什么是哈希洪水攻击（Hash-Flooding Attack）？ 第1页

如果一名程序员想要接触信息安全的话，哈希洪水攻击我是一定会重点圈出来的。一方面是因为它的原理非常简单，只要掌握一点数据结构方面的基本知识就能理解；另一方面是因为，它是我入坑以来对我启发最大的技术之一，从中不仅可以学到一项具体的攻击技术，还可以看到“软件开发从业人员”和“信息安全从业人员”之间决定性的分野。

比较遗憾的是，国内互联网上真正搞懂这项攻击的人不多。虽然有几篇不错的文章讲清了它的攻击原理，但他们给出的防御手段也不过是“限制参数个数”、“禁止不明用户提交数据”之类的东西，无法从根本上解决哈希洪水攻击。所以我才决定这几天抽时间写篇长文回答，讲讲哈希洪水攻击的攻与防。

顺便一提，我没记错的话，阿里还曾经拿这个问题做过面试题，这个选题可以说是很有品味了。

0x01 哈希洪水攻击的成因

哈希洪水攻击（Hash-Flooding Attack）是一种拒绝服务攻击（Denial of Service），一旦后端接口存在合适的攻击面，攻击者就能轻松让整台服务器陷入瘫痪。

那么，所谓的“合适的攻击面”到底指什么呢？我们先来复习一下本科水平的数据结构知识吧。

在各种常用的数据结构里，有些数据结构的“平均运行时间”和“最差运行时间”会差很远，比如哈希表（Hash Table）。假设我们想要连续插入 个元素到哈希表中：

• 如果这些元素的键（Key）极少出现相同哈希值，这项任务就只需 的时间。
• 如果这些键频繁出现相同的哈希值（频繁发生碰撞），这项任务就需要 的时间。

这应该是每个学过数据结构的学生都知道的常识，不过大部分人看过之后就很快忘掉了。

2003年，Scott A. Crosby 和 Dan S. Wallach 两位研究人员发表了一篇论文：Denial of Service via Algorithmic Complexity Attacks。在这篇论文里他们首次提出：既然有些数据结构的最差运行时间这么废物，我们有没有可能通过算法上的漏洞，强行构造出一个最差情况，让服务器把全部的资源都浪费在处理这个最差情况上？

例如，Java自带的字符串哈希函数，使用的是“DJBX33A算法”的变种，这个算法是这样定义的：

而根据这个算法定义，我们就可以轻松地构造出一批具有一样哈希值的字符串：

这样一来，只要构造出几万个同样哈希的字符串，把它们提交给服务器做哈希表， 就能用很低的成本将服务器打瘫了。

这个成本具体有多低呢？依2011年的实验数据，攻击一台基于Java（Tomcat）的服务器时，仅仅需要6KB/s的流量就能打瘫一颗 Intel i7 处理器，1GB/s的流量可以打瘫 100000 颗 Intel i7 处理器，性价比远超TCP半开连接等传统的拒绝服务攻击。

0x02 哈希洪水攻击的防御

搞清原理之后，很多人第一时间想到的防御手段应该是：“限制参数个数”、“禁止不明用户提交数据”这类吧？是，这类方案理论上是可行的，起码在项目规模不大的时候没什么问题。

然而随着项目的不断演进，项目人员的入职离职，整个项目的数据接口会逐渐脱离掌控。你固然可以通过一些全局配置（比如PHP的max_input_vars）来限制参数个数，但其他团队的程序员却可能在不知情的情况下，为了“绕过那个搞网络安全的哥们设的神经病限制”，而故意选择用 JSON 等方式提交大量数据，给整个系统深深地埋下一颗地雷。

因此，为了根绝隐患，我们需要从更根本上避免攻击的发生。比如，我们能否找到更优秀的哈希算法，让那些键的哈希值完全不发生碰撞？

很遗憾，答案是不行，从数学角度上讲这根本不可能。因为一个哈希表的长度一般也就是几千个元素，根据生日悖论我们可以证明：不管你的算法设计得多么精妙，只要黑客掌握算法的所有细节，那就总能算出一组频繁碰撞的键来。

注意到我刚才那句话里隐藏的线索了吗？

如果黑客不能掌握算法的所有细节，是不是就不能算出一组频繁碰撞的键，也就没法发动哈希洪水攻击？

换句话说，我们能不能在算法中加入一个黑客不知道的秘密参数？每建一张哈希表，我们就随机生成一个新的秘密参数。这样一来，即使是同样的内容，放在不同的表里也会产生完全不同的内存分配。这整个过程黑客完全无法预测，即使发生碰撞，也是小概率的巧合，而不是黑客在主动控制，攻击也就不可能成立了

这个黑客不知道的秘密参数，我们现在称之为哈希种子（Hash Seed）。而这类使用哈希种子的哈希算法，我们称之为带密钥哈希算法（Keyed Hash Function）。

黑客一方的攻击目标，是想办法刺探出种子的值，或者在不知道种子的情况下构造出一组会碰撞的键来。而安全研究人员的目标，就是设计出更安全的带密钥哈希算法，保护好种子的安全，避免种子被黑客绕过。

这些年来，攻守双方在这个领域展开了激烈的攻防，来自Google、UIC等机构的众多研究人员设计了许多新的哈希函数：SipHash、MurmurHash、CityHash等等。这些算法不停地被推翻，不停地更新版本，到现在已经形成了一套稳定的算法标准，被众多编程语言和开源项目所采纳。

下面这张表来自SipHash官网，里面列举了众多采用SipHash-2-4算法的知名项目。其中Rust、Python、Ruby等语言更是把SipHash-2-4作为默认的哈希表实现方法，用这些语言编写的项目天生免疫哈希洪水攻击：

这些算法虽然在中文资料里名不见经传，很多人甚至可能是读到我这篇文章，才第一次听说这些算法的名字。但正是多亏了这些默默无名的算法，以及设计了这些算法的研究人员，我们才没有生活在一个“服务器三天一崩溃、五天一瘫痪”的世界里。

附注：在读了评论区知守的评论之后，补充一下Java提出的解决方案（JEP 180）。

从JDK 8开始，HashMap、LinkedHashMap和ConcurrentHashMap三个类引入了一套新的策略来处理哈希碰撞。

• 当一个位置存储的元素个数小于8个时，仍然使用链表存储。
• 当一个位置存储的元素个数大于等于8个时，改为使用平衡树来存储。

这样一来，就能保证最差的运行时间是 了。

为什么要设立“8个元素”（TREEIFY threshold）这样一个限制呢？因为平衡树相比链表而言有着更高的开销，以及更散乱的内存布局（影响缓存命中率）。在正常情况下，哈希表的一个位置大约只会存储1~4个左右的元素，所以没有必要专门开一个平衡树来存储冲突的元素，对一些性能敏感的应用来说会造成显著的负面影响。

实际应用中究竟选用平衡树还是SipHash，完全是一件见仁见智的事情，两边没有哪个有显著的优势，实现起来也都不是很困难。

0x03 后记

在本文开始的时候，我说过一句话：“它是我入坑以来对我启发最大的技术之一，从中不仅可以学到一项具体的攻击技术，还可以看到‘软件开发从业人员’和‘信息安全从业人员’之间决定性的分野”。

那么这项决定性的分野是什么呢？

我将它总结为一句话，并作为自己的座右铭：“Stay Malicious，保持恶意。”

“哈希表的最差时间复杂度是 ”——这是一项所有软件开发人员烂熟于心的基础知识，所有人都知道，但是所有人都只是看过一眼就忘在脑后了。直到2003年，才第一次有人提出可以用这个东西发动网络攻击，而且效果十分之出色。

在这个故事中，两位研究人员并没有掌握什么复杂深奥的神仙技术，仅仅只是用到一句本科水平的基础常识而已，可是深究下来却走出了这样一条别出心裁的攻击路径，为什么？因为他们懂得怎么样“怀着恶意”去应用手中的技术，这正是很多软件开发人员所欠缺的。而这一点点意识上的欠缺，将来也许就会变成一笔昂贵的学费砸在头上。

所以，Stay Malicious。

在一个充满恶意的虚拟世界，保持恶意才能让你走得更远。

觉得本文有价值的话，欢迎点个赞支持一下。对信息安全感兴趣的同学，也欢迎阅读我写的其他信息安全科普类文章：

• 指纹识别/指纹支付安全吗？
• CA 机构是如何保护自己私钥的？
• SSH是如何防御重放攻击的？
• 如何设计安全且方便记忆的密码？
• 在非对称加密中，是怎么做到知道公钥也没法破解密文的？