一种改进的DDOS攻击检测与防御系统设计摘要.docVIP

一种改进的DDOS攻击检测与防御系统设计摘要 摘要：提出一种检测与防御的路由器架构，即在服务器与外界输入之间放置具有检测与过滤功能的路由器以防范攻击。检测中，运用报文差检测算法，对网络中当前数据流量进行监测与分析，实现攻击检测。防御中，将路由器作为外界与服务器之间的tcp握手代理，通过对网络中tcp数据包进行分析筛选保证服务器的正常工作。 关键词：报文差检测算法；tcp握手代理；netfpga；路由器架构 在防御状态中，对于每个由外界发起的tcp连接都会在路由器处进行tcp三次握手的预处理即将路由器作为服务器的代理，确认客户端是否可完成完整的tcp三次握手。对于通过认证的tcp连接请求，路由器会再作为客户端代理与服务器进行tcp握手，如此等价实现客户端与服务器的tcp的握手连接，之后客户端便可与服务器进行正常的tcp通信了。在此过程中，路由器会开辟出一块空间作为tcp信息存储队列，该系统共用到了两个队列分别为外界tcp申请队列、确认正常的tcp信息队列，其功能将在1.2.4中提到。下图1对整个设计原理进行了简要描述。 图1系统设计原理 1.2模块化设计 1.2.1ddos攻击源产生 无论对于系统的设计还是测试，合理的ddos攻击源都必不可少即要能在短时间内产生大量的具有虚假源地址的tcp/ip数据包，并将这些数据包同时发送至同一服务器主机。对此，实验中以tcp/ip包发送工具hping为基础上设计出一个能够采用虚假源地址发送tcp包的ddos攻击器。 其设计原理是通过更改ip包头设置中的对应字节，得到需要类型的数据包包括ip包的源地址，目的地址以及通信协议等，然后将其从对应网络端口发出。 1.2.2网络数据流量监测模块 该模块用于实现将网络中流过服务器的tcp包数量，以图形方式动态显示，从而便于人员观测当前网络流量状态，其设计原理主要分为数据包的获取解析与流量图的绘制。 在设计中，通过编写接口程序，对经过网络端口的ip包包头进行校验，以此判断包的类型。当检测到tcp的syn包、数据包等特殊包后，响应计数器记录加一，并将此记录反馈至绘图模块，实现对网络tcp流量的图形观测。 1.2.3ddos攻击检测模块 在syn flooding攻击中, 攻击者向服务器发送大量伪造源ip地址的syn 请求包, 服务器返回syn /ack应答包后得不到确认, 就会不断地对伪造的ip 地址进行重试直至超时丢弃, 由于syn 连接请求的速度远大于服务器超时丢弃的处理速度。 因此, 服务器的半连接列表很快就被塞满, 致使客户的正常请求得不到响应, 以实现拒绝服务的目的。 介于ddos这种攻击特性，系统运用正确建立连接数的差别实现对ddos攻击检测报警。首先对tcp连接信号syn进行抽样，设d为检测周期，syn_n为抽样间隔内源端网络中syn包的数量，fin_n为fin包的数量。 记：det_n = syn_n –fin_n 一般情况下, det_ n与网络的规模、抽样间隔相关, 为减少上述因素的影响, 提高算法的通用性, 对det_n 进行归一化处理： 记： det_n= det_n/syn_ n= （syn_n –fin_n）/syn_ n n=1，2…… 实验中给出一个门限值h，当_n≥h,则报警。 1.2.4tcp连接代理模块 当路由器检测到流量异常时，会自动进入智能防御方式。在此阶段，路由器会接受到分别来自服务器与外界输入两个方向的tcp数据包，因此需要在路由器上建立两个缓存队列，分别为外界tcp队列以及确认正常的tcp信息队列。 外界tcp队列(队列1)主要用于记录外界向服务器发起的tcp连接信息，其中主要包括该tcp连接的mac源地址、ip源地址、ip源端口、ip目的端口、路由器向外部提供的序列号seq、连接状态标志位state。通过此队列所记录的信息，路由器实现了与外界输入的模拟tcp三次握手过程。 表1外界tcp队列的数据单元存储信息 mac源地址（48 bits） ip源地址 (32 bits) ip源端口 (16 bits) ip目的端口 (16 bits) 向外界提供的序列号seq (32 bits)表1描述了外界tcp队列存储单元信息，经计算，一个数据单元所占空间为144 bits=18 byte 确认正常的tcp信息队列(队列2)，主要用来完成对tcp数据包过滤即符合条件的tcp包可以直接通过，否则丢弃，以缓解服务器压力。 下面主要讨论了tcp包有外界发起与tcp包有服务器发起两个过程中，路由器的工作流程。 当tcp包由外界发起时，工作流程如图2所示。 图2外界发起tcp时路由器工作流程 当tcp包由服