基于流量控制及流重組技術(shù)的應(yīng)用層DDoS攻擊的檢測(cè)與防御.pdf

1、隨著互聯(lián)網(wǎng)的迅猛發(fā)展，大規(guī)模網(wǎng)絡(luò)入侵正在以前所未有的態(tài)勢(shì)威脅著整個(gè)網(wǎng)絡(luò)安全。在所有的網(wǎng)絡(luò)攻擊中，分布式拒絕服務(wù)（DDoS）攻擊由于其潛在的破壞性強(qiáng)，而且難于防止和追查，成為一種常見(jiàn)的攻擊方式。傳統(tǒng)DDoS攻擊是利用低層協(xié)議（TCP層或IP層）的漏洞，使傀儡主機(jī)向目標(biāo)主機(jī)發(fā)送大量無(wú)用分組或建立半開(kāi)放TCP連接，造成目標(biāo)主機(jī)CPU資源或者網(wǎng)絡(luò)帶寬的耗盡，典型的攻擊有SYN/ACK Flooding（泛洪）、UDP Flooding、ICMP

2、 Flooding。由于DDoS攻擊的嚴(yán)重性，研究人員提出了多種防御方案，如：利用概率包標(biāo)記（probabilisticpacketmarking，PPM）來(lái)進(jìn)行攻擊源追蹤[1]和用統(tǒng)計(jì)方法來(lái)防御網(wǎng)絡(luò)層DDoS攻擊[2-3]。然而，從近幾年來(lái)看，隨著網(wǎng)絡(luò)協(xié)議棧低層防御技術(shù)的不斷完善，網(wǎng)絡(luò)攻擊不再局限于協(xié)議棧低層，出現(xiàn)了向高層發(fā)展的趨勢(shì)。使用高層協(xié)議進(jìn)行的攻擊我們稱(chēng)之為應(yīng)用層攻擊。此攻擊的特點(diǎn)是利用高層的應(yīng)用層協(xié)議的協(xié)議特點(diǎn)針對(duì)特定服務(wù)展

3、開(kāi)攻擊，例如針對(duì)TCP/IP協(xié)議創(chuàng)建連接而不會(huì)主動(dòng)斷開(kāi)連接的特點(diǎn)進(jìn)行的Connection Flood攻擊，針對(duì)DNS協(xié)議本身的缺陷，攻擊者慣用的DNS Flood攻擊，以及以消耗Http服務(wù)器資源為目的的Http Get攻擊。 本文根據(jù)當(dāng)前應(yīng)用層攻擊的特點(diǎn)提出了針對(duì)兩種應(yīng)用層攻擊的檢測(cè)手段和防御方法，其分別為：基于統(tǒng)計(jì)分析和流量控制的DNS Flood拒絕服務(wù)攻擊檢測(cè)和防御及基于流重組和重定向技術(shù)的Http Get Flood

4、拒絕服務(wù)攻擊檢測(cè)和防御。 本文所提出的針對(duì)DNS Flood的檢測(cè)防御方式，其優(yōu)勢(shì)在于：一，檢測(cè)部分使用數(shù)據(jù)挖掘的方式，針對(duì)最近一段時(shí)間的數(shù)據(jù)流量，統(tǒng)計(jì)得出流量的特征，特征數(shù)據(jù)會(huì)隨攻擊發(fā)生的情況而改變，更具有針對(duì)性，使得防御效率更高；二，過(guò)濾部分具有路由功能，將客戶(hù)端發(fā)往DNS服務(wù)器的流量分流到過(guò)濾器，實(shí)現(xiàn)定向分流，有效避免單點(diǎn)阻塞，增加系統(tǒng)的抗攻擊能力；三，整個(gè)防御體系結(jié)構(gòu)清晰明了，使用靈活，便于實(shí)現(xiàn)；四，通過(guò)限制攻擊地址進(jìn)行