自适应差额轮询调度算法在DDoS防御中的应用研究.pdfVIP

582第三届全国信息与电子工程学术会议、四川省电子学会曙光分会第十四届学术年会暨院青年科协第八届学术年会论文集 自适应差额轮询调度算法在DDoS防御中的应用 廖鹏何大可 (西南交通大学信息安全与国家计算网格实验室 四川 成都610031) Denialof 摘要分布式拒绝服务(DistributedService)攻击成为一种流行的攻击手段威胁着网 络安全．随着攻击技术的不断发展，针对web服务器应用层的DDoS攻击成为一种新的攻击手段。 根据其攻击特点，本文在差额轮询调度算法的基础上结合TCP流量控制思想，提出自适应差额轮询 调度算法，该算法在NS2实验平台上取得了较好的实验结果． 关键词分布式拒绝服务应用层攻击 自适应差额轮询 1 引言 木桶储水的容量不是由其最高的木板决定的，而是由其最低的木板决定的。服务器的安全也具 有一样的道理，是由其最脆弱的地方决定的。如果服务器存在一个很耗资源的地方，那么它就可能 成为DDoS的攻击目标。随着网络传输设备性能参数的不断提高，Intemet应用层运算复杂性越来越 将商业服务器安装在主干网旁边，使其具有很高的接入带宽。(2)服务器是各种攻击流量的最终汇 为以服务器资源为目标。攻击者通过控制大量傀儡机向服务器发出大量高消耗的资源请求(如大量 复杂的数据库查询操作)以拖垮服务器，由于攻击者伪装成合法用户请求，使得很多防御算法失效。 deficitround 本文针对Inte‘ract应用层在复杂攻击前暴露的弱点提出自适应差额轮询(self-adaptive 第3节对攻击模型进行数学分析；第4，5节在差额轮询调度算法的基础上结合TCP流量控制思想 提出了差额轮询调度算法；第6节讨论了队列射影方法；第7节在NS2实验平台上对算法进行了模 拟实验并得到分析结果；最后在第8节对SADRR算法进行对比总结。 2 基于应用层的攻击模型 在应用层复杂攻击中，攻击者的目标是淹没web集群中一个或者多个服务器资源从而造成服务 器对合法用户请求的应答延迟增大或者整个服务器吞吐量严重降低。基于应用层的复杂DDoS模型 分为如下三类【2】： floodingattack)：每个攻击会话发起请求的速率比正常会话发起请求的 1)请求洪水攻击(request 速率高出许多。 workload 2)非对称负荷攻击(asymmetricattack)：每个攻击会话发起的请求中很大一部分是针对 服务器一种或几种资源的高消耗请求．这种攻击模型的每个会话发起请求的速率不一定要比正常会 话的高，它与请求洪水攻击的区别在于每个请求带来的资源消耗相对较大，所以傀儡机只需要较小 的工作负荷，以较低的请求速率发动攻击，使得检测比较困难。 olle．shot 3)重复单次攻击(repeatedattack)：这种攻击是非对称负荷攻击的退化，每个攻击会话 第三届全国信息与电子工程学术会议、四川省电子学会曙光分会第十四届学术年会暨院青年科协第八届学术年会论文集 583 一次只发送一个资源高消耗请求，发送请求后，傀儡机立即关闭会话，准备下一次攻击。攻击者将 攻击负荷分摊到很多会话上，而不是一个会话的很多请求上，这种攻击模型对攻击者是非常有利的， 它使得攻击者很容易躲避检测。 非对称负荷攻击及重复单次攻击都利用了服务器对不同种类的请求处理时间不同这一特点。通 过对各种合法请求的监视，攻击者可以获得各种请求资源消耗的情况，所以攻击者有能力选择不同 的请求，使得每个请求的服务器资源消耗最大化。 3攻击模型的数学分析 假设服务器处理一个数据库查询操作的平均时间为tms，服务器允许的最大连接时间为dsf一般 为分钟数量级)，那么服务器在Is内允许l(，It个并发请求。如果攻击者将所控制的傀儡机分为多个组， 每个组傀儡机数量为z‘，z。10’It。攻击者协调各傀儡机组轮流每d’s(a。通常满足d’sd)发起连接请求， 成功连接的傀儡机每ts(t通常小于等于ls)同时向服务器发起查询请求，那么d‘S内发送的请求数量 服务器丢掉所有的z。个傀儡机连接，