DDoS攻擊及相應防御方法的分類

《DDoS攻擊及相應防御方法的分類》由會員分享，可在線閱讀，更多相關《DDoS攻擊及相應防御方法的分類（9頁珍藏版）》請在裝配圖網上搜索。

1、DDoS攻擊及相應防御方法的分類DDoS攻擊及相應防御方法的分類溫泉覃俊(中南民族大學計算機學院湖北武漢430074)摘要主要敘述了DDoS攻擊的類型并且對相應的防御方法作了分類.描述了每一種攻擊的特征和相應的防御策略,并對每一個策略的優缺點作了分析.通過對目前所有的DDoS攻擊技術和防御方法作一次全面的總結和分類,目的是更好地理解DDoS攻擊,設計出更有效的防御方法和工具.關鍵詞DDoS攻擊拒絕服務防御分類中圖分類號TP393.08文獻標識碼B拒絕服務攻擊(DoS)直以來就是嚴重的網絡安全問題.對DoS的各種討論可以在很多計算機網絡相關的文獻中找到.DoS算是一種很簡單但又很有效的進攻方式.

2、它的目的就是拒絕你的服務訪問,破壞網絡的正常運行.最終它會使你的部分In.temet連接和網絡系統失效.攻擊者發送大量無用的數據報淹沒你的網絡.耗盡你的網絡或主機資源.分布式拒絕服務(DDoS)是一種相對簡單但是對攻擊網絡資源卻是非常有效的.DDoS是將多對一的分布式攻擊技術加人到DoS中,使得攻擊更加難以防范.危害程度更嚴重.到目前為止還不能確切的描述DDoS攻擊流的特征,因此也就沒有十分有效的方法及時準確的檢測出DD0S攻擊1DoS攻擊D0S是DenialofService的簡稱.即拒絕服務.造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網絡無法提供正常的服務.確切的說.如果合法

3、的訪問請求被其他用戶的惡意行為所阻止,就可以認為是DoS攻擊.這類攻擊不是直接或永久的破壞數據,而是通過剝奪正常用戶的訪問權來達到攻擊目的.DoS攻擊按如下方面分類:網絡設備層.對網絡設備層的攻擊包括利用網絡設備的缺陷和耗盡硬件資源;操作系統層.DoS攻擊利用了不同操作系統對各種網絡協議的不同具體實現中存在的缺陷;針對應用程序的攻擊.絕大多數的DoS攻擊利用運行在服務器上的網絡應用程序的漏洞或者利用這些應用程序耗盡資源.來達到拒絕服務的目的;數據洪流.指以極大的通信量沖擊網絡,使得所有可用網絡資源都被消耗殆盡.最后導致合法的用戶請求無法通過;利用協議特性.D0S攻擊利用某些協議的性質,比如一些

4、攻擊就是利用了IP數據報的源地址可以使用仿冒的IP.2.1DDoS攻擊的定義和過程分布式拒絕服務fDD0S:DistributedDenialofService)攻擊指借助于客戶/JJt務器技術.將多個計算機聯合起來作為攻擊平臺,對一個或多個目標發動D0S攻擊,從而成倍地提高拒絕服務攻擊的威力.分布式拒絕服務攻擊由真正的攻擊者,攻擊控制機(能夠控制多個代理機),攻擊代理機(負責向目標主機發送大量的數據報流),目標主機四個部分構成.DDoS攻擊過程如下:探測.攻擊者掃描大量主機.以尋找可人侵的主機目標.用來實施攻擊;入侵.攻擊者入侵有安全漏洞的主機并獲取控制權.在每臺人侵主+機中安裝攻擊程序,同

5、時進行偽裝.防止被發現;通信.攻擊代理機會通過攻擊控制機告訴攻擊者它們已經準備就緒.隨時等待攻擊命令;攻擊.攻擊者發布攻擊命令,開始對目標主機攻擊.復雜有效的DDoS工具包對于潛在的攻擊者很容易得到,網站遭受DoS或DDoS攻擊的危險性越來越大.比較著名的DDoS工具有Tfinoo,TFN,Stacheldraht,TFNZK,mstreamandShafto2.2DDoS攻擊的分類目前DDoS攻擊主要分為帶寬耗盡型和資源耗盡型兩類(見附圖):帶寬耗盡型主要是指以極大的通信量沖擊網絡.使得所有可用網絡資源都被消耗殆盡.最后導致合法的用戶請求無法通過.帶寬攻擊又可以分為洪泛攻擊和放大攻擊:資源耗

6、盡型是攻擊者利用服務器的處理能力是有限的.盡可能多的發送數據報.接近服務器的處理消息的極限.消耗目標服務器的關鍵資源.例如CPU,內存等,導致無法提供正常服務.這種攻擊也分為利用協議攻擊和非法包結構攻擊兩種類型.DDoS擊廠.L帶盡資叩盡(擊利用:構攻擊附圖DDoS攻擊分類DDoS攻擊還可以根據兩種不同的攻擊策略來進行分類,即直接攻擊和反射攻擊.直接攻擊已經在前面敘述過.反射攻擊是利用中間結點作為反射器.間接發動攻擊.反射器是具有合法IP的主機,當向它發送一個消息包時.它將立即回應一個消息包.3DD0S攻擊防御策略的分類3.1根據部署的動作分類(1)人侵前的預防.對付所有攻擊最好的辦法是盡量不

7、讓它發生.已經有不少預十基金項目:國家民委重點科研基金資助項目(項目編號:MZY06004).作者簡介:溫泉(1980一),男,中南民族大學計算機學院碩士研究生,研究方向:網絡安全,入侵檢測;覃俊(1968),女,中南民族大學計算機學院博士,教授.研究方向:遺傳算法,信息安全.收稿日期:2006102219t1科技創業月刊2007年第1期應用技術防措施來防止DDoS攻擊的發生.(邊界路由器過濾.邊界路由器過濾包括入I:1過濾法和出I:1過濾法;關閉不用的服務.禁止那些不必要的網絡服務,防止成為被攻擊的對象;及時安裝安全*bT.及早發現系統存在的安全漏洞,及時安裝最新的系統補丁程序.同時應用最新

8、的技術來最大程度的降低DDoS攻擊帶來的影響;變換IP地址.此方法稱為目標移動防御.主要是針對局域網DDoS攻擊.通過賦予主機新的IP地址.一旦目標的IP地址改變了,邊界路由器就會把攻擊包統統拋掉;禁止IP層的廣播.通過關閉IP廣播,可以有效地防止ICMP洪泛法和Smurf攻擊:設置瓶頸.在可能被作為攻擊代理的主機上運行瓶頸進程.限制它的攻擊能力.即在開始一個連接時.做一些額外的計算來決定是否發送連接.缺點是降低了主機效率.(2)入侵檢測.入侵檢測系統將流量同平常記錄的基線行為進行比較,通過數據包特征分析或通過識別異常的系統行為,檢測是否正在遭受DDoS攻擊.基本原理就是模式匹配.主要進行異常

9、檢測.異常檢測是檢測是否符合某些標準所規定的行為.許多異常檢測系統已經具備檢測DDoS早期微弱攻擊的行為一是可測量的網絡檢測系統能夠通過統計分析IP包頭部的信息來檢測網絡異常情況.使用數據挖掘技術對數據包分類,辨別攻擊流和非攻擊流.二是Cabrera提出了針對DDoS檢測的網絡管理系統,通過選擇關鍵變量進行統計分析,達到DDoS攻擊早期檢測.三是擁塞觸發的包采樣過濾機制.即當遭受DDoS攻擊而導致擁塞時.進行有選擇的統計分析后,將結果發送給路由器,由路由器過濾掉那些攻擊數據包.(3)入侵響應.一旦證實正在遭受攻擊.應該立刻使用各種措施來追查攻擊源并積極主動的阻斷攻擊流.目前為止,已經提出了不少

10、追蹤和確認攻擊源的方法.利用IP地址追蹤.可以追查到攻擊源的IP,并得到攻擊的路徑信息,因此就可以確定真正的攻擊者;利用ICMP追蹤.這種方法主要依靠路由器自身產生的ICMP跟蹤消息.每個路由器都以很低的采樣概率獲取數據包中的目標地址,向目標主機發送ICMP消息.數據包可能會把內容復制到一個包中.并且ICMP消息包含了到臨近源地址的路由器信息.當flood攻擊開始的時候.目標主機就可以利用這些ICMP消息來重新構造攻擊者的路徑.為了對付反射攻擊.對ICMP追蹤進行改進.不是向采樣的數據包的目標地址發ICMP消息,而是向源端地址發ICMP追蹤包;鏈路測試追蹤.此方法實際上就是制造n0od攻擊.通

11、過觀察路由器的狀態來判斷攻擊路徑.首先應該有一張上游的路徑圖,當受到攻擊的時候.可以從victim的上級路由器開始依照路徑圖對上游的路由器進行控制的flood,因為這些數據包同攻擊者發起的數據包同時共享了路由器,因此增加了路由器丟包的可能性.通過這種沿路徑圖不斷向上進行,就能夠接近攻擊發起的源頭;基于核心路由器追蹤.從邊界路由器通往核心路由器的所有鏈路上建立一個由追蹤路由器組成的覆蓋網絡,由追蹤路由器負責追查攻擊源.所有被懷疑為是攻擊流都會被重定向到追蹤路由器.然后再由追蹤路由器分析后轉發給核心路由器;隨機數據包標記方法.路由器以一定的概率,用其IP地址或IP地址的一部分隨機標記經過它的數據包

12、.當發生DDoS攻擊時,受害者根據其收到的攻擊數據包中的標記信息.重建攻擊路徑.為了提高標記的效率和節省存儲空間.使用hash值來代替IP地址;基于散列的IP審計追蹤.這種方法通過在主路由器上記錄數據包.然后通過數據采集技術來決定這些數據包的穿越路徑.由一個單獨的轉換引擎對搜集到的源路徑信息進行hash轉換.生成審計追蹤記錄.用這個記錄可以找到在最近一段時間內任何一個IP包的源端網絡.雖然這種辦法可以用于對攻擊后的數據進行追蹤,它也有很明顯的缺點,比如可能要求大量的資源(或者取樣),并且對付大量數據的綜合問題.綜上所述,追蹤只能找到攻擊流的源頭,卻不能找到真正的攻擊者,因為攻擊代理機只是攻擊者

13、的傀儡.目前的協議和硬件在最初設計時沒有考慮到DDos攻擊.所以實現起來有一定的局限性.(4)入侵退讓策略.入侵退讓策略認為DDoS攻擊目前是不能完全的防御和阻止.只能盡力減小攻擊帶來的影響和努力提高服務質量.所以靠增加系統資源,擴充主機集群數量,實施負載均衡等退讓策略.因此退讓策略可以分為容錯和網絡服務質量兩個方面:容錯是指成倍的增加網絡傳輸能力和訪問節點,當一個節點被攻擊而導致擁塞時.其余的節點還可以正常的提供訪問服務;網絡服務質量(QualityofService,簡稱QoS)是網絡用戶之間以及網絡上互相通信的應用程序之間關于信息傳輸與共享的質的約定.QoS對網絡上傳輸的數據包確定不同的

14、級別,在網絡資源有限的情況下.優先確保高保證級別的應用有充足的網絡資源.對于被確定為攻擊流的數據包,隨著流量的增加逐步降低優先權.緩解對目標主機的壓力.在目前還沒有有效防御DDoS攻擊的情況下,各個自治系統(AS)內部采用退讓策略應對帶寬消耗型的攻擊還是有一定的現實意義.3.2根據部署的位置分類根據部署的位置不同.本文把DDoS防御機制分為三類:DDoS攻擊源端防范.就是配置在靠近源端網絡上,在攻擊流進入核心網絡與其他的攻擊流聚合前.及時的把這些數據包過濾掉.攻擊端防護技術有DDoS-工具分析和清除,基于攻擊源的防范技術;路由器防范.把防御放在中間網絡.無論是攔截攻擊流還是IP追蹤都是非常有效

15、的.骨干網防護技術有回推技術,IP追蹤技術;目標端防范.大多數的DDoS防御機制采用靠近被攻擊主機的集中檢測方式,一旦檢測到攻擊就將攻擊包過濾掉.目標端防護措施有DDoS攻擊探測,路由器防范,網關防范,主機設置等方法.4總結毫無疑問,DDoS攻擊對如今所有的防御系統仍然是個嚴峻的挑戰.本文試圖從系統的角度對DDoS攻擊的各種手段進行分類和總結,目的是能夠找到更有效的辦法對付拒絕服務攻擊.目前國內對各種DDoS攻擊技術和防御方法的認識還缺乏全面系統的分析和認識,理論研究也處于起步階段,學術成果不多.好的產品還沒有出現.本文主要介紹和分析了國外該領域的研究現狀和趨勢,目的是縮小國內外的研究差距.方便DDoS研究領域的學者們交流和合作,盡快找到DDoS的弱點.方便研究人員進行進一步的研究和討論.(責任編輯高平)PIONEERINGWITHSCIENCE&TECHN0L0GYMoNTHL_Y0.12007191