DDoS攻击研究综述-多目标编批测量的研究ppt课件

1、DDoS攻击研讨综述.提纲 DDoS研讨的意义 国内外研讨的现状 DOS问题的原因 DoS攻击原理 DoS防御方法.DDoS研讨的意义：1.2. UC Berkeley 教授 Shankar Sastry 于 2003.7在众议院的国土平安委员会的听证会上指出DDoS及Worm攻击是当前主要的防卫义务。3.国内外研讨的现状 1 DHS , NFS在2004年资助几个大学和公司启动了 DETERDefense Technology Experimental Research 。这个工程的一个研讨重点就是防御DDoS攻击。 2信息产业部在2005年公开向产业界招标防御DDoS攻击系统的设计方案.

2、The University of California Berkeley, University of California Davis, University of Southern California-Information Systems Institute , Network Associates Laboratories, SRI, the Pennsylvania State University, Purdue University, Princeton University, University of Utah, and industrial partners Junip

3、er Networks, CISCO, Intel, IBM, Microsoft, and HP .DOS问题的原因 面向目的地址进展路由Internet的无形状性Internet缺乏身份鉴别机制Internet协议的可预测性例如，TCP衔接建立过程和拥塞控制.1DoSDegrade the service quality or completely disable the target service by overloading critical resources of the target system or by exploiting software bugs. (2) DDoS

4、The objective is the same with DoS attacks but is accomplished by a of compromised hosts distributed over the Internet. DoS攻击原理.3基于反射器的DDoS.DoS防御方法Ingress 过滤 traceback pushback 自动化模型(控制器-代理模型) 基于代理网络的处理方案 .Ingress 过滤主要目的：过滤冒充源地址的IP数据包 为traceback提供协助局限性：影响路由器的性能配置问题.Traceback目的：证明IP数据包真正来源 从源头上阻断攻击攻击

5、取证方法：1)基于流量工程的方法2)基于数据包标志的方法3)基于数据包日志的方法.基于流量工程的方法 任务机制： 首先运用UDP chargen效力产生短的突发流量，然后把突发流量注入到待测试的链路以察看链路能否是攻击途径的一部分。 .优点： 1破费相对较低 2容易配置 缺陷： 1不适用于多个攻击者参与攻击的情况 2整个追溯过程应该在攻击进展的时候执行，有时 间上的约束 .基于数据包标志的方法任务原理： 基于数据包标志的IP追溯方案运用了一个简单的概念。当IP数据包经过Internet路由器，路由器为数据包添加追溯信息。一旦受害者检测到攻击，受害者从攻击数据包中提取追溯信息，运用这些信息重建攻

6、击数据包所经过的途径。因此，基于数据包标志的IP追溯方案通常由两个算法组成。一个是运转在Internet路由器上的包标志算法。另一个是受害者发起的追溯算法，这个算法运用在接纳到的攻击数据包里发现的标志信息追溯攻击者。 .问题为了重建攻击途径或攻击树，需求大量的攻击数据包 在重建攻击树的过程中，能够给受害者带来宏大的破费负担；假设多个攻击者参与攻击，那么会产生高的误报率。路由器CPU破费.基于数据包日志的方法任务原理： 与在IP数据包写入路由器的信息不同，数据包日志方案是在路由器的内存中写入数据包的信息摘要、签名或者数据包本身。一旦受害者检测到攻击，受害者就会查询上游upstream路由器以检查

7、它们的内存中能否包含攻击数据包的信息。假设在某个路由器中发现了攻击数据包的信息，那么该路由器被以为是攻击途径的一部分。 .问题路由器存储破费从网络路由器获取数据包信息运用的方法是效率低的 .pushback.自动化模型(控制器-代理模型).优点：当攻击没发生时，代理和普通路由器一样运转。受害者能容易地确定来自不同攻击系统的攻击签名。一旦受害者经过了鉴别，那么识别、阻止和跟踪攻击流量的过程完全是自动化的。因此，呼应非常迅速。可以动态地配置过滤器。一旦确定了攻击签名，就可以在接近攻击源的位置阻止攻击流量。每个代理仅需求检查和阻止流经它的攻击签名。这样，攻击签名更有针对性，因此延迟更小。由于代理和控

8、制器没必要确定攻击签名，因此与集中拥塞控制 ACC 相比它们的实施破费更少。 缺乏：被丢弃的包中也许包括一些非攻击流量。控制器能够也是DDoS攻击的受害者。控制器与代理、受害者之间的通讯平安也值得关注。 .基于代理网络的处理方案.Wang Ju等人研讨得出了以下结论：经过代理网络间接地访问运用程序可以提高性能：减少呼应时间，添加可利用的带宽。间接地访问降低性能的直觉是不正确的。代理网络能有效地减轻大规模DDoS攻击所呵斥的影响，从而证明了代理网络方法的有效性。代理网络提供了可扩展的DoS-弹性弹性能被扩展以应对更大的攻击，从而坚持运用程序的性能。弹性与代理网络的大小成正比例关系，也就是说，在坚持运用程序性能的前提下，一个