DDoS攻击研究综合概述.pptVIP

DDoS攻击研究综述 提纲 DDoS研究的意义 国内外研究的现状 DOS问题的起因 DoS攻击原理 DoS防御方法 DDoS研究的意义：（1） （2） UC Berkeley 教授 Shankar Sastry 于 2003.7在众议院的国土安全委员会的听证会上指出DDoS及Worm攻击是当前主要的防卫任务。 （3） 国内外研究的现状 1） DHS , NFS在2004年资助几个大学和公司启动了 DETER（Defense Technology Experimental Research ）。这个项目的一个研究重点就是防御DDoS攻击。 2）信息产业部在2005年公开向产业界招标防御DDoS攻击系统的设计方案 The University of California Berkeley, University of California Davis, University of Southern California-Information Systems Institute , Network Associates Laboratories, SRI, the Pennsylvania State University, Purdue University, Princeton University, University of Utah, and industrial partners Juniper Networks, CISCO, Intel, IBM, Microsoft, and HP DOS问题的起因 面向目的地址进行路由 Internet的无状态性 Internet缺乏身份鉴别机制 Internet协议的可预测性（例如，TCP连接建立过程和拥塞控制） （1）DoS Degrade the service quality or completely disable the target service by overloading critical resources of the target system or by exploiting software bugs. (2) DDoS The objective is the same with DoS attacks but is accomplished by a of compromised hosts distributed over the Internet. DoS攻击原理 （3）基于反射器的DDoS DoS防御方法 Ingress 过滤 traceback pushback 自动化模型(控制器-代理模型) 基于代理网络的解决方案 Ingress 过滤 主要目的： 过滤假冒源地址的IP数据包 为traceback提供帮助 局限性： 影响路由器的性能 配置问题 Traceback 目的：证实IP数据包真正来源 从源头上阻断攻击 攻击取证 方法： 1)基于流量工程的方法 2)基于数据包标记的方法 3)基于数据包日志的方法 基于流量工程的方法 工作机制： 首先使用UDP chargen服务产生短的突发流量，然后把突发流量注入到待测试的链路以观察链路是否是攻击路径的一部分。 优点： 1）花费相对较低 2）容易配置 缺点： 1）不适用于多个攻击者参与攻击的情况 2）整个追溯过程应该在攻击进行的时候执行，有时 间上的约束 基于数据包标记的方法 工作原理： 基于数据包标记的IP追溯方案使用了一个简单的概念。当IP数据包经过Internet路由器，路由器为数据包增加追溯信息。一旦受害者检测到攻击，受害者从攻击数据包中提取追溯信息，使用这些信息重建攻击数据包所经过的路径。因此，基于数据包标记的IP追溯方案通常由两个算法组成。一个是运行在Internet路由器上的包标记算法。另一个是受害者发起的追溯算法，这个算法使用在接收到的攻击数据包里发现的标记信息追溯攻击者。 问题 为了重建攻击路径或攻击树，需要大量的攻击数据包 在重建攻击树的过程中，可能给受害者带来巨大的花费负担； 如果多个攻击者参与攻击，那么会产生高的误报率。 路由器CPU花费 基于数据包日志的方法 工作原理： 与在IP数据包写入路由器的信息不同，数据包日志方案是在路由器的内存中写入数据包的信息（摘要、签名或者数据包自身）。一旦受害者检测到攻击，受害者就会查询上游（upstre