技術領域

本發明涉及一種計算機網絡安全技術，該系統模擬一種新型的低速率拒絕服務LDoS攻擊，測試攻擊性能，并對此種攻擊進行有效的檢測和防御。

技術背景

拒絕服務(denialofservice，DoS)攻擊是目前互聯網面臨的最大威脅。傳統的拒絕服務攻擊主要是通過攻擊機器發送海量的數據包，消耗目標服務器的網絡資源或計算資源，使得用戶無法使用服務器資源，以達到拒絕服務的目的，這種方式的攻擊稱為泛洪式拒絕服務(flooding-base?denial?of?service，FDoS)攻擊，典型的例子有SYN/ACK泛洪攻擊、UDP泛洪攻擊、ICMP泛洪攻擊等。目前已經有很多針對FDoS攻擊的檢測和防御方法隨著攻擊技術的進一步發展，新的拒絕服務攻擊層出不窮。LDoS就是其中一種。對于LDoS攻擊的研究尚處于起步階段，但相關研究工作主要出現在近年來一流國際會議上，說明其得到了充分的重視。2003年在計算機網絡方面的頂級會議SIGCOMM上，Rice大學的Aleksandar首次提出了針對TCP協議的低速率拒絕服務攻擊，主要針對TCP擁塞控制機制的漏洞，文中提出了一種潛在的低速率拒絕服務攻擊(Low-Rate?Denial?of?Service，LDoS)模型，通過準確計算，只需少量攻擊數據就可導致受害者端拒絕服務或服務質量的下降。在2004的ICNP以及2005年的INFOCOM上，Guirguis提出了RoQ攻擊，其實質也是針對TCP協議中擁塞控制以及路由器隊列管理機制中的漏洞，使得特定的路由器的性能發生下降。2005年的NDSS會議上，Xiapu?Luo又提出了pulsing攻擊，原理與LDoS攻擊非常相似。2005年，在Internet2的Abilene骨干網上發現了LDoS攻擊，LDoS攻擊成為現實。

LDoS攻擊的原理：TCP擁塞控制中的超時重傳和AIMD兩種機制分開考慮，并將針對TCP協議的LDDoS攻擊分為兩類：基于超時重傳機制的LDDoS攻擊和基于AIMD機制的LDDoS攻擊。

1、基于超時重傳機制的LDoS攻擊

根據TCP超時重傳機制，發送端為發送出去的每個報文段設置一個定時器，如果在收到對該報文的確認之前定時器就超時了，則發送端將其發送窗口Cwnd減為1，然后重新發送此包，并根據指數退避算法將RTO設為原來的q倍(q一般取2)，等待應答包的到來，如果重傳包仍然超時，則繼續重傳，直到重傳成功或放棄重傳；如果重傳成功收到應答包，則系統進入慢啟動狀態。按TCP協議，對于非重傳報文段，當發送端收到其ACK時，需要根據其所測得的往返時延RTT更新此鏈路的RTO，式(2.1)為計算方法：

RTO＝min{RTO_max，max{RTO_min，SRTT+max(G，4×VRTT)}}

為了使網絡達到接近最優的吞吐率，最小重傳時間推薦RTO_min為1s。RTO_max為RTO上限值。G是時鐘尺度，SRTT和VRTT分別表示平滑后的往返時延和往返時延的變化。

2、基于AIMD機制的LDDoS攻擊

根據TCP協議，如果TCP發送方進入快恢復，就調用AIMD算法調整擁塞窗口。定義廣義AIMD(a，b)，a＞0，0＜b＜1。算法如下：當發送方進入快恢復狀態時，擁塞窗口從W減小到b×W，然后每隔一個RTT，擁塞窗口增大a，這個過程將一直持續，直到接收到另一個擁塞信號。TCP?Tahoe，TCP?Reno等都使用AIMD(1，0.5)。考慮到許多TCP實現時并不是在每收到一個包時就發送一個ACK，而是在收到連續d個包時才發送ACK。于是廣義AIMD(a，b)的加法增大修改為：每隔d個RTT，擁塞窗口增大a。這個結論可進一步表述為：每隔1個RTT，擁塞窗口增大a/d。

與基于超時重傳機制的LDDoS攻擊不同，基于AIMD機制的LDDoS攻擊所發出的攻擊脈沖強度稍弱，只會引起網絡的輕度擁塞，TCP發送方所收到的擁塞信號是3個重復的ACK包，而不是重傳計時器超時。根據AIMD算法，當TCP發送方收到3個重復的ACK后會立即重發此包，將其擁塞窗口Cwnd減為b×cwnd(MD算法)，然后再按照和式增算法(AI)以線性規律增大窗口。在基于AIMD機制的LDDoS攻擊下，鏈路始終處于AIMD狀態下，而不會進入超時重傳或慢啟動狀態，但是其擁塞窗口是不斷減小的，系統性能逐步下降，最后擁塞窗口減少到一個極限值并維持在這個極限值左右不變，系統性能達到最差，且無法恢復。