利用僵尸网络攻击进行攻击检测的研究

利用僵尸网络攻击进行攻击检测的研究

ddos是英文ddos服务的缩写，即拒绝服务服务攻击。这意味着攻击者控制大量计算机在目标网络上发送大量服务数据，从而消耗网络带的宽度，并目标服务器系统资源。这是没有必要提供正常的服务功能的唯一目的。常见的攻击技术包括带宽攻击、资源耗尽攻击、慢速攻击和反射攻击。目前代表性的DDOS攻击技术主要包括:以SYNFlood洪水攻击为代表的带宽攻击、以CC攻击为代表的资源耗尽型攻击、慢速攻击和利用互联网服务器发起的DDOS反射放大攻击。DDOS攻击会造成网络服务器无法正常访问、网络通道堵塞,种植在受害者主机中的僵尸程序会窃取海量用户个人信息,可以说DDOS攻击对个人信息安全乃至国家互联网安全均构成严重威胁。自DDOS攻击出现以来,十余年时间里攻击技术和防御措施都在不断变迁,但是DDOS攻击并未得到有效治理,僵尸网络规模仍在不断扩张。对DDOS攻击技术、防御措施和追踪溯源技术进行研究,对有效打击此类犯罪具有重要的现实意义。本文将对这些问题进行梳理和研究,尝试找出当前最为有效的应对措施。一、ddos攻击DDOS攻击者通过多种方式将恶意程序种植在互联网主机上,被感染的主机组成一个规模庞大的僵尸网络,接受攻击者的指令控制,向目标网络发起大流量DDOS攻击。研究僵尸网络的检测技术是打击DDOS攻击的重要环节。(一)基于反汇编技术的僵尸检测技术在僵尸网络出现的最初阶段,研究人员普遍采用蜜罐技术进行检测。蜜罐就是在互联网上搭建一些存在不同类型、不同级别安全漏洞的计算机,这些主机极易被攻击者捕获,成为僵尸网络中的一台“肉机”。通过这种方式,研究人员可以从僵尸网络内部观察其通信流程,了解其控制机理,同时通过蜜罐捕获僵尸样本程序,利用反汇编技术研究其运行、扩散原理,有助于防御措施的形成。如果僵尸程序代码中固化了控制服务器的域名或IP地址,还可以通过这一渠道关停涉案控制服务器,有效降低僵尸网络的危害,甚至可以根据这一线索定位到幕后的实际操控者。但是,蜜罐技术发挥作用的前提是攻击者发现蜜罐,并在其中种植僵尸程序,否则蜜罐无法发挥作用,因此它实际上是一种被动的检测机制。同时,新型的僵尸网络在扩张时会有意识地判断目标是否为蜜罐装置,进而规避蜜罐的检测机制。新型僵尸程序也不再固化控制服务器的域名和IP地址,而是采用更加灵活多变的方式去动态调整控制服务器的地址信息,这些因素都造成现阶段蜜罐的实际检测效率下降。(二)基于ddos技术的僵尸网络检测技术僵尸网络的实际控制者(botmaster)通过控制服务器(C&Cservernetwork)实际操控僵尸网络(botnet)向目标主机(victim)发起DDOS流量攻击。目前,僵尸程序很少采用IP地址直接与控制服务器联系,而是通过域名映射机制来寻找控制服务器。僵尸主机在DNS解析之后才会发起攻击,如果能在DNS解析环节进行拦截,将可以有效阻止此类攻击。基于这一思路设计的解决方案是将这些域名预先绑定到授权DNS服务器上,建立一个“黑名单”机制。僵尸网络控制服务器的域名可以通过反汇编僵尸样本程序或是从网络安全厂商渠道获得。当僵尸主机提出域名解析请求时,由于其请求解析的域名出现在“黑名单”中,DNS服务器会将这些域名解析为本地回路地址,导致僵尸主机不会实际发出攻击流量,从而有效阻断僵尸网络的攻击行为。这种方式还可以准确判断僵尸网络的实际规模和僵尸主机的具体分布情况,同时可以确定控制服务器的具体位置。对于境内的服务器可以采取行政手段通知相关管理机构清除僵尸程序,或是关停相关服务器。对于境外服务器,可以通知国家网络安全管理部门封堵控制服务器的IP地址,阻断其与僵尸网络的联系通道。二、ddos攻击的防御机制早期对抗DDOS攻击的主要办法是在边界路由器上配置ACL规则来禁止攻击流量,但是由于攻击源主机数量众多,并且发出的攻击数据包通常采用虚假IP地址,因此ACL规则不能灵活地对抗DDOS攻击。硬件防火墙可以防御一定量级的DDOS攻击,但使用这种防御措施时,攻击流量已经到达网络出口位置,当流量达到G级别时,被攻击网络的出口带宽将被整体耗尽,不管防火墙的处理能力多强,总带宽被耗尽,防火墙也无法发挥作用了,从外部看来整个被攻击网络实际上处于断线状态。因此,硬件防火墙不能有效应对大流量DDOS攻击。(一)基于流量近源清洗的ddos攻击黑洞路由是运营商早期普遍采用的抵制大流量攻击的防御措施。当攻击发生时,可以在ISP边界路由器上配置特殊的BGP路由通告,攻击流量会被整体路由至黑洞。这种方式可以在攻击流量到达目标网络之前将其迁移走,避免对网络出口带宽造成堵塞,从而达到一定的防护效果。但是由于合法数据混杂在攻击流量中一并被路由至黑洞,造成合法用户也无法访问目标网络,实际上间接地达成了部分攻击目标。图1显示的是目前中国电信等大型运营商普遍采用的近源清洗机制,来自因特网的DDOS攻击流量到达R1路由器后,R1会发布一条到达被攻击目标的BGP路由,ISP内部路由器不会采纳这条路由信息,也就是ISP内部网络达到IDC机房的正常通信数据不受影响。而在攻击流量的进入位置,即R2路由器会采纳这条路由信息,将所有发往目标主机的通信数据全部牵引至sinkhole路由器R3,这其中既有攻击流量,也有合法用户的正常通信流量。R3路由器不是简单的将所有数据丢弃,而是将通信流量转发给分析设备,经过分析设备清洗之后的合法流量正常转发给R1路由器,攻击流量则被丢弃。这种方式是在最靠近攻击源的位置实现流量迁移,避免了对目标网络带宽造成阻塞,同时可以保证合法用户仍可以正常访问目标服务器,有效降低DDOS攻击造成的实际危害。(二)基于生物处理技术的平台加速随着互联网的发展,用户对浏览网站的速度和效果愈加重视。传统的网络访问中,客户在浏览器地址栏中输入目标网站的域名,经过DNS服务器解析之后,世界各地的网络用户均去访问相同的网站服务器。这导致距离较远的用户,由于通信数据需要经过较长距离传输,甚至跨越不同的运营商,造成访问速度迟缓,给用户带来不同体验。同时,由于所有用户均访问相同的源服务器,消耗服务器的出口带宽,增加服务器的处理压力。在峰值时段,甚至会产生类似拒绝服务攻击的效果。CDN是ContentDeliveryNetwork的缩写,即“内容分发网络”。CDN加速一般是指加快用户下载资源的速度或是加快用户浏览网页的速度。CDN加速的基本思路是尽可能避开因特网上所有可能影响数据传输速度和稳定性的瓶颈,例如跨运营商传输和远距离传输,使内容传输更加快速、稳定。在因特网的不同位置放置节点服务器,将网站内容同步缓存在这些节点上,用户访问网站时,CDN调度系统能够根据网络流量和各节点的连接、负载状况,以及到用户的距离和响应时间等综合因素将用户的请求重新定向到离用户最近或是访问效果最佳的节点服务器上,由该节点服务器为用户提供内容服务。相对于直接访问源站,这种方式缩短了用户和访问内容之间的网络距离,实现了浏览速度的加快。开启CDN加速不仅可以提升网站访问速度,改善用户体验,更重要的是可以缓解集中访问或黑客攻击给服务器带来的带宽和资源消耗压力。开启CDN服务之后,各地的节点服务器从源站服务器获取网站内容,不同地区的用户访问最近的节点服务器,而不是直接访问源站服务器,从而降低了源站服务器的处理压力。目前大型互联网企业普遍采用CDN加速机制预防DDOS攻击,图2说明了这种防御措施。某些类型DDOS攻击,如SYNflood、CC攻击需要与目标服务器建立TCP连接,首先要进行域名解析,此时因特网上的攻击者和普通用户一样,他们将域名解析请求依次提交给本地DNS服务器和授权DNS服务器,授权服务器返回一个CNAME类型应答报文,将用户引导至调度服务器。调度服务器根据当前各节点服务器负载情况,将用户请求重定向到最近的且负载较轻的节点服务器上。通过将攻击源分散到多个节点上可以有效降低攻击威力,同时保护源站服务器不受影响。三、)快速定位攻击源目前电信等运营商采用netflow技术来对DDOS攻击进行溯源追踪。分析溯源主要解决攻击来源的准确定位问题,黑客利用僵尸网络发起DDOS攻击时经常会使用虚假源IP地址,使用常规的调查方法无法准确溯源。电信运营商拥有国内骨干网络资源,可以利用采集到的全网netflow数据找出攻击发起点接入网络设备的物理电路接口,进而通过该接口准确定位攻击源,而不需要对源IP地址的归属地进行推测判断。但是这种方法的实施成本很高,无法大面积推广。目前,常见的取证方法是在遭受DDOS攻击的服务器端抓取网络数据包,从中提取、分析出攻击报文,进而确定攻击主机的IP地址。某些DDOS攻击(如CC攻击)由于必须与目标服务器建立完整的TCP三次握手连接,因此这些攻击必须使用真实的IP地址,对于这类攻击可以使用抓包的方式确定攻击者的IP地址,下面举例分析。(一)提取数据的提取当服务器出现运行缓慢,CPU利用率明显增高的情况,很可能遭受了DDOS攻击,此时可以在服务器端抓取网络通信数据包,分析存在的问题,尝试找出攻击者所处的网络位置。在服务器端使用sniffer捕获通信数据,图3为提取出的部分数据包。可以看到IP地址为的主机向目标服务器发送了大量数据库查询命令,这些查询命令id变量的参数均为50。这些查询命令导致服务器运行速度缓慢。图4给出了正常通信方式和蓝天CC攻击器通信方式的对比,可见正常情况下,客户机与服务器通过TCP三次握手建立连接之后,才会提交一个HTTP-GET报文,请求浏览某个网页。而蓝天CC攻击器在第二次握手之后,立即发出了HTTP-GET请求报文,即它剩去了一个通信数据包,这样做的目的应该是为了提高攻击速度,增大攻击威力。(二)dga算法分析近年来,僵尸网络控制者为了躲避公安机关的打击、确保僵尸网络的控制通道畅通、普遍采用一种名为DGA(DomainGenerationAlgorithm)的域名生成算法。采用这种算法后,黑客主机不再使用唯一的固定域名,而是在不同时间生成多组域名,黑客只需提前注册其中部分域名,即可实现对僵尸网络的完全控制。由于不清楚DGA算法的实现细节,网络安全防护人员很难提前预测出恶意域名信息,进而无法对僵尸网络实施有效打击。因此对DGA算法进行破解,提前预测未来所有可用域名信息,对抑制僵尸网络,打击此类犯罪有重要意义。目前DGA算法破解方法是将提取到的“僵木儒”恶意程序反编译为汇编代码,通过分析汇编程序锁定DGA算法,再将其转化为高级语言程序,运行并输出结果。但是,在大量汇编代码中识别和定位出DGA算法需要消耗大量时间,取证分析难度较大。本文提出一种基于网络数据包捕获的DGA算法破解方法,这种方法的总体思路是将恶意程序在测试主机上运行起来,同时捕获恶意程序发出的网络数据包,从中提取出DNS解析请求报文。DGA算法生成的恶意域名虽然处于动态变化状态,但是动态域名中的顶级域名部分一定是稳定不变的,可以使用静态源代码分析工具在汇编代码中搜索、定位到这组字符串,进而快速、准确地锁定到DGA算法的核心代码,提高分析效率。最后将汇编代码转化为可以直接运行的C语言程序,输出结果。下面通过一个具体实例分析这种DGA算法破解方法。将待检测的僵尸程序在联接互联网的测试主机上真实运行起来,同时使用wireshark捕获测试主机收发的网络数据包。可以捕获到僵尸程序发出大量域名解析请求报文,部分解析请求如图5所示。通过分析这些报文发现,僵尸程序共产生10个域名,每个域名的前6个字符固定为dqsdqs,第7个字符为a-j之间的某个字符,顶级域名为.biz或者.ch。在本次测试中这些域名解析请求均未得到响应,DNS服务器返回结果显示查无此记录,说明这些域名均处于注册状态。从捕获数据包来看,这款僵尸程序疑似采用了DGA域名生成算法。通过分析捕获的DNS请求报文,可以判断出恶意程序生成的动态域名中1~3位是随机字符,具体实现细节需要分析恶意程序汇编代码确定;4~6位是前面1~3位随机字符的复制;第7位字符为a~j之间的某个字符;最后连接一级域名.biz。通过分析域名结构可以粗略得到DGA生成算法,如图6-b所示。3位随机字符的生成算法需要具体分析恶意程序的汇编代码才能确定。从僵尸样本程序中准确定位DGA算法代码是取证分析的关键环节。在本例中顶级域名为.biz和.ch。由于DGA算法在生成一个域名之前,一定会将二、三级域名字符串与顶级域名字符串连接起来。因此使用静态逆向分析工具IDA-pro打开僵尸程序,搜索顶级域名字符串即可定位DGA算法的核心汇编代码。在本例中搜索.biz或.ch可以定位DGA算法关键代码,命中字符串附近区域汇编代码即为DGA算法相关程序。将DGA算法的汇编代码转化为C语言程序的具体过程本文不进行详细阐述,运行转化得到的C程序,给定一个日期,即可得到该日期使用的所有恶意域名信息。如果生成的恶意域名数量较少,网络安全管理人员可以提前注册这些恶意域名,防止它们被黑客注册。如果生成的恶意域名数量较多,可以将破解出的DGA算法预先绑定到DNS授权服务器上,当收到来自僵尸主机的DNS解析请求时可以不进行应答,这在一定程度上可以阻断僵尸网络的控制通道。图7显示的是本例DGA算法破解程序的