电子科技大学计算机入侵检测技术4

1、第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究计算机入侵检测技术DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四章第四章 DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第一节第一节 引言引言随着DDoS攻击的日益增多，该攻击手段已逐渐引起全球各国的高度重视，并被认为是目前Internet所面临的最大威胁之一。人们通过不断努力研究，提出了一些可行的解决办法。从DDoS攻击的过程和效果来看，当攻击发生时，攻击者通过控制傀儡机向目标发送大量的请求，导致系统资源耗尽或网络拥塞，从而使目标系统或网络不能响应正常用户的请求。第

2、四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第一节 引言引言常见的表现有：1、被攻击主机上有大量处于等待状态的TCP连接；2、网络中充斥着大量无用的数据包，源地址为假；3、制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯；4、利用受害主机提供的服务或传输协议上的缺陷，反复、高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求，严重时会造成系统死机；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第一节 引言引言虽然DDoS的攻击类型很多，但对于绝大部分攻击而言，防护重点可集中于以下两个方面：1、缓解攻击所造成的网络拥塞状况2、防止被攻击主机的资源

3、耗尽。由于DDoS攻击引起的网络拥塞，是由恶意主机控制大量傀儡机所造成的，并非传统意义上的端到端拥塞，所以只能在路由器上进行控制，因而本文所讨论的DDoS攻击防护是基于IP拥塞控制来进行的。第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第二节 DDoS攻击与网络拥塞网络产生拥塞的根本原因在于用户提供给网络的负载超过了网络的存储和处理能力。拥塞具体表现为无效数据包增加、报文时延增加与丢失、服务质量降低等。一般情况下形成网络拥塞的三个直接原因是：（1）路由器存储空间不足。几个输入数据流共同需要同一个输出端口，如果入口速率之和大于出口速率，在这个端口就会建立队列。如果没有足够的存储空间

4、，数据包就会被丢弃，对突发数据流更是如此；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第二节DDoS攻击与网络拥塞（2）带宽容量相对不足。直观的说，当数据的总输入带宽大于输出数据带宽时，在网络低速链路处就会形成带宽瓶颈，网络就会发生拥塞，相关证明可参考香农信息理论；（3）处理器处理能力弱、速度慢。如果路由器的CPU在执行排队缓存、更新路由表等操作时，处理速度跟不上高速链路，也会产生拥塞。同理，低速链路对高速CPU也会产生拥塞。以上是早期Internet网络发生拥塞的三个主要原因。对此，TCP拥塞控制给出了较好的解决方案。在实际应用中，如果所有的端用户均遵守或兼容TCP控制，网络

5、的拥塞应该能得到很好的控制。第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四章 DDoS攻击与IP拥塞控制研究第三节第三节 IP拥塞控制研究进展拥塞控制研究进展这里讨论一下近年来IP拥塞控制的有关策略，并对其应用于DDoS攻击时的防护能力进行简要评价。根据DDoS攻击的原理和机制，可对各种机制的防护能力给出以下评价标准：条件一：是否能按一定规则进行特征设定；条件二：是否能根据一定规则对流经的数据加以分；条件三：针对不同类型的数据包，是否能提供不同优 先级的服务。如果一个拥塞控制机制满足了以上三个条件，就基本具备了防护DDoS攻击的能力。第四章第四章DDoS攻击与攻击与IP拥塞控

6、制研究拥塞控制研究第三节 IP拥塞控制研究进展对现有若干算法是否符合条件，进行分析和评价： 1、先进先出（FIFO）；2、随机早期检测算法RED（Random Early Detection）；3、显示拥塞指示算法ECN（Explicit Congestion Notification）；4、公平排队算法FQ（Fair Queuing）；5、加权公平排队算法WFQ（Weighted Fair Queuing）；6、加权随机先期检测WRED（Weighted Random Early Detection）；7、定制排队；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第三节 IP拥塞

7、控制研究进展1、先进先出（FIFO）：传统的先进先出策略是在目前Internet上使用最广泛的一种方式。它的最大优点是便于实施，但由于FIFO本质上是一种“去尾”（Drop-tail）的算法，所以当突发性数据到达时容易出现包丢失现象，其公平性较差，对上层的TCP快速恢复的效率也较低。对照评价标准可知，该算法没有满足任何一个条件。由于过于简单以及缺乏智能性，完全不能用于DDoS攻击防护；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第三节 IP拥塞控制研究进展2、 随机早期检测算法RED（Random Early Detection）：随机早期检测算法是按一定的概率丢弃进入路由器的

8、数据包。RED的早期设计思路是避免丢弃属于同一连接的连续数据包，从而提高连接的吞吐量。通过分摊包丢失率，RED可以在各连接之间获得较好的公平性，对突发业务的适应性较强。RED算法 的处理过程中，包丢失率P为平均排队长度 的函数， 、 和 为可配置的RED参数， 为排队长度的统计平均。eQminQmaxQmaxPeQ第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究丢失概率1QminQmax平均队长第三节IP拥塞控制研究进展RED存在一些不足，例如可能会引起网络的不稳定，而选择合适的配置参数也不是一件容易的事，如图4.1所示。近年来，研究者提出了许多RED的改进算法，这些算法都在一定程

9、度上，从不同方面改善了RED的性能。图4.1 随机早期检测算法RED示意图第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第三节IP拥塞控制研究进展对照评价标准可知，该方法对DDoS攻击的防护作用不大，这是因为其思路是分摊包丢失率，对正常业务和攻击数据“过分公平”，不能做到有所区分，从而导致在攻击发生时大量正常业务无法得到服务；3、显示拥塞指示算法ECN（Explicit Congestion Notification）：前面两种拥塞控制算法都是通过包丢失来告诉端系统，网络已经发生拥塞。而显示拥塞指示算法通过明确的拥塞提示（RFC2481）来实现拥塞控制，对一次性大批量数据传输的效

10、果比较理想，但对时延有一定要求。对照评价标准可知，该方法对防护DDoS攻击效果不大，原因在于无攻击特征识别和区分功能，在攻击发生时智能性较差；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第三节 IP拥塞控制研究进展4、公平排队算法FQ（Fair Queuing）：在公平排队算法中路由器对每个输出线路都建有一个排队队列。当一条线路空闲时，路由器就来回扫描所有队列，依次将每队的第一个包发出。FQ的带宽分配独立于数据包大小，各种服务在队列中几乎是同时开始的。因此在没有牺牲统计复用的情况下提供了另外的公平性，与端到端的拥塞控制机制可以较好地协同。它的缺点在于实现起来很复杂，需要每个数据

11、流的排队处理、每个流的状态统计、数据包的分类以及包调度的额外开销等。对照评价标准可知，该方法对防护DDoS攻击效果不大，原因同ECN法；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第三节IP拥塞控制研究进展5、加权公平排队算法WFQ（Weighted Fair Queuing）：加权公平排队算法是FQ的改进算法。根据不同数据流的不同带宽要求，对每个排队队列采用加权方法分配缓存资源，从而增加FQ对不同应用的适应性，该算法还有其它一些改进算法。对照评价标准可知，该方法通过改进后可用于防护DDoS攻击，思路是首先对攻击进行检测和分类，然后将入口数据按攻击数据、正常数据、可疑数据三种类

12、型分别排队处理，对攻击数据直接丢弃，而通过对可疑和正常数据赋予相应权值来提供不同质量的服务。当路由器性能良好、处理能力强的情况下，甚至可以采取更复杂、智能的处理策略，例如多优先级队列；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第三节IP拥塞控制研究进展6、加权随机先期检测加权随机先期检测WRED（Weighted Random Early Detection）：是将随机先期检测与优先级排队结合起来，这种结合为高优先级分组提供了优先通信处理能力。当某个接口开始出现拥塞时，它有选择地丢弃较低优先级的通信，而不是简单地随机丢弃分组。对照评价标准可知，该方法通过改进后可用于防护DDo

13、S攻击，思路与WFQ类似，它们都符合评价标准的条件三，改进应从增加条件一和条件二着手；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第三节IP拥塞控制研究进展7、定制排队定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网络而设计的。定制排队为不同协议分配不同的队列空间，并以循环方式处理队列，为特定的协议分配较大的队列空间可以提高其优先级，定制排队比优先级队列更为公平。定制排队可以保证每一个特定的通信类型得到固定的可用带宽，同时在链路紧张的情况下，避免了数据流企图超出预分配量限制的可能。对照评价标准可知，该方法通过改进后可用于防护DDoS攻击，改进思路与WFQ和WRED类似

14、，都是在资源分配和使用时为不同业务提供优先级加权；第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第三节IP拥塞控制研究进展除了以上7种方法以外，还有其它一些方法。如将FQ与RED算法结合起来的Flow RED算法，它将缓存分成若干排队队列，再在每个数据流使用RED算法，仿真表明它的公平性也较好；又如核心无状态公平排队算法CSFQ（Core-Stateless Fair Queuing）在网络边界路由器执行数据流管理，而在核心并不做处理，等等。以上非常简略的分析了当前的一些主流IP拥塞控制算法，并对其防护DDoS攻击的可行性进行了评价。可以看出，这些算法的防护能力存在着较大差异，其

15、中的任何一种都不能不加改进，就有效的应用于控制DDoS攻击所造成的网络拥塞。第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四章第四章 DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四节第四节 一种针对一种针对DDoS攻击的拥塞控制机制攻击的拥塞控制机制一、回推机制的思路回推机制的思路是：当路由器不能完全确定流经的数据包是属于正常流量还是攻击流量时，通过回推（pushback）机制来尽可能找到异常包，并将之丢弃，而对正常业务提供较好的服务。可分为DDoS攻击示意图、回推机制的功能、聚合检测、限速、回推等几个部分。为了达到这个目的，回推使用聚合拥塞控制ACC（Aggregati

16、on Congestion Control），其功能是识别拥塞的聚合流量，并在路由器端执行丢弃动作。聚合特征可以是“到特定主机或服务器的包”、“TCP SYN包”、“校验和错误的IP数据包”，等等。第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四节一种针对DDoS攻击的拥塞控制机制1、DDoS攻击示意图如图4.2所示。图中的服务器T遭受攻击，并且到达T的流量来自编号R1至R8的所有路由器。图中粗线表示可疑流量流经的主要路径，细线表示正常业务流量流经的主要路径。当攻击发生而又缺乏防护措施时，正常业务流量几乎不可能到达目的地T。在图中，链路R2-R5、R3-R6、R5-R8、 R6

17、-R8、R8- D为粗线，表示有较多可疑流量流经，但这些路径上仍然可能有正常业务的流量流经了它们，只是由于R8-T的拥塞，大多数正常流量的包被丢弃了。R7R6R4R5R3R2R1R8T图4.2 进行中的DDoS攻击示意图第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四节一种针对DDoS攻击的拥塞控制机制图中的示例显示，正常流量与可疑流量一同流入路由器R2，R3，R4，而流入R1的只有可疑流量。链路R2-R5，R3-R6，R4-R7可能既有正常流量，也有可疑流量。这种情况下，正常流量的损失将取决于链路的拥塞程度。R7R6R4R5R3R2R1R8T图4.2 进行中的DDoS攻击示意

18、图第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四节 一种针对DDoS攻击的拥塞控制机制2、回推机制（pushback） 回推机制的思路是：当路由器不能完全确定流经的数据包，是属于正常流量还是攻击流量时，通过回推（pushback）机制来尽可能找到异常包，并将之丢弃，而对正常业务提供较好的服务。可分为DDoS攻击示意图、回推机制的功能、聚合检测、限速、回推等几个部分。第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四节一种针对DDoS攻击的拥塞控制机制图4.3说明了路由器上回推机制的工作流程，这里的输入队列表示了路由器的各个输入链路。限速器回推进程匹配拥塞特征？N

19、输出队列Y调整局部ACC更新拥塞特征输入队列P丢弃 图4.4 回推机制工作过程第四章第四章DDoS攻击与攻击与IP拥塞控制研究拥塞控制研究第四节一种针对DDoS攻击的拥塞控制机制首先，数据包被检查是否匹配拥塞特征（攻击特征），若不匹配拥塞特征，将包送至输出队列，若匹配则将之送至限速器；由限速器根据当前拥塞情况来决定对包是丢弃还是转发；丢弃的包被送到回推进程；回推进程可根据拥塞情况，选择丢弃该数据包或将其回送限速器，此外，根据拥塞的程度，回推进程将定期更新限速器的参数，并通知上游的后台进程对其同步更新。限速器回推进程匹配拥塞特征？N输出队列Y调整局部ACC更新拥塞特征输入队列P丢弃 图4.4 回推机制工作过程第四章第四章DDoS