DDOS攻击检测..doc

引 言 进入2000年以来，网络遭受攻击事件频频发生，全球许多著名网站如yahoo、cnn、、ebay、fbi等等，包括中国的新浪网也相继遭到不名身份的黑客攻击，值得注意的是，在这些攻击行为中，黑客摒弃了以往常常采用的更改主页这一对网站实际破坏性有限的做法，取而代之的是，在一定时间内，彻底使受攻击的网站丧失正常服务功能，这种攻击手法为 DDoS，即分布式拒绝服务攻击(Distributed denial of service )。 简单的讲，拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统，带宽资源，致使网络服务瘫痪的一种攻击手段。在早期，拒绝服务攻击主要是针对处理能力比较弱的单机，如个人pc机，或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大，但在99年底，伴随着DDoS的出现，这种高端网站高枕无忧的局面不复存在，与早期的DoS攻击由单台攻击主机发起，单兵作战相较，DDoS实现是借助数百，甚至数千台被植入攻击守护进程的攻击主机同时发起的团战行为，在这种几百，几千对一的较量中， 网络服务提供商所面对的破坏力是空前巨大的。 分布式拒绝服务(DDoS)攻击是目前严重威胁网络安全和影响网站服务质量的一种攻击手段DDos攻击就是利用多个分布式攻击源向攻击对象发送超出攻击目标处理能力的海量数据包，来消耗可用系统和带宽资源，从而导致网络服务瘫痪的一种攻击[1] 。目前有很多方法检测和防御DDoS攻击，传统的检测和防范措施是基于特征匹配的检测往往要求有一定的先验知识难以区分突发正常流量与DDoS 攻击[2]，至今没有一种有效的办法区分DDoS攻击流和正常的突发流， 因此，检测和防御DDoS攻击仍旧是一个艰巨的课题。而区分DDoS攻击流和正常的突发流就成了问题的关键。 以上例子只是DDoS攻击的一个缩影，诸如此类的事件在网络或者电视、报纸上层出不穷。从DDoS攻击事件可以看出，即使是具有雄厚技术支持的高性能网站也逃不过DDoS攻击的厄运。由此可见，DDoS攻击已经对当今的因特网造成了巨大的威胁，如何及早检测出DDoS攻击，采用有效的防御成为网络安全研究领域的重点和热点。 DDoS攻击原理 DDoS攻击是一种基于DoS攻击的分布式、协作的大规模攻击方式，它直接或间接通过互联网上其他受控主机攻击目标系统或者网络资源的可用性。一般而言，DDoS攻击架构为三层：攻击者（Client）、主控端（Master）、代理端（Daemon）和被攻击者（Victim），它利用受控主机向攻击目标发起攻击，具有威力更大、更难防御、更难追随的特征。DDoS攻击原理图如图2-1所示。 图2.1 DDoS攻击的体系结构 各层分工不同，具体如下： 攻击者：可以是网络上的任何一台主机，甚至是一台便携机。在整个攻击过程中，它是攻击主控台，负责向主控端发送攻击命令，控制整个过程。攻击者与主控端的通信一般不包括在DDoS工具中，可以通过多种连接方法完成，最常用的有“telnet”TCP终端会话，此外还有绑定到TCP端口的远程shell，基于UDP的客户/服务器远程shell等。 主控端：是攻击者非法侵入并控制的一些主机，它们分成了两个层次，分别运行非法植入的不同的攻击程序。每个主控端控制着大量的代理端，有其控制的代理端的地址列表，它通过监听端口，接收攻击者的命令，然后将命令转发给代理端。主控端与代理端的通信根据DDoS工具的不同而有所不同。比如：Trinoo使用UDP协议，TFN使ICMP协议通过ICMP_ECHOREPLY数据包完成通信,Stacheldraht使用TCP和ICMP协议进行通讯等。 代理端：在其上运行攻击程序，监听端口接收和运行主控端发来的命令，是真正进行攻击的机器。 被攻击者：可以是路由器、交换机、主机等网络设备。遭受攻击时，它们的资源或带宽被耗尽。防火墙、路由器的阻塞还可能导致恶性循环，加重网络阻塞情况。 DDoS攻击检测模型与防御的研究现状及常用方法 3.1 研究现状 一般而言，DDoS攻击实施过程可以分为三个阶段[3]： (1) 收集目标主机信息。 通常，攻击者的攻击并非盲目进行的，他需要了解目标主机许多的信息，如被攻击目标主机数目、配置、性能、操作系统、地址情况以及目标网络带宽等。因此，在攻击发生前，攻击者需要先对目标进行侦查，如利用扫描攻击对攻击目标进行扫描。 (2) 占领主控机和代理主 攻击者首先利用扫描器或其它工具选择网上一台或多台代理主机用于执行攻击行动。为了避免目标网络对攻击的有效响应和攻击被跟踪检测，代理主机通常应位于攻击目标网络和发动攻击网络域以外。代理主机必须具有一定脆弱性以方便攻击者能够占领和控制，且需具备足够资源用于发动强大攻击数据流。代理主机一般应具备以下条件： ① 链路状态较好和网络性能