一种利用Mainline DHT脆弱性发动DDos攻击的技术分析

　0引言
　　近年来，在各国版权和法律机构的压力下，以著名的海盗湾为代表的很多BT下载网站关闭了各自的Tracker服务器，由此将不再有中心Tracker服务器提供下载列表，节点也不可能再连入BT网络。但是BT提供了一种可选的方案，也就是连入DHT(Distribute hash table)网络，这时的每个节点都相当于一个小型的Tracker服务器，可用来维护某些文件的下载列表。
　　DHT技术现在已经获得广泛使用，几乎所有的BT客户端软件都支持这个协议，因此该技术对BT的发展起到了很重要的推动作用。但与此同时，还应看到因其需要消耗大量资源来维护路由表，同时也没有对节点身份进行验证，就会导致DHT网络可能受到DDos攻击。本文主要研究了如何利用Mainline DHT协议的脆弱性进行DDos攻击，同时通过在Mainline DHT真实网络下的实验对攻击的性能进行了评估。可以看到利用这种脆弱性发动的攻击不仅仅对DHT网络本身有害，同时也可以对因特网内的任意一个用户发动攻击。
　　1相关研究工作以及背景知识
　　1.1Mainline DHT协议
　　BitTorrent 使用了分布式哈希表(distributed sloppy hash table)的技术，用以实现在无tracker的torrent文件中peer的联系信息存储。此时，每个peer都是一个tracker。该协议是基于Kademila协议的，并且全部都使用着UDP报文。
　　在DHT中，每个节点都有一个全局的唯一标识节点id。节点id的产生是随机的，且使用与BitTorrent的infohash相同的160-bit空间。“异或距离”用来比较两个node_id或者node_id与infohash的接近程度。Nodes必须维护一个路由表，其中保存了部分其他Nodes的联系信息。而当与自身节点更为接近时，路由表的信息则会更加详细。
　　Mainline DHT协议包括4种RPC操作：
　　(1)ping主要用于探测一个节点是否在线；
　　(2)announce_peer用于通知一个节点储存对，方便日后查询需要；
　　(3)find_node使用160位的目标ID作为参数。接收者返回包含K个离目标ID最近节点的形式的列表；
　　(4)get_peers使用160位的infohash作为参数。接收者如果有这个infohash对应的peers下载列表，则直接返回相关的peers，否则返回本地路由表中距离infohash最近的K个节点。
　　当一个node想得到某个torrent文件的peers，首先使用异或距离来比较torrent文件的infohash和路由表中节点的node ID。接下来向路由表中node ID与infohash最接近的那些节点发送请求，得到当前正在下载此一torrent文件数据的peers的联系信息。如果被请求的节点知道该torrent文件的peers，则peers的联系信息将包含在回复中。否则，被请求的节点必须返回其路由表中更接近infohash的那些节点。当获取得到peers列表后，客户端就可以使用BT协议与peers通信，并进行文件的下载了。
　　1.2Mainline DHT安全性研究
　　分布式拒绝服务主要是利用木马或病毒等攻击方式，将多台分散主机联合起来，再对某个或某些目标发动攻击，耗尽主机的资源。当然，联合的主机越多，拒绝服务攻击的效果就越好。
　　近年来，有关利用P2P网络脆弱性发动DDos攻击已开展了大量研究。文献［1］ 探讨了P2P网络中Napster等协议的安全性，并对DDos攻击的攻击防御方法进行了深入研究。文献［2-3］ 借助BT协议中与Tracker服务器交互部分的脆弱性而发动了DDos攻击。但是由于近年来大部分Tracker服务器出于版权原因关掉，这种方式的危害性已经不大。文献［4-5］ 研究了基于Mainline DHT脆弱性发动DDos攻击的方法。首先，在网络上选择非常热门的几个种子，其次在本地发动Sybil攻击伪造大量node_id与热门种子infohash接近的节点，这时就会有大量节点发送get_peers消息请求获取peers 列表，因此只需要将攻击的节点IP、端口写入get_peers回复中的peers字段，就会有大量用户对受害节点请求TCP连接，从而发动DDos攻击。虽然如此，但这样的方式却仅能针对某一个热门种子。通过文献［6］即可看到，一个热门电影的peers大小不过几万个，这样的数字也并不足以产生很大的危害。基于以上研究，进一步地，本文设计的系统可以对多个种子的用户列表同时进行污染，由此显著提高了攻击效率。第3期张信幸，等：一种利用Mainline DHT脆弱性发动DDos攻击的方法智能计算机与应用第4卷
　2系统设计与实现
　　2.1Mainline DHT脆弱性
　　Mainline DHT对节点node_id的选取并未做任何检查，因此可将DHT节点的node_id设置为任意值；其次，可在本地服务器上产生多个node_id，并将其发布出去，这样，外界就会将本系统视为多个DHT节点。一个DHT节点就是一个小型Tracker服务器，那么产生多个DHT节点，将这多个小型的Tracker服务器组合起来，就变成了一个大型的Tracker服务器。但对于node_id的选取，不能仅仅只是随机产生，而是需要进行精心设计，否则搜索效率将会非常地低。Mainline DHT也没有对节点node_id和IP以及端口做任何校验，因此在DHT网络发动Sybil攻击显然就极为容易了。
　　2.2攻击原理
　　在本文的系统中，完成DDos攻击主要有两个步骤。首先，要产生大量Sybil节点，如此可使DHT网络中尽可能多的节点知晓其存在后而向其发送get_peers请求；接下来，就可在get_peers回复中加入将要攻击的节点，这里的受害节点可使用一台预先部署的服务器进行测试；最后，大量的用户就会向受害节点请求TCP连接，相应地就在受害服务器端记录各项信息用于评估攻击性能。
　　2.3系统设计
　　文中的系统主要由图1所示的多个模块组成，下面对各个模块进行简要介绍：
　　(1)base-mysql。这是mysql数据库操作的基类，其中实现了mysql数据库与C函数的接口函数，也就是将打开、插入、删除、查询等操作都进行了封装。
　　(2)dht-mysql。base-mysql类的子类，在其基础上实现了dht模块与mysql的交互，而且将插入、删除等操作的参数都设置为infohash。
　　(3)log。这个模块用来管理配置文件和日志文件，其中配置文件的名字是。
　　(4)dht。这是程序最主要的模块，主要提供了3个接口函数，分别是：dht_init()，dht_periodic()，dht_uninit()。其中，dht_init()用来初始化搜索模块中的各数据结构，根据配置文件产生多个node_id，并开始第一步扩散；dht_periodic()是在epoll_wait()收到消息或者发生超时现象时调用 的，可解析收到的消息类型，并按照前述的消息处理方式对消息进行处理；dht_uninit()是对本模块进行一些释放工作，在此过程中，首先会产生大量Sybil节点并向DHT网络扩散，这样就能够收到大量get_peers请求，为此再构造get_peers回复，并在回复中包含全部的受害节点。
　　(5)dht-config。用来解析、读取配置文件。
　　(6)dht-main。这是main函数所在的模块，将其上所有模块整合起来实现系统的整体功能。
　　图1系统架构
　　Fig.1System architecture
　　对于受害节点模块，则仅仅开启对应的端口号，并记录接收到的连接数以及占用的带宽，当客户端发送报文时，就将关闭连接。
　　3实验结果与结论分析
　　3.1节点扩散模块
　　由2.1节可知，系统节点的扩散效果对DDos的攻击状况将产生很大影响，而通过文中在不同网络环境下的测试发现，对系统的扩散效果最具影响的因素就是IP类型。图2描述了在国内三种不同网络环境下，扩散系统在前140分钟收到get_peers请求的测试结果，其中电信网络和网通网络使用的都是内网IP，而移动网络使用的则是外网IP。可以看到在移动网络环境下，扩散效果非常好，140分钟内就收到了26万个get_peers请求，而另外两种环境请求数都在1万以下。由此可知，外网IP对系统性能影响很大，这主要是由于针对通过DHT网络学习到系统的那些节点，在外网IP环境下，能够主动与这些节点连接，而内网IP则不行，NAT阻断了很多连接请求。
　　图2不同网络下收到的get_peers请求数
　　Fig.2The number of get_peers requests in different network
　　3.2DDos攻击的效能
　　文中在该部分进行了4次实验，攻击时间分别为10:00、16:00、22:00、04:00，每次攻击持续1个小时，并且在已经部署的模拟受害节点上，持续监控6小时，受害节点总计监听24小时。其后，统计了各个时间点受害节点上收到的TCP连接数。
　　图3描述了从10:00到16:00的DDos攻击情况。可以看到在10:00到11：00的攻击持续时间中，收到的请求数从0快速增加到6万以上，在11点系统的监听程序死掉了，即进行了重启。重启后看到，尽管在12点已经停止了攻击，但是系统仍然收到很多的新攻击，在13点30左右甚至超过了之前11点的峰值。
　　图310:00-16:00收到的攻击连接数
　　Fig.3The number of attack connections
　　received in 10:00-16:00
　　图4描述了16:00到22:00的攻击情况，这里为受害模拟程序增加了重启脚本，同时为了防止机器死掉，即将程序最大连接数限制为112 000万。可以看到，在17点停止攻击后，连接数仍然继续增加，直到19点左右增加到设定的最大限制值。
　　图416:00-22:00收到的攻击连接数
　　Fig.4The number of attack connections
　　received in 16:00-22:00
　　图5描述了22:00到04:00的攻击情况。可以看到，攻击延续了之前的连接，一直保持之前设定的最大连接数，直到3点时程序得到了重启。
　　图522:00-04:00收到的攻击连接数
　　Fig.5The number of attack connections
　　received in 22:00-04:00
　　图6描述了04:00到10:00的攻击情况。可以看到，这个时间段的增加速度明显没有之前快。对比图6与图4可以得到，图6中在攻击后五小时才达到所设定的最大连接数，而图4仅经过两小时就已达到了这一数目。
　　由图3~图6可以看出，利用Mainline DHT脆弱性发动的DDos攻击具有很强的可持续性，在攻击结束后的6小时，新的连接仍然在不断建立；其次，与文献［5］及文献［7］ 相比，文献中的DDos攻击数都在25左右，而文中的DDos攻击规模则在10万以上，其攻击威力明显要强大了许多；最后，通过图4和图6的对比还可以看到16:00时的攻击性能比04:00要提高了2倍，这说明白天的攻击性能比晚上的要好一些。图604:00-10:00收到的攻击连接数
　　Fig.6The number of attack connections
　　received in 04:00-10:00
　　4结束语
　　本文给出了一种利用Mainline DHT脆弱性发动DDos攻击的方法。由实验结果可以看出，这种方法可以对因特网上的任意目标发动DDos攻击，并造成很大的危害。通过文中的实验可以得到以下结论：第一，利用Mainline DHT脆弱性发动DDos攻击可以造成很大的危害性，对比文献［5］和文献［7］ 中受害机上产生的25个左右的DDos TCP连接数，本文中的10万以上的TCP连接数，显然其危害要更大；第二，白天的攻击效能要比晚上提高2倍左右；最后，这种攻击方式的持续性非常强，在停止攻击后的5小时仍然能接收到大量TCP连接。因此，Mainline DHT的脆弱性会对因特网造成很大危害，应当对其Mainline DHT协议进行安全性增强改进。
　　参考文献：
　　［1］刘晓娟.基于P2P网络的DDoS攻击防御研究［D］. 北京：北京邮电大学，2009.
　　［2］JEROME H, COREY K, ZOU C C. A BitTorrent-driven distributed denial of service attack［C］// Security and privacy in communication networks and workshops International conference,2007:261-268.
　　［3］DEFRAWY K, GJOKA M, MARKOPOULOU A. BitTorrent: misusing BitTorrent to launch DDoS attacks［C］// SRUTI 2007: Proceedings of the 3rd USENIX Workshop on Steps to Reducing Unwanted Traffic on the Internet,2007:1–6.
　　［4］史建焘,张宏莉.一种DHT安全性优化策略［J］.智能计算机与应用,2012,2(6):11-13.
　　［5］余杰.P2P网络测量与安全关键技术研究［D］.长沙：国防科学技术大学，2010.
　　［6］WOLCHOK S, HALDERMAN J A. Crawling BitTorrent DHTs for fun and profit［C］// Proceedings of the 4th USENIX Conference on Offensive Technologies., August 2010:1-8.