服务器DDOS攻击

服务器DDOS攻击（共10篇）

服务器DDOS攻击 篇1

1 研究现状

为了减少DDoS攻击对网络带来的危害,国内外研究人员一直在开展相关研究,并推出了一系列的防御设备和方法。在国外,比较有代表性的有TrafficM aster、CaptI O G-2和TopA ppS witch等3 500个产品。在国内,绿盟公司的Collapsar产品采用了反向检测等新算法,可有效抵挡SYN Flood、UDP Flood和Stream Flood等攻击。该算法可通过辨识报文是否来自网络中的信任主机,判断是否丢弃;同时还会根据报文特定的“指纹”来判定报文的非法性[1]。为了尽量减少对正常网络流量的影响,产品将算法设定运行在网络协议栈的最底层[2]。同时,该类产品还实现了网络隐身技术,使用该技术主机在网络上相当于一个透明单元,攻击者将无法达成目标,因此安全性较好[3]。只是,现有的这些防护产品还不能完全地防御DDoS攻击,防御技术还需要进一步的提升与改善。入侵防御系统(IPS)是最近提出的一种防范攻击的新技术,其中融合了目前主要的进展成果:IDS技术、报文过滤和实时监测等。不过IPS目前还处于研究阶段[4],因此DDoS防御工作仍是一个至关重要、且现实攸关的网络安全难题。

本课题的新颖之处是解决了目前国内外对标记设备无法逐步部署的限制和攻击路径检测的时效性问题,研究中有针对性地提出了基于遗传算法的DDoS攻击特征分析的方法成果;而且,还设计实现了基于CDN的异常流量攻击的攻击清洗技术这一处理方法,有效解决了传统的方法遇到组合爆炸或者必须全网部署才能运作的综合焦点问题。

2 基于遗传算法的DDo S攻击特征分析

异常流量攻击检测的重点在于新攻击特征的分析,因此本课题主要进行如下问题研究,解决了异常流量攻击特征的选择、异常流量攻击特征的表示、异常流量攻击特征的分析和异常流量攻击特征的模型求解这4个关键技术问题。

设定Tn表示时间片Δn(n=1,2,3,…)内出现的所有IP地址的集合,Dn表示时间片Δn结束时刻白名单中的所有IP地址的集合。那么,就表示Δn内新出现IP地址的数量,显然的大小与Δn大小相关。T为此,选择用于表示不同时间片ΔTn内新出现IP地址数量变化函数,即Xn表示时间片Δn内新IP地址占IP地址总数的比值,这样Xn的值就不会受到Δn大小的影响。

显然Xn(n=1,2,3,……)是一个随机序列。正常状况下(包括高峰流量状况下)Xn是一个轻微抖动的序列,当发生分布式拒绝服务攻击时,由于出现大量新IP地址,会引起Xn剧烈抖动。具体如图1所示。

在网络正常状况下,当n<m时,

即正常状况下新出现IP地址所占的比例极小。为此,令Zn=Xn-β,a=α-β<0,则Zn表示为:

这样,Zn就符合了要求,Zn序列如图2所示。

在m时刻yn呈现上升趋势。因此,可以设定阈值N,当yn大于N时,就可认为发生了DDoS攻击。

3 基于CDN的异常流量攻击的攻击清洗技术

解决异常流量攻击下网络的检测、响应、保护,是切实保证网络基础设施可用的最终目的。如果攻击生效后才发现,对网络的保护已失去意义。在异常流量攻击生效后,从被攻击网络边界网关出口处看,该网络对外已经失效,成为了因特网中的“网络孤岛”。攻击定位与保护的最大难点在于,对标记信息片段的重构模型设计。总体设计过程研究要点如下:

1)计算要快。在攻击流量快速增长,攻击效果尚未突现时,准确定位攻击路径,临时切断最远处攻击源。如果运算复杂,却等大流量攻击实施生效后才计算出结果,就将失去保护网络的最后机会。

2)不会引起组合爆炸问题。一些PPM研究成果只适合单源异常流量攻击,就是因为多源时引起定位分片的组合爆炸问题。

3)攻击树图的恢复逐层展开。攻击树图的生成考虑可视化逐层展开,流量动态显示。传统方法需要确定全部路径后才能精确给出整张树图,必然是攻击完成后的补救显示了。

CDN技术就是在互联网范围内广泛设置多个节点作为代理缓存,并将用户的访问请求定向联传至最近的缓存节点,以加快访问速度的一种技术手段。用户的访问请求是通过智能DNS来实现的。对于资源和服务的访问请求是以域名的形式发出的。传统的域名解析系统会将同一域名的解析请求转换成一个现实恒定的IP地址,因此,整个互联网对于该域名的访问都会被导向同一个IP地址。CDN节点在收到用户的请求时,会在其存储的缓存内容中寻找用户请求的资源,如果找到,就直接将资源响应给用户;如果在CDN节点中找不到用户请求的资源,则CDN节点会作为代理服务器向源站请求该资源,获取资源后将结果缓存并返回给用户。对于有大量静态资源的网站,使用CDN进行代理缓存一般能够减少源站80%的访问流量。综上可知,在使用CDN技术之后,互联网上的用户可以通过智能DNS利用CDN的节点快速获取所需要的资源和服务,同时由于CDN节点的缓存作用,能在宽广范围内減轻了源站的网络流量负载,因而更在相当程度上降低了高防服务器的压力,获得了满意的防御异常流量攻击的技术效果。在发生了异常流量攻击时,智能DNS会将来自不同位置的攻击流量分发到对应位置的CDN节点上,这就使得CDN节点成为区域性的流量吸收中心,从而达到流量稀释的效果。在流量被稀释到各个CDN节点后,就可以在每个节点处进行流量清洗,只将正常的请求交付给高防服务器,从而达到防护源站的目的。

4 结束语

课题通过对大规模攻击的流量特征分析,标记和检测、保护模型的建立,研制原理样机分布式部署在真实网络环境下,通过CDN及时发现攻击并切断疑似攻击路径(或报告管理人员,人工协助切断路径),以保证网络业务的正常进行。流量与清洗系统的实施将进一步改善任务关键信息系统因为入侵而导致的服务能力降低,大大提高系统可用的弹性,增强其可用性和可靠性。下一步研究将着重于具有应用背景或前景的关键信息系统,结合典型分布式攻击,设计出更具实用性、适应性和扩展性和部分部署的标记与汇聚方案。

参考文献

[1]SPECHT S M,LEE R B.Distributed denial of service:taxonomied of attacks,tools and countermeasures[C]//2004 International Workshop on Security in Parallel and Distributed Systems.San Francisco,CA,USA:[s.n.],2004:543-550.

[2]CARL G,KESIDIS G,BROOKS R R,et al.Denial-of-service attack detection technique[J].IEEE Internet Computing,2006,10(1):82-89.

[3]尚占锋,章登义.DDo S防御机制研究[J].计算机技术与发展,2008,18(1):7-10,36.

[4]赵江岩.DDo S及防御DDo S攻击[J].商场现代化,2008(17):396-397.

[5]秦晓明,赵建功,姜建国.一种DDo S防御系统模型的设计研究[J].计算机与数学工程,2008,36(1):67-68.

服务器DDOS攻击 篇2

尤其是随着 技术的不断发展，DDoS攻击更是出现了一些新的动向和趋势：

高负载—DDoS攻击通过和蠕虫、Botnet相结合，具有了一定的自动传播、集中受控、分布式攻击的特征，由于感染主机数量众多，所以DDoS攻击可以制造出高达1G的攻击流量，对于目前的网络设备或应用服务都会造成巨大的负载。

复杂度—DDoS攻击的本身也从原来利用三层/四层协议，转变为利用应用层协议进行攻击，如DNS UDP Flood、CC攻击等。某些攻击可能流量很小，但是由于协议相对复杂，所以效果非常明显，而防护难度也很高，如针对网游服务器的CC攻击，就是利用了网游本身的一些应用协议漏洞。

损失大—DDoS攻击的危害也发生了一些变化，以往DDoS主要针对门户网站进行攻击，如今攻击对象已经发生了变化。如DNS服务器、VoIP的验证服务器或网游服务器，互联网或业务网的关键应用都已经成为攻击的对象，针对这些服务的攻击，相对于以往会给客户带来更大的损失。

疏与堵的博弈

近几年来，蠕虫病毒是Internet上最大的安全问题，某些蠕虫病毒除了具有传统的特征之外，还嵌入了DDoS攻击代码，加之Botnet的出现， 可以掌握大量的傀儡主机发动DDoS攻击，从而导致其流量巨大。在唐山 针对北京某知名音乐网站发动的DoS攻击中，其攻击流量竟然高达700M，对整个业务系统造成了极大的损失。

目前绝大部分的抗拒绝服务攻击系统虽然都号称是硬件产品，但实际上都是架构在X86平台的服务器或是工控机之上，其关键部件都是采用Intel或AMD的通用CPU，运行在经过裁剪的操作系统（通常是Linux或BSD）上，所有数据包解析和防护工作都由软件完成。由于CPU处理能力以及PCI总线速度的制约，这类产品的处理能力受到了很大的限制，通常这类抗拒绝服务攻击产品的处理能力最高不会超过80万pps，

然而，面对DDoS攻击，传统X86架构下的DDoS防护设备在性能及稳定性上都很难满足防护要求，更何况在传统抗DDoS攻击方案中，基本上都采用了串联部署（即：接在防火墙、路由器或交换机与被保护网络之间）的模式，这种模式存在较多的缺陷：一方面增加了网络中的单点故障，同时可能造成性能方面的瓶颈，尤其在攻击流量和背景流量同时存在的情况下，可能导致设备负载过高，从而影响正常业务的运行；另一方面，以往的DDoS防护设备和防火墙系统都有着千丝万缕的联系，所以其防护功能主要在协议栈的三层/四层实现，这类设备针对目前承载在应用层协议之上的DDoS攻击防护乏力。(编程入门网)

正是因为如此，我们应该从架构上对整个抗拒绝服务攻击设备进行重新设计，以达到从性能、功能以及稳定性上满足目前DDoS防护的进一步需要。

抗海量拒绝服务攻击，可谓疏与堵的一场博弈。

决胜的棋子

日前，绿盟科技新推出的黑洞产品，具备了应对海量DDoS攻击的能力。它不仅支持传统的串联模式，同时还基于流量牵引的技术，实现了旁路工作模式。一方面，旁路模式消除了网络中的单点故障，避免了由于设备本身故障或负载过高对网络造成的影响；同时，通过流量牵引，黑洞2000可以只针对已经分流后的攻击流进行重点防护，从而提高了应对海量DDoS攻击的承付能力。

除了稳定性和性能，黑洞2000相对于原有型号的产品有了质的飞跃，更为重要的是，旁路模式支持多种复杂网络环境的部署。例如，针对城域网的核心层网络的DDoS攻击，黑洞2000就提供了基于MPLS的远程流量牵引；针对城域网汇聚层之下的DDoS攻击防护，黑洞2000产品实现了L3->L2的流量牵引和注入机制。而在大型IDC或电子商务网站入口，一般都是冗余网络环境，如果采用黑洞2000就能够对这类应用提供良好的支持，在保证网络可靠性要求的同时，也节省了大量的设备投资成本。

DDoS攻击与检测技术 篇3

关键字:拒绝服务攻击;检测方法;防范策略

中图分类号:TP393文献标识码:A文章编号:1007-9599 (2010) 09-0000-02

DDoS Attack&Detection Technology

Wu Dan

(College of Computer Science&Information,Guizhou University,Guiyang550025,China)

Abstract:Distributed denial of service attack has become one of the most important threats of the network security,how effective defense DDoS attack has attracted many scholars'attention,this paper analyses the principle of Distributed Denial of Service attack,attack type,detection method and defense strategy of DDoS attack.

Keywords:DDoS;Detection methods;Prevention strategy

一、引言

拒绝服务DoS(Denial of Service)成为网络安全的威胁,自Internet形成之初就已经存在。而分布式拒绝服务DDoS(Distributed Denial of Service),是一种分布式、可协作的大规模拒绝服务攻击,其能够在一定时间内彻底使被攻击者丧失一切正常的网络服务。[1]DDoS攻击因易实施、隐蔽性强、攻击范围广、简单有效等特点而成为黑客惯用的攻击方法之一,其往往会给网络带来沉重的打击,严重者可使整个网络处于瘫痪状态。其已经严重影响了网络向更深更广阔的方向发展[2]。因此,DDoS攻击被称为网络一号杀手。[3]

二、DDoS攻击原理

DDoS是对DoS的一种演变,其改变了传统一对一的攻击方式,而是采用了分布、协作的大规模的DoS攻击方式,在网络中调用了大量的傀儡机,制造了数以百万计的数据流入欲攻击的目标,以消耗网络带宽或者系统资源为目的,致使攻击目标的服务请求极度拥塞而无法提供正常的网络服务,从而造成攻击目标的系统瘫痪。这种攻击方式极大的提高了攻击效果,且具有极大的破坏性。常见的DDoS攻击主要包括利用操作系统漏洞攻击、利用网络服务程序漏洞攻击、利用网络协议漏洞攻击和Flood类型攻击等。DDoS攻击分为直接攻击和反射攻击。[4]

DDoS攻击过程可分为以下四个步骤:[5][6]

1.探测扫描大量主机,找到能够入侵目标;

2.入侵有安全漏洞的主机并取得控制权,其中部分主機作为主控端,另一部分作为代理端;

3.在每台入侵主机中安装攻击程序;

4.在攻击者的调遣下,用已控制的主机对攻击对象发起DoS攻击。

三、DDoS攻击类型

DDoS攻击类型主要有两种表现形式,一种是流量攻击,其主要是针对网络带宽的攻击,即向目标主机发送大量的攻击报文,导致整个目标主机网络带宽被阻塞,合法网络包被虚假的攻击报文所阻挡而无法到达主机;另一种为资源耗尽攻击,其主要是针对服务器主机的攻击。即通过发送大量攻击包,导致目标主机的内存被耗尽,或CPU被内核及应用程序完全占有而造成无法提供正常的网络服务。[7]

(一)SYN变种攻击

SYN-Flood是目前最经典最流行的DDoS攻击手段,SYN-Flood的攻击效果最好,能够通杀各种不同系统的网络服务。其主要利用TCP/IP协议的固有漏洞,通过控制机像受害主机发送大量的伪造IP和源端口的SYN数据包,其数据包能够达到上千字节。这种攻击在会导致受害的主机缓存资源被耗尽的同时还会堵塞带宽。这种攻击由于其攻击源端口都是伪造的,因此跟踪起来非常困难。

(二)TCP全连接攻击

这种攻击的最大特点是能够绕过常规防火墙的检查。TCP全连接攻击是通过众多傀儡主机不断地与受害服务器建立大量的TCP连接,从而使服务器的资源被耗尽,造成拒绝服务。

(三)针对用UDP协议的攻击

这种攻击的主要方式是攻击者发送大量的UDP报文给目标主机,导致目标主机忙于处理这些UDP报文而无法再处理其它的报文,从而使目标主机资源殆尽。

(四)针对WEB Server的多连接攻击

通过控制网络中大量的傀儡机,攻击者使用这些被控制的傀儡机访问目标主机,这种攻击方式和正常访问目标主机是一样的,只是目标主机访问量在瞬间徒增至几十倍甚至上百倍,造成目标主机无法处理大量的数据而导致瘫痪。

(五)CC攻击及CC变种攻击

CC攻击是指攻击者多次通过网络中的HTTP代理服务器向目标主机上开销比较大的页面发起HTTP请求,造成目标主机拒绝服务。这中攻击方式与典型的分布式拒绝服务攻击不同的是攻击者不需要调动大量的傀儡机,直接由代理服务器充当傀儡机这个角色。

四、DDoS攻击的检测方法

检测技术不能够直接阻止DDoS攻击,但可以为进一步采取防范提供重要参考依据,检测技术可以作为其他防御技术的补充。

目前,分布式拒绝服务主要有基于源IP地址的检测、基于流量大小的检测、基于包属性的检测和根据异常情况检测等几种检测机制。[7][8][9]

(一)基于源IP地址的检测

该检测方法就是在被保护网络的边界路由器上另外部署源IP检测算法,其目的是根据源IP数量的徒然剧增来判断是否是DDoS攻击的发生。在正常情况下,访问服务器的源IP数据报会在过去的某个时间段出现过,因此在一个新的间内出现新的源IP数据量是很小的,且这些数据包呈现均匀的统计分布。假如在非常短暂的时间段内出现了大量新的源IP数据包,则说明收到了DDoS攻击。

(二)基于流量大小的检测

该方法与基于源IP地址的检测方法有相似出,就是在被保护网络的边界路由器上部署流量检测算法,根据流量的突发变化检测DDoS攻击的发生。但与基于源IP地址的检测有所不同的是,后者更关注源IP的流量。这种方法的依据是在正常情况下,网络流量和含有拒绝服务攻击流量的网络流量具有不同的特征。在正常情况下,网络流量的分布(源IP、目的IP分布等)是相对稳定的,其高频统计结果能够维持一个动态平衡。

(三)基于包属性的检测

当DDoS攻击发生时,攻击数据包将会破坏正常状态下进出网络的数据包在IP数据包头字段的统计学稳定性,因此,可以使用一定的算法学习正常数据包属性字段,从而提高判断数据包的危险程度,进而可以检测DDoS攻击。在正常状态下,进入网络的数据包,在IP头部相关字段上具有稳定的统计学特性,而发生攻击是,通常会破坏这种稳定性,大量涌入的伪造数据包将会打乱原有的字段,伪造数据报将分布在被打乱的相关字段上。这种检测方式根据其自身的特点,在一定程度上具有较高的检测效率。

五、DDoS攻击防范技术

(一)攻击源定位

其主要思想是首先确定攻击的源头,然后从源头停止DDoS的攻击。但源地址可以伪造,再加上各级路由器不对源地址进行验证,因此攻击源定位技术尽管出现了很多,而且应用也很广泛,但要想精确的确定攻击的源头还存在有诸多问题需要我们解决。[10]

目前的攻击源定位技术,需要修改IP协议或增加新的协议,这样就加大了实施难度。[9]目前的攻击源定位技术还只能定位到网络的边界,并不能定位到攻击主机;而通常定位是在DDoS攻击之后才进行的,因此,对正在进行的攻击无能为力。此外,该技术需要收集大量的攻击源报文进行计算来还原出攻击路径。对于DDoS攻击而言,即使能够定位到攻击的源头,由于源IP是可以伪造的,因此也很难发现攻击的真正实施者。由于DDoS攻击的特殊性,因此对路径的还原算法带来了很大的挑战,最后即使能够准确的定位源攻击地址,同样也缺乏有效的措施停止攻击。

(二)过滤

过滤是对进入被攻击主机所在网络的数据包进行分析,最终能够使正常流量顺利通过,而過滤或截获攻击流量。早起的过滤方法因为不能有效的区分合法流量和非法流量,因此造成了阻止合法用户的“拒绝服务”现象。而近年来,该技术结合了某些攻击源定位技术,利用网络路由提供的信息,提高了对合法流量和非法流量的辨别能力。[9][11]

六、总结

到目前为止,DDoS攻击仍是困扰着网络运营商、金融、电信、政府等企业机构的一大难题。由于更多的DDoS攻击手段利用了通信协议本身的缺陷或漏洞,因此,单凭计算机和网络系统是很难阻止DDoS攻击的。随着各种安全漏洞会的不断修补和协议的升级,计算机和网络系统变得更加安全,但是,DDoS攻击却没有因此而退出人们的视线。反而各种DDoS攻击工具包将得到了更进一步的完善,其功能更强大,隐蔽性更强,鉴于此,与DDoS攻击的斗争也将会持续下去。

参考文献:

[1]孙曦,朱晓研,王育民.DDoS下的TCP洪流攻击及对策[J].网络安个技术与应用,2004,4

[2]严芬,王佳佳,赵金凤.DDoS攻击检测综述[J].计算机应用究,2008,25,4:966-969

[3]Li Ming.An Approach to Reliably Identifying Signs of DDoS Flood Attacks Based on LRD Traffic Pattern Recognition[J].Computers&Security,2004,27,3

[4]CHAN G R K C.Defending against flooding2based distributed denial2of2service attack s:a tutorial[J].IEEE Common Mag,2002,40,10:42-51

[5]李萱,叶琪.防御DDoS攻击的智能过滤模型[J].计算机工程与应用,2005,29:156-158

[6]赵恒,王宁宁.荣瑞峰DDOS的攻击与防御[J].信息技术与信息化,2007,3.

[7]Thomer M Gi1,Massim iliano Poletto.MutopsA Data Structure for Bandwidth Attack Detection[C].USENIX'01,2001

[8]卿斯汉,蒋建春.网络攻防技术原理与实践[M].北京科学出版社,2004:191-194

[9]王振明,张业娥.一种DDoS攻击检测方法[J].甘肃科技,2007,2,23,2:35-37

[10]宁锐,黄遵国.一种可生存性的DDoS防御方案[J].计算机与网络,2009:204-205

[11]宋国明.一种新的DDoS攻击主动防御方案[J].信息安全与通信保密,2006,8:19-21

服务器DDOS攻击 篇4

拒绝服务攻击 (Do S) 攻击通过消耗主机或者网络的资源使得主机或者网络不能正常的提供或者接受服务。分布式拒绝攻击 (DDo S) 是指大量的攻击主机同时对受害者发起拒绝服务攻击, 其攻击强度比单攻击者情形要大的多, 而且由于攻击者的分布式特性, 使得预防和消除这类攻击更加困难。在电子商务广泛实施的今天, 攻击导致的服务中断将会给商业站点带来巨大的经济损失 (例如被广泛报道的针对Yahoo, e Bay和Amazon等的攻击) , 更为不幸的是, 文献[1]指出DDo S攻击非常流行。

DDo S攻击盛行的原因包括:网络上有众多可以方便发动DDo S攻击的工具可以获得 (比如TFN, Trinoo和stacheldraht) , 这使得普通人也可以方便地发动DDo S攻击, 而不像其它攻击方式网络入侵对攻击人员有较高的技术要求。另一个根本原因是难以追踪攻击者。DDo S攻击通常从成百上千个分布网络各处的主机发起, 并且通常对源地址进行欺骗, 而目前网络体系无法对数据包的来源做任何确认, 在转发数据包的时候也没有任何记录信息, 这使得仅从数据包本身即得不到来源信息也得不到任何路径信息。

目前, 分布式拒绝服务 (Distributed Denial of Service, DDo S) 攻击日益严重地威胁着ISP运营商用户。这些攻击能够躲避当前多数安全工具的检测, 进而快速瓦解目标企业的安全防御体系, 使企业遭受大量的损失。DDo S攻击是破坏面极广的杀伤性武器, 与传统的穿越安全外围设备盗取信息的接入攻击不同, DDo S攻击可通过伪造的流量淹没服务器、网络链路和网络设备 (路由器和防火墙等) , 造成整个互联网系统的瘫痪。

从攻击方式分析, DDo S攻击是一种资源占用型的攻击行为, DDo S攻击通过发出海量数据包, 造成设备负载过高, 最终导致网络带宽或是设备资源耗尽。通常被攻击企业的路由器、服务器和防火墙的处理资源都是有限的, 攻击负载之下它们就无法处理正常的合法访问, 导致服务拒绝。

流量型攻击最通常的形式是flooding方式, 这种攻击把大量看似合法的TCP、UDP、ICPM包发送至目标主机, 甚至, 有些攻击还利用源地址伪造技术来绕过检测系统的监控。

正是由于DDo S攻击非常难于防御, 以及其危害严重, 所以如何有效的应对DDo S攻击就成为Internet使用者所需面对的严峻挑战。网络设备或者传统的边界安全设备, 诸如防火墙、入侵检测系统都不能有效的提供针对DDo S攻击完善的防御能力。面对这类给Internet可用性带来极大损害的攻击, 必须采用专门的机制, 对攻击进行有效检测, 进而遏制这类不断增长的、复杂的且极具欺骗性的攻击形式。

1 ISP提供防范网络DDo S的原因

1.1 DDo S攻击带来的影响

DDo S攻击所带来的损失是巨大的, DDo S攻击之下的用户系统性能急剧下降, 无法正常处理用户的正常访问请求, 造成客户访问失败;服务质量协议 (SLA) 也会受到破坏, 带来高额的服务赔偿。同时, 公司的信誉也会蒙受损失, 而这种危害又常常是长期性的, 往往衍生利润下降、生产效率降低、IT开支增高以及相应问题诉诸法律而带来的费用增加等等损失。

1.2 用户的迫切需求

任何需要通过网络提供服务的政企客户, 不论是处于经济原因还是其他方面, 都希望对DDo S攻击进行防范, 保护其基础业务系统 (包括Web、DNS、Mail、交换机、路由器或是防火墙) 免受DDo S攻击的侵害, 保证其业务系统运行的连续性。

在信息安全市场调研中, 发现除银行行业外, 证券、网游、互联网门户企业, 对DDo S防范服务都有迫切的需求, 市场发展潜力巨大。

2 目前ISP运营商为用户提供网络服务的状况

2.1 分析ISP运营商网络的目前状况

目前ISP运营商典型的结构可以划分为核心层、汇聚层、接入层三个层面。

核心层:主要完成的功能是给业务汇接点提供高带宽的IP业务、AT M业务承载和交换通道。

汇聚层:主要完成的功能是给业务接入节点提供业务的汇聚、管理和分发处理

接入层:主要利用多种接入技术, 迅速覆盖用户, 进行带宽和业务分配, 实现用户的接入, 接入节点设备完成多业务的复用和传输, 利用光纤、双绞线、同轴电缆等连接到用户。

在结构上及其功能上并未能对ISP运营商的客户提供防范网络DDo S攻击的服务。

2.2 电信运营商提供DDOS防御服务的优势

目前政企客户向电信运营商租赁的带宽一般在100M以内, 也就意味着当DDo S攻击超过用户的链路带宽时, 用户自行部署的防攻击产品将无法进行防护, DDo S攻击流量甚至完全堵塞用户的链路, 造成正常客户无法进行访问, 影响正常业务的开展。而且目前市场上主流的防火墙、IDS/IPS、路由器等设备均不是专业的防DDo S攻击设备, 他们在设计原理中并没有考虑针对DDo S攻击的防护, 在某些情况下, 这些安全设备甚至成为DDo S攻击的目标而导致整个网络陷入瘫痪。

电信运营商开展DDo S攻击防范服务有得天独厚的优势, 通过在ISP运营商上部署专业的电信级抗DDo S设备, 及时发现背景流量中各种类型的攻击流量, 迅速对攻击流量进行牵引或清洗, 保证正常流量的通过。在ISP运营商部署DDo S防范策略, 不仅能够避免用户侧单点故障的发生, 同时也能保证ISP运营商的整体性能和可靠性。

3 ISP运营商为用户提供防范网络DDo S攻击的设计方案

3.1 ISP运营商网络核心层保护

ISP运营商为用户提供防范网络DDo S攻击系统可以由一套抗DDo S攻击产品组成, 包括在核心层的路由器旁新增一台CISCO 7609/6509, 在该设备上部署Detector模块和Guard模块。总体处理能力为3x N Gbps (单个Guard模块的处理能力为3G, 届时可根据需要进一步扩容) , 抗DDo S设备部署在核心层路由器设备上, 能够为全ISP运营商客户提供“DDo S防护”增值服务。

Detector模块能从全网的角度上对流量进行分析, 当发现DDo S攻击时, 能够立即通知CISCO Guard模块进行联动, 将指向目标的业务流量转移到Guard进行分析和过滤, 除去所有恶意攻击流量, 使得正常的数据流能被继续传送。

3.2 ISP运营商网络汇聚层保护

在需要进行保护的用户侧汇聚层部署抗DDo S设备, 其中单台设备的处理能力为3G-4G。

如果在网络汇聚层部署抗DDo S设备, 有可能造成攻击流量在未到达用户链路端口时, 已经造成ISP运营商链路堵塞, 应当配合网络的核心层面防御网络攻击的颗粒度进行部署。

4 ISP运营商为用户提供防范网络DDo S攻击的安全技术实现

解决方案涉及的关键技术包括对DDo S攻击的检测防御, 对被攻击用户的流量的牵引和清洗后的流量回注。

4.1 流量检测防御技术

ISP运营商抗DDo S攻击解决方案, 流量检测和防御功能由旁挂在ISP运营商的专用探测和防御设备实现。

探测设备通过对ISP运营商用户业务流量进行逐包的分析和统计, 完成用户流量模型的自学习, 并自动形成用户流量模型基线。基于该基线探测设备可以对用户的业务流量进行实时监测。当发现用户流量异常后, 探测设备向专用的业务管理平台上报攻击事件。

防御设备通过静态漏洞攻击特征检查、动态规则过滤、异常流量限速等技术, 可以实现多层次安全防护, 精确检测并阻断各种网络层和应用层的Do S/DDo S攻击和未知恶意流量。

4.2 流量牵引技术

为了在用户的业务遭受DDo S攻击时, 将用户的流量动态的牵引到流量清洗中心来进行清洗。流量清洗设备利用IBGP或者EBGP协议, 首先和ISP运营商中用户流量路径上的多个核心设备 (直连或者非直连均可) 建立BGP Peer。攻击发生时, 流量清洗中心通过BGP协议会向核心路由器发布BGP更新路由通告, 更新核心路由器上的路由表项, 将流经所有核心设备上的被攻击服务器的流量动态的牵引到流量清洗中心进行清洗。同时流量清洗中心发布的BGP路由添加no-advertise属性, 确保清洗中心发布的路由不会被扩散到ISP运营商, 同时在流量清洗设备上通过路由策略不接收核心路由器发布的路由更新。从而严格控制对ISP运营商造成的影响 (如图1所示) 。

4.3 流量回注技术

流量清洗设备支持丰富方式来实现将清洗后的流量重新注入到ISP运营商。可以提供策略路由、MPLS VPN、二层透传等多种方式进行用户流量的回注。下面以前三种方式为例详细介绍具体方案。

(1) 策略路由方式

通过在旁挂路由器上配置策略路由, 将流量清洗中心回注的流量指向受保护设备相对应的下一跳, 从而绕过旁挂设备的正常转发, 实现该用户的流量回注。为了简化策略路由的部署, 可以将ISP运营商的用户分组, 仅为为每组用户配置一条策略路由指向该组用户所对应的下一跳设备。这样既可实现针对该组用户的流量回注。而且在初期实施完成后不需要在修改ISP运营商设备的配置。方案的可维护性和可操作性得到了很大的增加。[下转66页]

(2) MPLS VPN方式

利用流量清洗系统做PE与I S P运营商汇聚设备建立MPLS VPN隧道, 清洗后的流量进入VPN内进行转发, 从而绕过旁挂设备的正常转发, 实现该用户的流量回注。其组网如图2所示。

(3) 二层透传方式

流量清洗中心旁挂在ISP运营商汇聚设备或者IDC核心或者汇聚设备上, 旁挂设备作为受保护服务器的网关, 此时利用二层透传的方式来回注用户的流量。这种透传方式为特定组网环境下的回注方法。将流量清洗系统、ISP运营商设备、受保护服务器置于相同VLAN中, 通过在流量清洗系统上做三层转发, ISP运营商设备上做二层透传, 从而绕过旁挂设备的正常转发, 实现该用户的流量回注。

5 结束语

随着网络的发展和普及, 在信息高速共享的同时, 网络的攻击也成为个人和企事业单位必须面临的问题。利用ISP运营商信息安全服务, 政企客户无需购买昂贵的信息安全设备, 即可享受到电信级、专业化的信息安全服务, 降低了设备投资压力, 提高了企业信息化的防御水平, 实现了投资与收益效能的最大化。对ISP运营商、个人和企事业单位不失为一个双赢的选择。

参考文献

[1]Computer Security Institute and Federal Bureau of Investigation.1999CSI/FBI Computer Crime and Security Survey.Computer Security Institute publication.1999.

[2]Vamsi Paruchuri, Arjan Durresi, Rajgopal Kannan, etal.Authen-ticated autonomous system traceback[C].AINA.2004.

[3]李涛.网络安全概论[M].北京:电子工业出版社.2004.

[4]王绍卜.计算机网络安全的隐患和对策[J].中外科技信息.2003.

服务器DDOS攻击 篇5

四、怎么抵御DDOS?

对付DDOS是一个系统工程，想仅仅依靠某种系统或产品防住DDOS是不现实的，可以肯定的是，完全杜绝DDOS目前是不可能的，但通过适当的措施抵御90%的DDOS攻击是可以做到的，基于攻击和防御都有成本开销的缘故，若通过适当的办法增强了抵御DDOS的能力，也就意味着加大了攻击者的攻击成本，那么绝大多数攻击者将无法继续下去而放弃，也就相当于成功的抵御了DDOS攻击。以下几点是防御DDOS攻击几点：

、采用高性能的网络设备

首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDOS攻击是非常有效的。

、尽量避免NAT的使用

无论是路由器还是硬件防护墙设备要尽量避免采用网络地址转换NAT的使用，因为采用此技术会较大降低网络通信能力，其实原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间，但有些时候必须使用NAT，那就没有好办法了。

、充足的网络带宽保证

网络带宽直接决定了能抗受攻击的能力，假若仅仅有0M带宽的话，无论采取什么措施都很难对抗现在的SYNFlood攻击，当前至少要选择00M的共享带宽，最好的当然是挂在000M的主干上了。但需要注意的是，主机上的网卡是000M的并不意味着它的网络带宽就是千兆的，若把它接在00M的交换机上，它的实际带宽不会超过00M，再就是接在00M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为0M，这点一定要搞清楚。

、升级主机服务器硬件

在有网络带宽保证的前提下，请尽量提升硬件配置，要有效对抗每秒0万个SYN攻击包，服务器的配置至少应该为：P.G/DDR5M/SCSI-HD，起关键作用的主要是CPU和内存，若有志强双CPU的话就用它吧，内存一定要选择DDR的高速内存，硬盘要尽量选择SCSI的，别只贪IDE价格不贵量还足的便宜，否则会付出高昂的性能代价，再就是网卡一定要选用COM或Intel等名牌的，若是Realtek的还是用在自己的PC上吧。

5、把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给 入侵带来不少麻烦，至少到现在为止关于HTML的溢出还没出现，看看吧!新浪、搜狐、网易等门户网站主要都是静态页面，若你非需要动态脚本调用，那就把它弄到另外一台单独主机去，免的遭受攻击时连累主服务器，当然，适当放一些不做数据库调用脚本还是可以的，此外，最好在需要调用数据库的脚本中拒绝使用代理的访问，因为经验表明使用代理访问你网站的80%属于恶意行为。

6、增强操作系统的TCP/IP栈

Win000和Win00作为服务器操作系统，本身就具备一定的抵抗DDOS攻击的能力，只是默认状态下没有开启而已，若开启的话可抵挡约0000个SYN攻击包，若没有开启则仅能抵御数百个，具体怎么开启，自己去看微软的文章吧!《强化TCP/IP堆栈安全》。

也许有的人会问，那我用的是Linux和FreeD怎么办?很简单，按照这篇文章去做吧!《SYNCookies》。

7、安装专业抗DDOS防火墙

8、其他防御措施

DDoS攻击原理与防御 篇6

DDoS攻击方式是在DoS攻击的基础上产生的一种攻击方式。根据CERT的统计, 自1990以来, 在各种网络攻击事件中, DDoS攻击所占的比例一直呈上升趋势。为了避免产生更大的损失, 对DDoS的攻击原理进行分析, 从而有针对性地得出防御的方法。

1DoS攻击

1.1 DoS攻击原理

拒绝服务 (Denial of Serviece, DoS) 。这种攻击的目的是拒绝网络中的合法用户对服务器的访问, 破坏网络的正常运行[1]。

DoS的攻击方式很多, 最基本的DoS攻击是利用合理的服务请求占用过多的服务资源, 从而使合法用户无法得到网络服务。攻击过程为:首先攻击者向服务器发送大量有虚假地址的请求, 服务器发送回复信息后等待回传信息, 但是由于地址是假的, 所以服务器等不到回传的信息, 分配给这次请求的资源始终没有被释放。当服务器等待一定的时间后, 连接因超时被切断, 攻击者会再次传送新的一批请求, 在这种反复发送伪地址请求的情况下系统的资源最终被耗尽。

1.2 常见的DoS攻击方法

常见的DoS攻击的方法[2]有:

(1) 带宽DoS攻击。利用高带宽消耗服务器的缓冲区, 消耗服务器的带宽。这种攻击方法属于初级DoS攻击。

(2) 日志文件满载攻击。构造大量的错误信息发送出来, 服务器的日志文件因为记录这些错误变得非常庞大。

(3) Windows 的SMB实现中的DoS攻击。它是2002年发布的攻击方法, 只要允许匿名连接的Windows操作系统就可以进行远程攻击。

2DDoS攻击

2.1 攻击原理

DDoS攻击是在DoS攻击的基础上产生的一类攻击方法。DoS攻击对于CPU速度慢, 网络带宽小的目标主机有明显的效果[3]。但是随着计算机技术和网络技术的发展, 使得DoS攻击不再产生强大的效果。因此, DDoS攻击就应运而生, 它的最大特点是分布性。

DDoS攻击的网络拓扑结构由Attacker, Master, Daemon和Target组成, 如图1所示。

图1中Attacker是攻击者所使用的计算机, Master是主控机, Daeman是精灵机。在发动进攻之前, 网络攻击者 (Attacker) 入侵多台主机作为攻击时的主控机 (Master) 和精灵机 (Daeman) , 它对这些主机具有一定程度上的控制权, 并将相应的DDoS程序注入这些主机上。一旦网络攻击者开始发动进攻, 它会控制主控机向精灵机发送命令, 当精灵机中的相应程序接到命令后就向目标主机发送大量的数据包, 最终淹没目标主机。

2.2 DDoS攻击的类型

到目前为止, 攻击者常使用的DDoS攻击程序主要包括:Smurf攻击、Trinoo攻击、Tribal Flood Network攻击。

Smurf攻击 Smurf是一种简单但是有效的DDoS攻击技术, 它利用了ICMP在Internet上用于错误处理和传递控制信息。它的功能之一就是与主机联系, 通过发送数据包, 看主机是否“活着”。最普通的ping程序就是使用了这个功能。Smurf是用一个偷来的帐号安装到计算机中, 然后用一个伪造的源地址连续ping一个或者多个计算机网络。这个伪造的源地址实际就是攻击的目标, 它将被大量的相应信息量淹没[4]。

Trinoo攻击 Trinoo是复杂的DDoS攻击程序, 它使用“Master”程序对实际实施攻击的任何数量的“代理”程序实现自动控制。攻击者连接到安装了Master程序的计算机, 启动Master程序, 然后根据一个IP地址的列表, 由Master程序负责启动所有的代理程序。接着代理程序用UDP信息包冲击网络, 从而攻击目标。

Tribal Flood Network攻击 Tribal Flood Network与Trinoo一样, 使用一个Master程序与位于多个网络上的攻击代理进行通信。TFN可以并行发送数不胜数的DoS攻击, 包括UDP冲击、TCP SYN冲击、ICMP回音请求冲击以及ICMP广播冲击。

3DDoS攻击的检测与防御

由于DDoS攻击是利用一些常见的协议和服务, 被攻击者很难区分恶意请求和正常连接请求, 从而无法有效分离攻击数据包, 所以目前仍然没有很好的办法来解决拒绝服务攻击问题[5]。但是通过一些技术手段, 可以在检测、防御方面采取措施, 最大限度地减少DDoS攻击带来的危害。

3.1 DDoS攻击的检测

检测方法有两类, 即基于特征的DDoS攻击检测和基于异常的DDoS攻击检测。

(1) 基于特征的DDoS攻击检测。

在检测之前先提取分类规则, 然后将检测到的当前分类的特征属性与分类规则相比较, 如果两者相似度偏低, 检测系统就会报警[6]。整个检测过程如图2所示。

这种检测技术具有误报率低, 技术比较成熟, 容易实现, 反映迅速, 具有早期预警能力, 但是不足之处在于局限于某种特定工具, 漏报率高, 依赖于攻击程序中的固定值, 容易被网络攻击者所利用[7]。

(2) 基于异常的DDoS攻击检测。

基于异常的入侵检测是检测记录主机的网络通信情况, 并与正常情况下的网络通信情况相比较, 如果相差过大就认为是异常发生。

基于异常分析的检测方法主要包括基于统计的异常分析, 基于神经网络的异常分析, 基于专家系统的异常分析, 基于统计的特征分析等[8]。

在实际的检测系统中, 往往是结合基于特征的检测与基于异常的检测来取长补短, 通过混合检测的手段提高DDoS检测的准确率[9]。

3.2 DDoS攻击的防御

目前, 进行DDoS攻击的防御是比较困难的。因为这种攻击的特点是利用TCP/IP协议的漏洞, 除非不用TCP/IP才有可能完全抵御DDoS攻击。

下面提出一些方法, 通过这些方法可以有效地增加DDoS防御的能力。

(1) SYN-Cookie, SYN网关。

通过使用SYN代理网关的方式由一个专门的机器进行合法SYN请求的判断, 从而将攻击者伪造的SYN请求拒绝在网络外部, 不会对目标服务器产生作用。

(2) 被动消极忽略。

Windows 2000及以后的Windows版本对单位时间内超过一定量的SYN请求判断为DDoS攻击, 从而将其简单的忽略而不做处理, 这可以保护服务器免于崩溃, 有一定的价值。

(3) 主动发送RST消息。

当目标服务器判断出某个连接存在着攻击嫌疑时, 也可以直接向远程机发送RST包, 从而断开连接, 以达到保护目标服务器的目的[10]。

(4) 安装系统补丁程序。

及早发现系统的攻击漏洞, 及时安装系统补丁程序。

(5) 拔网线。

当DDoS攻击可能导致服务器崩溃时, 最后的方法就是拔网线。

4结语

以上是对DDoS攻击的防御技术介绍, 但是随着新的DDoS攻击技术的出现, 将面临更多的挑战, 因此在这一领域还有很多工作需要做。

摘要：分布式拒绝服务攻击 (Distributed Denial of Serviece Attack) 是目前黑客用的比较多的攻击手段, 这种攻击对网络造成的危害性越来越大。为了更好地了解这种攻击的特点, 从而避免产生更大的损失, 这里从DoS和DDoS的攻击原理进行探讨研究, 研究常见的DDoS攻击的类型如Smurf攻击、Trinoo攻击等。根据这些攻击的特点, 提出DDoS攻击的检测方法即基于特征的攻击检测和基于异常的攻击检测。这两种检测技术各有所长, 在实际使用中往往需要将两者结合起来, 共同提高DDoS检测的准确性。

关键词：DDoS攻击,DoS攻击,检测方法,防御

参考文献

[1]璞青.Dos (拒绝服务) 攻击技术分析及其防范[J].网络与应用, 2005, (8) :45-47.

[2]李泽林.Internet安全技术[M].北京:国防工业出版社, 2005.

[3]尚占锋, 章登义.DDoS防御机制研究[J].计算机技术与发展, 2008 (1) :7-8.

[4]Yitzhaky Y, Kopeika N S.Identification of Blur Parametersfrom Motion Blurred Images[J].Graphical Models andImage Processing, 1997, 59 (5) :310-320.

[5]Merike Kaeo.网络安全性设计[M].2版.北京:人民邮电出版社, 2005.

[6]吴虎, 刘云超, 陈挺.对DDoS攻击防范策略的研究[J].计算机应用研究, 2006 (5) :34-36.

[7]Kim Y W, Lau W C, Chuah M C, et al.Packetseore:Statis-tieal-based Overload Control against Distributed Denial-of-Service Attacks[A].Proc.of the 23rd Annual Joint Conf.ofthe IEEE ComPuter and Communieations Societies[C].2004, 4:2 594-2 604.

[8]吴国纲.DDoS攻击与IP拥塞控制研究[J].电子科技大学学报, 2007 (3) :70-73.

[9]刘芳.分布式拒绝服务攻击预警系统的设计与实现[J].计算机工程, 2006, 23 (2) :129-130.

[10]Lokhande R, Arya K V, Gupta P.Identification of Parame-ters and Restoration of Motion Blurred Images[A].Pro-ceedings of the 2006 ACM Symposium on Applied Compu-ting[C].USA:ACM Press, 2006:301-305.

[11]杨文静, 陈义平.一种新的分布式DDoS攻击防御体系[J].现代电子技术, 2006, 29 (19) :54-57.

DDoS攻击防御策略研究 篇7

信息时代, 人们对互联网的利用和依赖日益增加, 人们通过网络互相交流, 共享一些资源。但由于各种网络系统及有关软件硬件的缺陷以及系统管理方面的漏洞, 出现了许多严重的网络安全问题。其中, DDoS凭借容易操作, 攻击范围广、隐蔽性强、简单有效等特点, 目前成为对网络安全危害最大的因素之一, 严重影响了网络应用向更加深入和更加广阔的方向发展。

2 分布式拒绝服务攻击DDoS概述

DDoS (Distributed Denial of Services) 是指采用分布、协作的大规模的DoS攻击方式, 联合或控制网络上能够发动攻击的若干主机同时发动攻击, 制造数以百万计的数据流入欲攻击的目标, 消耗网络带宽或者系统资源, 致使目标主机的服务请求极度拥塞, 无法提供正常的网络服务, 从而造成目标的系统瘫痪。DDoS攻击与DoS攻击不同的是它利用一批受控制的机器向一台机器发起攻击, 这样来势迅猛的攻击令人难以防备, 因此具有较大的破坏性。

3 DDoS防护措施

3.1 避免FUD, FUD代表恐惧、无常以及多疑 (fear, uncertainty and doubt) 。由于一些连续事件的发生, 使得有些网站过于紧张, 生怕被作为下一个被攻击的目标。应当清楚, 只有很少的网站会遭受到拒绝服务攻击, 这些遭受D D o S攻击的网站大多是些世界顶级的网站, 假如您的网站并不在此列, 不必很担心网站会遭到此类的攻击。

3.2 网管应当对自己的系统负责任, 并时刻注意本系统的运转, 要及时地升级系统, 经常扫描检查系统, 解决系统的漏洞并定期使用漏洞扫描软件对内部网络进行检查, 采取安全措施以及系统配置。

3.3 要设置好单位内部的网络设备, 最重要的就是路由器和防火墙。要保证这些设备本身的安全。另外, 如果有真实地址的数据包可以进入网络, 就可以很容易根据这些数据的来源进行逆向跟踪, 从而抓获攻击者。

3.4 最近又有许多的系统漏洞被发现, 而且与之相关的一些黑客工具也被开发出来了。应当通过检查漏洞数据库来核实您所正在使用的系统软件没有发现新的漏洞。还可以根据情况使用有针对性的反黑客工具。

3.5 如果系统正在遭受攻击的过程中, 立即关闭系统并投入精力进行调查。假如在内部网络里发现有一台攻击发起点或者与网络正在连接着, 那么最好立即切断与其他网络的连接, 对系统做一下仔细的检查。

4 防御DDoS攻击技术

4.1 随机丢包Random Drop算法

随机丢包是在难于获取有效特征或无其它有效防御措施的情况下所采取的一种方法。要维持网络正常, 只好随机地将数当数据包流量达到一定的数量限度时, 将采取的一种通过降低性能, 保证服务的方法——按照一定的算法丢弃后继的数据包, 保持主机的处理能力, 这样对于用户而言, 许多合法的请求可能被丢弃, 但是有部分请求还是会得到服务器响应, 保证运行的。

4.2 SYN Cookie和SYN Cache

SYN Cache和SYN Cookie的目的维持很大数量状态而分配的系统资源, 或者通过完成T C P连接释放更多的可分配资源。SYN Cache对于给定的服务端口, 用一个全局的哈希表来记录基本的半连接信息, 以代替原先的线形链表, SYN Cache主要用于行为监控, 分配很少的状态结构来记录最初的连接请求。而S Y N-C o o k i e技术, 保证每个S Y N包源的真实有效性, 确保服务器不被虚假请求浪费资源, 从而彻底防范对服务器的SYN Flood攻击。

4.3 QoS保证

通过对报文种类、来源等各种特性设置阀值参数, 保证主要服务稳定、可靠的资源供给, 负载均衡。这种方法不能说是专门用来解决DoS问题的, 但是它在应对DDoS攻击方面也起到了重大的作用。

4.4 基于聚集的拥塞控制Local ACC

当识别出存在攻击时, 便触发本地ACC, 同时根据这k秒内的历史丢包识别拥塞特征。当数据包到达时, 首先检测是否匹配拥塞特征。若不匹配拥塞特征, 直接将包送至输出队列, 若匹配则将其送至“拥塞控制器”。拥塞控制器决定对包丢弃还是转发。被丢弃的包被送到A C C代理, 它根据此信息识别拥塞特征。

4.5 基于ACC机制的DDoS防御算法——Pushback

Pushback的目标是在不妨碍那些好包的情况下尽可能地发现坏包。在检测出基于聚集的拥塞后, Pushback代理决定是否调用回推, 综合来自输入输出队列的信息, 并发送和接收来自邻近路由器的信息。在Pushback代理计算出请求邻近上游路由器的限制率时, 就发送“回推请求消息”给这些路由器。

5 DDoS的发展趋势

D D o S攻击仍是困扰着网络运营商、金融、电信、政府等企业机构的大问题。由于许多D D o S攻击手段利用了通信协议本身的缺陷或漏洞, 因此, 依靠计算机和网络系统自身是很难抵抗这些攻击的。随着网络技术的发展, 各种安全漏洞会不断得到修补, 但是DDoS攻击不会停止。而且各种拒绝服务工具包将会得到进一步的发展完善, 功能更强大, 隐蔽性更强, 关键字符串和控制命令口令将使用更强壮加密算法, 甚至对自身进行数字签名, 或在被非攻击者自己使用时自行销毁, 使用加密通讯通道。与D D o S攻击的斗争也将持续下去。

由于DDoS已经成为整个网络世界面临的共同问题, 无论DDoS的防御向何处发展, 这都将是一个社会工程, 需要I T界的同行们来一起关注, 通力合作。

6 结束语

简单的操作性, 强大的破坏力以及对其防御的困难性, 使得DDoS攻击始终对Internet安全造成了巨大的威胁。近年来, DDoS攻击一直是网络安全界的研究热点。目前的防御机制远没有达到能彻底防范DDoS攻击的水平, 随着DDoS攻击的不断发展与完善, 给我们防范DDoS攻击提出了挑战, 要不断深入细致地研究, 寻找解决问题的更好办法。

摘要：在网络攻击中, 分布式拒绝服务攻击 (Distributed Denial of Service, DDoS) 因其强大的破坏力而引起了世人高度的重视。本文目标是对DDoS攻击防护措施以及防御DDoS攻击技术的研究, 最后阐述了DDoS攻击的发展趋势。

关键词：DDoS,Random Drop算法,Pushback算法

参考文献

[1]林栋.拒绝服务攻击 (DoS) 的攻与防.广东通信技术.2003年4月第23卷第4期.pp.26-28.

[2]杨余旺, 杨静宇, 孙亚民.分布式拒绝服务 (DDoS) 攻击的实现机理及其防御研究.计算机安全.技术论坛.2002:30-34

[3]李明柱, 时忆杰.黑客攻击与安全防范.北京航空航天大学出版社.2002.7

DDoS攻击方式与防御技术研究 篇8

分布式拒绝服务攻击(Distributed Denial of Service,DDoS)由于其可用工具多、容易操作、攻击范围广、隐蔽性强、简单有效等特点,其发生频率越来越高,极大地影响网络和业务主机系统的有效服务,被公认为互联网上最难解决的问题之一[1],现已对网络安全构成了重大威胁,它是近年来新出现的且被经常使用的一种攻击方式。它借助于C/S技术将大量计算机联合起来作为攻击平台,使用攻击机、主控机、傀儡机三层网络结构,采用IP地址欺骗技术在同一时间对某个目标发动的DoS攻击,极大地提高了攻击的成功几率,同时攻击者通常很容易将少数的主控机的日志、路由等信息清理干净,使得难以追查攻击者。DDoS的攻击原理如图1所示。

2 DDoS攻击方式介绍

攻击者在攻击前为了提高攻击的成功几率,通常会想方设法将目标主机的一系列参数搞到,其中比较重要的是目标主机的IP地址、服务器网络带宽、服务器的配置、性能(对于使用负载均衡的还要了解其服务器的个数)。当得到网络带宽和服务器的性能后攻击者会根据两者的参数进行计算、比较,选择一种能够比较奏效的方式实施攻击。

DDoS攻击方式主要有两种,一种为流量攻击,主要是针对网络带宽的攻击,即过量攻击包导致网络带宽被阻塞,致使合法网络包被虚假的攻击包淹没而无法到达主机。另一种为资源耗尽攻击,主要是针对服务器主机的攻击,大量攻击包导致主机的内存被耗尽或CPU被内核及应用程序占完而造成无法提供网络服务,严重时甚至造成服务器的死机。近年主要的DDoS攻击统计结果[2]和常见的攻击方式和工具如表1所示。

至于进行攻击,这已经是后期的工作了,在选择好一种攻击方式后,最重要的就是要建立攻击平台。在建立攻击平台的时候。黑客最感兴趣的是有下列情况的傀儡机主机:安全管理水平差的主机、链路状态好的主机、性能好的主机。对于安全水平差的主机攻击者能够更便于控制,对于链路状态好和性能好的控制主机可以减少傀儡主机的数量来达相同的攻击效果。近年主要的DDoS攻击统计结果表明,目前大多数DDoS攻击主要采用TCP洪流攻击,大多数的DDoS攻击是通过TCP协议实现的。因此,对于基于TCP协议的服务必须进行重点防护,保护TCP部分的带宽将能保护绝大多数的服务。

3 DDoS的防御措施

一般对DDoS攻击采取的防御措施主要有如下几种:

1)网络节流和服务器均衡技术:在网络管理方面,首先要在有网络带宽保证的前提下,要优化路由和网络结构,配置好安全规则,在网络设备流量较大的时候采取丢报的方式来维持其功能的正常,丢掉的数据报会包含攻击的数据报和正常访问的数据报。另外,尽量提升主机服务器硬件配置,利用负载均衡技术可以让多台服务器或多条链路共同承担一些繁重的计算或I/O任务,从而以较低成本消除网络瓶颈,提高网络的灵活性和可靠性。

2)报文过滤技术:可以分为基于入口报文过滤和基于路由报文过滤两种技术。入口报文过滤[3](Ingress Filtering)是一种对付匿名攻击的方法,可以过滤掉伪造源IP地址的数据包。这种机制主要是配置在路由器的入口,通过网络提供者(ISP)利用路由器将来源地址不属于该客户区域的数据包过滤掉。要求路由器有足够能力去检查每个包的源IP地址,并且能够有足够的能力去区别合法的和非法的地址。因此,入口过滤在ISP的边缘或者客户网络中更加有作用,这里处理数据包更加明确,并且流量负载相对低些。基于路由报文过滤(RPF,Route-based Packet Filtering)本质上是将入口报文过滤机制扩展到了Internet核心。与后者不同,RPF使用路由信息分辨出伪造IP地址的报文。该机制在Internet核心路由器部署大量报文过滤器,根据报文的源地址和目的地址,以及边界网关协议(GP)路由信息,判断该报文是否来自正确链路。如果某报文的来源和它所声称的来源不符,则该报文将被丢弃。RPF机制的先进之处在于它并不使用或存储个别主机地址用于过滤,而是利用了自治系统(AS)的拓扑信息。

3)防火墙:中继防火墙的作用就是一个SYN代理,防火墙代替了服务器去处理SYN攻击,SYN代理程序工作在用户层,处理半连接数量也是有限的,很容易被攻破。另外,由于增加了一次代理进行TCP的三层握手,不可避免地引起TCP连接的延迟。半透明网关防火墙作用是当客户端的TCP连接请求到来时,防火墙会让这个数据包通过到服务器端,服务器端回应SYN+ACK数据包时,防火墙也会将这个数据包转发到客户端,并且会送一个ACK数据包给服务器端,提前完成TCP连接过程。如果说在一个特定时间内,防火墙没有再收到客户端的ACK数据包,这时防火墙会送一个RST数据包给服务器端,将刚刚的连接断开。如果是正常的用户,这时客户端会收到两次的ACK数据包。当连接建立之后,数据传输将不会受到防火墙的控制。

4)加强对傀儡机的检测。傀儡机又被称为“肉鸡”,金山毒霸反病毒专家李铁军表示,“从广义上讲,遭遇木马攻击的电脑均可以称为肉鸡。”金山毒霸云安全中心监测数据显示,截止至2009年月19日,全国累计超过3800万台次计算机遭遇木马攻击,其中专门针对网银的木马暴涨近10倍,互联网用户的财产安全面临巨大威胁。用“肉鸡”查杀软件对电脑进行查杀,既是对自己负责,也是对他人负责,及早发现系统中存在的漏洞,做出相应的处理。另外,对一些重要的信息(例如系统配置信息)建立和完善备份机制,对一些特权账号(如管理员账号)的密码设置尤其要谨慎。

4 对攻击的追踪

随着DDoS攻击工具自动化程度越来越高,破坏力和隐蔽性愈来愈强,DDoS攻击已经成为Internet安全的一个严重威胁,为了能更好的追踪DDoS攻击源。攻击追踪的目标就是查出攻击的真实来源,由于攻击者基本上使用IP欺骗技术来隐藏攻击的实际源头IP,攻击追踪困难重重。同时,对于DDoS的攻击的追踪需要巨大的人力、物力和财力来支持,这两点也是DDoS攻击猖獗的重要原因。因此,在当前条件下,如何能够快速、成功的追踪到DDoS攻击源已经成为目前研究人员研究的热点。目前国内外的专家提出了几种解决DDoS的攻击源追踪方法,主要分为数据包标记方法、日志记录技术、基于ICM P的技术、input debugging、controlled flooding等几大类,表2对这些方法的优缺点进行了总结。

通过上述表格中的对比我们不难发现,数据包标记方法由于具有较低的管理负担、较少的负载、良好的可扩展性等特性成为当前IP追踪的热门方法,这一方法的关键就是对于攻击树的再现。攻击树的再现就是要将攻击过程中合法用户和非法用户的数据包进行分离,因为目标机不仅会收到攻击者发来的攻击性数据包,还会收到正常用户发来的合法数据包。基于概率的数据包标记算法(PPM,Probabilistic Packet Marking)则能更快的构建出攻击树来[5],其主要原理如下:路山器以一定的概率P(通常是1/25),用其IP地址或IP地址的一部分随机标记经过它的数据包。当发生DDo S攻击时,受害者根据其收到的攻击数据包中的标记信息,重建攻击路径。使用PPM算法,路由器负担较小,采用标记边压缩和分片技术大大降低了额外的网络流量,对攻击后这种方法也同样的适用。

5 结束语

对于DDoS攻击来说并没有绝对有效的防御手段。但是由于攻击者必须比防御者付出更大的努力才能成功,所以只要我们对DDoS攻击有很好的了解,积极部署防御措施,还是能够在很大程度抵御这种安全威胁。

参考文献

[1]蒋平.DDoS攻击分类及趋势预测[C]//全国网络与信息安全技术研讨会,北京:人民邮电出版社,2004.

[2]刘峰,范松波,周斌.DDoS攻击报文过滤器在Linux防火墙中的应用[J].长沙通信职业技术学院学报,2005,4(3):23-25.

[3]Nort hcutt S.网络入侵检测分析员手册[M].北京:人民邮电出版社,2000.

[4]赵恒,王宁宁,荣瑞峰.DDoS的攻击与防御[J].信息技术与信息化,2007(3):28-30.

DDoS攻击的分类及其防御机制 篇9

关键词：分布式拒绝服务攻击,傀儡主机

DDoS攻击（Distributed Denial of Service Attack）分布式拒绝服务攻击是网络上用来攻击服务器最有效的手段。为了应对日益频繁的DDoS攻击，各式各样的DDoS机制及工具设备应运而生。与此同时，攻击者们则不断更新攻击方法和工具，而安全研究人员则根据变化不断研究新的应对方法。这就使得DDoS防御变得更加复杂。

1 DDoS概述

分布式拒绝服务攻击者通过控制大量的傀儡主机向被攻击主机，发送大流量攻击数据，使得被攻击的主机不能响应正常用户的访问请求。要研究DDoS的形成和发展首先要探讨3个问题：DDoS的攻击可行性、DDoS攻击的实现方法、实施DDoS攻击的目的。

1.1 DDoS攻击可行性分析

当今Internet的设计目的就是数据的快速传送。作为中间传输媒介的网络是本着高吞吐量、低负载的原则设计的，因此中间网络基本上只负责转发数据，而相应的安全措施和流控则由终端进行。作为终端的服务器、主机或者设备的带宽和处理能力有限，这就意味着在网络上的任何一台主机、服务器或者设备都很容易遭受到来自Internet的DDoS攻击。

1.2 DDoS攻击的实现方法

D D o S的攻击者需要获取一定数量的“傀儡主机”。攻击者通过工具扫描远程主机安全漏洞来取得远程主机的管理员权限，并在受控主机上植入攻击代码甚至是木马病毒，来控制主机进行DDoS攻击。并且在攻击时将攻击主机的源地址进行伪装，从而使得被攻击者很难追踪到攻击源头。

1.3 实施DDoS攻击的目的分析

根据数据统计在国外相当数量的攻击者都是出于个人目的。还有一部分攻击者本身具有很高的能力，他们为了显示自己的能力或者在黑客社区里面炫耀自己。另外较少数的一部分人是本着商业目的或者利益关系进行攻击。他们的主要攻击对象就是商业竞争对象、有利益关系的对手的网站或者网络系统。

2 DDoS攻击分类

为了对DDoS攻击进行分类，我们对攻击者实现方法和目的进行了分析。

2.1 按照DDoS工作过程的自动程度分类

DDoS获取“傀儡主机”，植入攻击代码或木马、病毒，实施攻击的这一过程都能由程序来自动完成。DDoS按照工作过程的自动程度分成：手动、半自动、自动。

(1)手动D D o S的攻击者通过远程扫描“傀儡主机”的漏洞，然后植入攻击代码，最后控制“傀儡主机”来实施攻击。由于过程复杂需要的专业知识比较多且效率较低，因此只有早期的攻击者才会采用这种攻击方式。

(2)半自动DDoS的攻击者使用程序自动完成远程扫描“傀儡主机”的漏洞，然后植入代码。在最后攻击的时候采用手工控制，这样攻击者就可以指定“傀儡主机”的攻击方式攻击顺序以及攻击强度。但是，为了控制这些“傀儡主机”，攻击者必须要和“傀儡主机”之间进行通讯，才能操纵这些“傀儡主机”。

(3)全自动DDoS的攻击者使用程序自动完成远程扫描“傀儡主机”的漏洞，然后植入代码。其中，植入的代码已经包含了攻击对象及攻击模式的设定。所有步骤都是自动完成的，因此全自动DDoS就不需要和傀儡主机之间进行通讯。

2.2 按DDoS对攻击者的作用方式分类

DDoS攻击可以利用不同服务器的弱点，来对服务器进行攻击。当被攻击主机受到这类攻击的时候，通常会造成服务器死机或者重启。这一类型的DDoS攻击主要分为2种类型：技巧性攻击和暴力攻击。

(1)技巧性攻击利用目标服务器某些软件或者协议的漏洞，来消耗被攻击服务器的系统资源，导致被攻击服务器停止响应。

(2)暴力攻击是指不管服务器的状态，利用服务器上某些开放的端口或者协议软件，通过大“傀儡主机”不计代价的发送服务请求，从而导致服务器不堪应付而不能提供服务。暴力攻击不同于技巧性攻击，它在攻击的时候同时消耗了“傀儡主机”的资源。

2.3 源地址欺骗攻击分类

如果没有源地址欺骗DDoS攻击，那么很多其他类型的DDoS攻击都能通过资源管理技术（为每个IP地址分配均等的资源）来解决。IP源地址DDoS攻击可以分为2种类型：伪源地址DDoS攻击和有效源地址DDoS攻击。

(1)伪源地址DDoS攻击的种类很多，目的各有不同。总结起来，共有2类：不可路由的伪源地址：这类攻击通常是攻击者为了避免被追究责任或者追踪到，而伪装了攻击的源地址；可路由的伪源地址是通过伪装一个在Internet上面存在的计算机IP地址，让被攻击主机的S Y N数据包在攻击主机与被伪造地址的受害机器之间往返，从而形成DDoS Flood攻击。

(2)有效源地址攻击伪装地址DDoS攻击的时候，会尽量采用伪装的地址进行攻击。但是，伪地址DDoS攻击却受到“傀儡主机”端操作系统的限制。因为W i n d o w s的用户层不支持数据包头部的字定义和修改，所以不能进行伪地址DDoS攻击。

2.4 按DDoS的可识别性分类

有些DDoS的攻击，能够通过对数据包的头进行仔细分析识别出来。因此，是否能够识别和分析出DDoS的攻击数据包，对于制定过滤规则有很重要的意义。这里，我们根据D D o S的是否能被分析分成2类来讨论。

(1)可识别的DDoS攻击，通常在IP包头或者协议的传输数据头中包含特定的攻击数据。举个例子来说，如TCP SYN攻击（如果在TCP头部分只有SYN位的话，很有可能就是TCP SYN攻击包），又如ECHO攻击，DNS请求攻击等，都属于能见识别的DDoS攻击之列。

(2)不可识别的DDoS攻击目的就是消耗服务器的可用带宽。因此，这类DDoS发送的数据包没有规律可言，其攻击数据包多种多样。甚至有时候这类攻击的攻击数据是随机生成的。

2.5 按受攻击对象分类

DDoS的主要攻击对象大致可以分为：应用程序、资源、网络基础设施攻击。

应用程序攻击，针对的是受攻击主机上面安装的应用程序。攻击者是以这些受攻击主机上某些应用程序的漏洞，来制定攻击方案的。攻击者通过这些应用程序的漏洞来攻击网络上的主机，迫使这些主机上的应用程序将服务器的资源耗尽，或令服务器重启。

资源攻击针对的是被攻击主机上面的重要资源，如D N S服务器、路由器或者瓶颈链路。在攻击时，DDoS数据包在攻击主机前一个节点或者直接在被攻击服务器上汇聚。为检测和过滤带来一定的难度。

网络基础设施攻击针对的是网络上的各种服务，它并不直接针对具体的主机，而是同时攻击该台主机所依托的相关网络服务和资源。

3 DDoS防御技术的分类

DDoS的防范是一个系统的工作，它根据DDoS的攻击和活跃程度来制定预防措施。基于DDoS活动级别防御机制可分为：预防措施和攻击响应措施。

3.1 预防措施

预防措施的目的是消除DDoS攻击的可能性，并且使得可能被攻击的主机不被DDoS攻击所侵扰。根据预防的目的不同，可以分为：攻击预防、DDoS预防。

由于网络协议的设计关系，服务器端的消耗要大于客户端。如果要降低和消除这类攻击的影响，就要在客户机连接时进行充分的身份认证，部署功能强大的代理服务器使得T C P进行完整的连接后才进行响应，设置TCP Cookie，采用特定的方法消除欺骗攻击，等等。

DDoS防御的目标是在确保有效资源的基础上加强资源分配的管理，以防止资源的过度消耗，在最大程度上保证为正常客户的访问。对于DDOS的防御，我们采取2种方式：账户资源分配策略、资源倍增策略。

账户资源分配策略指的是用户对于资源的使用权取决于用户在服务器端的账户权限，以及用户的行为。账户资源分配策略为每个用户进行资源配额，以防止账户被盗而用于攻击用途，当发生攻击行为的时候，账户会被停用或者删除。

资源倍增策略的原理是设置一组服务器，并对其进行负载均衡配置。并在这些服务器之间以及与上层设备之间设置很高的连接带宽，防止出现带宽瓶颈。

3.2 攻击响应措施

攻击响应措施的目的是努力减低D D o S攻击的影响。要实现这一目的，就要尽可能早的检测DDoS的攻击意图。并在检测到DDoS攻击后进行分类识别，并根据其不同的类型采取相应的措施。攻击检测可以分为3种检测方式：模式检测、异常检测、第三方检测。

模式检测是通过在比对数据库中的DDoS攻击的特征代码，来检测和判断DDoS的种类和方式，但这一方式的弱点是不能检测未知的DDoS攻击方式。

模式检测首先将服务请求的模式、方式和正常的服务方式进行比对，将异常的情况筛选出来作为检测和判断的依据。这种方式同模式检测相比，能够预测未知的DDoS攻击，但同时也存在其弱点——容易误报。

第三方检测是指不是通过自身，而是通过外界来检测DDoS攻击的发生和其特性。

受攻击应对策略的目标是将D D o S攻击的影响降低，并在最大程度上保证正常用户的访问。我们将对受攻击应对策略分成几个部分讨论，他们分别是：傀儡主机检测、速率限制、攻击过滤和重新配置。

在DDoS发生时，检测和分析有助于降低DDoS攻击的影响。DDoS“傀儡主机”的侦测涉及到多项追踪技术。因此，加强对于客户端有效性和安全性的验证，对于防范DDoS攻击具有很重要的意义。

攻击过滤大多是通过IDS来实现的，当IDS检测到符合特征库中的特征的代码后，会拒绝接受来自该地址的任何请求。部署攻击检测有一定的风险，如果设置的识别级别太低的话则没有效果，设置的级别太高则容易将正常的访问误判为DDoS攻击。因此部署攻击过滤的时候，需要相当谨慎。

重新配置是指当DDoS发生时，临时改变网络的拓扑结构，增加被攻击服务器的资源，或者将被攻击主机隔离，并以此来维持网络服务的正常运行。

4 结束语

通过对DDoS攻击及其防御进行分类整理，有助于对DDo S有一个全面的系统的了解。同时我们了解到DDo S攻击的防御，与其说是一项工作，不如说是一项系统工程。DDo S攻击从组织到实施的过程就是一个完整的系统。因此要想在Internet上面杜绝，或者说很大程度上的抑制DDoS除了技术方法之外，还需要各个单位的合作。特别是运营商，如果能提供核心路由级别的过滤和识别，将使得DDo S攻击难以组织和实现。

参考文献

[1]J.Leiwo,P.Nikander,and T.Aura.Towards network denial of service resistant protocols[C].The 15th International Information Security Conference,2000,8

[2]C.Meadows.A formal framework and evaluation method for network denial of service[C].The 12th IEEE Computer Security Foundations Workshop,1999,6

[3]C.Schuba,I.Krsul,M.Kuhn,G.Spafford,A.Sundaram,and D.Zamboni.Analysis of a denial of service attack on TCP[C].the 1997 IEEE Symposium on Security and Privacy,1997,5

[4]D.J.Bernstein.Syn cookies[EB/OL].http://cr.yp.to/syncookies.html

服务器DDOS攻击 篇10

DDOS攻击，作为威胁现代网络安全的一种重要形式，是攻击者向所控制的僵尸网络发送指令，通过控制僵尸主机对受害者进行访问，以此达到消耗受害主机的资源，使受害主机无法正常向用户提供服务的目的，严重干扰了网民的正常网络生活，也给社会带来了不利的影响。如何检测DDOS攻击也成为亟待解决的问题，文献[1]对这些研究进行了综述。本文根据已知的DDOS攻击发生时的网络流量的特点，针对服务器的流量进行研究，发现当DDOS发生时，流量的相似性升高。利用相似系数对相似性量化，统计出相似系数的阈值，当拥塞发生时，判定是否是DDOS引起的拥塞。同时，通过在服务器端对数据流量的等时划分等方法，提高了数据的可使用度，同时工作在网络层的此算法也扩大了DDOS检测的范围，使DDOS的检测不再局限在应用层，提高了对DDOS攻击的检测精度。

1 研究现状

DDOS攻击会引起网络的拥塞，文献[2]对DDOS引起拥塞的原因进行了分析。网络中，当服务器访问量过高，超出了带宽、内存或者其他硬件的限制时，也会造成拥塞。所以，当拥塞发生后，就需要一种方法检测出是否是DDOS攻击引起的拥塞。

对DDOS的研究，流行检测方法是图形拼图法，例如文献[3]的研究，通过检测和分析服务器和用户之间的交互，来判定访问服务器的是用户还是僵尸主机。这种方法对所有形式的DDOS攻击检测都是有效的，但是，这种方法会对用户的正常访问造成影响，而且现在黑客已经具有模拟人机交互的能力。

在近年来的研究中，基于小波技术的DDOS检测方法受到了国内外相关研究人员的关注。根据文献[4]的研究，网络具有在长时间上有单分型特性，在短时间上有多分型特性，根据这些特性利用小波技术进行研究，比传统的DDOS检测算法更有效。但是由于小波基的构造和选取方面的困难，这种方法仍处于研究中，其实际应用效果并不理想。

最近，文献[5]中提出了一种基于流量相关系数的方法来检测DDOS攻击。这种方法不需要考虑网络拓扑结构，具有在线检测能力。但是计算时需要取长度一样的数据流，这极大减少了数据的可用量，降低了算法的实用价值。

2 相似系数检测DDOS攻击算法研究

2.1 流量分析的特点

文献[6]对网络正常流量和DDOS发生后网络流量进行研究。本文在此基础上对某遭受过DDOS攻击的网站进行数据分析，对比网站因网络带宽的限制引起拥塞的数据，发现了以下现象，如图1所示。

从图1能观察到，在不同时间段内，攻击流之间的数据量偏差明显比正常流量少得多，理论上来说，这是因为根据文献[7]的研究，网络流量是服从α-stable分布的，高斯分布只是α=2时的一种特例，α-stable分布式是唯一一种构成独立同分布随机变量之和的极限分布。根据α-stable分布的特点，当网络拥塞发生时，正常用户会通过拥塞控制机制，调节数据包的发送，而DDOS傀儡机对服务器的访问，因为是一个生成器产生的，所以产生的数据包序列是相同的，当拥塞发生时，仍会以最大强度发送数据包，因此拥塞时数据量具有很大相似性。依据文献[8]对僵尸网络的研究，网络作为一种开放环境，在一个网络内部只有一台服务器。攻击包要到达这个受害的服务器要经过两条不同的边界路由器，而且因为这些攻击包是由同一个生成器产生的，所以产生的这些包是相同的，并且是独立可数的，比如冰河DDOS、猎鹰DDOS等等。

2.2 算法研究

傀儡主机在进行DDOS攻击时，会尽最大努力发送数据包，通常是1-10毫秒发送一次。把流向目标主机的第i个数据流定义为Xi，就可以把Xi当作一个数组，所以在受害端，某段时间内采集到的流向受害主机的数据流Xi可以表示为式(1):

对任意一个数据流Xi，平均单位时间内接收到的数据包数量表示其流强度，可用式(2)表示如下:

把rXi,Xj定义为两个数据流的相似值，其计算公式为式(3):

其中，rXi,Xj用来表示两个数据流之间的相似性程度。但是由于物理上电容两端的电压不能突变，会引起相位差的存在，如文献[9]，本研究利用式(4)消除相位差的影响，式(4)如下:

其中，k表示流向目标主机的数据位置偏移量。

在不同的场景中rXi,Xj的取值可能是多种多样的，为了判定方便，引入变量φi,j[k]表示两个流的相似系数，可以统一表示为式(5)，式(5)如下:

其中，值φi,j[k]表示两个数据流的相似程度，是一个不超过1的数字。计算时需要两个数据流是等长的，即i=j。可以按照收到数据包的时间顺序，使用等分的方式保证数据长度的一致性。例如，一次实验20s，以100ms为单位统计数据，每1秒统计的10次数据包量作为一个数据流，这样每个数据流都是10个数据，每次实验的数据是20个数据流。

当网络拥塞时需要判定拥塞的发生。在受害端，统计进出服务器的数据包量，文献[10]定义了收发比判断拥塞，本文以此为基础结合式(2)定义式(6)。式(6)如下:

式(6)中，R表示进出服务器的流量平衡比，表示接受数据包总数，NE(Yj)表示发送数据量，NE(Xi)表示接受数据包量。正常情况下，接受和发送的数据量基本是相同的，R是一个接近0的值，当拥塞发生时，R是一个趋近于1的值，所以当R取值0.5以上并持续升高时，可认为网络发生拥塞。

当判定网络发生拥塞后，接下来要做的是判定是正常访问引起的拥塞还是DDOS攻击引起的拥塞。需要在同样的时间间隔，通常为100 ms取样一次，记录得到的数据包数，将得到的数据包均分到N个数据流中，计算其相似系数。在这种结构中，因为需要的存储空间是有限的，并能够实时地得到结果。假设在一段时间内Nn次采样，得到N个数据流，每个数据流中有n个数据，数据流分别为X1,X2，…，XN。分别取出任意的两个数据Xi(1≤i≤n),Xj(1≤j≤n)，用φi,j[k]表示两者之间的相似系数，φi,j[k]取值有0,1两种形式。1代表发生了DDOS攻击，0代表正常网络拥塞。可以表示为式(7)，如下:

其中，δ作为检测数据流是否异常的阈值，可以根据训练得出。式(7)只能用于两两数据流之间的比较，但是一般情况下采样得到多个数据流，利用式(8)对这些数据计算求平均值，其值作为对这两个数据流相似性的描述。式(8)如下:

其中，P(Is=1)表示数据流之间的相似性程度，是所有计算出的相似系数的均值。得到这个值后，还需要一个阈值来判定DDOS攻击是否发生，用参数γ来表示，γ的值如式(9)定义:

γ是判定的一个阈值，意义表示为在所采样到的数据中，要求有多少的数据之间的值φx,j[k]是1的，即超过阈值δ的数据流对的个数，如当γ=0.8时，式(9)表示两两数据流之间的相似系数至少要有80%被认定为1，即超过了阈值才能确认发生了DDOS攻击。这是一个企业可以根据安全等级自行设定的值。

当网络拥塞出现后，在受害路由器端每隔一段时间采集收到的数据包，统计数据包量，将收到的数据包按照接收时序分为不同数据流，利用式(5)计算数据流之间的相似性，进过训练得出DDOS攻击发生时的相似系数阈值。然后利用式(6)-式(9)计算相似性，作为判别DDOS攻击是否发生的依据。算法流程如图2所示。

3 实验

本实验分别采用LoadRunner测试软件进行网络正常用户的模拟和LOIC(low-orbit ion canon低轨道离子炮)进行DDOS攻击的模拟，用Win Pcap采集实验数据，并计算这些数据确定δ的取值大小，进而测试这种方法的性能。实验使用两台主机，一台Web服务器。通过一台交换机(型号:H3C S1024R)和一台路由器(型号:TP＿Link ER5120)相连。两台主机的配置分别为Windows系统，2.00 GHz主频，2.00 GB内存和Windows系统，2.80 GHz主频，4.00 GB内存，Web服务器采用Windows Server2003系统，2.93 GHz主频，512 MB内存。

为了较快获得拥塞数据，将服务器带宽设置为1 MB。实验开始前，对Web服务器的流量进行分析后得知，在9:00-13:00的这段时间，共有8种不同的应用请求，分别占访问量的2%～30%不等。可以以此确认这一时段每个应用的链接数。因为每台计算机的能力是有限的，所以使用LOIC进行DDOS攻击模拟时，就需要对主机的性能进行分析。本研究以100线程模拟DDOS攻击，和100个用户模拟网络访问，每100ms秒采样服务器流量，研究后发现，每个线程每产生的攻击强度NE[Xi]约为每个正常用户访问流量的3倍。根据文献[11]的研究，DDOS攻击发生时，DDOS攻击的强度约为正常用户访问流量的10倍。所以可以设置虚拟用户1000个，LOIC的攻击线程设置为3500个。那么C1采用组策略模拟1000用户的8种不同应用，每种应用的模拟用户数为1000×所占比例。用C2模拟DDOS攻击，共3500个攻击线程。

实验开始后，将每次攻击持续时间设置为20秒，攻击间隔设置为2分钟，共进行200次实验。其中120次实验结果用于研究阈值的取值特点，剩下的80次实验结果用于验证算法性能。实验开始后，配置LoadRunner软件每20秒增加100个用户，在模拟访问的同时C2主机开始DDOS攻击，服务器响应时间如图3所示。

观察服务器响应时间和软件连接超时报错信息，可以确定在4分钟左右发生了网络拥塞。在软件运行5分钟后服务器端运行Win Pcap软件。在软件中将服务器的目的IP地址设置为受害主机的地址，时间间隔设置为100 ms，网卡指定为服务器网卡。每1秒输出一次日志文件，对实验数据进行记录。

将20秒采集到的200个数据分为20组，每组10个数据，即X1=[158,198,197,189,179,201,213,206,187,183],X2=[191,195,231,224,205,225，…，181]，…，X20=[194,188,211,212,183,189,217,191,199,182]，利用式(5)计算φi,j[k]，求其期望，得δ，取小数点后两位。多次试验后，得到δ的分布如图4所示。

根据图4得知δ的取值在6.0～8.0之间，计算每个δ的取值概率，计算δ的数学期望，可得δ=6.55。

4 性能分析

取剩下的80次数据进行DDOS攻击的性能分析。因为算法的性能和γ有关的，这和不同的网络安全等级是不同的是对应的。在分析时，需要在不同的γ取值的前提下对算法的性能进行分析，分析结果如表1所示。

通过对实验结果的分析，可以看到γ值的选取对检测的结果很重要。当γ取高值时，检验的准确性较高，漏报率和误报率却是偏低的。但是γ=1是理想的情况，它表示在一段时间内对服务器的访问的流量都是DDOS攻击产生的，这在现实网络中基本是不会发生的，而且这种情况下只要发生DDOS就能100%检测出来，而且也不会存在漏率和误报的情况。从表1中可以看到，随着γ取值的上升，准确率是逐渐增加的，这是因为，因为高γ值，触发警报的条件也是逐步升高的。目前流行的小波分析检测DDOS的方法，例如文献[12]的检测准确率88%，误报率3%，相比较而言在取γ值大于等于0.9时，本文检测性能有较大的提高。这种方法对低速率的DDOS攻击的检测效果是不明显的，但是能准确地检测出间隔式DDOS攻击。

5 结语

本文根据DDOS攻击所引起的网络拥塞中，流量的相似系数比正常网络拥塞中高的现象，给出了一种DDOS攻快速识别方法。并在实验室条件下，利用HP公司的Loadrunner和Loi两款软件，对算法进行了模拟测试。测试结果表明，所提出的这种方法能有效辨别DDOS引起的网络拥塞。在今后的研究工作中，将会考虑网络延迟对检测结果的影响，进一步优化和提高DDOS检测的速度和精度。

摘要：针对服务器的DDOS攻击,在分析流量基础上,提出一种利用相似系数检测DDOS攻击的算法。该算法以单位时间的数据量作为计算项,统计实验数据值,通过与阈值的比较检测DDOS攻击。此算法具有在线检测、实时性强的特点,对插入式DDOS攻击检测尤其有效。实验表明,在阈值参数取值适当的情况下,DDOS攻击的检测准确率有较高的提升。

关键词：分布式拒绝服务,流量相似性,相似系数,服务器DDOS攻击,网络安全

参考文献

[1]张永铮,肖军,云晓春,等.DDOS攻击检测和控制方法综述[J].软件学报,2012,23(8):2058-2072.

[2]Shevterkar A,Ansari N.Is it congestion or a DDOS attack[J].IEEE Com-munications Letters,2009,13(7):546-548.

[3]Oikonomou G,Mirkovic J.Modeling human behavior for defense against flash-crowd attacks,2009[C]//Communications,2009.ICC’09.IEEE Intern-ational Conference on,2009:1-6.

[4]王新生,张锦平.基于小波分析与信息熵的DDOS攻击检测算法[J].计算机应用与软件,2013,30(6):307-311.

[5]Yu Shui,Zhou Wanlei,Jia Weijia,et al.Discriminating DDOS attacks from flash crowds using flow correlation coefficient[J].IEEE Transactions on Parallel and Distributed Systems,2012,23(6):1073-1080.

[6]李锦玲,汪斌强,张震.基于流量分析的App-DDOS攻击检测[J].计算机应用研究,2013,30(2):487-490.

[7]Zhu Guangxi,Zhu Yaoting.On the testing for alpha-stable distributions of network traffic[J].Computer Communications,2004,27(5):447-457.

[8]祝春美,张洋,管会生.僵尸网络研究[J].通信技术,2010,43(2):10-16.

[9]梁玉峰,梁漫春.提高八端口网络确定微波相位差精度的新算法[J].微波报,2005(S1):28-30.

[10]于明,王冬菊.TCP DDOS攻击流的源端网络可测性分析[J].山东大学学报,2012,47(11):1-5.

[11]Fabian M A R J Z,Terzis M A.My botnet is bigger than yours(maybe,better than yours):why size estimates remain challenging[C]//Proceedings of the 1st USENIX Workshop on Hot Topics in Understanding Botnets,Cambridge,USA,2007:1-8.