| 云计算中DDoS攻防技术研究综述_岳猛 |
| 来源:一起赢论文网 日期:2022-02-02 浏览数:973 【 字体: 大 中 小 大 中 小 大 中 小 】 |
|
第43 卷 第12期2020 年12 月计 算机 学 报CHINESEJOURNALOFCOMPUTERSVol.43No. 12Dec.2020云计算中DDoS攻防技术研究综述岳 猛 王怀远 吴志军 刘 亮( 中国民航大学电子信息与自动化学院 天津 300300)摘 要 云计算是一种服务模式的革新, 它将物理资源(例如, 计算资源、存储资源、 数据资源)集中化, 并通过网络以按需的方式提供给用户. 云计算面临诸多安全挑战(例如, 数据隐私、 资源管理), 其中分布式拒绝服务(Di stri butedDenialofService, DDoS)攻击是主要的安全威胁之一. DDoS攻击严重影响了云计算的连续性和可用性. 尽管DDoS攻击早已在传统网络中盛行, 但云计算的应用给DDoS攻防带来了全新的挑战和机遇.一方面, 云计算赋能攻击.云计算的大规模和集中化将传统攻击进一步放大. 此外, 云计算本身的漏洞被用于组织新型的攻击.在上述情况下, 传统的防御技术难以应对云计算中大规模、 多样化、复杂化的DDoS攻击.另一方面, 云计算赋能防御. 云计算丰富的资源结合新技术(例如, 软件定义网络、 自动伸缩)可保证自身的安全以及向用户提供云安全服务. 充分利用云计算的新技术抗DDoS攻击是目前的发展趋势. 云计算中的DDoS攻击引起了广泛的关注. 许多研究工作致力于揭示新的漏洞或设计有效的抗DDoS方案. 为了使相关研究人员能够全面了解最新的研究进展并激发他们开发新的方案应对各种DDoS攻击, 本文对现有研究进行了广泛调研形成综述. 首先, 我们总结了云计算在技术和服务上存在的漏洞, 并进一步揭示了攻击者如何利用这些漏洞发起DDoS攻击. 接下来, 我们描述了云计算中DDoS攻击的组织方式. 此外, 我们还分析了云计算中各种DDoS攻击的原理, 并根据攻击速率将其分类. 然后, 我们给出一个DDoS防御的总体架构. 基于此, 我们从攻击预防、 攻击检测和攻击缓解三个方面对现有的抗DDoS攻击技术进行了详细的分析和评估. 重要的是, 我们比较了这些技术的优缺点. 除技术外, 我们还简要讨论了为应对DDoS攻击在服务和管理上需要关注的问题.最后, 我们讨论了当前开放性的问题以及面临的挑战, 并展望未来的研究方向.希望本文能使读者更好地了解云计算中的DDoS攻击问题、 当前已有解决方案以及未来的研究范畴, 以便更有效地应对DDoS攻击.关键词 云计算; 分布式拒绝服务攻击; 攻击防范; 攻击检测; 攻击缓解中图法分类号TP309DOl号10. 11897/SP. J.1016. 2020.02315ASurveyofDDoSAttackandDefenseTechnologiesinCloudComputingYUEMengWANGHuai-YuanWUZhi-JunLIULiang(. SchoolofEl ectronicInformationand Aut omation,Civi lAviationUniversi tyofChina^Tianjin300300)AbstractCloudcomputi ngisaninnovationoftheservicemodel.Itcentralizesphysicalresources(e.g.,computi ngresources,storageresources,anddataresources)andprovi desthemtousersondemandthroughthenetwork.Cloudcomputingfacesmanysecuritychal lenges( e.g.,datapri vacy,resourcemanagement).DistributedDenialofService(DDoS)attacki soneofthemajorsecuritythreatstocloudcomputing.TheDDoSattackseriouslyaffectsthecontinui tyandavai labi lityofcloudcomputing.AlthoughtheDDoSattackhasbeenprevalenti ntraditi onalnetworks,theapplicati onofcloudcomputingbringsnewchallengesandopportunitiestoattackanddefense.Ontheonehand,cloudcomputi ngempowersattacks.Thelargescaleandcentral izati onofcloudcomputi ngampl ifiestraditionalattacks.Inaddi tion,thevul nerabilitiesofcloudcomputi ngitsel fcanbeexploitedtoorgani zenewtypesofDDoSattacks.Inthiscase,itisdifficultfortraditi onal收稿日期: 2019-09-03 ; 在线发布日期: 2020-02-16. 本课题得到国家自然科学基金( U1 933108) 、 天津市教委科研计划项目( 2019KJ117) 、中央髙校基本科研业务费项目(3122020076)资助.岳 猛, 傅士, 副教授, 主要研究方向为云计算、 网络安全. E-mai I : myUe_23@1 63. C〇m. 王怀远, 硕士研究生, 主要研究方向为云计算、 网络安全.吴志军, 博士, 教授, 主要研究领域为网络信息安全、 云计算安全. 刘 亮, 硕士, 主要研究方向为网络信息安全.231 6 计 算机 学 报2020年defensetechnologiestodealwi thlarge-scale,di verse,andcomplexDDoSattacksincloudcomputing.Ontheotherhand,cloudcomputi ngempowersdefense.Thecloudcomputingprovi deslargeamountsofresourcescombi nedwithnewtechnologiessuchasSoftwareDefi nedNetwork( SDN) ,auto-scalingtoguaranteeitsownsecuri tyandprovidecloudsecuri tyservicestousers.Thecurrentdevel opmenttrendistotakeful ladvantageofnewtechnologiesofcloudcomputi ngtodefenseDDoSattacks.TheDDoSattackincloudcomputinghasattractedextensi veattentions.Currently, manyresearcheshavebeendevotedtoexposi ngnewvulnerabili tiesanddesigningeffecti veanti-DDoSstrategies.Inordertoenableresearcherstocomprehensi velygraspthecurrentresearchprogressandexci tethemtodevelopnewsol utionsagai nstvariousDDoSattacks,thispaperextensi velyreviewsexisti ngstudiesforasurvey.First,wesummarizethevul nerabil iti esofcloudcomputi ngintechnol ogyandservice,andfurtherrevealhowtoexploitthesevul nerabilitiestolaunchDDoSattacks.Next ,wedescri betheorganizationapproachesofDDoSattacksincloudcomputi ng.Inaddi ti on,weanalyzethepri ncipl esofvari ousDDoSattacksi ncloudcomputi ngandcategorizethemaccordi ngtoattackrate.Then,wepresentanoverviewofDDoSdefensearchitecturei ncloudcomputi ng.Afterthat ,weanalyzeandeval uateexistinganti-DDoStechnologiesi ndetailfromthreeaspects:attackprevention, attackdetectionandattackmitigation.Thei mportantthingi swecompareadvantagesanddi sadvantagesofthesetechnologies.Beyondtechnology,webrieflyextendourdiscussiononsomeimportantissuesi nserviceandmanagementforanti-DDoSattack.Fi nal ly, wedi scusscurrentopeni ssuesandchallenges,andprospectfutureresearchdirections.Wehopethispapercanprovi debetterunderstandi ngoftheDDoSattacki ncloudcomputi ngenvironment, currentsolutionspace,andfutureresearchscopetodealwi thsuchattacksmoreeffi ci ently.Keywordscloudcomputi ng; distributeddenialofserviceattack;attackpreventi on;attackdetection;attackmitigati oni 引 言云计算安全一直受到广泛的关注. 虽然云计算下的安全问题与传统网络环境下的安全问题有相似之处, 但是其特有的实现技术和运营模式, 导致其面临新的安全威胁. 201 6 年, 云安全联盟(CloudSecurityAl liance, CSA) 发布了云计算面临的12 种安全威胁[1]: 数据泄露; 身份、 凭证和访问管理不足;不安全的应用程序编程接口; 系统漏洞; 账户劫持;恶意内部员工; 高可持续性威胁; 数据丢失; 责任条款调查欠缺; 滥用和恶意使用云服务; 拒绝服务攻击; 共享的技术漏洞.分布式拒绝服务(Di stributedDenialofService,DDoS)攻击一直被视为互联网面临的主要安全威胁之一. 近年来, DDoS攻击频发, 最具代表性的攻击事件有两次,一次是2016 年美国Dyn域名服务器供应商遭受大规模DDoS攻击, 这次攻击的影响几乎波及半个美国, Twi tter、Gi tHub、Amazon等大型网站无一幸免. 这次事件体现出受害规模之大. 第二次是2018年一家名为“US-basedserviceprovi der”的游戏服务商遭遇了峰值流量达1.7Tbps 的DDoS攻击. 这次事件体现出攻击速率之高. DDoS攻击频发的原因在于, 首先它作为一种破坏型的攻击, 具有实施简单的特点, 只需暴力式地消耗资源. 而其攻击效果又十分显著, 受害者很难做出及时有效的响应,而攻击溯源也较为困难. 此外, 低廉的成本是其频发的另一个原因. 从博弈的角度, 攻击者只需要较小的攻击成本, 就可以发动一次大规模的DDoS攻击. 例如, 仅需2.4万美金便可购买10万台僵尸主机?, 而如此规模的僵尸网络造成的经济损失可达44.4 万美金[8]. 云计算促使互联网业务高速增长, 这些业务产生了巨大的经济效益. 随着大量用户数据和应用向云计算平台的迁移, 针对云计算数据中心的攻击与曰倶增, 而DDoS正是恶意竞争者非法获利的惯用手段.岳 猛等: 云计算中DDoS攻防技术研究综述 231712 期世界知名信息安全服务商ArborNetworks 指出, 几乎没有云计算平台能免遭DDoS攻击. 主流的云服务商( 例如, Akamai、 AWS、 阿里云等) 针对实际遭遇的DDoS攻击会专门发布安全报告 综合这些报告可以归纳出, 目前攻击者仍然以实施高速率、大规模的DDoS攻击为主. 攻击者通常以僵尸网络和反射的方式汇聚大规模流量. 例如, 阿里云声称2019 年上半年DDoS攻击流量大于50Gbps 的事件有5500余次, 其中300Gbps 以上的占20%, 同时已经连续2 个月出现近Tb级的攻击. Akamai 声称2018 年抵御了一波1. 3Tbps 的DDoS攻击. 此外, 云服务商也普遍指出当前DDoS攻击者通常利用的协议仍然是TCP和UDP, 而不可忽视的是应用层DDoS攻击呈增长趋势. 这些报告还指出I〇T设备的增加为组织大规模DDoS攻击提供了便利.例如, Mirai、 Spike 等感染IoT僵尸网络的恶意程序已经被云服务商广泛关注.随着越来越多的用户开始使用虚拟化数据中心和云服务, 云平台的新技术和新模式带来了新的漏洞, 例如防护边界降低问题[12]、虚拟化安全问题[1 3]等. 这些漏洞给DDoS攻击提供了更广阔的空间. 攻击者可以采取暴力式的淹没型攻击, 这种攻击难以缓解. 攻击者也可以实施技术式的攻击, 这种攻击以精准打击云计算的某种漏洞为目标, 往往具有难以察觉以及对传统防御方法免疫的特点. 当前, 云计算中的DDoS攻击防御面临着严峻的挑战.针对愈演愈烈的DDoS攻击, 云服务商为防御攻击提供了良好的实践范例, 其应对措施可概括为以下三点:一是利用云计算本身的弹性机制, 通过动态的资源伸缩来缓解DDoS攻击. 例如, AmazonElasticComputeCloud( EC2) 和AmazonElasticLoadBalanci ng(ELB) 都是利用这一方法; 二是采用分布式的多点防护技术, 尽量将DDoS攻击防御推向攻击源. 例如, AkamaiProlexicRouted将流量重定向到遍布全球的清洗中心, 而AmazonCloud-Front和AkamaiWebAppl i cationProtector则通过内容分发网络(ContentDeliveryNetwork, CDN) ,实现攻击流边缘过滤; 三是运用大数据、机器学习等新技术对流量建模, 快速识别恶意流量.如何应对DDoS攻击一直也是学术界关心的问题, 目前很多致力于云计算中DDoS攻击的研究已经取得一定成果. 本文主要从技术层面梳理现有的研究成果, 综述云计算中的DDoS攻防问题, 希望能为相关领域的研究者提供一定的借鉴. 本文主要贡献在于以下三点: (1) 分析了云计算下攻击者能够利用的主要漏洞, 对面向云计算的DDoS攻击进行分类梳理;(2) 对DDoS攻击防范、 攻击检测和攻击缓解三类技术分别进行对比分析43) 探讨了目前DDoS攻击防御中存在的问题, 提出可行性建议.本文第2 节讨论云计算的新特征, 揭示其安全隐患; 第3 节对云计算下的DDoS攻击进行分类评述; 第4 节对现有的DDoS攻击解决方案进行归纳比较; 第5 节总结当前研究中存在的问题, 并展望未来研究发展的趋势; 第6 节总结全文.2 云计算中DDoS攻击隐患分析云计算的飞速发展, 给互联网用户带来了诸多便利, 但是云计算的新特点也暴露出一定的安全隐患, 这使DDoS攻击有了更佳的用武之地.2. 1 新技术(1) 数据中心网络(datacenternetwork)数据中心网络是云计算的基础设施, 而数据中心网络技术则是指数据中心的通信体系结构, 通常以网络拓扑结构、路由器/交换机设备和所使用的协议来描述. 目前, 云计算数据中心网络的拓扑结构种类很多?6](例如, 树形结构、胖树形结构、VL2、雪花结构、Dcel l、BCube、 Heli os 等), 这些拓扑结构普遍面临着带宽不足和拥塞控制的问题.一方面, 云计算数据中心通常具有百微秒级的网络时延. 按照带宽时延积规则, 网络交换设备的缓存相对较小, 通常只缓存几十至数百个包. 在这种情况下, 带宽资源对单条流而言并不是问题. 但是, 数据中心网络中同步、 聚合高速率流却比较容易实现, 几乎不需要任何额外的同步机制. 过高的汇聚流使得网络出现带宽不足的问题, 导致临时的瓶颈, 而这些瓶颈链路正是DDoS攻击者潜在的攻击目标. 另一方面, 由于数据中心网络负载难以预测, 网络实体的独立、 非协作路由决策等因素, 导致拥塞控制非常复杂. 攻击者可通过拥塞瓶颈链路, 诱发端系统不断地进行拥塞控制.而一旦启动拥塞控制, 那么必然会影响系统服务的稳定性.(2) 虚拟化(vi rt ualization)虚拟化技术将云计算平台的基础设施和各类物理资源( 如CPU、 内存、 网络等) 动态地汇聚起来, 形成多租户共享的资源池, 这些资源以网络服务的方式按需提供给用户. 这种资源池化是导致DDoS攻2318 计 算机 学 报 2020年击的一个因素. 当多个用户通过虚拟机共享同一主机的资源时, 如果某一个虚拟机被DDoS攻击, 那么将会导致主机上的其它虚拟机产生资源饥饿、 服务不响应的问题. 有研究表明, 在遭受DDoS攻击时,在虚拟机中托管的Web 服务性能会下降23%, 而在相同硬件情况下, 托管在非虚拟化主机时, 其性能只下降 在物理服务器等底层基础设施上, 系统可以通过虚拟化技术来控制分配给当前用户的虚拟操作系统及其存储和应用程序, 甚至自定义虚拟网络. 这种开放性使得安全性变差. 例如, 攻击者可以利用虚拟机分配或迁移算法来控制某一台虚拟机成为傀儡机. 此外, 管理程序(hypervisor)平台存在被DDoS攻击的可能, 目前已有很多公开的CVE( CommonVulnerabilities&Exposures) 漏洞( 例如,CVE-2012-2625、 CVE-2010-4255、CVE-2010-4247、CVE-2010-3699) , 造成hypervi sor拒绝服务.( 3) 软件定义网络(softwaredefi nenetwork)SDN将控制平面和数据平面解耦, 可以满足云计算对网络的需求, 例如可编程按需定制、集中式统一管理、 动态流量监管、 自动化部署等. 但是, SDN本身却可能成为DDoS攻击的对象. SDN架构从上到下可分为三层, 应用层、 控制层和基础设施层, 每一层都面临DDoS攻击的威胁[1 8]. 首先, 对于应用层的DDoS攻击可以以应用程序或北向API 为攻击对象. 由于应用程序或资源的隔离没有得到很好的解决, 因此对一个应用程序的攻击可能会影响到其它应用程序. 其次, SDN的控制器在物理上分布式存在, 而在逻辑上集中. 控制层容易出现单点失效的问题, 因此控制器会成为DDoS攻击的重点目标.此外攻击者还可以对各向API、 流表、带宽发起攻击. 最后, 对于基础设施层的DDoS攻击主要攻击对象是交换机或南向API. 例如, 攻击者可以通过伪造未知流的方式, 产生许多虚假流规则, 进而耗尽数据层交换机的存储资源.2. 2 新服务模式(1) 弹性伸缩( auto-scali ng)弹性伸缩体现了云计算按需分配资源的特点.它是按照一定的策略自适应地调整计算资源( 例如,带宽资源、 存储资源、CPU资源等), 从而满足不同业务负载的需求, 保证服务的正常运行. 弹性伸缩以硬件虚拟化为基础, 包括物理主机内的垂直伸缩和物理主机间的水平伸缩[19]. 如果攻击者伪造大量虚假请求注人目标机, 则会导致系统的过载. 之后, 弹性伸缩机制被触发. 系统会首先在本地资源池中寻找空闲资源来保障业务需求, 即垂直伸缩. 如果仍无法满足业务需求, 系统会继续寻找其它具备资源的物理主机, 并以新建虚拟机实例的方式, 将服务迁移至新的服务器上, 这即是水平伸缩. 虽然弹性伸缩机制在一定程度上保证了资源数量, 但其中所涉及的虚拟机过载判定, 资源分配策略探测利用率、分配和激活新资源, 以及在水平伸缩下, 新虚拟机实例启动及虚拟机迁移等一系列复杂的处理将消耗较长的时间. 因此, 过于频繁的伸缩将导致服务质量的降低甚至拒绝服务. 此外, 从理论上来说可扩充的资源并不是无限多的, 这意味着DDoS攻击者只要不断增大攻击流量, 就可以消耗掉所有资源, 仍然能达到拒绝服务的效果. 而目前攻击成本廉价, 组织大流量的攻击并不困难.(2) 即用即付(pay-as-you-go)即用即付是指云计算以租赁的方式向用户提供各种资源, 并按照所用资源数量的多少来计费. 这种模式虽然节省了用户购买及维护物理设备的成本, 但却导致了用户遭受EDoS(EconomicDenialofSustai nabili ty) 攻击的风险[2 °]?EDoS攻击可通过“显式”或“隐式”的形式实现.“显式”攻击是指攻击者伪装成某个正常用户向云计算数据中心服务器发送大量请求, 从而造成该正常用户使用资源虚高的假象. 如果系统以资源使用量计费, EDoS攻击将导致正常用户费用增高.“隐式”攻击是利用小的请求包触发大的响应包, 也可称之为放大式EDoS攻击.以Web服务为例,一个GET请求通常为1024Byte,而一个网页通常在1MB以上. 假设攻击者发送GET请求的速率为每秒一次, 则每天触发的服务响应将达到84GB[21]. 如果系统以流量计费, 这种攻击方式可以慢慢诱发额外流量. 可想而知, 这种“隐式”的EDoS攻击表面上看速率很低, 而实际上在日积月累后同样造成巨大的经济损失. 综上, EDoS攻击主要造成了云服务提供者(cloudserviceprovider)和云消费者( cloudcustomer) 的经济损失.一是云服务提供者为保障自身的服务质量, 不得不向云基础设施提供者( cloudi nfrastructureprovider) 支付高额的费用. 二是云计算消费者面临虚假消费的问题, 不得不向云服务提供者付费.(3) 多租户(multi-tenancy)IaaS(InfrastructureasaService) 是云计算的一种服务模式. 云基础设施提供者通过虚拟化技术,将不同云服务提供者的业务驻留在同一物理主机上. 这种共享IaaS资源的模式虽然提高了硬件利用岳 猛等: 云计算中DDoS攻防技术研究综述 2319 12 期率, 但也面临存储、 带宽等资源竞争的问题:1 223]. 假如有来自云计算数据中心外部的恶意用户攻击内部虚拟机? 使其占用高额的资源, 那么与其共享物理资源的其它租户必然受到影响. 攻击发生时, 为保证服务质量, 系统往往会进行虚拟机迁移, 而这会导致正常租户承担高额的管理费用. 此外, 如果数据中心内部某个虚拟机本身是恶意租户, 或被攻击者控制, 则可能导致针对数据中心外部、 内部租户之间、 以及虚拟机对基础设施的攻击. 而更为严重的情况是, 云基础设施提供者成为DDoS攻击的策划者. 在利益的驱动下, 它们可直接或间接( 与攻击者合谋) 地攻击基础设施租户. 由于物理设施、 资源管理策略、 资源利用率、计费模式等关键信息都掌握在云基础设施提供者手中, 因此这种攻击既容易实施又难以识别和举证.对上述安全隐患进行归纳总结, 如表1 所示. 攻击者可以利用这些安全隐患, 采用不同的技术实施多样的DDoS攻击.表1 云计算的安全隐患隐患名称 总结描述新技术数据中心网络虚拟化软件定义网络容易出现带宽不足和拥塞控制的问题, 攻击者可轻易拥塞瓶颈链路虚拟机共享物理资源的竞争问题, 加剧了攻击影响; 虚拟化技术本身的漏洞应用程序缺乏隔离; 控制层容易单点失效r消耗基础设施资源; 开放的API 隐患新服务模式弹性伸缩即用即付多租户攻击者恶意触发弹性机制, 消耗资源EDoS导致虚假付费受害租户消耗资源; 恶意租户对数据中心内外部的攻击3 云计算中DDoS攻击技术云计算平台下组织和实施DDoS攻击越来越简单和多样. 虚拟机、 物联网、 移动端都成为僵尸程序寄宿的新宠, 攻击目标可以选择应用程序、 底层服务、基础设施等.3.1 云计算中DDoS 攻击的组织云平台的可用资源丰富, 为了快速聚集攻击流量消耗资源, 攻击者通常利用分布在不同地域的似尸网络, 甚至组织与僵尸网络具有同一量级资源的攻击云[2 3], 从而形成超大规模的DDoS攻击. 典型的攻击场景如图1 所示.随着互联网的发展, 攻击者可控制的僵尸机不再局限于PC, 任何接人网络的设备都有可能被攻击者利用来组织DDoS攻击.第一, 移动端引人的安全隐患日益增加. 移动互联网的快速发展, 带来了设备性能的升级和各种资源的激增. 但是, 大多移动设备目前的安全防护措施还有所欠缺, 用户的安全意识也较为薄弱. 因此, 移动端成为助力DDoS攻击的利器. 例如, 有研究指出Androi d平台下的恶意软件可实施DDoS攻击[24].第二, 云平台下用户可以通过各种各样的终端访问数据中心资源, 这种泛化的接人方式有利于组织大规模DDoS攻占. 随若智能终端、 物联网的发展, 攻击者选择似尸机的范围扩大. 例如, 通过僵尸摄像头发动DDoS攻击. 在未来, 攻击者有可能利用电视机、打印机等设备组织DDoS攻击.第三, 僵尸云(BotCloud)的出现, 极大地节省了攻击者感染傀儡机的时间和成本. 按需服务是云计算的典型特征, 而发动攻击正是黑客的一种需求. 因此.出现了诸如恶意软件即服务MaaS( MaIewareas图1 云计算下DDoS攻击场景2320计 算机 学 报2020 年aService)、攻击即服务AaaS( AttacksasaService)等黑色服务. 借助于云平台感染虚拟机, 出租和部署僵尸网络的黑色产业链日趋成熟[2 5%].3. 2 云计算中DDoS攻击的分类目前, 云计算中的DDoS攻击主要向两个方向发展,一是将传统的攻击方式平移到云计算平台, 主要采取“暴力”的方式不断增大攻击流量, 消耗系统资源; 二是以精准打击云计算的新漏洞为目标, 在云平台上释放更“智能”的新型DDoS攻击.(1) 云计算中的传统DDoS攻击传统网络中的DDoS攻击几乎可以平移到云计算平台下, 攻击者可以直接利用UDPfl 〇〇d、ICMPflood、 Fragmentation、 DNSfl ood、 VoIPflood等,也可以组织Smurf 和Fraggl e 等反射或放大方式的攻击. 此外, 由于云计算下基于Web 的应用较为普遍,因此HTTP、 TCP也成为黑客重点攻击的对象. |
| [返回] |
下一篇:基于证据理论的多关系网络重要节点挖掘方法