Linux系统DDoS攻击防护技术研究.docVIP

DDoS攻击检测技术研究 张明猛1 赵天福2 （1 江南计算技术研究所 江苏 无锡 214083） （2 江南计算技术研究所 江苏 无锡 214083） 摘要: 分布式拒绝服务攻击是网络安全的重大威胁之一。传统的根据流量特征来检测拒绝服务攻击的方法，无法适用于分布式拒绝服务攻击的检测。文章介绍了一种基于CUSUM算法的检测技术,这种检测方法可以有效识别分布式拒绝服务攻击。 关键词: 分布式拒绝服务攻击; 检测; CUSUM算法 中图分类号：TP393.08 文献标识码：A Research on the Detection Technique of Distributed Deny of Service Attack ZHANG Mingmeng, ZHAO Tianfu (Jiangnan Institute of Computing Technology, Wuxi Jiangsu 214083, China) Abstract: Distributed Deny of Service (DDoS) attack is one of most serious security threats. Traditional detecting method based on network flow characteristic can not apply to detect Distributed Deny of Service attack. This paper introduces a new DDoS detecting technique based on Cumulative Sum algorithm (CUMSUM), which can efficiently distinguish DDoS flow from normal network flow. Key words: Distributed Deny of Service; Detecting; Cumulative Sum algorithm 1引言 拒绝服务攻击（Deny of Service，DoS）曾经使得世界上几家著名电子商务提供商的站点（如雅虎、eBay、亚马逊TCP/IP协议是因特网的基石它是按照在开放和彼此信任的群体中使用来设计的，在实现上力求效率，而没有考虑安全因素。Ping Of Death攻击利用一些系统处理的攻击者发送一个长度超过65535的Echo Request数据包，目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出，Teardrop攻击则利用早期某些操作系统中TCP/IP协议栈无法正确处理IP分片重叠。 图1 典型的分布式拒绝服务攻击模式 通常分布式拒绝服务攻击的步骤如下： 探测扫描大量主机以寻找可入侵的傀儡机； 入侵有安全漏洞的主机并获取控制权，作为DDoS攻击的傀儡机； 选取一台傀儡机，在其中安装DDoS攻击控制程序，作为控制傀儡机； 在其它傀儡机上，安装攻击程序； 攻击者通过控制傀儡机，同时向攻击傀儡机发布攻击命令； 攻击傀儡机同时向目标系统发送洪水般的数据，造成目标系统拒绝服务。 攻击者通常使用伪造的IP地址向目标系统发送攻击包，使得从目标系统追踪攻击源变得很困难，目标系统也很难简单地过滤这类攻击包，因为它们与合法的数据包并没有什么显著分别。 近年来，攻击者又发展了一种更加难以防范的DDoS攻击模式，即分布式反射拒绝服务攻击(Distributed Reflector Denial of Service，DRDoS)（见图2）DRDoS攻击除了要控制一批傀儡机外，还用到了第三方实体用作反射器。攻击者不必控制第三方实体，网络中所有设备都可以作为反射器，如路由器、各种服务器等。攻击者首先也应控制一批傀儡机，在傀儡机上安装攻击程序，这个攻击程序并不直接向攻击目标发起攻击，而是先用攻击目标的地址作为源地址、反射器地址作为目的地址伪造一个IP请求包（如ICMP请求），发送到反射器，这样反射器收到请求后，就会同时向目标系统发送应答包，造成目标系统拒绝服务。 比起传统的DDoS攻击，DRDoS攻击的威胁性更大，主要基于以下原因：首先，攻击报文是以反射器的地址发出的，而反射器可以是因特网中的任意一台主机，因此攻击源的分布性更广，追踪攻击源比起DDoS更加困难；其次，一个傀儡机可以同时向n台反射器发送请求报文，攻击目标就会收到n个攻击包，相当于一个傀儡机同时向目标主机发送了n个攻击包，因此，当攻击者控制同样数量的傀儡机时，DRDoS攻击的威力可以是传统DDoS攻击的n倍。 Smurf攻击是最早利用反射思想的攻击形式之一。Smurf攻击以目标系统的地址为源地址向广播地址发送ICMP echo请求，fraggl