电子科技大学计算机入侵检测技术5.pptVIP

第六节 DDoS攻击的实验环境与实现 根据以上推论，提出以下假设： 在正常网络业务中，来自大量不同数据源的数据之间，通常不具有时间和分组特征方面的相关性，因而不会改变网络流量的自相似性；而DDoS攻击是由MASTER控制大量不同的SLAVES，在同一时段向攻击目标发送大量请求，将会导致其流量模型的相关系数发生变化，并破坏网络流量的自相似性。 第六节 DDoS攻击的实验环境与实现 二、 实验环境 1、实验环境 图5.8 实验环境示意图 第六节 DDoS攻击的实验环境与实现 为验证DDoS对自相似性系数的影响，进行了一系列攻击实验，实验环境为：1台100兆交换机，1台路由器（Cisco Catalyst 3550），1台产生背景数据的BT（background Traffic）计算机（Win2K），8台攻击计算机（Win2K），1台用于检测的AD（Attack Detection）计算机（RedHat Linux8.0），其网络拓扑结构图如5.8所示。 实验开始后，BT持续提供正常的背景流量，数据流的路由全部指向检测机；攻击开始后，多个攻击机进行攻击协同，在一个时间段内同时向检测机发动DDoS攻击。此时，检测机将接收到来自路由器上的正常流量和攻击流量。 第六节 DDoS攻击的实验环境与实现 2、攻击类型的选取与实现 为简化起见，实验中的攻击类型选取了常见的SYN flood。通过C语言编程实现后，安装于各攻击机 上，在攻击开始时同步启动，就能模拟真实的攻 击行为了。此外，生成攻击数据还可以采用DDoS 工具TFN2k等方式进行。 第六节 DDoS攻击的实验环境与实现 3、背景流量的选取 为模拟真实情况下的DDoS攻击，对电子科技大学信息中心Web服务器进行了流量数据采样，共进行了40小时。在模拟攻击时，可以将TDF作为真实的背景流量使用，将TDF分为160个子样本，每个子样本大小为900秒，记为TDF1～TDF160。 第六节 DDoS攻击的实验环境与实现 三、实验准备工作 1、攻击流量大小： 在准备好160个真实背景流量的数据样本之后，在攻击软件中设定了4种不同流量大小的攻击过程，分别为100kBps、500kBps、1MBps、1.5MBps，并记为P1、P2、P3、P4。用于验证在同样背景流量下，不同大小的攻击流量所造成的结果。 第六节 DDoS攻击的实验环境与实现 2、攻击方式：一次真实的DDoS攻击过程可看作如下4种情况，或这4种情况的组合，如图5.9所示。 图5.9 DDoS攻击方式 第六节 DDoS攻击的实验环境与实现 四、实验过程 通过对160个背景流量子样本（TDF1～TDF160）、3种攻击方式（A1～A3）、4种攻击流量大小（P1～P4）进行组合来完成，共160×3×4＝1920次，并采集了1920个攻击过程中的流量数据样本，每个子样本采样时间总长度为900秒（实验数据与背景流量的子样本时间相等）。 限于篇幅，本次授课仅从1920个数据采样中，任意选取了子样本TDF38，并给出此数据样本下各种攻击方式和流量大小对自相似性系数Hurst的影响情况。其余子样本的实验分析过程和结论与之类似，故略去。 第六节 DDoS攻击的实验环境与实现 1、恒定流量的攻击实验（A1） 图5.10 背景流量TDF38、攻击方式A1下的Hurst变化 第六节 DDoS攻击的实验环境与实现 2、渐增方式的攻击实验（A2） 图5.11 背景流量TDF38、攻击方式A2下的Hurst变化 第六节 DDoS攻击的实验环境与实现 3、渐减方式的攻击实验（A3） 图5.12 背景流量TDF38、攻击方式A3下的Hurst变化 第六节 DDoS攻击的实验环境与实现 五、实验分析 对以上3个示例图，及其所代表的所有样本图进行分析，均可得出以下结论： 1、在攻击没有发生时（区间为0sT200s)，Hurst系数随时间变化较为平稳，处于0.5到1.0之间，具有较好的自相似性； 2、在攻击发生后的较短时间内，Hurst值将发生较大变化，并跃升至1.0以上，这表示随着攻击的发生，流量的自相似性受到破坏。这一现象符合前面的两条推论，攻击流量加入正常背景流量后，网络的长程相关性不会改变，但在聚合后，新流量的一些系数值会发生改变； 第六节