DDoS攻击与IP拥塞控制研究研讨.ppt

计算机入侵检测技术 —DDoS攻击与IP拥塞控制研究 第四章 DDoS攻击与IP拥塞控制研究 第一节 引言 随着DDoS攻击的日益增多，该攻击手段已逐渐引起全球各国的高度重视，并被认为是目前Internet所面临的最大威胁之一。人们通过不断努力研究，提出了一些可行的解决办法。 从DDoS攻击的过程和效果来看，当攻击发生时，攻击者通过控制傀儡机向目标发送大量的请求，导致系统资源耗尽或网络拥塞，从而使目标系统或网络不能响应正常用户的请求。 第一节 引言 常见的表现有： 1、被攻击主机上有大量处于等待状态的TCP连接； 2、网络中充斥着大量无用的数据包，源地址为假； 3、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯； 4、利用受害主机提供的服务或传输协议上的缺陷，反复、高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求，严重时会造成系统死机； 第一节 引言 虽然DDoS的攻击类型很多，但对于绝大部分攻击而言，防护重点可集中于以下两个方面： 1、缓解攻击所造成的网络拥塞状况 2、防止被攻击主机的资源耗尽。 由于DDoS攻击引起的网络拥塞，是由恶意主机控制大量傀儡机所造成的，并非传统意义上的端到端拥塞，所以只能在路由器上进行控制，因而本文所讨论的DDoS攻击防护是基于IP拥塞控制来进行的。 第二节 DDoS攻击与网络拥塞 网络产生拥塞的根本原因在于用户提供给网络的负载超过了网络的存储和处理能力。拥塞具体表现为无效数据包增加、报文时延增加与丢失、服务质量降低等。 一般情况下形成网络拥塞的三个直接原因是： （1）路由器存储空间不足。几个输入数据流共同需要同一个输出端口，如果入口速率之和大于出口速率，在这个端口就会建立队列。如果没有足够的存储空间，数据包就会被丢弃，对突发数据流更是如此； 第二节 DDoS攻击与网络拥塞 （2）带宽容量相对不足。直观的说，当数据的总输入带宽大于输出数据带宽时，在网络低速链路处就会形成带宽瓶颈，网络就会发生拥塞，相关证明可参考香农信息理论； （3）处理器处理能力弱、速度慢。如果路由器的CPU在执行排队缓存、更新路由表等操作时，处理速度跟不上高速链路，也会产生拥塞。同理，低速链路对高速CPU也会产生拥塞。 以上是早期Internet网络发生拥塞的三个主要原因。对此，TCP拥塞控制给出了较好的解决方案。在实际应用中，如果所有的端用户均遵守或兼容TCP控制，网络的拥塞应该能得到很好的控制。 第四章 DDoS攻击与IP拥塞控制研究 第三节 IP拥塞控制研究进展 这里讨论一下近年来IP拥塞控制的有关策略，并对其应用于DDoS攻击时的防护能力进行简要评价。根据DDoS攻击的原理和机制，可对各种机制的防护能力给出以下评价标准： 条件一：是否能按一定规则进行特征设定； 条件二：是否能根据一定规则对流经的数据加以分； 条件三：针对不同类型的数据包，是否能提供不同优 先级的服务。 如果一个拥塞控制机制满足了以上三个条件，就基本具备了防护DDoS攻击的能力。 第三节 IP拥塞控制研究进展 对现有若干算法是否符合条件，进行分析和评价： 1、先进先出（FIFO）； 2、随机早期检测算法RED（Random Early Detection）； 3、显示拥塞指示算法ECN（Explicit Congestion Notification）； 4、公平排队算法FQ（Fair Queuing）； 5、加权公平排队算法WFQ（Weighted Fair Queuing）； 6、加权随机先期检测WRED（Weighted Random Early Detection）； 7、定制排队； 第三节 IP拥塞控制研究进展 1、先进先出（FIFO）：传统的先进先出策略是在目前Internet上使用最广泛的一种方式。它的最大优点是便于实施，但由于FIFO本质上是一种“去尾”（Drop-tail）的算法，所以当突发性数据到达时容易出现包丢失现象，其公平性较差，对上层的TCP快速恢复的效率也较低。 对照评价标准可知，该算法没有满足任何一个条件。由于过于简单以及缺乏智能性，完全不能用于DDoS攻击防护； 第三节 IP拥塞控制研究进展 2、 随机早期检测算法RED（Random Early Detection）：随机早期检测算法是按一定的概率丢弃进入路由器的数据包。RED的早期设计思路是避免丢弃属于同一连接的连续数据包，从而提高连接的吞吐量。通过分摊包丢失率，RED可以在各连接之间获得较好的公平性，对突发业务的适应性较强。RED算法 的处理过程中，包丢失率P为平均排队长度 的函 数， 、