李硕，张权

（国防科技大学电子科学与工程学院，湖南长沙410073）

基于蜜罐的CC攻击防护体系*

李硕，张权

（国防科技大学电子科学与工程学院，湖南长沙410073）

近年来，互联网上流行一种应用层DDoS攻击——CC攻击。CC攻击的危害很大：轻则导致页面无法访问，重则导致整个服务器瘫痪。目前针对CC攻击的防护一般采用基于网站代码优化的检测方法，然而这种方法会导致服务器在遭到CC攻击时消耗部分主机资源。在传统入侵防御系统基础上，添加一个建立与真实系统相似的蜜罐主机，从而保证受保护主机在提供正常服务的同时免受CC攻击。

CC攻击；蜜罐；入侵防御系统

0 引言

进入21世纪以来，计算机网络技术得到了飞速发展，Internet迅速普及到千家万户，网络正在逐渐改变每一个人的生活方式和工作方式。与此同时，网络安全问题也越来越严重。目前网络入侵的频率不断增加，危害性日趋严重，其中以消耗网络资源为目的的入侵行为尤其突出［1］。从影响网络整体性能的角度分析以消耗网络资源为目的的入侵行为，其中分布式拒绝服务攻击的危害最大。分布式拒绝服务攻击（Distributed Denial of Service，DDoS）是一种分布式协作的大规模网络攻击，能在一定时间内使得被攻击的网络主机彻底丧失正常服务的能力。许多著名网站如Amazon，Yahoo和CNN等都曾因为遭受DDoS攻击而导致网站瘫痪［2-3］。统计表明，近年来DDoS攻击的数量仍然呈现快速增长趋势，已经成为影响网络安全的一个重要威胁［4-5］。目前，简单的、基于网络层面的DDoS攻击有向复杂的、基于应用层资源的攻击发展的趋势，Challenge Collapsar（CC）攻击就是曲型的代表。

1 研究背景

1.1 CC玫击

CC攻击得名于著名的黑客工具软件CC。该攻击软件可以针对指定网站的统一资源定位器（Uniform Resource Locator，URL）发动基于页面访问请求的DDoS攻击。与一般分布式拒绝服务攻击的区别在于CC攻击主要针对WEB服务器发送大量并发请求，针对性较强。目前，CC攻击主要针对WEB应用程序中比较消耗资源的功能，例如论坛中的搜索服务，发送高频率请求。一般的服务器在收到几百个并发请求时，数据库服务可能会崩溃，导致服务器不能正常响应。

曲型的CC攻击的包括：直接攻击、代理攻击和僵尸网络攻击。直接攻击主要针对代码有问题或设置上存在漏洞的WEB服务。僵尸网络攻击就是曲型的DDoS攻击，利用僵尸网络向服务器发起大量并发请求，受害主机收到的请求中没有任何攻击者的IP地址信息，同时所有请求来自大量分散的地址，无法判定其与正常多个用户访问行为之间的差别，因此传统的安全防护手段很难鉴别并阻断此类攻击。代理攻击中CC攻击者会操作一批（例如100个）代理服务器，例如每个代理同时发出10个请求使得WEB服务器同时收到1 000个并发请求，并且攻击者在发出请求后立刻断掉与代理的连接，避免代理返回的数据将本身的带宽堵死导致不能再次发动请求，这时WEB服务器会将响应这些请求的进程送入队列，数据库服务器也同样如此，这就导致正常请求排队的位置非常靠后，这时就会出现页面打开极其缓慢或者白屏的现象。代理服务器的数量增大或者同时发出的请求数增加会给WEB服务器带来更大的压力，从而导致服务器拒绝服务。

根据上文对CC攻击的介绍，可以归纳出CC攻击具有以下三个特征［6］：

1）与传统流量型DDoS攻击不同，CC攻击针对网站服务器的性能弱点，可能仅需很小的流量就可以达到拒绝服务的效果。

2）不同于基于TCP的半开连接或者SYN Flood攻击，CC攻击中，攻击者发送的请求包含完全正常的应用数据，攻击行为特征不明显甚至没有攻击特征，很难与正常访问区分。

3）CC攻击一般都会利用代理服务器或者僵尸网络实施，在服务器端看来请求的源IP地址不同，很难根据IP地址区分正常访问与CC攻击。与此同时，利用代理服务器或者僵尸网络进行攻击，攻击主机都完全采用真实的IP地址，因此可以欺骗网络中的URPF［7］（单播逆向路径转发）功能，使服务器无法识别、阻断CC攻击流量。但是同样由于CC攻击一般都会利用代理服务器或者僵尸网络，因此对实时情况（例如随机验证码）的反应不会特别灵敏。

1.2 蜜罐

在网络攻防中，黑客在攻击时所用的新的攻击技术对管理员来说是陌生的，因此黑客往往能够利用新兴技术突破网络的安全防护，对内部网络的信息安全构成威胁。如何应对未知的攻击技术成为一个难题。蜜罐（Honeypot）技术作为一种应对黑客攻击的新兴网络安全技术，很快脱颖而出。“蜜网项目组”（The Honeynet Project）的创始人Lance Spitzner对蜜罐进行了权威的定义：蜜罐是一种安全资源，其价值在于被扫描、攻击和攻陷［8］。蜜罐技术是一种不同于防火墙和入侵检测系统的主动防御系统，它建立一个虚拟的环境，故思留下各种漏洞和弱点引诱攻击者，从而监视和跟踪攻击者的行为。管理员通过蜜罐主机对攻击活动进行监视、检测和分析，掌握攻击者的攻击目的和身份，从而提高受保护网络的安全性。通过监控攻击者攻击蜜罐的数据流，可以检测到外围防护设备没有阻断的攻击数据流。比如，尽管对攻击数据流进行了加密处理，蜜罐仍然能够记录与其交互过程中的攻击数据［9］。因此，蜜罐既能把攻击者从正常主机的目标上引开，又能及时检测到攻击者的入侵，还可消耗攻击者的时间和精力，增加攻击者的工作量［10］。

蜜罐分为低交互蜜罐和高交互蜜罐两种。低交互蜜罐的优点包括：很容易建立和维护；不需要大量的计算资源；运行风险比运行可以被攻击者完全攻陷和控制的蜜罐要小得多。低交互蜜罐的主要缺点是：不能提供完整的交互，不能给攻击者提供一个真正的超级用户外壳程序，也就不能对新的攻击技术做出响应［11］。高交互蜜罐为攻击者提供一个完整的可交互系统，这思味着蜜罐不模拟任何服务、功能或基础操作系统，相反，它提供与服务器一样真实的系统和服务［12］。因此，攻击者能够完全攻击主机并控制它，这就使管理员能够了解更多的有关攻击者所使用的工具、手段和动机，更好的了解攻击者团体。

2 CC攻击防护体生设计方案

本文设计的综合入侵防御系统结构图如图1所示。该入侵防御系统的基本规则为：对于正常的通信流量，直接放行；对于不符合防火墙规则、被入侵检测系统认定为恶思的“坏”数据，直接阻断。对于CC攻击经常指向的.asp等数据，在交付web服务器的同时转发给蜜罐系统。因为CC攻击并不会对受害主机的操作系统造成较大的威胁，而且管理员需要掌握更多的攻击特征，因此在蜜罐的选择上，本文选择高交互蜜罐。

图1 综合入侵防御系统模块图

由于蜜罐系统的运算处理能力与服务器相比存在一定差距，因此在蜜罐系统正常运转的情况下，受保护的服务器不会因为CC攻击而宕机。当有攻击者向被保护主机发起CC攻击时，系统的应对步骤如下：

1）当攻击者向被保护主机发起CC攻击时，防火墙的流量统计模块发现大量并发TCP/IP请求，在交付受保护的服务器同时转发给蜜罐主机，蜜罐主机也执行相应的MYSQL数据库服务工作。

2）当蜜罐主机工作至近乎满负荷甚至有拒绝服务的趋势时，发送反馈数据包给防火墙。

3）防火墙收到蜜罐主机的反馈数据包后，暂停转发数据包。由于CC攻击一般采用的是僵尸网络或者代理服务器，根据这个特性，防火墙根据流量统计的数据向每个请求发起者发送随机验证码并等待响应。

4）如果某请求发起者回复正确验证码，继续对此IP的数据包进行转发；如果对方对验证码的响应超时，则直接加入黑名单，禁止此IP的任何访问请求；如果没有正确回复验证码，则同样将此IP加入黑名单，禁止此IP的任何访问请求。

采用这种方法，理论上不但可以在保证受保护服务器正常提供服务的情况下完成对CC攻击的防护，更可以保证在遭受CC攻击时，非攻击者提交的正常访问请求依然可以得到响应。

3 实验验证

本文设计的验证实验结构图如图2所示，并设置实验组和对照组。实验组为本文设计的基于蜜罐的CC防护体系，其中硬件防火墙采用Cisco ASA 5505防火墙；对照组1为传统防护体系，其中硬件防火墙采用Cisco ASA 5505防火墙；对照组2为现在流行的软件防御系统，本组未采用硬件防火墙，采用针对CC攻击设计的“X盾”软件防火墙。

图2 实验模块图

对照组1：当仅受传统防御系统保护的WEB服务器受到CC攻击时，不仅WEB服务器崩溃，Cisco防火墙的单项监控界面和总体监控界面分别如图3和图4所示，从图中可以看到，防火墙的CPU已经100%的使用，内存占用达到95%，端口所支持的连接数也接近满负荷，防火墙基本失去作用。

图3 Cisco防火墙单项监控界面

图4 Cisco防火墙总体监控界面

对照组2：采用“X盾”防火墙在防御CC攻击的情况下，能达到一定的防护效果，但是依然会存在WEB服务器响应慢甚至不能响应的的情况。如图5所示，对“X盾”防火墙所保护的WEB服务器进行ping操作发现，大量的ping包没有收到回复，防火墙在处理大量CC攻击包的时候已经导致WEB服务器主机资源被大量消耗，甚至无法正常处理访问信息。

图5 对采用“X盾”防火墙保护的WEB服务器ping包截图

实验组：用攻击主机对采用基于蜜罐的CC防护体系保护的WEB服务器发起CC攻击，在验证码输入错误的情况下，直接被禁止访问，在Cisco防火墙的监控界面基本看不出变化。如图6所示，对所保护的WEB服务器进行ping操作发现得不到目标主机响应，说明攻击主机的ip已经被加入黑名单，不能访问WEB服务器。

图6 验证码输入错误时对WEB服务器ping包截图

从以上实验结果中对比能够看出，基于蜜罐的CC防护体系不仅可以抵抗CC攻击，而且可以减少WEB服务器的资源消耗，营造更好的用户体验氛围。

4 结语

传统的入侵防御系统可以使得被保护主机的安全性得到很大的提高，但是面对CC攻击的防护结果却不尽如人思。采用本文提出的方法，在传统入侵防御系统的基础上采用防火墙和蜜罐联动协作的方法，不但可以保护主机免于受到传统攻击，而且能够在保证受保护服务器提供良好服务的情况下完成对CC攻击的防护。在下一步工作中可以对目标是访问者还是攻击者的区分方式进行改进，以达到更好的防护效果。

［1］李剑.信息安全导论［M］.北京：北京邮电学院出版社，2007：150-151.

［2］CHANG R K C.Defending against Flooding based Distributed Denial of Service Attack：a Tutorial［J］.IEEE Comm Magazine，2002，40（10）：42-51.

［3］贾月琴，张宁，宋晓虹.对网络安全技术的讨论［J］.微计算机信息，2005，3：108-1.

［4］孙钦东，张德运，高鹏.基于时间序列分析的分布式拒绝服务攻击检测［J］.计算机学报，2005，28（5）：767-773.

［5］张利军.Distributed Reflection Denial of Service［D］.南京：南京农业大学，2004：5.

［6］陈仲华，张连营，王孝明.CC攻击检测方法研究［J］.电信科学，2009（5）：62-65.

［7］华三通信技术有限公司.URPF技术白皮书［EB/OL］，2008 -08-16［2015-03-04］.http：//www.h3c.com.cn/Products__ _Technology/Products/Router/Catalog/MSR/MSR_50/White _Paper/200807/609244_30003_0.htm.

［8］John Hoopes，Aaron Bawcom，and Fred Shore.虚拟安全：沙盒、灾备、高可用性、取证分析和蜜罐［M］.北京：科学出版社，2010：12-13.

［9］Seungwon Shin，Jaeyeon Jung，and Hari Balakrishnan.Malware prevalence in the kazaa filesharing network［C］//.Internet Measurement Conference.Rio de Janeiro：Paul Barford，2006：333-338.

［10］Hecker C，Nance K L，and Hay B.Dynamic Honeypot Construction［C］//.In Proceedings of the 10th colloquium for Information Systems Security Education.Adelphi：University of Maryland，2006：95-102.

［11］Iyatiti Mokube，Michele Adams.Honeypots Concepts，Approaches，and Challenges［C］//.ACM-SE 2007.New York：ACM New York，2007：321-326.

［12］The Honeypot Project.Know Your Enemy：Honeypots［EB/OL］，2005-10-04［2015-03-04］.http：//www.honeynet. org/papers/honeynet/index.html.

《信息安全与通信保密》杂志启用科技期刊学术不端文献检测系统

为了提高来稿质量，杜绝学术造假，促进《信息安全与通信保密》的健康发展，从2009年1月起，本刊编辑部将正式启用科技期刊学术不端文献检测系统，对所有来稿进行检查。对于检测出有不端行为的稿件，编辑部将直接退稿。在此，希望广大作者在撰写论文时，一定要本着实事求是的科学精神，引用他人的研究成果时务必在参考文献中列出，并在正文中相应位置进行标注。大家共同努力，维护学术研究的诚信，杜绝学术不端行为，促进《信息安全与通信保密》的可持续发展，为广大作者搭建一个更好、更高、更权威的学术争鸣和技术交流的平台。

《信息安全与通信保密》杂志社

二OO九年一月一日

Protection System of CC Attack based on Honeypot

LI Shuo，ZHANG Quan
（College of Electronic Science&Engineering，NUDT，Changsha Hunan 410073，China）

In recent years，DDoS on the application layer，that is，CC attack，has become increasingly popular on the Internet，and this attack would result in the failure of web page response or even the paralysis of whole server.Now the detection based on the optimization of website code is usually adopted for the protection of CC attack.This method，however，may lead to resource consumption of the host server during the CC attack.By adding a highly interactive honeypot to the traditional intrusion prevention system，the server can be effectively prevented from CC attack.

CC attack，honeypot，intrusion prevention system

TP393

A

1009-8054（2015）09-0099-04

李 硕（1991—），男，硕士研究生，主要研究方向为信息网络安全；

张 权（1974—），男，博士，教授，主要研究方向为信息网络安全。■

2015-04-13