宾哲桂 李江洪

(柳州职业技术学院，广西 柳州 545006)

低速率拒绝服务攻击技术研究

宾哲桂 李江洪

(柳州职业技术学院，广西 柳州 545006)

针对拒绝服务攻击往往采用持续大流量的攻击方式，提出了一种低速率的拒绝服务攻击方法，以提高拒绝服务攻击效率。其通过对目标用户，或者应用程序的通信规律进行统计和分析，选取恰当的时机每次在目标用户或者应用程序进行通信的时候，发起瞬间的拒绝服务攻击，持续很短的时间之后退出拒绝服务攻击过程，以达到对目标用户和应用程序的拒绝服务攻击效果，同时确保在一段相对较长的时间内保持低速率的攻击要求。

拒绝服务攻击；低速率；数据流；周期；同步

1 前言

拒绝服务攻击是针对网络目标发起的一种非常常见的一种攻击方法和手段。由于拒绝服务攻击采用的原理和实现的策略会有不同，因此对拒绝服务攻击的安全防范策略也各有不同。近年来针对拒绝服务攻击的相关研究，国内外有大量的文献，无论是对于一些新型的攻击方法的研究，攻击模型的设计，及拒绝服务攻击防范手段的设计都取得了很多代表性的成果，比如：何炎祥,刘陶，曹强等人对低速率拒绝服务攻击技术进行了一次相对系统、完整地梳理，对低速率拒绝服务攻击方式进行了分类描述和建模，并在实验环境中建模进行了验证，讨论了不同攻击类型的特点和性能[1]。吴志军，岳猛对低速率拒绝服务LDoS的攻击性能进行了分析，分别通过理论建模和实验分析的方法，对低速率拒绝服务攻击方法进行了详细分析，给出了定量评价不同类型低速率拒绝服务攻击的途径[2]。谢逸，余顺争对应用层的分布式拒绝服务攻击技术进行了深入的探索和剖析，由于应用层软件种类数量众多，而且应用层的很多软件通信模式、通信特征非常有代表性，因此开展在新网络环境下应用层拒绝服务攻击技术的研究，具有较强的代表性[3]。

为了更好的研究和防范拒绝服务攻击，本文重点对近年来出现的一种低速率、高效能的拒绝服务攻击方法进行了深入的研究和设计，详细分析和设计这种攻击方法的实现原理和实施过程，为今后开展针对这类低速率拒绝服务攻击方法设计防范策略提供参考。

目前传统的基于网络流量的拒绝服务攻击方法基本上都是采用大流量的数据，来实现拒绝服务的攻击目标。其工作的基本原理都是通过向计算机或者服务器发送超过该计算机或服务器所能够承受的处理能力的大数据量，使得被攻击的计算机或者服务器在短时间内，无法及时的对所接受到的所有数据包进行处理，从而使得被攻击的计算机或服务器在这一段时间内不能够对新到来的数据包进行及时的处理，造成数据包丢失，无法有效的为用户发送过来数据包提供相应服务，从而达到拒绝服务攻击的目标[4]。目前针对这种攻击方式的网络检测和防范的机制越来越成熟，为了使得网络检测和安全防护软件适合未来攻击的发展趋势，本专利提出一种基于网络流量的低速率的拒绝服务攻击方法，为网络安全防护软件和系统的设计提供一种重要的样本参照依据[5]。

2 低速率拒绝服务攻击原理

本文主要设计一种基于网络流量的低速率拒绝服务攻击方法，使得能够针对网络中特定用户或者特定应用花费极小的代价，使用低速率的拒绝服务攻击流量，即能实现对该用户或者应用程序的精确拒绝服务攻击效果。

其设计原理是通过对网络上正常通信的用户或者数据流量进行监控和分析，寻取恰当的时间点在短时间内向网络上发送大量的数据量，造成瞬间的拒绝服务攻击效果，从而使得受到该拒绝服务攻击影响的用户或者应用程序正在通信的数据，无法正确送到目的接收方[6]。而且由于这种拒绝服务攻击的持续时间非常短，因此采用一段时间来衡量攻击者向网络中注入的数据流量得到的拒绝服务流量非常低，从而达到低速率的拒绝服务攻击效果。按照本文的设计原理，在实现过程中首先对网络通信的用户或者应用程序进行监控，如果该用户或者应用程序的通信的时间间隔是有规律的，则统计该用户和应用程序的数据通信的时间间隔，并记录下来时间间隔值。如果用户在网络上用户或者应用程序在网络上发送的数据是随机性的，则计入该用户发送数据的特征标识，比如用户的IP地址、端口号或者数据包中的一些特殊标识字段。低速率拒绝服务攻击时采集的特征信息组成如图1所示。

图1 低速率拒绝服务攻击时采集的特征信息

当需要对该用户或者应用程序发起低速率的拒绝服务攻击时，对网络上通信的数据流量进行监控[7]。如果该用户或者应用程序是有规律的发送数据时，则按照预先采集到的用户发送数据的时间间隔。首先对该用户发送数据的第一个数据包进行时间同步，之后按照用户发送数据的时间间隔，有规律的向网络上发出短时间的拒绝服务攻击，使得网络上出现拒绝服务攻击效果的时间间隔与该用户正常发送数据的时间间隔完全一致。而且该拒绝服务攻击的持续时间非常短，以满足低速率的攻击要求。

如果用户发送的数据不是有时间间隔规律的，则监控网络上的数据流量。一旦发现网络上出现该用户的数据时，则在当前时刻再向网络上发起瞬间的拒绝服务攻击，并持续一个很短的时间间隔之后，停止拒绝服务攻击之后继续对网络的通信流量进行监控[8]。由于用户一旦受到服务拒绝攻击之后，数据通信失败，按照目前网络通信程序的设计模式，用户都将会间隔一段时间之后，再次重新尝试向网上发出数据，因此此时在网络上只需要继续监控网络上的通信流量，直到网络中再次出现该用户的通信数据时，再次发起瞬间的拒绝服务攻击，最终实现对用户或者目标应用程序的低速率拒绝服务攻击效果。

通过分析本文设计的拒绝服务攻击方法可以发现，该攻击方法在攻击过程中所需要的拒绝服务攻击流量非常小，在网络上发起拒绝服务攻击的时间也非常短，对网络的正常通信几乎不会产生明显的影响，但对被攻击的用户则能够达到拒绝服务的攻击效果。而且能够灵活的针对特定用户或者应用程序发起攻击，攻击的目标性十分精确。

除此之外，本文设计的拒绝服务攻击方法，既能够针对网络上一些定期通信的数据包或者程序进行攻击，比如一些网络管理程序，在网络上经常会定期发送一些管理数据包，以确保网络管理系统的正常运行。应用本文设计的拒绝服务攻击方法，能够很容易实现针对这类应用程序的低速率拒绝服务攻击，同时也能够通过对网络流量的监测，实现对一些随机发送的数据的应用程序进行低速率的拒绝服务攻击，攻击过程十分灵活[9]。而且该攻击方法在发起拒绝服务攻击的持续时间非常短，难以使用常规的基于流量的拒绝服务攻击方法检测得到，对检测设备的统计时间片要求更短，这也间接的提高了检测的难度，是一种十分隐蔽的低成本的拒绝服务攻击方法。

3 低速率拒绝服务攻击实现过程

本文设计的低速率拒绝服务攻击方法在实现过程中，将根据攻击对象的通信周期是否固定，分为固定通信周期应用程序的低速率拒绝服务攻击和不规律通信周期的应用程序拒绝服务攻击两类。

3.1 针对固定通信周期的应用程序的低速率拒绝服务过程

针对固定通信周期的应用程序的低速率拒绝服务攻击过程如下所示，其对应的实现流程图如图2所示。

图2 低速率拒绝服务攻击实现流程

（1）在网络上监测目标应用程序的通信规律，记录目标应用程序的固定通信周期。

（2）当需要针对该应用程序进行低速率拒绝服务攻击时，首先与该应用程序的一个通信数据包建立同步关系。

（3）拒绝服务攻击程序按照同步的时间节点，以之前记录的时间周期，周期性的发出拒绝服务攻击数据。

（4）完成针对固定通信周期的应用程序拒绝服务攻击过程。

3.2 针对不规律通信周期的应用程序拒绝服务攻击过程

（1）针对目标应用程序的通信规律进行分析，确定该应用程序为通信周期不固定的应用程序。

（2）当需要针对该应用程序进行拒绝服务攻击时，首先在网络上监测该应用程序的特征、IP地址、端口号或者数据包中的一些标识性的字段。

（3）当网络上出现该目标应用程序的特殊标识符号时，在网络上发起瞬间的低速率拒绝服务攻击数据。

（4）拒绝服务攻击程序发送数据完毕之后，继续监测网络上通信数据流，至到发现新的该应用程序的特殊标识符号，则继续发起低速率的拒绝服务攻击数据。

4 低速率拒绝服务攻击系统组成

本文设计的这种基于数据流量的低速率拒绝服务攻击方法。通过对网络上的通信用户或者用户程序的通信规律进行统计和分析，选取恰当的时机实现低速率的拒绝服务攻击效果。

其选取恰当的攻击时刻是通过对目标用户或应用程序的通信规律统计和分析之后得到可以提前在网络上部署数据监测软件，实时的对网络中通信的数据进行记录和分析，以获取所需的特征参数。

而在对用户通信规律进行统计时，如果目标用户和应用程序是固定通信周期的，则记录该通信程序的固定周期。如果目标用户或应用程序是无规律的通信方式，则记录该用户程序的特殊IP地址、端口号或者通信数据包中的一些特殊标识字段。

在攻击时，对于固定通信周期的应用程序在进行攻击之前，首先对目标用户或应用程序进行时间同步之后，按照预先采集到的通信周期间隔，周期性的发出低速率拒绝服务攻击数据；对于非周期性的目标用户或应用程序发起的拒绝服务攻击，其实施过程是首先对网络上的通信流量进行监测和分析，一旦发现目标用户或应用程序的特殊标识字符，则发起低速率拒绝服务攻击数据，之后重新进入数据监控状态，如此不断循环。

为了提高攻击的隐蔽性，往往采用瞬间的拒绝服务攻击方法。该方法指针对目标用户或者应用程序发起的一种短时间拒绝服务攻击，在该持续时间段内所实施的拒绝服务攻击原理和传统的拒绝服务攻击原理一致，都是通过大数据量来实现拒绝服务攻击的效果。在具体实施瞬间拒绝服务攻击持续时间特别短，一般小于1ms。

根据本文设计的低速率拒绝服务攻击方法的设计原理和实现流程，本文设计了低速率拒绝服务攻击系统。该系统的组成结构图如图3所示。

图3 低速率拒绝服务攻击系统组成

在该攻击系统中主要包括对图形对象特征的统计分析模块、同步监测模块、大流量数据发生器、数据发送间隔计算单元、数据发送持续时间定时器和数据发送模块部分组成。其中通信对象特征统计是整个攻击系统的重要基础模块，该模块负责对所需要攻击的目标系统通信行为进行监测，并提取相关的通信参数。之后启动同步监测模块对所采集到的参数进一步进行校正，以确认对攻击目标所提取的各种统计参数是准确而有效的，之后提供大流量数据发生器，准备产生攻击用的大流量攻击数据，为了提高攻击的突发性和隐蔽性，因此大流量的攻击数据并不会持续性的在网络上进行发送，而是按照同步监测模块所监测到的同步周期触发相应的攻击时刻。在攻击时刻发送大流量数据，而且在数据发送的时候提供数据发送持续时间的定时器，并计算数据发送的间隔时间，保证每次发送的攻击数据的问题控制在有限的范围之内。从而确保在实施拒绝服务攻击的整个过程中，不会对网络的平均流量带来明显的变化，实现低速率的拒绝服务攻击效果。

5 总结

低速率拒绝服务攻击相对于传统的拒绝服务攻击效率要高的多，其只占用极少的数据流量，而且攻击过程持续时间非常短，但其达到的攻击效果和传统的大流量拒绝服务攻击效果旗鼓相当，因此对于低速率拒绝服务攻击这种新型的攻击方法，必需引起人们的重视。通过本文对低速率拒绝服务攻击的发起方式、实现原理和实现过程进行深入的剖析，为今后探索针对这类高低速率、高效能的拒绝服务攻击方法的防范提供了有利的参考依据。

[1] 何炎祥,刘陶,曹强.低速率拒绝服务攻击研究综述[J].计算机科学与探索,2008,2(1):1-18.

[2] 吴志军,岳猛.低速率拒绝服务LDoS攻击性能的研究[J].通信学报,2008,29(6): 87-9.

[3] 谢逸,余顺争.新网络环境下应用层DDoS攻击的剖析与防御[J].电信科学,2007,23(1):89-93.

[4] Luo X,Chang R. On a New Class of Pulsing Denial-of-Serv-ice Attacks and the Defense[C]∥Proc of the Network and Distributed System Security Symp, 2005:2-5.

[5] Sarat S, Terizis A. On the Effect of Router Buffer Sizes on Low-Rate Denial of Service Attacks[C]∥Proc of the Int'l Conf on Computer Communications and Networks, 2005:281-286.

[6] Chen Y, Hwang K. Collaborative detection and filtering of shrew DDoS attacks using spectral analysis[J].Journal of Parallel and Distributed Computing,2006,66(9):1137-1151.

[7] 黄力.基于分布式群身份认证的传感器网络设计与实现[J].计算机工程.2007，33(10):161-163.

[8] Chen Y, Hwang K. Collaborative Detection and Filtering of Shrew DDoS Attacks Using Spectral Analysis[J]. Journal of Parallel and Distributed Computing, 2006,66(9):1137-1151.

[9] 黄力,潘大庆,罗海波,等.一种基于数据流量的低速率拒绝服务攻击的方法:中国,CN103746965A[P].2014-04-23.

Low rate denial of service attack technology research

The denial of service attacks often use the continuous flow of the attack, a denial of service attack method in low rate denial of service attack, in order to improve the efficiency of.The basic design principle of the patent is the target user, communication rules or application of statistics and analysis, select the appropriate time every time when communicating in the target user or application, launched a moment of denial of service attack, after a very short period of time out of denial of service attack process, in order to achieve the goals of users and application of denial of service attack effect, and keep the low rate attacks in a relatively long period of time.

Denial of service attacks; the low rate; data streams; cycle; synchronization

TP393

A

1008-1151(2015)01-0004-03

2014-12-12

广西教育厅课题“无线接入网中带宽高效分配方法”(ZL2014093)。

宾哲桂（1981－），男，广西博白人，柳州职业技术学院讲师，硕士，研究方向为计算机网络技术。

李江洪（1974－），男，广西桂平人，柳州职业技术学院讲师，硕士，研究方向为计算机网络技术。