□张志强，刘三满，曹 敏

(山西警察学院，山西 太原 030401)

一、引言

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击利用IP协议的缺陷，对一个或多个目标进行攻击，消耗网络带宽及系统资源，使合法用户无法得到正常服务。由于采用了源IP地址欺骗、代理等技术，现有的各种网络追踪技术不能有效追踪DDoS 攻击源。由于追踪和防范难度大，分布式拒绝服务攻击(DDoS攻击)成为黑客常用的攻击手段之一。[1-9]近年来，DDoS攻击屡见不鲜，给国家、社会和个人造成了严重危害。据CNCERT抽样监测，[10]2018年我国境内峰值超过10Gbps的大流量DDoS攻击平均每月超过4000起。由于TCP/IP协议通过源IP地址区分不同数据包的发送者，且TCP/IP协议路由机制只检查数据包目标地址的有效性，攻击者可以把源IP地址修改为虚假IP地址，同时可以把其他主机作为跳板进行攻击。在对DDoS攻击源进行追踪过程中可能会线索中断，对取证人员开展追踪取证工作造成一定困难。

针对DDoS攻击源追踪难的问题，本文提出一种基于行为分析的DDoS攻击源追踪技术，以进一步提升对DDoS攻击源追踪的效率。

二、目前DDoS攻击源追踪技术分析

(一)DDoS主要攻击方式

1.UDP Flood攻击。攻击者通过消耗网络带宽资源，阻塞正常通信而导致服务瘫痪。

2.TCP SYN Flood攻击。攻击者利用TCP三次握手机制存在漏洞，向目标服务器发送大量伪造IP地址的SYN报文请求建立连接，目标主机因收不到ACK报文而缓存区溢出，导致拒绝服务。

3.HTTP Flood攻击。攻击者通过持续给目标主机发送HTTP虚假请求，耗尽服务器带宽或者连接资源，导致不能为合法用户提供服务。

DDoS攻击的主要特点是通过代理机攻击，使用过载流量消耗目标主机资源或或者消耗网络带宽，从而造成拒绝服务。

(二)目前DDoS攻击源追踪技术[11-16]

1.包标记策略。选择一定比例数据包增加标记，通过数据包中的标记，追踪分析数据包传播路径和源头。

2.流水印策略。在多个数据包序列中加入流水印，以一定的准确率检测到水印信息。适用于数据流出现重打包、丢包等情况。

3.日志记录方法。通过各类日志等文件，分析数据包传播痕迹，重构攻击路径。

4.渗透测试方法。利用系统及网络安全漏洞进行渗透，控制目标主机，目标主机主动向取证人员主动发送攻击者信息。

(三) 当前DDoS攻击源追踪存在的问题

目前对于DDoS事后攻击主要通过日志方法等手段对攻击源进行追踪，如果从日志等文件中不能分析出相关线索，将造成追踪线索中断，DDoS攻击源追踪取证将比较困难。

三、基于行为分析的DDoS攻击源追踪技术

(一)DDoS攻击行为建模

DDoS攻击是攻击者对目标系统进行的以拒绝服务为主要目的的行为。本文基于随机Petri网[17]对DDoS攻击行为进行建模，通过和正常网络行为进行对比，分析DDoS攻击行为的主要特征。

1.随机Petri网(SPN)

随机Petri网可以描述为一个四元组SPN=(P,T,F,λ)，其中：

(1)P=(p1,p2,...pm)是有穷位置集合；

(2)T=(t1,t2,...tm)，是有穷变迁集合；(P∩T≠Φ；P∪T≠Φ)

(3)F⊆(P×T)∪(T×P)，是弧的集合；

(4)λ=(λ1，λ2，...,λn)，是变迁平均实施速率集合。

2.基于随机Petri网的DDoS攻击行为模型

DDoS攻击行为可描述为：

ASPN=〈P,T,F,M0,λ〉，其中

(2)T=(T1,T2,...Tm)表示攻击行为的变迁集合；

(3)F是有向弧线集合，表示攻击路径，如攻击者利用本机及跳板主机进行攻击将用不同攻击路径表示；

(4)M0表示初始标识，表示攻击开始的位置；

(5)λ是时间变迁的平均实施速率集合，它反映攻击行为的能力，主要包括DDoS攻击所达带宽峰值等。

(二)DDoS攻击行为分析

通过随机Petri网对DDoS攻击行为进行建模分析，可以刻画DDoS攻击的主要网络行为特征，结合DDoS攻击者历史行为，可根据攻击行为的主要特性对攻击源进行重点追踪：

1.受攻击目标的集中性

DDoS攻击目标分布领域比较集中。[18]据CNCERT监测分析，[10]2018年受DDoS攻击目标IP地址数量约9万个，攻击目标主要分布在色情、博彩等互联网地下黑产、文化体育和娱乐领域，此外还包括运营商IDC、金融、教育、政府机构等。

2.活跃攻击团伙的集中性

由于DDoS需要一定的设备及技术支撑，DDoS攻击团伙比较集中。据CNCERT监测，2018年共发现50个DDoS攻击团伙利用僵尸网络进行攻击，相同攻击团伙的攻击目标相对集中，不同团伙之间相互独立。

3.参与攻击地址的集中性

参与DDoS攻击的受控主机相对比较集中。2018年参与攻击较多的境内肉鸡地址主要位于江苏省、浙江省和山东省，其中大量肉鸡地址归属于中国电信。

(三)案例分析

DDoS攻击主要发生在网站和游戏行业等目标，攻击的主要目的为商业恶性竞争等，通过DDoS攻击妨碍竞争对手的业务活动，打击对手的声誉，从中获取优势。由于受攻击技术和设备的限制，攻击者采用的攻击方法和表现的特征比较固定，可通过分析DDoS攻击行为特征，与攻击者相关的历史攻击行为进行匹配分析，从而确定可疑的攻击组织。

以游戏行业中的DDoS攻击为例，假如，在历史攻击事件中，A组织曾采用大规模肉鸡进行过DDoS攻击。若某游戏客户B遭受到大规模的四层连接耗尽型攻击，从攻击数据看，黑客动用了超过20万的肉鸡资源，攻击手法为建连之后向服务器发起高频率的恶意请求，并带有随机Payload，攻击新建峰值超过了170Wcps。当发生DDoS攻击后，通过DDoS攻击数据对攻击者行为进行分析，若攻击方式与A组织的攻击方式匹配，则可和其他追踪技术相结合，对A组织进行重点追踪分析。

图1 DDoS攻击行为分析流程图

四、基于行为分析的DDoS攻击源追踪技术与现有追踪技术对比

基于行为分析的DDoS攻击源追踪技术，通过数据包分析攻击者的行为特征，与攻击者的历史行为进行对比分析，从而确定可疑的攻击者。具体过程如图1所示。在对攻击者追踪过程中，若其他方法不能生效，通过基于行为分析的方法可以为追踪提供线索，与其他追踪技术相结合对攻击者进一步进行追踪。

基于行为分析DDoS攻击源追踪技术与现有技术在技术难度上的比较如表1所示。

表1 基于行为分析DDoS攻击源追踪技术与现有技术比较

五、结束语

本文通过对DDoS攻击行为进行建模分析，为DDoS攻击源追踪提供方法和线索，以提升攻击源追踪效率。下一步将构建DDoS攻击仿真环境，把Petri网行为建模与仿真方法结合进行分析，进一步研究DDoS攻击源追踪方法。