网络设备参与的DDoS防御系统的构建与仿真

为维护网络空间安全秩序，《中华人民共和国网络安全法》中对网络安全的监测预警机制进行了明确规定，维 护网络安全秩序，应对网络安全威胁，并力争防患于未然。网络安全监测技术为此提供强有力支撑，通过网络安全 态势感知、网络流量监测、网络威胁预警、网络攻击溯源等，保障网络空间高效、稳定、安全运行。本期主题专栏围 绕网络攻击防御仿真、工控网络安全监测分析及溯源、机动通信网络仿真、抗量子加密技术、 技术等 力量。

本期专栏组稿人：中国科学院计算技术研究所网络技术研究中心主任、研究员谢高岗技术

威胁感知监测

势，希望能够为动网络安全监测技术发展，构建清朗的网络空间贡献一份

网络设备参与的DDoS防御系统的构建与仿真+

张錦辉张文秀2

(1.华为技术有限公司南京研究所，江苏南京210012;2.南京审计大学审计学院，江苏南京211815)

摘要：分布式拒绝服务（DD+)攻击严重威胁网络安全，现有DD+防御方法存在被攻击时防御能力不足，无攻击时能力浪费 问题。通过在发生DD+攻击时，通知互联网服务提供商（ISP)将已发现的攻击元组流量在网络中短暂丢弃的方式，可以在保证

D D 〇 S防御的前提下，显著减少防御能力部署。仿真实验表明，对已知的攻击元组流量丢弃合理的时长，即可在仅检测0. 55 %攻

击流量的前提下，阻止99.9%的攻击流量。同时，合法流量只有2%因误判被阻塞，防护对象的负载相对正常情况下仅上升

1.77%c。

关键词：分布式拒绝服务*攻击防御*网络安全*互联网服务提供商中图分类号：TP309

文献标识码：A

DOI： 10. 19358/j. issn. 2096-5133. 2019. 01.001

引用格式：张锦辉，张文秀.网络设备参与的DD+防御系统的构建与仿真[J].信息技术与网络安全，2019,38(1):1-6.

Construction and simulation of network equipment participating in DDoS defense system

Zhang Jinhui1，Zhang Wenxin2

(1. Nanjing Research Institute，Huawei Technologies Co.，Ltd.，Nanjing 210012，China;

2. School of Government Audit，Nanjing Audit University，Nanjing 211815，China)

Abstract: Distributed Denial of Service ( DDoS) attacks seriously threaten network security. Existing DDoS defense methods have problems that insufficient defense capabilities when atacked，and waste of ability when witliout attack. When a DDoS atack occurs，the ISP is notified to tem­porarily discard the discovered atacking tuple traffic in the networls，which can significantly reduce the defense capability requirement while en­suring DDoS defense. Simulation

experiments

show

that

99. 9% of

the

attack

traffic

can be

block

traffic under the premise of the known attacking tuple traffic is discarded for a reasonable period of time. At the same time，only 2% of the nor­mal traffic is blocked due to misjiidgment，and the load of the protection object only rises by 1.77% compared with normal.Key words ： distrilDuted denial of service ； atack defending ； networls security ； internet service provider

〇引言

分布式拒绝服务（Distributed Denial of Service，

D D 〇S)攻击指将若干个傀儡计算机联合起来作为攻击 S台，对一个或多个目标发动攻击，从而成倍

绝服务攻击的威力。

被DDoS攻击时，攻击者向网络中充斥大量的无用 的 通信;或 陷，

，造成网络拥塞，使受害主机

受害主机 所有合

机。

1

正

的缺

会造成系统

高拒的服务、 ；

高速地发出特定的服务请求，使受害主机无法

*基金项目：江苏省教育厅高校哲学社会研究项目（2016SJB630046);南京 审计大学审计研究基金（GAS161026)

《信息技术与网络安全》2019年第38卷第1期

IT INI S 主题专栏：网络安全监测技术• A/efvvor/c secur/fy /r7〇A7/fo/7A7g fec/7A7〇/og/

近年来DD+攻击流量越来越大。2013年针对

Spamhoush组织的攻击流量超过300 Gb/s，巨大的攻击

流到云清洗中心进行清洗。清洗后，通过通用路由封装 协议（Generic Routing Encapsulation，GRE)隊道把清洗后 的

回注到防护对象网络中。云 的 进行 但是饱

，正

，

，但因为

回

以协调使用云

对

：流

分布在多地，

造成欧洲Tier-1 攻击多达！） ；2018年3 流量达到了 1.7 Tb/s。

网络拥塞;2014与

对

的攻击

[

公司受到的攻击超过400 Gb/s #2015年超过100 Gb/s的

，对带宽的需求很大。

效果好，

另外，现有防御措施在带宽、性饱

受害主机

将 1所

。，在互

户长时间得不到服务。

当大量的DD+攻击流从傀儡主机发往受害主机 时，防御

攻击

主流的DD+S攻击防

(

1

1和路由器2$上、攻击检测设备、 将防护对象的

设备下发

设备。通过攻击

略。

设备，

边

，性能、准确性急剧下降，导致系统能力恢

联网数据中心（Internet Data Center，IDC $核心路由器 测与控制系统（Abnormal Traffic Inspection and Control，

ATIC)

分光或 ，

发现流量中有异常后，上报被攻击-到ATIC管理中 界网关协议（Border Gateway Protocol，BGP)路由通告， 清洗中心将被攻击I链

， 高，

的流量重定向至自身，并通过多

，将合

回注到原

图2

云清洗DD0S攻击防御方法

层过滤防御技术，丢弃攻击

。这种方式可以跟踪报文 发往防护对象的

除了集中部署DDoS防御能力和云清洗能力外，文 献[1]研究了 DDoS防御的 的

，

漏斗的

位置。从 3

集于受害

以看 ，类

，DD〇S攻击流呈漏斗状：攻击流产生于一个分布式

；攻击

精度高，并且可以在攻击发生数秒后发现攻率低，

设备

设备需要随现网物理链路扩成为瓶颈，对判断攻击的算法

击流量，快速做出反=。缺点是ATIC设备独享，成本 容。并且，

比较高。

似漏斗狭窄的底部。因此受害者网络能观察到所有的 攻击报文，检测到DD〇S攻击相对容易。而在攻击源网 络，除非该网络有大量攻击源，否则很难检测到D D 〇 S 攻击。与攻击 的大

，

受害者，越多的合法报

。在一

t

文将被误判丢弃，攻击过滤的有效性

DD〇S攻击中，受害者网络

联网服务

提供商（Internet Service Provider，ISP)网络往往被迫将 所有发往受害者的报文丢弃，因

合

文

率

(Normal Packet Survival Ratio，NPSR)值接近于零。

对DDoS防御的效果主要取决于以下两个参数[2]:(1) 误判率（False Positive Ratio，FPR):被误判成攻击 文 的 合 比值；

图1

主流的DD0S攻击防御方法

文 的 目 与 所 有 合 文 目 的

(2) 漏判率（False Negative Ratio，FNR):被误判成合 比

文的攻击报文的数目与所有攻击报文数目的。

一个有效的DDoS攻击检测机制必须使这两个值

。

应

为扩展流量清洗能力，随着云计算技术的成熟，云 式出现， ，发布

2

2所。当本防护系统

对DD〇S攻击时，可以请求云清洗。云清洗中心收到请

，将目的地是受攻击地址的：引

《信息技术与网络安全》2019年第38卷第1期

A/efwor/c seci/r/Yy mo/i/for/ng tec/7/?o/ogy • IT N S 主题专栏：网络安全监测技术

源设备可以通过与IDC .

的ISP网络

合作，

根据攻击源-地址或攻击流量来向，确定攻击报文来自 哪个ISP。由攻击缓解设备通知该-P中的ATIC，对这 的攻击报文进行

。假设图4中攻击傀儡机1具有

公网IP1、媒体访问控制地址（Media Access Control Ad­

dress ， MAC )， 被攻击对象的 IP 为 IP0 ， 提供 HTTP 服务。

在傀儡机1发起攻击后，-C攻击检测设备发现（源IP 地址I1，目的I

图3

可能的DDoS防御部署点

地址I0,协议HTTP)的攻击三元组 。

!。则通知 IP4 的 ATIC 对元组！（IP1，IP0，HTTP)UV 攻击

IP中的ATIC管理中心控制攻击检测设备检测对

DDo攻击的特点是分布式攻击，攻击的组织者会

尽可能地调集 击限大。而

受 。

本过高，无攻击

对

DDoS防御系统。

网络资源进行攻击，因而

防御 性、可以

。

的资源来

攻

F

是有成本的，必

成

防护对象的攻击。有了防护对象ATIC检测到的元组 的信息，ISP网络攻击

设备

以很容易地从海量

攻击流量，并验证是否为攻击流量。确认

对防护对象的攻击后，根据攻击源、攻击对象、元组^ 等，生成攻击的元组\"（IP1，IP0，HTTP)。（实际工作 ，元组内容也可以是（设备号/物 链接的物 址，

）。）

、攻击

防护对象的

，

进而

攻击

，防护对象，以及被\"1算出的报文

）、（MAC，防对象IP地，对该攻击

目标的

导致DDoS防御能力要么不足， 源过度 ，本文

一种网络设备参与的

进 行 的

。

，

ISP网络中网络设备阻断：元

的

从而 1

， 分 布 式 对 DDoS 攻 击

、

对ATIC攻击

网络设备参与的DDoS防御系统

系统由IDC DDoS防护和ISP DDoS防护两部分构

1.1系统构成

成。IDC的DDoS防护由ATIC管理中心、攻击检测、攻 击

ATIC

攻击傀

儡机1

攻击傀儡机2

一个合适的Block!指网络设备对符合指 起，#秒内该

网络

。

的网络报文不

ATIC_

不进行转发）时长#。通知网络控制器，从当前时刻

发。

发来的消息，在对

、 攻 击 源 构 成 。 ISP 网 络

、攻击

攻击傀

儡机3

的 DDoS 防构成，如图4所

攻击傀偏执6

攻击傀儡机w

、网络

攻击傀儡机4

攻击傀儡机5

应的网元上通过“访问控制列表\"（Access Control List，

ACL)等手段，将符合该元组特征的报文在#时长内丢

弃。通知防护对象ATIC管理中心，元组\"被过滤。网 4

丢弃时间、报文 对象造成影响。

#时长过后Block自动解除，攻击检测设备根据汇 总的

，！

B lock数据、

该

、报文大小，发

文被丢弃的信息，如

ATIC

。

至此，该攻击源的攻击被IP滤，将不会对防护

的报文，判断攻击是否

滤的报文数、大

以判断攻击是否

F

收的报文以

的

、分布与攻击

在），如果攻击源已经不再向防护对象进行攻击，或正

，则不再Block该元组，防御成功结束。如果仍 攻击，则 重复以

13 系统工作机制：

IDC的DDoS防护一直在检测是否有针对防护对

计算该 的过滤时长。

程，当该攻击源不再进行攻击，#时长过后，

将不再Block该元组，恢复正常。

IDCATIC收集各个IP报告的过滤信息、频率，自

象的攻击。当DDoS攻击开始时，攻击流量逐渐增加， 攻击

会被IDC中攻击

设备发现。

，攻击

身发现的攻击 、频率，判断攻击发展趋势，进一步

采取后续措施。比如：当攻击下降到一定程度，则不需

《信息技术与网络安全》2019年第38卷第1期 ％

IT INI S 主题专栏：网络安全监测技术• A/efvvor/c secur/fy /r7〇A7/fo/7A7g fec/7A7〇/og/

要-P配合，完全由-CAT-进行防护。

对所有的攻击源都执行以 同时，考虑到不管何种攻击 判，导致正 间#应

以

消耗大的集 以按照较低 -P的防 不会 设备

户

情况进行设计，

程，攻击可以被发

。

，总会有误对攻击

长

起域的-P过滤，减少对防护对象的

见，随着Bl+k时间的增加，攻击成功次数逐渐下降;

FNR越低，同样Bl+k时长下，攻击成功次数越少;510 ms

时，FNR 10/就可以取得99. 78/的拦截成功率；相对

FNR算法自身90/的检测率提高了 9.78/ ;1 120 ms

，而得不到服务，Bl+k时时，FNR10/就可以取得99.90/的拦截成功率;1 100 ms 以

，

FNR1/、6/、10/的差别不是很大。这说明发现

时间地Bl+k，对误判的攻击尽可能减少Bl+k时间。

程，对防护对象的攻击流量会被攻击

-CUV ，以降低成本。

建设可以以自身的网络规模、用户

，

以

网络，没有资源

，不会形成处理瓶颈。-C的ATIC

源的-P过滤，而不是集

攻击后，对攻击的元组进行短暂的Bl+k， 分的攻击报文。

(

以滤大部

2)仿真实验2%FNR 10/情况下T-攻击成功次数

结果

6 所

FNR为10/，#从450 ms至10 000 ms，对每个组

合攻击 3 600 000 增加，攻击成

Bl+ck时长的

，

。 。

从图6可见，从450〜1 000 ms，随着Block时长的

快速下降，1 000 ms以后，随着攻击成

降速度变缓。

规模为基数进行设计。因为，源自该网络的攻击

该网络的容量，-P的防 备的

断的

。

，也可以在#时间后塞。

塞时间#的变化对攻

，并且和-P

网络容量挂钩，不会造成资源

而被误判为攻击的合 得

，而不至于一 ，

仿真

1.3 阻塞时间的设计击缓解和合法访问的影响。

仿真 ％

拟DDoS攻击中一个网络区域对防护对象的攻 击%该

有傀儡机1 〇〇〇台，每个傀儡机每秒发起

(

1 000次攻击;有正常用户机1 000台，每个用户机每秒 发起10 合

。

(1 $仿真实验1 %T-FNR-攻击成功次数

FNR 分别为 1/、6/、10/、20/，# 从 510 ms 至

3)仿真实验3 % FNR 1/情况下T-合法请求失败

次数

FPR为1/，#从10 ms至10 000 ms，对每个组合

1 500 ms，对各组合进行3 600 000次攻击。结果如图 5所示。

合 36 000

。

结果 7 所

。

图7中，#为1 000 ms时，请求被Blck的次数已

图5中，横轴表示#从510 ms变化为1 500 ms，纵轴表示3 600 000次攻击中攻击成功的次数。从图中可

4

经达 3 320 次，占比 9(2/ ;500 ms 时，被 Blck 1 620 次，占比4.5/。Blck行为放大了误判率。这是因为，

《信息技术与网络安全》2019年第38卷第1期

A/efwor/c seci/r/Yy mo/i/for/ng tec/7/?o/ogy • IT N S 主题专栏：网络安全监测技术

一旦合法请求被误判为攻击后，则会在后续的^时间 内的

(4)仿真 败

#固定500 ms，FPR以0.01/为粒度从0.01/到 1.00/，对各种组合合法请求36 000次。

Block，从而造成

能误判为攻击时，则取较小值。

率可以是被防护对象当前的计算资源负

载率，也可以是防护对象当前的网络带宽负载率等。

正

率是被防护对

正

作时的计算资率-正.载

的程度。攻击越强，

源负载率或网络带宽

率等。

失败。合的#设

计应该对误判 。

4%#500 ms情况下FPR-合法请求失

率反映了防护对象受攻击

Block的时间会越长，进而减小攻击造成的影响。

随机数用于调整Block时间，避免攻击者掌握

Block时间规律。

2仿真对比实验

模拟DDoS攻击中一个网络区域对防护对象的攻

有傀儡机1 000台，每个傀儡机每秒发起

击%该

1 000次攻击;有正常用户机1 000台，每个用户机每秒 发起10次合法请求。取FNR为10/，FPR1/，C取 200 ms，对于合法报文$取25 ms，对于攻击报文$取

从图8可以看出，在#固定500 ms的情况下，合法 请求失败的

仿真总结％(1)

基本与FPR成线性关系。

100 ms。假设防护对象的正常服务 户（即每秒钟 秒统计一

20 000次），初 率。分别采

有

：

为2 000个

率0.5,每

本

好的效果；

(2) 对流量进行1 000 ms以上的Block并不会带 来明显的改进，但会显著增加合

的概率；(3) 测效果；

(4) 较好。

因此，阻塞时间#的设计应该考虑产生一个数百 毫秒的阻塞时延。同时，考虑防护对

率的变化， 塞（ 法服务

率高时应

率高时，防护对象难以

攻击期间

的阻

服务，此时合对攻击

误判为攻击

文 进行1

短间的对攻击流量进行Block即可取得较

1。

的持续攻击防御仿真。仿真结果见

表1 检测-清洗方法和本文方法对比

有

攻击总次数

：

本文

:

3 600 000 0003 600 000 000

1003 240 004 192359 995 808

10.0036 000 00036 000 000

10035 639 902360 0981.00

3 600 000 00019 882 8500.553 598 011 2731 988 7270.0636 000 00035 4 59699.0135 2 185710 8151.97

较高漏判率并不会显著影响对攻击流量的检 误判率会明显影响合法请求，低误判率下效果

攻击检测总次数攻击检测次数占比//被阻止的攻击次数成功攻击次数成功攻击占比//合法请求总次数合法请求检测总次数合法请求检测次数占比//合法请求到达防护对象次数合法请求被误判为攻击次数

Block比例提高不会带来更坏的结果）。

所以，阻塞时间#1算公式设计为％

(当前负载率-正常负载率）+随机数

其中，$为固

，

指

一^次攻击后，对

为对发 分进行网络，$%的

攻击的影

攻击流量Block的最小时长，例如300 ms。的〖攻击元组的因子系数，

Block时长的调节。比

合

误判为攻击的占比//

通过统计仿真时每秒钟防护对象收到的合法请求 '攻击 很小。

从仿真结果可见，本方法通过利用网络设备阻断

的能力，不仅显著

的

，不

集

强大的攻击

5

对攻击 的

估算 。仿真过程中防护对象平

，对 均负载率51.77/，最大负载率52. 31/。负载率上升

值可以设置得较大，以大禁止服务时长， 造成的影响；对 响。$

以

的

设置较小值，缩短禁止服务时长，减小对

服务的用户，则$的值

防护对象

对当前攻击判断准确度评价。的攻击流量，而且利用了分布在Internet中的网络设备

判断为攻击的准确度较高时，$%设置较大值；当有

《信息技术与网络安全》2019年第38卷第1期

IT l\\l S 主题专栏：网络安全监测技术• A/efworfc secu/#y mon/torfng fec/wjo/ogiy

设备，可以防御大规模的DD〇S攻击。而且，各个IDC、

ISP仅

[3 ] BAKER F，SAVOLA P. Ingress filtering for multiliomed net-

works[ M ] . 2004.

[4] YAAR A，PERRIG A，SONG D. StackPi: new packet marking

and filtering mechanisms for DDoS and IP spoofing defense [J]. IEEE Journal on Selected Areas in Communications， 2006,24(10):1853-1863.

[5 ] MAHAJAN R，BELLOVIN S M，FLOYD S，et al. Controlling

high bandwidth aggregates in the network [ J ]. SIGCOMM Com­puter Communication Review，2002，32(3 ) ：62-73

[6] 孙知信，姜举良，焦琳.DDOS攻击检测和防御模型[J].软

件学报，2007，18(9):2245-2258.

[7] 池水明，周苏杭.DDoS攻击防御技术研究[J].信息网络安

全，2012(5):27-31.

[8] 赵国锋，喻守成，文晟.基于用户行为分析的应用层DDoS

攻击检测方法[J].计算机应用研究，2011，28(2):717-719.

(收稿日期：2018-12-10)

参考自身的网络容量来设计DD+防御能 受攻击时防御不足，无攻击时资源

？问

力，不会 3

结论

题，且对合法流量影响有限。

本文通过尝试将网络设备阻断特定元组流量的能 力应用到DD+防御中，解决了 DD+防御在被攻击时 防御

不足，无攻击

的瓶颈

。本

。网络设备参

分而治之，避免了集中

显著提升对攻击

与DD+防御有效地将攻击

攻击 当前DD+ 攻击防御效果

DD+

流量的防御效果同时，对合法流量的QPSR略有降低。

算法追求的是\\PR、\\NR都低，本

算法，\\NR升高对本方法的一些帮助。

很小。希望本文的尝试对于改进

合于:FPR更低的 的研究发展能够

参考文献

[1 ]孙曦.DD+攻击及其对策研究[D ]. }

学，2004.

[2] CHANGR. Defendingagainst flooding-based distributed denial-

of-service attacks: a tutorial [ J ] . Communications Magazine IEEE，2002,40(10):42-51.

安：西安电子科技大

作者简介：

张锦辉（1978 -)，男，硕士，主任工程师，主要研究方向：网 络安全、视频承载网络。E-mail:watw. zhang@ live, hk。

张文秀（1975 -)，女，博士，副审计。

教

，主要研究方向：IT

6《信息技术与网络安全》2019年第38卷第1期