DDOS攻击检测

1、宁波工程学院学年论文1. 引 言进入2000年以来，网络遭受攻击事件频频发生，全球许多著名网站如yahoo、cnn、ebay、fbi等等，包括中国的新浪网也相继遭到不名身份的黑客攻击，值得注意的是，在这些攻击行为中，黑客摒弃了以往常常采用的更改主页这一对网站实际破坏性有限的做法，取而代之的是，在一定时间内，彻底使受攻击的网站丧失正常服务功能，这种攻击手法为 DDoS，即分布式拒绝服务攻击(Distributed denial of service )。 简单的讲，拒绝服务就是用超出被攻击目标处理能力的海量数据包消耗可用系统，带宽资源，致使网络服务瘫痪的一种攻击手段。在早期，拒绝服务攻击主要是针

2、对处理能力比较弱的单机，如个人pc机，或是窄带宽连接的网站，对拥有高带宽连接，高性能设备的网站影响不大，但在99年底，伴随着DDoS的出现，这种高端网站高枕无忧的局面不复存在，与早期的DoS攻击由单台攻击主机发起，单兵作战相较，DDoS实现是借助数百，甚至数千台被植入攻击守护进程的攻击主机同时发起的团战行为，在这种几百，几千对一的较量中， 网络服务提供商所面对的破坏力是空前巨大的。分布式拒绝服务(DDoS)攻击是目前严重威胁网络安全和影响网站服务质量的一种攻击手段DDos攻击就是利用多个分布式攻击源向攻击对象发送超出攻击目标处理能力的海量数据包，来消耗可用系统和带宽资源，从而导致网络服务瘫痪的

3、一种攻击1 。目前有很多方法检测和防御DDoS攻击，传统的检测和防范措施是基于特征匹配的检测往往要求有一定的先验知识难以区分突发正常流量与DDoS 攻击2，至今没有一种有效的办法区分DDoS攻击流和正常的突发流， 因此，检测和防御DDoS攻击仍旧是一个艰巨的课题。而区分DDoS攻击流和正常的突发流就成了问题的关键。以上例子只是DDoS攻击的一个缩影，诸如此类的事件在网络或者电视、报纸上层出不穷。从DDoS攻击事件可以看出，即使是具有雄厚技术支持的高性能网站也逃不过DDoS攻击的厄运。由此可见，DDoS攻击已经对当今的因特网造成了巨大的威胁，如何及早检测出DDoS攻击，采用有效的防御成为网络安全

4、研究领域的重点和热点。2. DDoS攻击原理DDoS攻击是一种基于DoS攻击的分布式、协作的大规模攻击方式，它直接或间接通过互联网上其他受控主机攻击目标系统或者网络资源的可用性。一般而言，DDoS攻击架构为三层：攻击者（Client）、主控端（Master）、代理端（Daemon）和被攻击者（Victim），它利用受控主机向攻击目标发起攻击，具有威力更大、更难防御、更难追随的特征。DDoS攻击原理图如图2-1所示。图2.1 DDoS攻击的体系结构各层分工不同，具体如下：攻击者：可以是网络上的任何一台主机，甚至是一台便携机。在整个攻击过程中，它是攻击主控台，负责向主控端发送攻击命令，控制整个过程

5、。攻击者与主控端的通信一般不包括在DDoS工具中，可以通过多种连接方法完成，最常用的有“telnet”TCP终端会话，此外还有绑定到TCP端口的远程shell，基于UDP的客户/服务器远程shell等。主控端：是攻击者非法侵入并控制的一些主机，它们分成了两个层次，分别运行非法植入的不同的攻击程序。每个主控端控制着大量的代理端，有其控制的代理端的地址列表，它通过监听端口，接收攻击者的命令，然后将命令转发给代理端。主控端与代理端的通信根据DDoS工具的不同而有所不同。比如：Trinoo使用UDP协议，TFN使ICMP协议通过ICMP_ECHOREPLY数据包完成通信,Stacheldraht使用T

6、CP和ICMP协议进行通讯等。代理端：在其上运行攻击程序，监听端口接收和运行主控端发来的命令，是真正进行攻击的机器。被攻击者：可以是路由器、交换机、主机等网络设备。遭受攻击时，它们的资源或带宽被耗尽。防火墙、路由器的阻塞还可能导致恶性循环，加重网络阻塞情况。3. DDoS攻击检测模型与防御的研究现状及常用方法3.1 研究现状一般而言，DDoS攻击实施过程可以分为三个阶段3：(1) 收集目标主机信息。通常，攻击者的攻击并非盲目进行的，他需要了解目标主机许多的信息，如被攻击目标主机数目、配置、性能、操作系统、地址情况以及目标网络带宽等。因此，在攻击发生前，攻击者需要先对目标进行侦查，如利用扫描攻击

7、对攻击目标进行扫描。(2) 占领主控机和代理主攻击者首先利用扫描器或其它工具选择网上一台或多台代理主机用于执行攻击行动。为了避免目标网络对攻击的有效响应和攻击被跟踪检测，代理主机通常应位于攻击目标网络和发动攻击网络域以外。代理主机必须具有一定脆弱性以方便攻击者能够占领和控制，且需具备足够资源用于发动强大攻击数据流。代理主机一般应具备以下条件： 链路状态较好和网络性能好； 系统性能好； 安全管理水平差。攻击者侵入代理主机后，选择一台或多台作为主控主机，并在其中植入特定程序，用于接受和传达来自攻击者的攻击指令。其余代理主机被攻击者植入攻击程序用于发动攻击。攻击者通过重命名和隐藏等多项技术保护主控机

8、和代理主机上的程序的安全和隐秘。被占领的代理主机通过主控主机向攻击者汇报有关信息。(3) 攻击的实施攻击者通过攻击主机发布攻击命令，主控主机接收到命令后立即向代理主机传达，隐蔽在代理主机上的攻击程序响应攻击命令，产生大量UDP、TCP SYN和ICMP响应请求等垃圾数据包，瞬间涌向目标主机并将其淹没。最终导致出现目标主机崩溃或无法响应请求等状况。在攻击过程中，攻击者通常根据主控主机及其与代理主机的通信情况改变攻击目标、持续时间等,分组、分头、通信信道等都有可能在攻击过程中被改变。通过上述讲解后，我们已经了解了DDoS攻击的基本原理，那么DDoS攻击的特性可以概述如下4,5：第一， DDoS的攻

9、击者的分布式特性：DDoS攻击处于不同区域的多个攻击者同时向一个或数个目标发送攻击，或者一个或多个攻击者控制了位于不同区域的多台傀儡机并利用这些傀儡机对目标主机同时实施攻击。由于DDoS攻击采用分布式协作方式，使其难于防御和跟踪，同时，资源、目标和中间域之间缺乏协作也不能对攻击做出快速、有效和分布式的响应。第二， DDoS攻击流的不易识别特性：DDoS攻击流和网络中通讯的正常数据流十分相似，都符合网络协议并且能够通过Internet网络中的路由选择，两者难以区分。此外，数据包、数据包头、通信信道等都有可能在攻击过程中改变，导致DDoS攻击流不存在能用于检测和过滤的共同特性。因此，在受害者端对D

10、DoS攻击防范是极为困难的。这使得攻击者和受害者之间的力量极为悬殊，而攻击者总是处在极有利的地位。第三， DDoS攻击是洪泛攻击：即使Victim可以从众多接收数据包中识别出DDoS攻击数据包，它也无力抵御大规模的洪泛攻击，巨大的攻击数据流使得Victim无法为合法用户提供服务 ，攻击者从而达到了使Victim服务质量降低甚至崩溃的目的。DDoS攻击具有很强的隐蔽性：攻击者为了隐藏自己的身份、躲避追踪，通常都会伪造IP地址，使得对DDoS攻击的检测、防御和追踪工作更加困难。3.2 研究方法目前解决此类问题的方法：(1)王江涛，杨庚等6针对传统VTP方法不能实时检测Hurst值的不足，提出采用滑

11、动窗口机制的VTP法估算Hurst值，提高了估算Hurst值的速度，达到实时检测的目的，解决了方法实现过程中参数选择、Hurst值求解等关键问题。考虑到DDoS攻击是一个动态多变过程这一特点，在分析Hurst值与DDoS攻击强度关系的基础上，设计了基于模糊逻辑的DDoS攻击判断机制，解决了传统判断方法缺乏自适应性，且带有很大主观性这一不足。(2)程杰仁，刘运等7针对DDoS攻击流多个本质特征，提出了地址相关度(ACV)的概念和一种基于地址相关度的DDoS攻击检测方法采用YuleWalker参数估计方法，通过AR模型参数拟合将ACV时间序列变换为多维空间内的参数向量来描述网络流状态随时间变化的本

12、质特性，检测DDoS攻击流实质上就是对多维参数向量进行分类采用训练好的SVM分类器对当前网络流状态进行分类，识别DDoS攻击实验结果表明，该方法能较准确地识别出DDoS攻击流及其引起的网络流异常现象，提高检测率，能有效地区分正常流和含有DDoS攻击的异常流，降低误报率。(3)田俊峰，朱宏涛等8提出了利用路由器协同服务器来收集用户的行为信息并计算信誉值，并且在路由器端利用用户的历史行为记录来检测和防御DDoS攻击。CDDACR模型很好地利用了路由器在网络中的作用，减少了服务器端的系统开销，从而使服务器被攻击的可能性被降低。在信誉值的计算中，整合了其他服务器对用户行为的评估，这样对于用户的信誉值计

13、算更合理和准确，从而更好地区分合法用户和恶意用户。(4) 汪北阳9提出了用蜜罐技术防御DDoS攻击的一种方案，同时收集攻击者的信息，并利用这些信息来加强系统的安全性。当然这种方案在防御网络资源耗竭型的DDoS攻击中的作用要小得多，对于这种网络耗竭型的攻击需要更多的参与方来共同防御。蜜罐技术可以从不同方面来参与防范DDoS攻击，使得这种技术在防范DDoS攻击中体现出明显的优势。 (5) 王佳佳，严芬等10提出一种基于熵的DDoS攻击实时检测，可以有效、快速、轻量级的检测DDoS攻击，可以实时在线发现攻击，缩短检测时间。该算法更适用于检测大流量背景的攻击。但是在之后不久，张洁，秦拯等又提出了一种在

14、原有基于熵的DDoS攻击检测上加以改进，提出了区分威胁等级的DDoS攻击检测，对不同的威胁等级的攻击进行不同次数的检测，进一步提高了检测的准确率。 以上我列举了5种检测DDoS攻击的方法，还有许多检测DDoS攻击的方法，我就不一一列了，目前DDoS攻击检测的方法正在进一步研究中。4DDoS的防御方法4.1 对付DDoS攻击的一些常规方法（1）定期扫描 要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的最佳位置，因此对这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就

15、变得更加重要了。 （2）在骨干节点配置防火墙 防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统。 （3）用足够的机器承受黑客攻击 这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。 （4）充分利用网络

16、设备保护网络资源 所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。 （5）过滤不必要的服务和端口 过滤不必要的服务和端口，即在路由器上过滤假IP只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防火墙上做阻止策略。 （6

17、）检查访问者的来源 使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。 （7）过滤所有RFC1918 IP地址 RFC1918 IP地址是内部网的IP地址，像、 和，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把它们过滤掉。

18、此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。 （8）限制SYN/ICMP流量 用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。 4.2 寻找机会应对攻击如果用户正在遭受攻击，他所能做的抵御工作将是非常有限的。因为在原本没有准备好的情况下有大流量的灾难性攻击冲向用户，很可能在用

19、户还没回过神之际，网络已经瘫痪。但是，用户还是可以抓住机会寻求一线希望的。 （1）检查攻击来源，通常黑客会通过很多假IP地址发起攻击，此时，用户若能够分辨出哪些是真IP哪些是假IP地址，然后了解这些IP来自哪些网段，再找网网管理员将这些机器关闭，从而在第一时间消除攻击。如果发现这些IP地址是来自外面的而不是公司内部的IP的话，可以采取临时过滤的方法，将这些IP地址在服务器或路由器上过滤掉。 （2）找出攻击者所经过的路由，把攻击屏蔽掉。若黑客从某些端口发动攻击，用户可把这些端口屏蔽掉，以阻止入侵。不过此方法对于公司网络出口只有一个，而又遭受到来自外部的DdoS攻击时不太奏效，毕竟将出口端口封闭后

20、所有计算机都无法访问internet了。 （3）最后还有一种比较折中的方法是在路由器上滤掉ICMP。虽然在攻击时他无法完全消除入侵，但是过滤掉ICMP后可以有效的防止攻击规模的升级，也可以在一定程度上降低攻击的级别。 不知道身为网络管理员的你是否遇到过服务器因为拒绝服务攻击（DDOS攻击）都瘫痪的情况呢？就网络安全而言目前最让人担心和害怕的入侵攻击就要算是DDOS攻击了。他和传统的攻击不同，采取的是仿真多个客户端来连接服务器，造成服务器无法完成如此多的客户端连接，从而无法提供服务。5. 存在的问题及今后研究方向5.1存在的问题目前，DDoS攻击已经成为互联网安全的最大威胁。由于DDoS攻击具有

21、很强的隐蔽性和突发性，使其难于防范，因而导致了DDoS攻击的泛滥。从单个计算机到大型互联网商业网站，甚至互联网的核心等都遭到过DDoS的攻击。对于DDoS攻击，国内外虽然进行了大量的研究，但是仍然没有很有效的检测和防御的方法。现有的检测与防御系统大多是是基于受害端网络进行防御，部分基于源端网络或中间网络，然而单点检测与防御系统已经不能很好的防御DDoS攻击。为了能够有效的防御DDoS攻击，出现了分布式检测与防御策略，但是这种防御方法还比较少，特别是覆盖源端、中间网络及受害端整个网络的分布式检测与防御系统。5.2今后研究的方向DDoS攻击是网络安全防御中的最难解决的问题之一，这是由于互联网系统的

22、开放性所导致的。今后我们可以从DDoS攻击的特征和DDoS攻击发生时的现象入手，针对其独有的特征，采取一系列的方法，在DDoS攻击刚发生时就能检测出来，并能及时的遏制DDoS的攻击。DDoS攻击有许多的特点，我这里列举两个基本的特点。所有的DDoS攻击都有两个基本的特点：一个特点是所有的DDoS都只有一个目标(受害者)，并且所有的DDoS攻击包都发往这个目标；另一特点是攻击者必须持续往受害者网络或主机发送大量的数据包导致而其网络拥塞。因此，集中和持续是DDoS攻击的两个基本特点。同样，DDoS攻击发生时有许多的现象。拒绝服务攻击时的现象：1 被攻击主机上有大量等待的 TCP连接。2 网络中充斥

23、着大量的无用的源地址为假的数据包。3 高流量无用数据,造成网络拥塞,使受害主机无法正常和外界通讯。4 利用被攻击机器提供的服务或传输协议上的缺陷,反复高速地发出特定的服务请求,使被攻击机器无法及时处理所有正常请求,严重时会造成系统死机。5 计算机蓝屏、CPU 占用率100 %。我们可以从这些DDoS攻击的特点及发生时的现象中研究如何有效检测DDoS攻击，抓住DDoS攻击时所表现出来特有的，根据这些DDoS攻击时所表现出来特有的，可以建立相应的检测模型，以达到研究目的。6结论本文首先列举了几个大规模的DDoS攻击在国内外的例子，并进行了简单的分析和介绍。其次，对DDoS攻击的原理进行了详细的分析

24、及描述。接着，本文对DDoS攻击检测模型与防御的研究现状及常用方法进行了列举与分析。然后，阐述了DDoS攻击的防御方法。最后，讨论了目前DDoS攻击检测与防御存在的问题以及今后的研究方向。参考文献1 KIM JO J Y,CHAO H J，et a1High speed router filter for blocking TCP flooding under DDoS attackCPiscataway：Proceedings ofthe IEEE International Performance，Computing and Communication Conference，20032 孙钦东, 张德运, 高鹏. 基于时间序列分析的分布式拒绝服务攻击检测J. 计算机学报, 2005年3 高永强，郭世泽. 网络安全技术域应用大典M. 北京：清华大学出版社，20034 杨余旺，杨静宇，孙亚民.分布式拒绝服务攻击的实现机制及其防御研究.计算机工程与设计.2004年5 李德