dns服务器的ddos攻击的检测与防范分析.pdf

1绪论 1．2研究意义 目前，域名服务系统故障频出主要原因有：首先，分布式拒绝服务攻击技 术(即DDoS攻击技术)的不断发展，从数据暴力泛滥攻击方式逐渐转变为更 为精准的矢量攻击方式，防范起来更加困难；其次，我国很多省市在域名服务 系统部署方面没有完善的机制和安全技术保障，而且由于技术人员能力不足， 在部署过程中易出差错；最后，随着IPv6、DNSSEC等新兴网络技术的升级， 域名服务的复杂性和风险系数也在不断提高。 在上述原因中，DDoS攻击行为最猖獗，对域名服务系统造成的危害也最严 重。近几年，针对域名服务系统的重大安全事件，罪魁祸首都是拒绝服务攻击， 攻击者往往通过向域名服务器发送海量的数据流，使服务器发生宕机甚至崩溃， 无法为用户提供正常的域名解析服务，从而造成网络的大面积瘫痪。利用信息 安全的木桶原理【4】，国内外大部分的授权域名服务器已经成为网络安全的木桶短 板，容易遭受DDoS攻击，造成服务宕机，从而造成重大损失。而相对于DDoS 攻击技术的迅速发展和攻击方式的多样化，针对域名服务系统的攻击检测和防 御手段显的比较滞后。国内外已经陆续推出一些DDoS安全防护产品，如中新 金盾，思科DDoS防火墙等等，但是它们对域名服务系统的DDoS攻击不能进 行有效的检测和防御。绿盟科技在域名系统的防护方面走在了前列，2009年绿 监测服务；2010年10月，绿盟科技又推出安全防护产品；但是其技术并未完全 成熟，只对DNS查询拒绝服务攻击有一定的效果，对DNS反弹式攻击和放大 攻击存在不足。由此可见，对域名服务系统的DDoS攻击的检测和防御工作进 行研究，弥补现有防护系统的不足，并提出一个能够更有效、更全面的安全解 决方案具有十分重要的理论和现实意义。 1．3研究现状及分析 DNS协议在最初的设计过程中就存在安全漏洞，而这些安全漏洞给DNS服 务器和网络造成了巨大的威胁，很多网络攻击行为就是针对这些漏洞发起的。 正因如此，安全扩展协议(DNSSEC)就应运而生，它是由mTF域名系统安全工 作组设计的，对原始的DNS协议进行兼容，并增加了公钥加密和完善的认证机 3 1绪论 制。但是它的具体部署和实施存在一定的问题，首先是缺乏实践指导，必要的 专用设备产品尚未成熟：其次DNSSEC在运行过程中要消耗服务器大量的系统 资源进行加解密和认证的计算，给DNS服务器正常运行造成的压力；最后DNS 响应数据包也增大，超过传统的512字节，增大DDoS攻击的成功率，使得黑 客更容易利用DNS系统形成放大攻击或反射攻击，给网络造成致命打击。 DNS Anycast技术的引进【5】增大了服务器的处理能力，并且对DDoS攻击也 起到了一定的防御作用。但是该方案的实施需要整体部署且代价较高，目前主 要应用在根域名服务器等Inertnet的核心基础设施上，并没有在一般的授权域名 服务器上广泛应用。 近几年对域名服务系统的DDoS攻击的检测和防御方法的研究，已经成为 国内外的热点研究课题。2008年张小妹等人认为应该在源端对伪造源地址的 DNS数据包进行过滤，从源头上阻止DDoS攻击。他们提出在边界路由的出口 进行源路由检测【6】，从源端阻止攻击数据流，并在终端路由对超过1512字节的 DNS应答包进行过滤。可以看到该方案需要对整个网络进行整体部署，在实际 应用中难以实现，同时它对放大比例较小的攻击数据包束手无策。而且随着 DDoS攻击技术的发展，发起攻击的傀儡机可能来自很多不同的国家和地区，甚 至跨域多个网络，不可能通过源端来检测来阻止攻击行为。与源端检测防御方 法相比，基于终端的防御方案更受研究专家的青睐，也更适合实际的应用，它 主要通过在需要保护的域名服务器端部署防御。2009年宗兆伟等人提出了利用 统计分析和流量控制的方法【_7】来检测和防御域名服务器的DDoS攻击，它就是通 过分析服务器终端的正常流量信息，并设定阈值来检测攻击行为。 2010年 T．Subbulakshmi等人提出了基于机器学习和支持向量机算法的检测技术【8】，把服 务器收到的正常数据流和DDoS攻击流当成一个分类问题进行运算，利用机器 学习和支持向量机算法建立模型来进行判断，并对检测结果进行预警。2011年 张毅等人提出了基于网络流量行为的DDoS检测技术【9】，它是通过在域名服务器 端对用户发送和接收