UDP反射攻击检测与响应技术研究

发布时间：2020-05-28 23:43

【摘要】：DDoS攻击是当今互联网最严重的威胁之一。近几年UDP反射攻击已成为互联网上DDoS攻击的一个主要成分,对互联网的正常运行造成了严重的危害。本文的研究工作围绕UDP反射攻击的检测、评价与响应展开。在UDP反射攻击检测方面,基于放大器和流量放大的过程是危害的主体以及UDP反射攻击中的放大器均使用真实地址的事实,论文的检测工作将围绕互联网上参与反射攻击的放大器展开。论文首先分析了UDP反射攻击协议特点,介绍了最新的存在反射攻击潜能的18种服务协议。论文随后详细分析了18种服务协议中实际导致了互联网上反射攻击发生的CharGen、DNS、NTP、SNMP、SSDP反射攻击原理。在构造导致反射攻击发生的请求报文的基础上设计和实现了一个自适应放大器定位检测系统。该系统目前可以实现CharGen、DNS、TFTP、NTP、SNMP、SSDP六种放大器的定位检测,同时支持以添加的方式对新增放大器检测的支持。在设计和实现自适应放大器定位检测系统的基础上,论文通过实验确认了被管网(CERNET南京主节点网络)中不存在TFTP反射攻击行为。该实验首先利用部署在被管网边界的报文采集系统获取流入网内的TFTP请求报文,通过统计分析获得被管网中可能的TFTP服务器和其各自使用的文件名参数,最后利用自适应放大器定位检测系统对这些可能的TFTP服务器作进一步的定位检测。检测结果表明在检测时间段内被管网内部不存在TFTP放大器。基于自适应放大器定位检测系统,论文还在一个基于流记录的网管系统NBOS的支持下,建立了面向CERNET全网的放大器库。论文随后提出了一个基于BAF统计特征分析和稳定特征分析评价放大器的方法,将放大器分为轻微、关注、严重三种级别,以支持对放大器的分级响应。在UDP反射攻击响应方面,论文设计实现了一个基于SDN的UDP反射攻击响应系统,重点讨论了如何利用SDN技术实现对NTP和DNS两类反射攻击的响应方法。在一个部署在被管网边界的SDN系统-HYDRA的支持下进行的实测表明该方法可以有效地响应UDP反射攻击。这个结果表明基于SDN技术可以有效地控制UDP反射攻击。
【图文】：

主机,受害者,肉鸡,放大器

第二章 UDP 反射攻击分析全面了解 UDP 反射攻击是部署 UDP 反射攻击检测和响应的必要步骤之一。本章节将从 UDP 反射攻击场景、反射攻击协议、攻击原理以及反射攻击检测四个方面对 UD反射攻击进行详细分析讨论。本章节也是后序章节工作得以展开的基础。2.1 UDP 反射攻击场景在 UDP 反射攻击中，攻击者利用互联网上开放的基于 UDP 协议提供服务的服务器（也称放大器或反射器）间接发动攻击。UDP 协议的无连接性使得请求报文的源 IP 很容易被伪造，攻击者将请求报文的源 IP 伪造为受害者的 IP，从而服务端返回的响应包就会返回到受害者的 IP，这就形成了反射攻击。同时，攻击者利用服务协议自身的漏洞，一次小的请求数据包会导致数倍其大小的响应数据包，这就形成了流量放大。在实际攻击过程中，攻击者往往会利用大量的放大器发动攻击，以达到拒绝服务的效果。文献[1给出了 UDP 反射攻击的攻击场景描述如图 2-1 所示。

报文,字节,字符,长度

图 2-3 CharGen 反射攻击报文如图 2-3 所示，请求报文中设置的数据负载为字符‘0’，请求报文长度为 43 字节，回复报文中存在 IP 分片报文，长度为 7134 字节，流量放大了近 166 倍。2.3.2 DNS 反射攻击DNS(Domain Name System，域名系统)是互联网上的一项核心服务，用于实现域名和 IP 地址之间的转换，使用户可以更加方便的访问互联网[30]。绝大数情况下，DNS协议运行在 UDP 协议之上，但也可以运行在 TCP 协议之上。DNS 协议使用端口号 53来对外提供服务。DNS 反射攻击的原理相对比较复杂，为了叙述的方便，，本文首先描述 DNS 中的五个相关的基本概念，它们与 DNS 反射攻击的原理有密切的关联。1．开放的 DNS 服务器互联网上大部分DNS服务器本应该只对特定的客户开放，但由于配置不当等原因，这些服务器不会过滤任何来源请求。这种不会过滤任何来源请求，并会接受来自所有 I的 DNS 查询请求的 DNS 服务器就称为开放的 DNS 服务器。
【学位授予单位】：东南大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【相似文献】