的方法主要原理则是根据检测到的网络拥塞程颇过实现响应机制丢弃攻 击包来进行速率限制从而减弱DDoS对攻击目标的破坏。代表有LACC （ LocalAggregated- based Congest ion Con troF和）Pushback机制 4。在转发面和控制面分离的路由器上针对路由器的DDoS攻击，其主要对象是控制面上的CPU。现阶 段业界通常采用在转发面上实现访问控制列表ACL ）单播反向路径

5、转发（uRPF ）承诺访问速率（CAR ） 等技术来防范DDoS攻击5;在控制面上则有上送报文服务模块来对转发面上送的报文进行监控和,分析 并根据分析结果动态调整防范策Bddos攻击器 HYPERLINK / /2路由器针对DD oS的防御措施DDoS攻击路由器,主要是攻击控制面的CPU。而控制面CPU主要负责路由计算以及系统管理等重要 工作，因此控制面CPU的安全在路由器中具有极其重要的意义。虽然攻击是针对控制面CPU，但是要防范 DDoS,则需是整个路由器系统的联动，需要在系统结构,底层操作系统，转发面和控制面做充分的考虑。6 本文重点研究讨论的是在控制面结合NP和TM应对DDoS的措施，

6、主要工作包括在路由器逻辑架构 设计上将协议报文通道和控制消息通道分离，在NP上实现对协议报文的分类和过滤，在TM上实现对协议 报文的调度和监管。211协议报文通道和控制消息通道分离对于那些控制消息通道和协议报文通道没有分离的路由器当受到DDoS攻击时，控制面CPU和转发 面NP之间的通道会完全被恶意攻击报文占据，控制消息完全湮没在恶意攻击报文中，从而导致路由器不 能及时对攻击做出反应,进而导致正常的服务不能被响应。刀图1是本文所考虑采用的协议报文通道和控制消息通道完全分离的路由器的结构。控制面的H ost CPU具有两个相互独立的网口:一个网口通过内部以太网交换和NP和TM连接，进行控制信息的

7、交互和 路由信息的更新;另一个网口则直接和TM相连,协议报文经过NP的分类和过滤，TM的调度和监管后被 送到H ost CPU。另外H ost CPU的运行状况也通过反压信号传递给TM,改变TM的相关配置,使送到H ost CPU的报文始终在其处理能力范围内ddos攻击器 HYPERLINK / /DRAM日*RJ45PHYsfcal.FL .MACSr SFPFUYskaJNelwork ProcessorTrafficMfiDagcment在这种结构方式中,当路由器受到DDoS攻击时，路由器内部的控制消息和路由信息更新完全不受恶 意攻击报文的影响。因此路由器发现受到攻击时，能够迅速通过控制

8、消息通道来改变配置信息，以达到及 时调整防范策略的目的。EibcmiSwitchGEHost CPU图1协议报文通道和控制消息通道分离的路由器结构F ig. 1 T he arch itecture of router contain ing Independent P rotocol packet path and Contro Im essag e path212协议报文的分类和过滤21211协议报文的分类协议报文分类的目的是为了让报文进入TM后获得不同的调度。NP在Ingress上收到的包是从路由 器接口经过PHY和MACs处理后的报文,NP通过解析二层头和三层头会发现报文是应该被转发还

9、是上送 H ost CPU处理。例如收到一个ARP请求报文,而目的IP正是路由器接口的IP那么这个报文就需要送到 百盖&报文的优先应应该显然岬不是所有上优先级oi低pu的协议报文都应该具有同样的优先级，例如表1是部分本文所采用的协议报文的分类优先级设置。通过分类能够将重要的协议报文和次要的协 议报文区分开，从而使其在TM中获得不同的对待。分类设置里的4个级别对应于TM中的第一级调度点 中的4个队列，而这4个队列是按照严格优先来进行调度的从而保证了重要报文能够优先获得调度。表1协议报文内部优先级T ab. 1 Interna l P r ior ity of P rotoco l packet类

10、型访问业务最高高中低单播路由协议R IP /O SPF /ISIS /BG PK组播路由协议P IMK用户协议DHCP / IGM PKIP v6邻居发现 /ARP /RARPK其他用户报文IPv4TTLj、于等于 1KIP v6HO PL IM、于等于 1KIPv4选项包 分片包KIPv6 N ex tH eade等 于 0K21212协议报文的过滤对于一些直接攻击高等级业务的DDoS攻击，简单地通过分类并不能有效防御。因此在本文中还采用 了 ACL对协议报文进行过滤。ACL条目是可以通过静态配置或控制面上送服务模块动态生成。控制面的 上送服务模块对上送的报文进行分析若在一定时间窗口内发现某

11、一条流按五元组区分）上送CPU的次 数超过规定的话则会通过控制消息通道下发一个条目通知NP丢弃该流，从而实现对该攻击流的过滤。如果NP在查ACL过滤表时返回的是通过那么该报文则会被赋予分类设置中的最高优先级而如果 返回的是失败，则直接丢弃该报文对于那些不需要做ACL的报文则按照分类设置中的对应的优先级处 理 ddos 攻击器 HYPERLINK http:/www.blddos.eom/o http:/www.blddos.eom/o 213协议报文的调度和监管通过NP对协议报文进行分类和过滤后报文被送到分类设置所对应的TM的队列中。TM中有512个 队列用于协议报文的调度调度共分为3级。如图

12、2所示。第一级按每4个队列为一 组进行调度共128个调度点。 每组内的4个队列按照严格优 先进行调度，分类设置中的4 个等级就跟这4个队列一一对 应。每个队列都有单令牌桶来 进行流量监管。只有令牌桶中 有令牌时，队列中的报文才能 得到调度，否则就被丢弃。图2 TM三级调度和流量监管模丁 F ig. 2 TM m odel of 3 leve l Schedu ling and T ra ffic Po lic ing第二级共用64个调度点， 第一级到第二级的映射关系是 灵活配置的，甚至可以将第一 级调度后的128个队列全部映 射到某个第二级调度点上。第 二级的每个调度点都带有双令 牌桶进行流量

13、监管并可以配 置2级严格优先（PQ ），在同一 个优先级内部则可以配置为轮转(RR)或加权公平调度(WFQ )。第二级调度点的调度逻辑如表2所示。表2第二级调度点逻辑T ab. 2 2nd Scheduling node. s log ic队列C桶E桶配置优先级有报文有令牌不关心HiHi有报文有令牌不关心LoLo有报文无令牌有令牌不关心Lo有报文无令牌无令牌不关心X无报文不关心不关心不关心XX表示该报文不会获得调度或被丢弃第三级只有一个调度点,第二级的全部64个队列都映射到该调度点上。第三级调度点的内部结构和 第二级调度点是一致的。TM中除了 3级调度和流量监管外，还能够根据CPU的反压信号，

14、通过控制消息通道来动态调整TM 的各种参数，如令牌桶的CIR, P IR配置优先级的H ,i L。等,从而实现不同的防范策略。3结束语DDoS攻击是目前网络的严重威胁，而针对路由器的DDoS攻击则会造成更为严重的网络灾难。本文 在关注DDoS的攻击、针对路由器的攻击原理、DDoS目前的研究现状以及业界对路由器防范DDoS攻击的 常用手段基础上,重点研究了本文所提出的在路由器中防范DDoS攻击的相关技术。参考文献：祝瑜设备级Do攻击防御研究A . 20(年北京地区高校研究生学术交流会论文北京2008: 1673- 1679.孙知信李清东路由器端防范Do攻击机制综述J南京邮电大学学报然科学版200

15、7, 27( 1): 89- 96.M atth ias Bossardt, aTEbendfcr, Bernhard P lattner. Enhancedy JbyeanbtsSeibufled ctoahsericebased on tra ffic ow nersh ip J. J ournal of N etw ork and CoppUtetions, 2007,30: 1084- 8045.G oodrich, M. T. P robab ilistic P acketM arkilBjJPf3rdacejbackca. IEEE /A CM T ransactio on N e

16、twork2008, 16: 1063- 6692.De feating DDOS A ttacks EB /OL . http: coww/wi /U S /pBodr/cq)ndeps5879 /ps6264 /ps5888/ prod_ w hite_paper0900aecd8011e927. htn2Q08- 11- 03.InteiXP2800 N etMocrksPoEB /Q Lhttp: / /deper. itteom /design /faeproducts/npfaimpi2800： htm, 2002- 09- 25.AM CC, np7510 10 Gbps N e

17、two rk P ro cessor EB /卜；/www. am cc. com. 2003- 05- 20.Sang Su L ee, Wng L ee, Y ong Sung Jeon. Imp lem enting H igtPPfe Boirenraniiag C av ium. s CN 2560 Secur ityP rocessor J. Proceed ing s of W orld A cademy of Science. Eng ineering and T edKnoJogyol 9.DD oS Defense in Router sForwarding P laneX

18、IAO M in(School of Physics and E lectronic Eng i neering, M ianyang Norm al Un iversity, M ianyangS ichuan 621000)Abstract: T h is paper introduces DDoS attacks and the princip le of DDoS attacks aga inst the rou ter, ana lyzes the current research status and the comm on m eans i ndustry em ployed to defense DDoS attacks agai nst the rou ter, and g ives a DDoS defense comb ining netw ork processo r and traf