關于冰盾 | 使用條款 | 網站地圖
 
防御DDoS攻擊的實時監測模型
防御DDoS攻擊的實時監測模型
作者:冰盾防火墻 網站:www.1604100.live 日期:2015-01-06
 

拒絕服務攻擊(DoS)和分布式拒絕服務攻擊(DDoS)已經成為網絡安全最大的威脅之一,如何防御DDoS攻擊是當前人們關注的熱點。然而目前的防御機制幾乎沒有實現DDoS攻擊的實時監測。闡述了一種基于徑向基函數的神經網絡的實時監測模型,能夠實時監測出DDoS攻擊,不用增加網絡流量,而且可以監測出目前所存在的所有類型的DDoS攻擊。

  1、前言

  隨著Internet的應用越來越廣泛,隨之而來的網絡安全問題成了Internet發展的主要障礙,特別是分布式拒絕服務攻擊對因特網構成了巨大的威脅。目前,由于黑客采用DDoS攻擊成功地攻擊了幾個著名的網站,如雅虎、微軟以及SCO,mazon.com、ebuy、CNN.com、BUY.com、ZDNet、Excite.com等國外知名網站,致使網絡服務中斷了數小時,造成的經濟損失達數百萬美元。DDoS攻擊由于破壞性大,而且難于防御,因此它已經引起了全世界的廣泛關注。闡述的DDoS實時監測模型,能夠快速監測出主機或服務器是否在遭受DDoS攻擊,如果監測出突然增加的數據流是攻擊流的話,能夠快速給網絡管理員發出警報,采取措施從而減輕DDoS攻擊所帶來的危害。

  2、DoS攻擊原理

  2.1、DoS攻擊概念與原理

  WWW安全FAQ[1]給DoS攻擊下的定義為:有計劃的破壞一臺計算機或者網絡,使得其不能夠提供正常服務的攻擊。DoS攻擊發生在訪問一臺計算機時,或者網絡資源被有意的封鎖或者降級時。這類攻擊不需要直接或者永久的破壞數據,但是它們故意破壞資源的可用性。最普通的DoS攻擊的目標是計算機網絡帶寬或者是網絡的連通性。帶寬攻擊是用很大的流量來淹沒可用的網絡資源,從而合法用戶的請求得不到響應,導致可用性下降。網絡連通性攻擊是用大量的連接請求來耗盡計算機可用的操作系統資源,導致計算機不能夠再處理正常的用戶請求。

  2.2、DDoS攻擊的概念與原理

  WWW安全FAQ[1]給DDoS攻擊下的定義是:DDoS攻擊是用很多計算機發起協作性的DOS攻擊來攻擊一個或者多個目標。用客戶端/服務器模式,DDoS攻擊的攻擊者能夠獲得很好的效果,遠比用多個單一的DOS攻擊合起來的效果要好的多。它們利用很多有漏洞的計算機作為攻擊平臺和幫兇來進行攻擊。DDoS攻擊是最先進的DOS攻擊形式,它區別于其它攻擊形式是它可以在Internet進行分布式的配置,從而加強了攻擊的能力給網絡以致命的打擊。DDoS攻擊從來不試圖去破壞受害者的系統,因此使得常規的安全防御機制對它來說是無效。DDoS攻擊的主要目的是對受害者的機器產生破壞,從而影響合法用戶的請求。

  DDoS攻擊原理如圖1所示。

\



圖1 DDoS攻擊原理圖

  從圖1可以看出,一個比較完善的DDoS攻擊體系包括以下四種角色:

  (1)攻擊者:指黑客所用的機器,也叫做攻擊主控臺。它控制著整個攻擊過程,向主控端發送攻擊命令。

  (2)主控端:是攻擊者非法侵入并控制的一些機器,這些主機則控制大量的代理攻擊主機。并在這些主控端上面安裝特定的程序,以便使它可以接受攻擊者發來的特殊命令,并且能夠把這些命令發送到代理攻擊端主機上。

  (3)代理攻擊端:同樣也是攻擊者侵入并控制的一批主機,其上面運行攻擊程序,接受和運行主控端發來的命令。代理攻擊端主機是攻擊的執行者,真正的向受害者主機發送攻擊。

  (4)受害者:被攻擊的目標主機或者服務器。

  為了發起DDoS攻擊,攻擊者首先在互聯網上掃描出有漏洞的主機,然后進入系統后在并在上面安裝后門程序。接著在攻擊者入侵的主機上安裝攻擊程序,其中的一部份主機充當攻擊的主控端,另一部份則充當攻擊的代理攻擊端。最后各部分主機在攻擊者操作下對攻擊目標發起攻擊。因為攻擊者在幕后操縱,所以在攻擊時攻擊者不會受到監控系統的跟蹤,攻擊者的身份更不易被發現。
2.3、DDoS攻擊的工具

  Trinoo[2]是第一個分布很廣的DDoS攻擊工具而且應用也很廣泛。Trinoo[3]是一個消耗帶寬的攻擊工具,用一個或者多個IP地址來發起協作性的UDP洪水攻擊。攻擊用同樣大小的UDP數據包,攻擊的目標是受害機器上的隨機端口。早期版本的Trinoo支持源IP地址欺騙。典型的是,Trinoo代理安裝在能夠使得遠端的緩沖區溢出的系統上。軟件中的這個漏洞允許攻擊者用受害者系統的二級緩存來進行遠端編輯和安轉運行代理。操作者用UDP或者TCP來和代理端進行通信,因此入侵檢測系統只能通過對UDP流量進行嗅探才能夠發現它們。這個通道能夠加密而且密碼也可以受到保護。然而當前的密碼不是以加密的方式傳送,因此它可以被嗅探,或者被檢測出來?,F在的Trinoo工具沒有提供源IP地址欺騙,因此它的攻擊能力可以進一步擴展。

  Tribe Flood Network (TFN)[4]也是一種DDoS攻擊工具,它提供給攻擊者可以同時發起損耗帶寬和損耗資源的攻擊。它使用命令行界面在攻擊者和控制主程序之間進行通信,但是在代理端和主控端間或者在主控端和攻擊者之間提供的通信是沒有加密的。TFN發起協作性的拒絕服務攻擊,是非常難于計算出來因為它能產生多種類型的攻擊,能產生欺騙的源IP地址的數據包而且能夠使目標端口隨機化。它能夠欺騙一位或者是32位的源IP地址,或者是后8位。TFN發起的一些數據包攻擊包括:smurf,UDP洪水攻擊,TCP SYN洪水,ICMP 回復請求洪水攻擊和ICMP定向廣播。

  TFN2K[5]是一種基于TFN結構的DDoS攻擊工具。TFN2K攻擊增加了對構成攻擊的所有組成部分之間的通信消息進行了加密[6]。真正攻擊者和控制主程序之間的通信用基于密鑰的CAST-256算法進行加密??刂普呖梢酝ㄟ^TCP,UDP,ICMP來發送攻擊命令,可以用這三種中隨機的一種,或者是把這三種全用上,則通過網絡掃描就更難發現TFN2K攻擊了。

  Stacheldraht[7]是基于TFN并去掉TFN工具中的一些缺點發展起來的。它結合了Trinoo(操作者/客戶端結構)的特征,而這些特征是從TFN得出的。在代理端它也可以自動升級。Stacheldraht也提供了在攻擊者和操作者的系統之間用對稱加密技術進行安全的遠程連接。新版本的Stacheldraht程序增加了很多新的特征和不同的數字簽名。

  Mstream[8]工具通過改變TCP數據包的ACK標志來攻擊目標。Mstream是一個簡單的點對點TCP ACK洪水攻擊工具。它通過TCP和UDP數據包來傳輸,通信過程是沒有經過加密的,主攻擊者通過遠程登錄到受害者的機器,而且訪問操作是經過密碼保護的。在其它的DDoS攻擊工具中都沒有這個特征。

  Sharft[9]是Trinoo的一個派生的工具。它用UDP在操作者和代理端之間進行通信。攻擊者通過TCP遠程連接來和操作者進行通信。Sharft攻擊可以獨立的運行,也可以聯合UDP/TCP/ICMP洪水攻擊中的一種發起攻擊。數據包中的源IP地址和源端口號都被設置成隨機的。在攻擊中數據包的大小是固定。一個新的特征是在攻擊中可以實時改變操作者的IP地址和端口,使檢測工具很難檢測出來。Shaft的另一個與眾不同的特征是它可以實時改變控制的主服務器和端口,因此使的入侵檢測工具就更難檢測出來,更重要的是shaft提供了在洪水攻擊中的統計特征。這個統計特征對攻擊者來說是非常有用的,通過這些特征,攻擊者可以查出受害者的系統何時徹底崩潰,以便于知道何時停止增加機器來進行DDoS攻擊。

  在分析完上述有效的DDoS攻擊的工具后,我們可以發現DDoS攻擊具有如下的特征:

 ?、贁祿脑碔P地址被設成隨機的;

 ?、跀祿脑炊丝诤湍康亩丝诒辉O成隨機的;

 ?、垡恍酥疚?URG,ACK),片斷,TCP屬性,TTL和客戶端的SEQ序列號由偽隨機數生成器產生。

  DDoS攻擊不需破解密碼,也不要竊取系統資料,只要在網絡上的任一角落都可以發動攻擊。DDoS攻擊由來自不同的源地址的數據包流組成,這類攻擊控制Internet上合作的主機來耗盡目標機一些關鍵資源使得服務器合法用戶的請求被拒絕。更重要的是,DDoS攻擊流沒有很明顯的特征能夠用來直接和大規模的檢測和過濾。
3、基于RBF-NN的實時監測DDoS攻擊的模型 
 

  3.1、模型概述

  實時監測模型包括三個模塊:

  1)數據采集器

  因為TCP協議是應用最廣泛的協議而且WWW是Internet上應用最廣的服務。所以這個模型是針對TCP洪水攻擊的,當然這種模型也可以用到UDP和ICMP協議中。

  TCP數據報格式如圖2所示。

\

圖2 TCP數據報格式

  數據采集器用sniffer嗅探器抓到每個數據包的如下字段:源端口號,客戶端的SEQ序列號,窗口大小,和SYN,ACK,FIN,PSH,URG,RST六個標志位。同時把每個數據包的時間戳也記錄下來以便把數據包分到重疊的時間幀中。不同的源端口和窗口大小的數目用來評估每一個時間幀。SEQ序列號是由客戶端產生的32位的隨機數作為TCP連接的認證。估算出不同的SEQ序列號需要很大的存儲空間和計算能力。實驗結果顯示,盡管客戶端的SEQ序列號不同,但是用高16位足夠可以估算出SEQ序列號的特征。16位可以存儲65535字節長的信息。

  每一時間幀的統計信息是來自下面六個標志出現時被設置的頻率:SYN,ACK,FIN,PSH,URG,RST。實驗顯示,這些標志在DDoS攻擊的出現時提供了重要的信息。

  需要強調的是盡管源IP地址提供了重要的信息,但在采集過程中沒有用到,主要是基于以下幾方面的原因:

 ?、偎枰芨叩挠嬎隳芰泶鎯γ總€地址;

 ?、谒荒軌蛱峁┯嘘P包長度的信息;

 ?、跧P源地址可能已經被更

 

 
最新內容:
防DDOS的路由器!網吧惡意攻擊經驗談[2015-01-06]
如何最大限度減輕DDoS攻擊危害[2015-01-06]
局域網偽造源地址DDoS攻擊解決方法[2015-01-06]
10個針對DDOS有關的快速補救措施[2015-01-06]
沖浪DDoS攻擊的趨勢與防御[2015-01-06]
DDOS攻擊!如何有效屏蔽?[2015-01-06]
相關內容:
时时彩连挂赚钱

合作伙伴: 黑基網 補天科技 威盾科技 站長下載 新飛金信 北京電信 ZOL應用下載
中華人民共和國增值電信業務經營許可證京ICP備14024464 公安備案號 京1081234 
版權所有©2003-2014 冰盾防火墻  www.1604100.live 法律聲明
總機:(010)51661195