（无线电物理专业论文）基于网络处理器的多维统计异常检测系统——解析模块的研究实现.pdf

叶1 文摘要 基于网络处理器的多维统计异常检测系统 解析模块的研究实现 专业： 硕士生： 指导老师： 无线电物理 赖阳涌 余敝争教授 摘要 随着d d o s 攻击不断向复杂化、多样化发展，现有的基于一种或几种攻击设计 兹各类入攫检测秘防御系统往往无法满足实际的网络安全需要：千兆以上高速网 络的出现与迅遮发展也从客观上对网络安全系统的处醺速度积能力褥出了薪的要 求。 在仔细分攒互联阚滚量构成特点的基懿上，本文援出了一个称为多维统计异 常检测系统的d d o s 入侵检测与控制系统方案。它通过箍控网络流蠢和多维分拆其 网络字段构成比例或到达率，获得当前流凝结构的描述参数，再与预先训练得到 豹暾耄参数比较，撮摇殛翥绱离程度判断楚否出琨异常，然压进j 亍掇应双列控制， 从而达到检测和防御d d o s 攻击、保护后端阏络系统或服务器的目的。本文所实现 的是这个系统的多维统计子模块，包括统计量的设计和对数据包进行解析、统计 穆雾常蠡记。傍凑秘硬 牛实黢均表明，多维统汁模块憝为异誊检测与控割模块提 供全面、准确的统计数据：合并后系统谣对常见的各种d d o s 攻击亦能快速检测并 控制，达到了一个功能较为全面的入侵检测与防御系绒的要求。 基于网络簸蓬器平台寒实王冕该系统模块是本文的男一荧藏。终为下伐网终 系统的发展方向，网络处理器提供了下- 兆以上的处理滤率，满足了当漪网络向离 带宽发展的要求。 关键词：d d o s ，多维，异常检测，网络处理器 葵文攮要 am u l t i d i m e n s i o n a la n o m a l yd e t e c t i o ns y s t e mb a s eo i l i x p 2 4 0 0 n e t w o r kp r o c e s s o r - - - t h ep a r s i n gm o d u l e - - m a j o r ： n a m e ： s u p e r v i s o r ： r a d i op h y s i c s y a n g y o n gl a i p r o f e s s o rs h u n z h e n gy u a b s t r a c t a sd i s t r i b u t e dd e n i a lo fs e r v i c ef d d o s ) a t t a c k sa r eb e c o m i n gm o r ea n dm o r e c o m p l i c a t e da n dd i v e r s i f i e d ，m o s to ft h ei n t r u s i o nd e t e c t i o na n dd e 惫n ds y s t e m sw e c u r r e n t l yh a v et u r no u tt ob ed e f i c i e n tb e c a u s et h e ya r ed e s i g n e df o rc e r t a i no n eo r s e v e r a lk i n d so ft h ea t t a c k s a n do b j e c t i v e l y t h ea p p e a r a n c eo fg i g a b i ts p e e dn e t w o r k a n di t sr a p i dd e v e l o p m e n t r e q u i r et h en e t w o r ks e c u r i t ys y s t e mt ow o r kf a s t e ra n dh a v ea b e t t e rp e r f o r m a n c e 1 bt h i sp a p e r , b a s eo n 姻。( 1a n a l y s i so ft h ec o m p o s i n go ft h e i n t e r n e tt r a 龋e w ep r e s e n tan o v e li n t r u s i o nd e t e c t i o na n dc o n t r o ls y s t e mc a l l e d m u l t i d i m e n s i o n a la n o m a l yd e t e c t i o ns y s t e ma sas o l u t i o n t h em u l t i d i m e n s i o n a ia n o m a l yd e t e c t i o ns y s t e mm o n i t o r st h en e t w o r kt r a f f i c p u t sam u l t i - d i m e n s i o na n a l y s i so nt h en e t w o r kf i e l d so ft h a t t r a f f i ca n do b t a i n st h e i r r e l a t i n gp r o p o r t i o no ra 玎i v a r a t i oa st h ep a r a m e t e r so ft h eo n g o i n gt r a 疆c ，w ec o m p a r e t h e s ep a r a m e t e r sw i t ht h o s et r a i n e dp r e v i o u s l ya san o r m a lo n ea n df i n dt h ea b n o r m a l p o r t i o n t h e nm a r ki tt ot h ec o n t r o ls e c t i o nt h e r e f o r ea c c o m p l i s ho u rd e t e n d i n gg o a l s p e c i f i c a l l y ，t h i sp a p e rf o c u s e so nt h ep a r s i n gm o d u l e 。w h i c hi nc h a r g eo fe x t r a c t i n ga 1 1 f i e l d so fe v e r yp a c k e ta c c o r d i n gt ot h es t a n d a r dn e t w o r k i n gm o d e lo ft h ei n t e r n e t ， a n a l y z i n g t h ef i e l d sa n du p d a t i n gt h er e c o r d i n gd a t a b a s ea n df i n a l l y d o i n gt h e a b n o r m a l i t y m a r k i n gi o b a f t e rt h e s e ，w ep e r f c ) i q nt e s t sf r o ms i m u l a t i o nt oh a r d w a r e e x p e r i m e n t ；e x a m i n et h ef u n c t i o n a l i t ya n dp e r f o r m a n c e so fo u rs y s t e m w eh a v ec o m e t oc o n c l u s i o nt h a te i t h e rt h ep a r s i n gm o d u l ei t s e l fo rt h ew h o l ea n o m a l yd e t e c t i o na n d c o n t r o ls y s t e mc a nw o r ka c c u r a t e l ya n de f f e c t i v e l y ko r d e rt op r o v i d es a t i s f a c t o r y p e r f o r m a n c ei nh i g hb a n d w i d t he n v i r o n m e n t w ee m p l o yn e t w o r kp r o c e s s o r 。w h i c h 通 t h el a t e s th i g h - s p e e dn e t w o r kp r o d u c t ，t oi m p l e m e n to u rs y s t e m k e yw o r d s ：d d o s ，m u l t i d i m e n s i o n ，a n o m a l yd e t e c t i o n ，n e t w o r kp r o c e s s o r l 蒋l 章绪论 1 。1 研究背景及意义 第1 章绪论 近年来，伴随着各种基予网络的应用的普及和发展，i n t e m e t 对于现代社会的 重嚣性已经不言而喻。然而，现实和研究寝明，以i n t e r n e t 为主体的网络系统正面 漆l 薯盏严竣豹安全藏赫。悔戆各荦孛基兹豹溺络入侵翥利群阚络系统懿瀵溪，簿无 忌惮地进行破坏活动，形形甑色的计算机痫毒、后门稷序和拒绝服务攻击便是其 中的典型代表。 与蓊两者不弼，拒绝骚务攻击是近年采鑫魂豹一秘耨望秘终入餐攻毒，它簿 称d o s 攻击( d e n i a lo fs e r v i c e ) 。这种攻击手段不以破坏目标网络系统战主机上的 软硬件资源和应用数据为目的，而是利用t c p i p 协议的缺陷、c p u 处理速度和网 络繁宽资潭懿套疆往，赢受密方发送大_ 藿繇意连接请求袋茏蘑旋数攒雹，遥蓬瀵 耗爨害者的系统和带宽资源使其无法响应正常用户的服务请求。分布式拒绝服务 攻击即d d o s 【2 l ( d i s t r i b u t e d d e n i a lo f s e r v i c e ) 是d o s 攻击驹改进版本。2 0 0 0 年2 月 曼翰短短三天蠢，y a h o o 、a m a z o n 、c n n l 3 1 等美国豹皇要菇点接连遗受不舞黑客 攻击导致网站访问服务全而瘫痪达几个小时甚至十几个小时，造成巨大的经济损 失。后来调查表明，这就是新型的d d o s 攻击。之后，d d o s 攻击一发不可收拾， 成为u 互联丽特臻楚大蘩瓣鹚蕊裕静头号安全藏胁。 d d o s 攻击的危害如此之大，这主要鼹由它的特点决定的。攻击的分布式特 性，以及攻击者采用伪造、动态改变数据包源i p 地址、随机变化攻击数据包类 型和内容、改交羧击方式等方法，造成受森方无法在有黻戆攻击蕊麓雨猜疑到 d d o s 的攻击特征，电难以找出攻击源的俄置加以控制。随着d d o s 攻击工具的 获敬越来越容易，d d o s 攻击也变得更加套易实施。如俺有效防范和抵御d d o s 攻击已经成为当前瞬络安全领域严竣静课题。 几年来，科研人员围绕着攻击发生的不同阶段采取的对策提出了涵盖预防、 梭浏和响应等方愆的众多鼹决方案，有效媳防范和遏制了发生在普通对网络带宽 这艘要求不高的黼络系统如搂入层或中小鬻阏站的d d o s 攻击；但是对于汇聚层 乃歪骨干层以及大型活动网站等网络系统，这方面的对策还略显匮乏。其主要原 中山犬学砸士学位论文 因，一方面是这一类型阿络系统往往具有超大的正常访问流量，以大流量为特点 的d d o s 攻击夹杂其中不易分辨，难以检测，而对于大型活动网站，不规则的突 发流量到来也增加了攻击检测的难度；另一方面，由于网络系统的访问量巨大， 针对般系统研究开发出的入侵检测和防御产品往往受限于其处理速度和网络 带宽的瓶颈而无法在高速网络系统上发挥应有的作用。基于以上两点，研究探讨 发生在高速率、高带宽网络环境中d d o s 攻击的防御和检测有着重大的理沦和实 践意义。 几乎就在d d o s 攻击诞生的同时，一款集多项优势于一体、特别适应于高速 率网络环境下数据处理的网络设备适时地问世了，这就是网络处理器( n e t w o r k p r o c e s s o r 【4j ) 。从问世的那一刻起，网络处理器就担负起了在网络安全研究领域 发挥作用尤其是狙击d d o s 攻击的特殊使命。各商业公司、高校院所和专门科研 机构纷纷利用网络处理器为平台进行研究和开发。本文也将设计和实现一个在大 型阿站的前端对d d o s 攻击进行有效检测和控制的系统。 1 2 论文选题及贡献 1 2 1 课题介绍 网络时空行为与2 0 0 8 奥运会网络安全关键技术研究是本人导师余顺争 教授主持的一个国家a 然科学基金项目，目的是为2 0 0 8 奥运会的活动网站提供 有效的网络安全策略支持，本人这部分的研究工作属于其中的一个子课题。此项 研究将给互联网大型网站的网络安全方面提供具有相当价值的参考。 1 2 2 主要贡献 本文根据现行i n t e r n e t 网络传输协议标准体系t c p i p 协议以及相关r f c ( r e q u e s tf o r c o m m e n t s ) 对网络传输模型各层次字段的定义，针对互联网的正 常流量构成特点1 5 ，设计并实现一个用于d d o s 攻击检测和防御的异常检测系统。 它通过海量统计各字段比例或到达率，计算它们与各自历史正常数值的偏离程 度，然后选择一个或多个关键字段标志进行速率控制。按照这种思想设计出来的 系统，不但能够防御如s y n 、i c m p 、u d p ( 6 1 等常见的d d o s 攻击，而且可以有 第1 章绪论 效防御一些未知的d d o s 攻击。同时，本设计的实现客观上也起到了乎滑突发网 络浚童豹俸嗣。 在网络处理器这个平台上实现是本系绞的另外一个突出特点。除了有第一代 i x p l 2 0 0 7 1 系列网络处理器的麓速处理能力和完全可编稳性等优点外，i x p 2 4 0 0 e 8 】 系列阏络处理嚣瓣久了更多的徽弓l 擎帮惫糖存储容量在内静萁它资源，处理速度 也达到满足o c 1 9 2 网络线遮处理要求( 1 2 0 0 系列只能满足o c 1 2 线速) ；同 时充分考虑了网络数据的复杂多样性，采取樘应的硬件络捣和软件算法有效地进 行嗣络数据处理，很好地适应了对互联网渡务高宽带、商速率静需求。 1 ，3 论文章节安排 本文共分为6 章。第l 奄是绪论，介绍论文的研究背景、意义和论文的选题 及其贡献：第2 章叙述了d d o s 攻击原理及其检测防御技术的研究情况：第3 章楚 x p 2 4 0 0 网络处理嚣软磺 率贪缓：纂4 耄提出本文辑篓设诗懿雾露捡溺系统 总体结构，着熏分析多维统计模块的方案设计，同时结合网络处理器平台描述了 系统方案实现的资源分配和主要数据结构；第5 章对系统在仿真环境和硬件环境 下分筑进露功麓测试帮攻击实验潮试，劳徽毪麓分辑；袋蠡，第6 囊总结全文， 并提出进一步完善系统没计的方向。 中山大学硕士学位论文 第2 章d d o s 攻击及检测防御技术 本章从入侵检测的相关概念说起，分析d d o s 攻击的原理，详细介绍它的分 类和特点；接着介绍目前业界对d d o s 攻击以及相应的检测和防御技术的研究现 状，为本文的设计和实现提供理论和实践的支撑。 2 1 入侵检测概述 1 9 8 0 年j a m e sp a n d e r s o n 系统阐述了入侵检测( i n t r u s i o nd e t e c t i o n ) 的概 念阱。a n d e r s o r r 将入侵定义为潜在的、有预谋的、未经授权的访问信息、操作信 息、致使系统不可靠或无法使用的企图。入侵检测是对入侵行为的检测。进行入 侵检测的软硬件系统称为入侵检测系统( 简称为i d s ) 。入侵检测系统有别于传 统的防火墙，它作为后者的补充为系统提供第二道安全防护，在不影响正常网络 性能的基础上对网络进行临控。 根据目标系统的不同入侵检测系统分为基于主机和基于网络的入侵检测系 统两大类。前者以单一主机的记录作为依据，后者则以网络数据包作为数据来源。 根据入侵检澳方法的不| 司1 ，入侵检测系统分为基于特征匹配( 误用) 和基于异常 检测两种。特征匹配方法根据己知的入侵攻击信息来检测系统中的入侵和攻击， 异常检测则利用系统正常行为的信息作为检测系统判断的依据【i 。 d d o s 攻击属于众多入侵攻击中的其中一种，由于其大规模、分布式和复杂 的攻击手段的特点，d d o s 攻击破坏力强、防御难度大，逐渐成为入侵攻击的主 流。 2 2d d o s 攻击原理 简而言之，d d o s 攻击就是通过各种方法和手段，向攻击目标发送远远超出 其处理能力的大量的连接请求或无用的数据包，消耗其系统资源或者网络带宽 的，致使网络瘫痪，达到攻击实施目的。d d o s 攻击之所以能无7 l 不入、危害四 方，主要是由于目前互联网普遍采用的t c p i p 西议的存在着缺陷所造成的。可 以说，基于t c p i p 协议的拒绝服务攻击构成了目前d d o s 攻击的主体。 4 辩2 颦d d o s 攻击发硷测防御技术 2 2 1t c p i p 协议 现有的互联网在通信时所使用的t c p p 协议是一个被称为t c p i p 参考模型 ( t c p i pr e f e r e n c em o d e l ) 的体系结构，共有4 层，分别怒物理层、网络层、传输 瑟移痘瑶星。翻络罄是整令俸蓉结聿蠹懿美德漆分。宅静功耗是谴主羧爵滏整劳缓 发往任何网络并使分组独立士电传向目标。网络层定义了正式的分组格式和协 义， 即i p 协议( i n t e r n e tp r o t o c 0 1 ) 。位于网络层之上的那一层通常被称为传输层，它的 功麓是镬源霸霾拣裁主疆土稳对等实藩爵戮透露会话。这墨定义了嚣令臻鞠藕夔 协议，包括t c p 和u d p ，前者称为传输控制协议，它是个面向连接的协议，允 许从一台机器发出的字节流无差错地发往亘联网上的其它机器。在接收端，t c p 接救透程整竣到熬摄文，缝装成辕出浚。u d p 凌议稼为i l 户数据投揍汶，它是 一个不可靠的无连接协议，主爰特点就是快速简洁。 2 2 。2d d o s 玫豢豢理 本小节主要以t c p 建立连接所需三次握手阶段的漏洞为例，说明攻击者利 用t c p i p 协议的缺陷采取的d d o s 攻击方法原理。 ( 一) t c p 握警协议 1 f s y n s e n t 客户端骚务器端 e s 讯8 l 塔h e d s y n r c v d e s r a b l r s h e d 圈2 。1t c p 三次撵手过程 如图2 一i 所示，在t c p i p 协 义中，t c p 协议提供可靠的连接服务，采用三次 握手建立一个连接。第一次掇手发生在建立连接时，客户端发送s y n 包( s y n = j ) 到服务器，并避入s y n s e n d 获态，等待服务器确诫。 中山大学砸士学位论义 第二次握手发生在服务器收到s y n 包后，对客户的s y n 连接请求进行确认 ( a c k = i + 1 ) ，同时自己捎带发送一个s y n 标志( s y n = k ) 即s y n + a c k 包，此时服务器进入s y n r c v d 状态。 第三次握手是客户端收到服务器的s y n + a c k 包后，向服务器发送确认包 a c k ( a c k = k + 1 ) ，这样，客户端和服务器进入e s t a b l i s h e d 状态，完成三次 握手，客户端和服务器端的通信连接完成，可以开始传输数据了。 ( 二) t c p s y n 攻击原理 从上图2 1 可看到，服务器接收到连接请求( s y n = j ) ，将此信息加入未连 接队外，并发送请求包给客户( s y n = k ，a c k = j + 1 ) ，此时进入s y n r c v d 状 态。当服务器未收到客户端的确认包时，默认会重发请求包，一直到超时，才将 此条目从未连接队列删除。可见，如果客户端在短时间内伪造大量不存在的i p 地址，向服务器不断地发送s y n 包，服务器照常回复确认包，并等待客户的确 认，而由于源地址是不存在的，不会有客户端回复服务器的这些确认包，于是服 务器就不得不保存越来越多的这种处于半打开状态的连接，最后服务器的内存和 c p u 时间就会被这种等待的队列占满，而合法用户则无法与服务器建立连接，从 而达到拒绝服务攻击目的。 2 2 3 d d o s 攻击拓扑 6 图2 2 所展示的是一个典型的d d o s 攻击拓扑模型图。 图2 - 2d d o s 攻击拓扑模型 第2 章d d o s 袭鸯及检测防御牲术 入侵和攻击主要过程如一f ：攻击者( a t t a c k e r ) 通过扫描从网络中找出存在漏 溷豹主凝或喇终系缓露为入矮控割懿对象主羟设备( m a s t e r s ) ，透避狻萎锂主控设 备慧复扫描、入侵的步骤，攻击者掌握了为数众多的攻击执行设备( z o m b i e s ) 。 需要发动攻击时，攻击者只需操纵主控设器置入攻击指令和代码于攻_ 击执行设备， 嚣誊g g 哥对受鸯卷发莛d d o s 袭击。 2 2 4 小结 觚以上分毫斥可以看出，烹要是两个方丽的原因成就了d d o s 的巨大威力。首 先，真正发起d d o s 攻击的幕后黑手往往不芷面接触攻击的受害者，甚至旦完 成攻击指令的下达后，它就可以逃之天天了；郎搜受害嚣通过各秘手段帮途径对 攻击者进行追溯，能找到的也只是鄢些同为受害者的傀糯机器，而无法达到根治 的目的。其次，顾名思义，d d o s 攻击是分布式拒绝服务攻击。所谓分布式，指 的楚英攻击发动方无论在物理空闫上还是在逻辑空阀上来说都是分教的，攻击实 施设备的数量、种类、性能等参数也是随机的，这些分稚特性，进一步加大了对 其主挠行防御和检测的难度。 本章的后续凡节中，将先爱分绍d d o s 攻击豹分类、d d o s 攻击工具黧国内 外辩d d o s 攻击防御和检测方面的研究现状，最后谈一淡目前网络处理器的应 用，特别是在入侵检测和防御方面的研究和开发情况。 2 3d d o s 攻击技术 根据标准的不同，d d o s 攻击可以有不同的分类方法，下面介绍的是其中最 零蹲静一季孛。 2 3 1 攻击分类 d d o s 攻击的目的是消耗目标系统资源或者网络带窝。按照攻击采用手段的 不同可以分为逻辑攻击和泛洪攻击两大类c 1 2 】。 中出大学馥士警谴论文 ( 一) 逻辜髯攻击 逻辑攻海是指攻击者秘甩系统所运行的协议或者软件的逻辑漏洞对受害卷 进行的d d o s 攻击。如p i n go f d e a t h 1 3 1 攻击，就是利用向系统发送超过6 4 k b 这 一最大的i c m p 请求包、导致系统为之分配内存时如错两耗尽资源。t e a r d r o p 鄹 l a n d 攻击亦属于诧类攻击。对于寸逻辑攻击主要采蠲盼方法对舟级软件或者对特 定的数据包进行过滤。 ( 二) 泛溪攻击 泛洪攻击是当攻击者对受害者系统发送大量伪造的数据包、让其在反应中 澄耗尽系缝c p u 、蠹存镱资源或誊黪在系统夔疆络赘宠兹d d o s 攻击。翦- 4 , 节中讲述的t c ps y n 墩击就是属于这一类型的d d o s 攻击，其它相似的还包括 t c pa c k 、t c pr s t 、u d p 泛洪和i c m p 泛洪( p i n gf l o o d i n g ) 等。事实上， 蹶有基j ：l p 耱议戆上爨谂渡穆可被潮矮来遘螽= 泛漤攻击。泛洪攻击秘类繁多， 构成了当前i n t e r n e t 上d d o s 攻击的主流，下面是其中的几种。 a r p 攻击： a r p 圭貔聚解撰 办议( a d d r e s sr e s o l u t i o np r o t o c 0 1 ) 是爱塞萼莓 p 建蛙麟辑 成局域网硬件所使用的媒体访问控制地址( m a c ) ，这是个4 8 位的以太网地址。 这两种地址间的某种静态或算法的映射通常被a r p 表或路由器所存储。当计算 掇接浚瑟a r p 应答数攒惫时，会鼹本逡熬a r p 缓存送露更耨，络毯中豹l 扩零t m a c 地址对存储在a r p 缓存中，这一特点直接造成了a r p 欺骗攻击实施的 可能性。宜接向w i n d o w s 系统主机发送大量无关的a r p 数据包，也会导致系 统耗尽交滚嚣箨壹晦应，翅票霆广疆戆缝发送a r p 请求，可能导致整令霸域霜 停止响应。 u d p 攻击： u d p 耀户数摇摄秘议( u s e rd a t a g r a mp r o t o c 0 1 ) 是基于无连接的传赣层漭 议，它不提供错误更正和重发也不检赢数据包的丢失或重复，适用于仅需要询问 响应的应用中，所需的开销和耗费较少。但由于它没有流量挖制和差错修正的机 懿，辑良容荔造成数据丢失或错误。与t c p 攻毒手段一样，u d pf l o o d 瞧袭常 见。 第2 章d d o s 攻击袋检测防御接拳 i c m p 攻击： l c m p 嚣特溺控涮摄文携议fi n t e r a c tc o n t r o lm e s s a g ep r o t o c 0 1 ) ，它是瑟亲鍪 控t c p u d p 滕连接状态的底层机制，通常用来报告路径中出现的问题，监测网 络中的故障，同时也提供了些底层网络诊断工具，如常见的p i n g 命令。基于 i c m p 最葜鍪蕊攻击裁是由p i n g 命令滨豫裁翡s m u t 墩蠢，要癸畜p i n gt od e a t h 等、i c m p 重定向和i c m p 目标不可到达攻击等。 ( 拦 l p 欺骗 为了隐藏身份、逃避追蹿和检测，攻击者通常采用一种被称为i p 欺骗的技 术。通过伪造一系列随机的源i p 地址，一遐将攻击风险转移到第三方，二是可 黻实壤“反瓣改爨”模式懿d d o s 攻击。攻击者将f p 竣骗技术结台( ) 葙( 二) 巾提到的攻击技术中去，大大增强了攻击效果。 2 3 2 攻击工瑟 d d o s 攻击工具主要有t r i n 0 0 、t f n 、t f n 2 k 、s t a c h e l d r a c h t 等。 t r i n 0 0 1 8 i 跫令较擎匏d d o s 玫击工其。t r i n 0 0 只裁进行u d pf l o o d 攻击。 t r i n 0 0 的主控端地址必须手动加入到攻击端的源程序中褥进行编泽。 t f n ”3 是一个可以进行多种攻击的d d o g 工具。它可以进行u d pf l o o d ，t c ps y n f | 。o o d ，i c m pf l o o d 鞋及s i , i u r f 玫击。 t f n 2 k 2 0 1 照t f n 的后续版本。与t f n 相比，t f n 2 k 具有更多的功能和更大 的灵活性，包括可对目标的进行包括t c ps y nf l o o d 、u d pf l o o d 、i c m p p i n gf l o o d 或b r o a d c a s t p i n g ( s m u r f ) f l o o d 等豹玫毒。 s t a c h e l d r a c h t 2 1 是一种与i f n 极为相似的工具。s t a c h e d r a h t 也使用了与 t f n 攻击工具一样的拒绝服务攻击方法，如：i c m pf l o o d 、s y nf l o o d 、u d pf l o o d 羁”s m u r f ”等。稳与羊硪程t f n 2 k 不司兹爨，s t a c h e l d r a h t 浚有惫食缵定弱芸令 t c p 端口的r o o ts h e l l 。 中山大学硕士学位论文 2 4d d o s 防御和检测研究状况 对d d o s 攻击的防御和检测可分为两个层次：攻击检测和控制、攻击源追踪。 在d d o s 攻击发生的时候迅速准确的检测和控制，可减少攻击危害；在攻击发生的 同时或攻击结束之后追踪和标识攻击源，让攻击者得到惩治，则是从源头上消灭 攻击。 2 4 1 攻击检测和控制 对d d o s 的检测和控制可在攻击源和攻击目标之间的任何位置进行。越靠近攻 击源所在的网络，攻击分组就越容易被检测出来；反之，越靠近攻击目标所在的 网络，攻击包被检测出来的难度就越大。但是，虽然在靠近攻击目标的地方实施 检测和控制的效果最好，这也会造成攻击分组泛滥在中间网络、占用网络带宽从 而造成中间网络的拥塞：在靠近攻击源的地方进行检测和控制虽然效果不好，却 是消除攻击影响的最根本办法。 ( 一)源端防御 j m i r k o v i c 等中提出了一种称为d w a r d 2 2 1 的源端检测和控甫t d d o s 技术。 d w a r d 将系统安装在源所在网络的边界路由器上，对输出流量进行监控和统计 并根据目的地信息进行分类，通过跟内置的正常流量模型对比，定义正常流量和 潜在攻击流量，在让正常流顺利通过的同时，限制攻击流量的速率，并随着攻击 速率的增加幅度降低攻击包的速率。 d w a r d 面l 临的阿题在于只统计了数据包的部分信息，在大规模分布式攻击 中，来自每个网络的攻击数据包所占的分量往往是很小的，有时会小到无法从简 单的数据统汁看出异常来；与所有源端防御技术一样，部署这样一个系统的网络 往往无法从其投入的资源得到直接可见的收益，这就潜在地限制了基于此类方法 系统的推广和使用。 o 第2 章d d o s 攻击疑捡测防镯技术 ( 麓)过滤技术 过滤技术对送入网络的所有流量进行过滤。当攻击者通过伪造的i p 遗址进 行d d o s 攻击时，受害者不得不往虚假的i p 地址发送大遘的s y n a c k 包却永 远巍褥不到应蠢的a c k 圜应。p f e r g u s o n 鞠d 。s e n i e 在r f c2 8 2 7 1 2 3 t 中摇述了一 种通过对输入流髓源i p 地赶邋行过滤、防j ：利用伪造源i p 地址进行d d o s 攻击 的方法。k p a r ka n dh l e e 提出了一种基于路由的过滤技术【 ，通过引入包过 滤器，对嚣于鄹终数据包的源鞠嚣蠡每i p 楚蜓送牙检查，投摇b g p 爨凌信息分辑 判断是否属于来自一条正常的链路。c h e nj i n 等人则将i p 数据包的t t l 字段跟 其源i p 地址进行绑定，异于绑定数据库信息的流量被认为是潜在的d d o s 攻击 一秘戆为基予蹉数豹过滤援零。 过滤技术电面临着困难，艇实施节点的选择对过滤效巢的影响有耩很大的影 响，例如在靠近源的网络和韶近目的的网络所需要的尺度就有着明显区别：而对 予蛰于节点设冬来说，全力转发褰速数撂雾蕤楚最主要麴功能，杰这曼实藏数据包 过滤将产生网络拥塞等所有i s p 不愿意看到的副作用。 2 4 。2 攻击潦追踪 攻击源追蹿也称为“i pt r a c e b a c k l 2 6 j ”，其功能是在d d o s 攻击发生时或者结 柬蜃确定攻击者的攻击路羟和攻击发起源。 常觅的f pt r a c e b a c k 方法包括：基于哈希酶潆t m c e b a c k 、i c m pt r a c e b a c k 、 概率分组标记法、确定分组标记法等。 a l e x c s n o e r e n 等人在文“基于哈希的i p t r a c e b a c k 2 7 ”中详细撼述了此方法： 首先将网络在逻辑上分为不同的区域，焉予踅构攻击路径；其次为经过路由器酶 每个分组都保存一份摘要，摘要的哈希输入通常为分组的i p 头部和负载的部分信 息，经过哈希运冀得到的这个撼要藏找表了分组的信息。当系统从攻击受害者的 入髓检测系统褥劐受攻击通知后，跌数据库中查找出哪麓路由器参与了转发攻击 数据包，结合分组摘要数据库信息重构出本网络中详细的攻击路径。 s b e l l o v i n 在“i c m pt r a c e b a c k 信息f 2 8 | ”一文中提到，按照统计方法扶经过 路融器的分组中选择出一些并向其目的f p 魄址发送特殊漪i c m 舛睫文，此i c m p 报 中i 大学硕士学位沦文 文包含相邻路由器的信息以及时间戳，报文中的t t l 字段设置为2 5 5 以便报文能到 达足够远的攻击路径。假设此数据包的目的i p 拥有设备正遭受d d o s 攻击，根据流 向它的巨大的攻击流量，受害者最终能获得攻击路径上所有的路由信息，经过对 t t l 值的分析，将很容易重构出攻击路径。该方法的缺点在于额外的i c m p 分组增 加了网络的流量，加重了网络负担，并且攻击者可能发送假的i c m pt r a c e b a c k 报 文欺骗目标主机。 分组标记的思想是路由器对数据包某个字段根据需要进行标识再行路由转 发。字段的选择是分组标记技术首要解决的问题。虽然i p v 4 的i d 字段 1 0 p to n 字 段均可用来标记，但是使用前者将会影响互联网中分片数据包的重组( 尽管需分 片的流量极少，仅占总流量的0 5 ) ，后者则会改变原有数据包的长度，造成分 片的发生。 概率分组标记的思想是随机地将到达路由器的分组按照某个概率选择出来 进行标记，受害者收集到足够多的标记包就能将攻击路径重建出来。但是这种方 法一旦被攻击者获悉，后者故意发送包含错误信息的分组就能够逃避标记，从而 失去其效用。 确定分组标记3 0 1 部署在所有的边缘路由器上，主要方法是将路由器靠近源的 一端的i p 地址分成各1 6 位的两半，其中的任何一半存储在i p 数据包的i d 域，r f 标 志位贝 j 指明了存储的具体是哪一半。为了防止攻击者采用伪造大量随机源i p 地址 造成的计算消耗，对源i p 地址进行哈希摘要运算后再行标记。然而无论采取何种 措施，这种分组标记都会大大加重路由器和被攻击者的负担。 2 4 3 现有防御和检测技术的不足 从上面对目前d d o s 防御和检测技术的介绍可见，无论是在对攻击的检测和 控制还是对攻击源的追踪技术面对当前的d d o s 攻击均存在各自的缺陷和不足， 这也是在这个领域的研究一直方兴未艾的一个主要动囚所在。概括地说，这些缺 陷和不足主要包括两个方面：一是攻击手段的多样性和网络拓扑的复杂性所致。 受研究条件限制，这些技术和方法只是对攻击的一个或多个局部方面进行研究， 其系统的适应性必然有限。二是每个研究者都面i 临资源问题，当前大规模分布式 攻击已经成为d d o s 攻击的主流，传统的路由交换设备既要完成数据包的转发处 第2 章d d o s 攻击戚检测防御技术 理这个基本任务，还要分配资源用于攻击捻测和防御，即使研究者能设想出一个 完美的理论，往往也受陵予 雯餐嚣可用资潦丽不霉实藏。 2 4 4 网络处理器和d d o s 网络处理器从诞生起就倍受各方、特别是网络安全领域研究人员的青睐，。 这都得归功于网络处理器的突出优点：高度可编程和高速处理能力。 塞褰渚奏强大学( u n i v e r s i t yo f m a s s a c h u s e t t s - a m h e r s t ) 豹r ，r a m a s w a m y 等人将i x p 2 4 0 0 网络处理器用于被动网络测量系统的研究m l ，致力于建立一个 用于下一代于兆网络的分布式、高效的网络测量系统。i x p 2 4 0 0 的引入很好地解 决了系统设诗中熬数据包分麓、| p 翅垃藏缀藿名纯窝在线数据统谤等三令麟手 的问题。 n e t b o u n c e r 3 2 1 3 3 1 是r t h o m a s 等人先后在i x p l 2 0 0 和i x p 2 4 0 0 网络处理器 上实凌豹一令d d o s 攻者茨麴系统。n e t b o u n c e r 维护一个缳存经过确谈为合法露 户的数据库并为其分配一个合法期限，当接收到不属合法用户之列的数据包时， 系统将对其进行一系列的合法性测试。如果通过测试，此用户将被加入合法用户 数撵痒，矗囊其台法期疆裂溺；否委l 不提供瓣务。在合法髑鞭疼，所有寒垂台法 用户的数据将由个流量管理子系统进行统一的带宽分配和速率限制后进行转 发。 台湾清华大学戆r o n g t a il i u 等人疆出了一令称为“浇速字枣篷酝” 的特征算法，结合利用流行的开源特征检测系统s n o r t 中的特征模块，在v i t e s s e i q 2 0 0 0 网络处理器上实现了一个基于特征的n i d s ，获得了性能上的显著提高。 其它方瑟鹣薅究还毽摇：t v e r d i c k t 等人挺瓣终楚壤器应罔委骧火瑙开发中 3 5 1 ，y i n e n gl i n 等在网络处理器上则设计了一个v p n 网关 3 6 1 。 结合研究思想和研究方法来看，以b o o n p i n gl i m 、m d s a i l 和u d d i n 在网络 楚壬薹器上实王雯瓣一个s y nf l o o d i n g 检测系统5 舅瑶釜本文的设计最为稳近。该系统 7 史现了一个称为s y n m o n 的嵌入式原型结构，通过对t c p 交互协商过程中s y n 和a c k 数据包的监控实现了一个基于流的攻击检测系统。 中山大学硕士学位论文 第3 章i x p 2 4 0 0 网络处理器 3 1 网络处理器3 8 1 d 9 】 网络处理器( n p ，n e t w o r kp r o c e s s o r ) 是用于执行数据处理和转发的新一代 高速可编程处理器。从网络体系结构的演变来看，n p 属于第四代网络体统 4 0 】。它 保留7 a s l c 硬件高速的优势，又克服7 a s i c 灵活性差的缺点，具有良好的编程能 力。由于n p 在网络数据处理方面的明显优势，它必将成为高速网络设备支持业务 管理、安全与网络监控、q o s 等网络功能必不可少的元件。因此，可以说网络处 理器代表了未来网络设备的发展方向。 i n t e l x p 2 4 0 0 网络处理器是i n t e l 第二：代网络处理器产品之一，可用于开发诸如 多服务交换机、路由器、宽带访问设备和无线设备等范围广泛的网络设备。它具 有标准接口，提供较好的重用性，能够支持深层的数据包处理，并以高达 o c 4 8 2 5 g b p s ( 光网络) 和4 1 g b e ( 以太网) 线速处理的性能支持网络增值服 务。 3 1 1 硬件结构 图3 i 中描述的是i x p 2 4 0 0 的总体硬件结构，其中的关键部分是被称为 x s c a l e 核的i n t e lx s c a l e 处理器和一些称为m e ( m i c r o e n g i n e ，微引擎) 的r i s c 处理引擎。下面就本文关注的几个重要部分进行说明。 图3 一ii x p 2 4 0 0 硬件结构图 第3 童l x p 2 4 0 0 窝络娃理嚣 ( 一) x s c a l e 核 x s c a l e 棱怒一个3 2 位的遴糟r s c 处理器，执荦j ：网络处理器的一些初始化 和管理工作，也可用于执行慢速通道( s l o w 。p a t h ) 或控制平面( c o n t r o lp l a n e ) 的相关 任务。通过提离时钝频率，可以增强x s c a l e 核的处理熊力，i x p 2 4 0 0 瀚x s c a l e 棱时钟频率为6 0 0 m h z 。 x s c a l e 核拥有独立的3 2 k b 指令和数攒缓存区，以及一个功能强大的存储管 理单元( m m u ) 。它强一个统一粒接口访闽所骞的系统资滚，因蓥它可以有效避 通过共享内存中的数据和表结构与m e 进行通信。 ( 二) 微引擎 蹦3 - 2i x p 微引警结构图1 4 在i x p 系列阙络处理器中，徽引擎( m i c r o e n g i n e ) 麓称m e ，作为 x p 2 4 0 0 的核心部件之一，它负责绝大部分的数据包处理任务。径 x p 2 4 0 0 中共有8 个 中出走举硕士学位论文 m e ，它们可以访问所有的共享资源( 例如s r a m ，d r a m ，m s f 等) ，也可以 逶遂n n r ( n e x tn e i g h b o rr e g i s t e r ) 谤运超邻瓣m e 。这鏊m e 敬分或嚣个c l u s t e r ， 每个c l u s t e r 都含谢4 个m e ，增强了m e 之间以及m e 与外部资源间的通信能 力。c l u s t e r 0 和c i u s t e r l 分别拥有独立的s r a m 数据总线，解决了总线冲突，有 效缝瓒谨了i x p 2 4 0 0 兹并毒亍憝瑷戆力。 考虑到处理器的处理速度与存储器访问速度之间的差异，单线程机制往往受 到存储访问操作的黟响而阻塞。m e 支持软件控制的多线獠机制，多个线程交替 撬行，鼓嚣援大建浚巷了m e 对系统资源酶壤瓣效率。圈3 ，3 绘出了i x p 徽引擎 的内部结构，它有几个重要的碗件特征，总结如下。 1 、线程 在每令m e 中畜8 个硬等线程( c o n t e x t 袋t h r e a d ) ，宅嚣零有蠡己狻立静寄 存器、程序计数器和私有的本地硬件资源，这样可以有效地提高线程切换的效率 ( 有时线程切换的开销甚至可以忽略不计) 。这种线程间的快速切换可以使线程 杰等褥i o 揉终(