10 DDOS攻击检测及防护研究报告.docx
《10 DDOS攻击检测及防护研究报告.docx》由会员分享,可在线阅读,更多相关《10 DDOS攻击检测及防护研究报告.docx(7页珍藏版)》请在冰豆网上搜索。
10DDOS攻击检测及防护研究报告
DDOS攻击检测及防护研究报告
1.DDOS概述
1.1DDOS攻击现状
进入2000年以来,网络遭受攻击事件频频发生,全球许多著名网站如yahoo、cnn、、ebay、fbi等等,包括中国的新浪网也相继遭到不名身份的黑客攻击,值得注意的是,在这些攻击行为中,黑客摒弃了以往常常采用的更改主页这一对网站实际破坏性有限的做法,取而代之的是,在一定时间内,彻底使受攻击的网站丧失正常服务功能,这种攻击手法为DDoS,即分布式拒绝服务攻击(Distributeddenialofservice)。
简单的讲,拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统,带宽资源,致使网络服务瘫痪的一种攻击手段。
在早期,拒绝服务攻击主要是针对处理能力比较弱的单机,如个人pc机,或是窄带宽连接的网站,对拥有高带宽连接,高性能设备的网站影响不大,但在99年底,伴随着DDoS的出现,这种高端网站高枕无忧的局面不复存在,与早期的DoS攻击由单台攻击主机发起,单兵作战相较,DDoS实现是借助数百,甚至数千台被植入攻击守护进程的攻击主机同时发起的团战行为,在这种几百,几千对一的较量中,网络服务提供商所面对的破坏力是空前巨大的。
1.2DDOS安全风险及事件
分布式拒绝服务(DDoS)攻击是目前严重威胁网络安全和影响网站服务质量的一种攻击手段DDos攻击就是利用多个分布式攻击源向攻击对象发送超出攻击目标处理能力的海量数据包,来消耗可用系统和带宽资源,从而导致网络服务瘫痪的一种攻击[1]。
目前有很多方法检测和防御DDoS攻击,传统的检测和防范措施是基于特征匹配的检测往往要求有一定的先验知识难以区分突发正常流量与DDoS攻击[2],至今没有一种有效的办法区分DDoS攻击流和正常的突发流,因此,检测和防御DDoS攻击仍旧是一个艰巨的课题。
而区分DDoS攻击流和正常的突发流就成了问题的关键。
以上例子只是DDoS攻击的一个缩影,诸如此类的事件在网络或者电视、报纸上层出不穷。
从DDoS攻击事件可以看出,即使是具有雄厚技术支持的高性能网站也逃不过DDoS攻击的厄运。
由此可见,DDoS攻击已经对当今的因特网造成了巨大的威胁,如何及早检测出DDoS攻击,采用有效的防御成为网络安全研究领域的重点和热点。
2.DDoS攻击结构分析
DDoS攻击是一种基于DoS攻击的分布式、协作的大规模攻击方式,它直接或间接通过互联网上其他受控主机攻击目标系统或者网络资源的可用性。
一般而言,DDoS攻击架构为三层:
攻击者(Client)、主控端(Master)、代理端(Daemon)和被攻击者(Victim),它利用受控主机向攻击目标发起攻击,具有威力更大、更难防御、更难追随的特征。
DDoS攻击原理图如图1所示。
图1DDoS攻击的体系结构
各层分工不同,具体如下:
攻击者:
可以是网络上的任何一台主机,甚至是一台便携机。
在整个攻击过程中,它是攻击主控台,负责向主控端发送攻击命令,控制整个过程。
攻击者与主控端的通信一般不包括在DDoS工具中,可以通过多种连接方法完成,最常用的有“telnet”TCP终端会话,此外还有绑定到TCP端口的远程shell,基于UDP的客户/服务器远程shell等。
主控端:
是攻击者非法侵入并控制的一些主机,它们分成了两个层次,分别运行非法植入的不同的攻击程序。
每个主控端控制着大量的代理端,有其控制的代理端的地址列表,它通过监听端口,接收攻击者的命令,然后将命令转发给代理端。
主控端与代理端的通信根据DDoS工具的不同而有所不同。
比如:
Trinoo使用UDP协议,TFN使ICMP协议通过ICMP_ECHOREPLY数据包完成通信,Stacheldraht使用TCP和ICMP协议进行通讯等。
代理端:
在其上运行攻击程序,监听端口接收和运行主控端发来的命令,是真正进行攻击的机器。
被攻击者:
可以是路由器、交换机、主机等网络设备。
遭受攻击时,它们的资源或带宽被耗尽。
防火墙、路由器的阻塞还可能导致恶性循环,加重网络阻塞情况。
3.DDOS攻击现象分析
DDoS攻击是网络安全防御中的最难解决的问题之一,这是由于互联网系统的开放性所导致的。
今后我们可以从DDoS攻击的特征和DDoS攻击发生时的现象入手,针对其独有的特征,采取一系列的方法,在DDoS攻击刚发生时就能检测出来,并能及时的遏制DDoS的攻击。
DDoS攻击有许多的特点,我这里列举两个基本的特点。
所有的DDoS攻击都有两个基本的特点:
一个特点是所有的DDoS都只有一个目标(受害者),并且所有的DDoS攻击包都发往这个目标;另一特点是攻击者必须持续往受害者网络或主机发送大量的数据包导致而其网络拥塞。
因此,集中和持续是DDoS攻击的两个基本特点。
拒绝服务攻击时的现象:
Ø被攻击主机上有大量等待的TCP连接;
Ø网络中充斥着大量的无用的源地址为假的数据包;
Ø高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯;
Ø利用被攻击机器提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使被攻击机器无法及时处理所有正常请求,严重时会造成系统死机;
Ø计算机蓝屏、CPU占用率100%。
我们可以从这些DDoS攻击的特点及发生时的现象中研究如何有效检测DDoS攻击,抓住DDoS攻击时所表现出来特有的,根据这些DDoS攻击时所表现出来特有的,可以建立相应的检测模型,以达到研究目的。
4.DDoS攻击检测模型与防御的研究
目前,DDoS攻击已经成为互联网安全的最大威胁。
由于DDoS攻击具有很强的隐蔽性和突发性,使其难于防范,因而导致了DDoS攻击的泛滥。
从单个计算机到大型互联网商业网站,甚至互联网的核心等都遭到过DDoS的攻击。
对于DDoS攻击,国内外虽然进行了大量的研究,但是仍然没有很有效的检测和防御的方法。
现有的检测与防御系统大多是是基于受害端网络进行防御,部分基于源端网络或中间网络,然而单点检测与防御系统已经不能很好的防御DDoS攻击。
为了能够有效的防御DDoS攻击,出现了分布式检测与防御策略,但是这种防御方法还比较少,特别是覆盖源端、中间网络及受害端整个网络的分布式检测与防御系统。
3.1DDOS攻击的三个阶段
3.1.1收集目标主机信息
通常,攻击者的攻击并非盲目进行的,他需要了解目标主机许多的信息,如被攻击目标主机数目、配置、性能、操作系统、地址情况以及目标网络带宽等。
因此,在攻击发生前,攻击者需要先对目标进行侦查,如利用扫描攻击对攻击目标进行扫描。
3.1.2占领主控机和代理主
攻击者首先利用扫描器或其它工具选择网上一台或多台代理主机用于执行攻击行动。
为了避免目标网络对攻击的有效响应和攻击被跟踪检测,代理主机通常应位于攻击目标网络和发动攻击网络域以外。
代理主机必须具有一定脆弱性以方便攻击者能够占领和控制,且需具备足够资源用于发动强大攻击数据流。
代理主机一般应具备以下条件:
Ø链路状态较好和网络性能好;
Ø系统性能好;
Ø安全管理水平差。
攻击者侵入代理主机后,选择一台或多台作为主控主机,并在其中植入特定程序,用于接受和传达来自攻击者的攻击指令。
其余代理主机被攻击者植入攻击程序.用于发动攻击。
攻击者通过重命名和隐藏等多项技术保护主控机和代理主机上的程序的安全和隐秘。
被占领的代理主机通过主控主机向攻击者汇报有关信息。
3.1.3攻击的实施
攻击者通过攻击主机发布攻击命令,主控主机接收到命令后立即向代理主机传达,隐蔽在代理主机上的攻击程序响应攻击命令,产生大量UDP、TCPSYN和ICMP响应请求等垃圾数据包,瞬间涌向目标主机并将其淹没。
最终导致出现目标主机崩溃或无法响应请求等状况。
在攻击过程中,攻击者通常根据主控主机及其与代理主机的通信情况改变攻击目标、持续时间等,分组、分头、通信信道等都有可能在攻击过程中被改变。
DDoS攻击的特性可以概述如下:
一、DDoS的攻击者的分布式特性
DDoS攻击处于不同区域的多个攻击者同时向一个或数个目标发送攻击,或者一个或多个攻击者控制了位于不同区域的多台傀儡机并利用这些傀儡机对目标主机同时实施攻击。
由于DDoS攻击采用分布式协作方式,使其难于防御和跟踪,同时,资源、目标和中间域之间缺乏协作也不能对攻击做出快速、有效和分布式的响应。
二、DDoS攻击流的不易识别特性
DDoS攻击流和网络中通讯的正常数据流十分相似,都符合网络协议并且能够通过Internet网络中的路由选择,两者难以区分。
此外,数据包、数据包头、通信信道等都有可能在攻击过程中改变,导致DDoS攻击流不存在能用于检测和过滤的共同特性。
因此,在受害者端对DDoS攻击防范是极为困难的。
这使得攻击者和受害者之间的力量极为悬殊,而攻击者总是处在极有利的地位。
三、DDoS攻击是洪泛攻击
即使Victim可以从众多接收数据包中识别出DDoS攻击数据包,它也无力抵御大规模的洪泛攻击,巨大的攻击数据流使得Victim无法为合法用户提供服务,攻击者从而达到了使Victim服务质量降低甚至崩溃的目的。
四、DDoS攻击具有很强的隐蔽性
攻击者为了隐藏自己的身份、躲避追踪,通常都会伪造IP地址,使得对DDoS攻击的检测、防御和追踪工作更加困难。
3.2DDOS攻击检测
为了尽快响应攻击,就需要尽快地检测出攻击的存在。
依据检测模式可以将检测机制分为三类:
3.2.1基于模式检测
不同的攻击方式具有不同的特征,当在网络中捕获到这些特征时,即可认定为DDoS攻击。
模式检测技术大多建立在一个或多个的假设前提条件上面,而这些假定大多数很容易受到影响,所以攻击者可以改变他们的攻击模式来逃避相应的检测机制。
3.2.2基于异常检测
这种机制先建立正常的数据流模型,一旦发现异常就报警。
由于DoS攻击固有的异常特性,这些方法是有效的,但是很难抵御分布式反射拒绝服务攻击。
3.2.3混合模式检测
将基于模式和基于异常的DDoS攻击检测方式混合使用。
通常使用数据挖掘的方法,由异常检测发现攻击,从发现的攻击中摘录特征放入模式特征库中,再利用模式检测的方法来检测DDoS攻击。
5.DDOS攻击检测及防护思路
4.1提高估算hurst值的效率
针对传统VTP方法不能实时检测Hurst值的不足,提出采用滑动窗口机制的VTP法估算Hurst值,提高了估算Hurst值的速度,达到实时检测的目的,解决了方法实现过程中参数选择、Hurst值求解等关键问题。
考虑到DDoS攻击是一个动态多变过程这一特点,在分析Hurst值与DDoS攻击强度关系的基础上,设计了基于模糊逻辑的DDoS攻击判断机制,解决了传统判断方法缺乏自适应性,且带有很大主观性这一不足。
4.3基于地址相关度的DDoS攻击检测
针对DDoS攻击流多个本质特征,基于地址相关度的DDoS攻击检测方法.采用Yule—Walker参数估计方法,通过AR模型参数拟合将ACV时间序列变换为多维空间内的参数向量来描述网络流状态随时间变化的本质特性,检测DDoS攻击流实质上就是对多维参数向量进行分类.采用训练好的SVM分类器对当前网络流状态进行分类,识别DDoS攻击.实验结果表明,该方法能较准确地识别出DDoS攻击流及其引起的网络流异常现象,提高检测率,能有效地区分正常流和含有DDoS攻击的异常流,降低误报率。
4.3计算用户行为信誉值
利用路由器协同服务器来收集用户的行为信息并计算信誉值,并且在路由器端利用用户的历史行为记录来检测和防御DDoS攻击。
CDDACR模型很好地利用了路由器在网络中的作用,减少了服务器端的系统开销,从而使服务器被攻击的可能性被降低。
在信誉值的计算中,整合了其他服务器对用户行为的评估,这样对于用户的信誉值计算更合理和准确,从而更好地区分合法用户和恶意用户。
4.4蜜罐技术应用
用蜜罐技术防御DDoS攻击的一种方案,同时收集攻击者的信息,并利用这些信息来加强系统的安全性。
当然这种方案在防御网络资源耗竭型的DDoS攻击中的作用要小得多,对于这种网络耗竭型的攻击需要更多的参与方来共同防御。
蜜罐技术可以从不同方面来参与防范DDoS攻击,使得这种技术在防范DDoS攻击中体现出明显的优势。
6.DDoS的防御方法
4.1DDoS攻击防御的常规方法
4.1.1定期扫描
要定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。
骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此对这些主机本身加强主机安全是非常重要的。
而且连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就变得更加重要了。
4.1.2在骨干节点配置防火墙
防火墙本身能抵御DdoS攻击和其他一些攻击。
在发现受到攻击的时候,可以将攻击导向一些牺牲主机,这样可以保护真正的主机不被攻击。
当然导向的这些牺牲主机可以选择不重要的,或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。
4.1.3用足够的机器承受黑客攻击
这是一种较为理想的应对策略。
如果用户拥有足够的容量和足够的资源给黑客攻击,在它不断访问用户、夺取用户资源之时,自己的能量也在逐渐耗失,或许未等用户被攻死,黑客已无力支招儿了。
不过此方法需要投入的资金比较多,平时大多数设备处于空闲状态,和目前中小企业网络实际运行情况不相符。
4.1.4充分利用网络设备保护网络资源
所谓网络设备是指路由器、防火墙等负载均衡设备,它们可将网络有效地保护起来。
当网络被攻击时最先死掉的是路由器,但其他机器没有死。
死掉的路由器经重启后会恢复正常,而且启动起来还很快,没有什么损失。
若其他服务器死掉,其中的数据会丢失,而且重启服务器又是一个漫长的过程。
特别是一个公司使用了负载均衡设备,这样当一台路由器被攻击死机时,另一台将马上工作。
从而最大程度的削减了DdoS的攻击。
4.1.5过滤不必要的服务和端口
过滤不必要的服务和端口,即在路由器上过滤假IP……只开放服务端口成为目前很多服务器的流行做法,例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
4.1.6检查访问者的来源
使用UnicastReversePathForwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。
许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。
因此,利用UnicastReversePathForwarding可减少假IP地址的出现,有助于提高网络安全性。
4.1.7过滤所有RFC1918IP地址
RFC1918IP地址是内部网的IP地址,像10.0.0.0、192.168.0.0和172.16.0.0,它们不是某个网段的固定的IP地址,而是Internet内部保留的区域性IP地址,应该把它们过滤掉。
此方法并不是过滤内部员工的访问,而是将攻击时伪造的大量虚假内部IP过滤,这样也可以减轻DdoS的攻击。
4.1.8限制SYN/ICMP流量
用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽,这样,当出现大量的超过所限定的SYN/ICMP流量时,说明不是正常的网络访问,而是有黑客入侵。
早期通过限制SYN/ICMP流量是最好的防范DOS的方法,虽然目前该方法对于DdoS效果不太明显了,不过仍然能够起到一定的作用。
4.2针对攻击类型采取对应防御
4.2.1检查攻击来源
通常黑客会通过很多假IP地址发起攻击,此时,用户若能够分辨出哪些是真IP哪些是假IP地址,然后了解这些IP来自哪些网段,再找网网管理员将这些机器关闭,从而在第一时间消除攻击。
如果发现这些IP地址是来自外面的而不是公司内部的IP的话,可以采取临时过滤的方法,将这些IP地址在服务器或路由器上过滤掉。
4.2.2攻击屏蔽
找出攻击者所经过的路由,把攻击屏蔽掉。
若黑客从某些端口发动攻击,用户可把这些端口屏蔽掉,以阻止入侵。
不过此方法对于公司网络出口只有一个,而又遭受到来自外部的DdoS攻击时不太奏效,毕竟将出口端口封闭后所有计算机都无法访问internet了。
4.2.3协议过滤
可在相应的设备上滤掉如ICMP等这样无关业务的协议类型,虽然在攻击时他无法完全消除入侵,但是过滤掉这些协议后后可以有效的防止攻击规模的升级,也可以在一定程度上降低攻击的级别。