防御DDoS攻击的实时监测模型

防御DDoS攻击的实时监测模型摘要回绝效劳攻击〔DS〕和分布式回绝效劳攻击〔DDS〕已经成为网络平安最大的威胁之一，如何防御DDS攻击是当前人们关注的热点。然而目前的防御机制几乎没有实现DDS攻击的实时监测。阐述了一种基于径向基函数的神经网络的实时监测模型，可以实时监测出DDS攻击，不用增加网络流量，而且可以监测出目前所存在的所有类型的DDS攻击。关键词分布式回绝效劳攻击；DDS；监测模型；实时1前言随着Internet的应用越来越广泛，随之而来的网络平安问题成了Internet开展的主要障碍，特别是分布式回绝效劳攻击对因特网构成了宏大的威胁。目前，由于黑客采用DDS攻击成功地攻击了几个著名的网站，如雅虎、微软以及S，azn.、ebuy、NN.、BUY.、ZDNet、Exite.等国外知名网站，致使网络效劳中断了数小时，造成的经济损失达数百万美元。DDS攻击由于破坏性大，而且难于防御，因此它已经引起了全世界的广泛关注。阐述的DDS实时监测模型，可以快速监测出主机或效劳器是否在遭受DDS攻击，假如监测出突然增加的数据流是攻击流的话，可以快速给网络管理员发出警报，采取措施从而减轻DDS攻击所带来的危害。2DS攻击原理2.1DS攻击概念与原理平安FAQ[1]给DS攻击下的定义为：有方案的破坏一台计算机或者网络，使得其不可以提供正常效劳的攻击。DS攻击发生在访问一台计算机时，或者网络资源被有意的封锁或者降级时。这类攻击不需要直接或者永久的破坏数据，但是它们成心破坏资源的可用性。最普通的DS攻击的目的是计算机网络带宽或者是网络的连通性。带宽攻击是用很大的流量来吞没可用的网络资源，从而合法用户的恳求得不到响应，导致可用性下降。网络连通性攻击是用大量的连接恳求来耗尽计算机可用的操作系统资源，导致计算机不可以再处理正常的用户恳求。2.2DDS攻击的概念与原理平安FAQ[1]给DDS攻击下的定义是：DDS攻击是用很多计算机发起协作性的DS攻击来攻击一个或者多个目的。用客户端/效劳器形式，DDS攻击的攻击者可以获得很好的效果，远比用多个单一的DS攻击合起来的效果要好的多。它们利用很多有破绽的计算机作为攻击平台和帮凶来进展攻击。DDS攻击是最先进的DS攻击形式，它区别于其它攻击形式是它可以在Internet进展分布式的配置，从而加强了攻击的才能给网络以致命的打击。DDS攻击从来不试图去破坏受害者的系统，因此使得常规的平安防御机制对它来说是无效。DDS攻击的主要目的是对受害者的机器产生破坏，从而影响合法用户的恳求。DDS攻击原理如图1所示。图1DDS攻击原理图从图1可以看出，一个比拟完善的DDS攻击体系包括以下四种角色：〔1〕攻击者：指黑客所用的机器，也叫做攻击主控台。它控制着整个攻击过程，向主控端发送攻击命令。〔2〕主控端：是攻击者非法侵入并控制的一些机器，这些主机那么控制大量的代理攻击主机。并在这些主控端上面安装特定的程序，以便使它可以承受攻击者发来的特殊命令，并且可以把这些命令发送到代理攻击端主机上。〔3〕代理攻击端：同样也是攻击者侵入并控制的一批主机，其上面运行攻击程序，承受和运行主控端发来的命令。代理攻击端主机是攻击的执行者，真正的向受害者主机发送攻击。〔4〕受害者：被攻击的目的主机或者效劳器。为了发起DDS攻击，攻击者首先在互联网上扫描出有破绽的主机，然后进入系统后在并在上面安装后门程序。接着在攻击者入侵的主机上安装攻击程序，其中的一部份主机充当攻击的主控端，另一部份那么充当攻击的代理攻击端。最后各部分主机在攻击者操作下对攻击目的发起攻击。因为攻击者在幕后操纵，所以在攻击时攻击者不会受到监控系统的跟踪，攻击者的身份更不易被发现。2.3DDS攻击的工具Trin[2]是第一个分布很广的DDS攻击工具而且应用也很广泛。Trin[3]是一个消耗带宽的攻击工具，用一个或者多个IP地址来发起协作性的UDP洪水攻击。攻击用同样大小的UDP数据包，攻击的目的是受害机器上的随机端口。早期版本的Trin支持源IP地址欺骗。典型的是，Trin代理安装在可以使得远端的缓冲区溢出的系统上。软件中的这个破绽允许攻击者用受害者系统的二级缓存来进展远端编辑和安转运行代理。操作者用UDP或者TP来和代理端进展通信，因此入侵检测系统只能通过对UDP流量进展嗅探才可以发现它们。这个通道可以加密而且密码也可以受到保护。然而当前的密码不是以加密的方式传送，因此它可以被嗅探，或者被检测出来。如今的Trin工具没有提供源IP地址欺骗，因此它的攻击才能可以进一步扩展。TribeFldNetrk(TFN)[4]也是一种DDS攻击工具，它提供应攻击者可以同时发起损耗带宽和损耗资源的攻击。它使用命令行界面在攻击者和控制主程序之间进展通信，但是在代理端和主控端间或者在主控端和攻击者之间提供的通信是没有加密的。TFN发起协作性的回绝效劳攻击，是非常难于计算出来因为它能产生多种类型的攻击，能产生欺骗的源ＩＰ地址的数据包而且可以使目的端口随机化。它可以欺骗一位或者是３２位的源ＩＰ地址，或者是后８位。TFN发起的一些数据包攻击包括：surf，UDP洪水攻击，TPSYN洪水，IP回复恳求洪水攻击和IP定向播送。TFN2K[5]是一种基于TFN构造的DDS攻击工具。TFN2K攻击增加了对构成攻击的所有组成部分之间的通信消息进展了加密［6］。真正攻击者和控制主程序之间的通信誉基于密钥的AST－256算法进展加密。控制者可以通过TP，UDP，IP来发送攻击命令，可以用这三种中随机的一种，或者是把这三种全用上，那么通过网络扫描就更难发现TFN2K攻击了。Staheldraht[7]是基于TFN并去掉TFN工具中的一些缺点开展起来的。它结合了Trin〔操作者/客户端构造〕的特征，而这些特征是从TFN得出的。在代理端它也可以自动晋级。Staheldraht也提供了在攻击者和操作者的系统之间用对称加密技术进展平安的远程连接。新版本的Staheldraht程序增加了很多新的特征和不同的数字签名。strea[8]工具通过改变TP数据包的AK标志来攻击目的。strea是一个简单的点对点TPAK洪水攻击工具。它通过TP和UDP数据包来传输，通信过程是没有经过加密的，主攻击者通过远程登录到受害者的机器，而且访问操作是经过密码保护的。在其它的DDS攻击工具中都没有这个特征。Sharft[9]是Trin的一个派生的工具。它用UDP在操作者和代理端之间进展通信。攻击者通过TP远程连接来和操作者进展通信。Sharft攻击可以独立的运行，也可以结合UDP/TP/IP洪水攻击中的一种发起攻击。数据包中的源IP地址和源端口号都被设置成随机的。在攻击中数据包的大小是固定。一个新的特征是在攻击中可以实时改变操作者的IP地址和端口，使检测工具很难检测出来。Shaft的另一个与众不同的特征是它可以实时改变控制的主效劳器和端口，因此使的入侵检测工具就更难检测出来，更重要的是shaft提供了在洪水攻击中的统计特征。这个统计特征对攻击者来说是非常有用的，通过这些特征，攻击者可以查出受害者的系统何时彻底崩溃，以便于知道何时停顿增加机器来进展DDS攻击。在分析完上述有效的DDS攻击的工具后，我们可以发现DDS攻击具有如下的特征：①数据包的源IP地址被设成随机的；②数据包的源端口和目的端口被设成随机的；③一些标志位〔URG，AK〕，片断，TP属性，TTL和客户端的SEQ序列号由伪随机数生成器产生。DDS攻击不需破解密码，也不要窃取系统资料，只要在网络上的任一角落都可以发动攻击。DDS攻击由来自不同的源地址的数据包流组成，这类攻击控制Internet上合作的主机来耗尽目的机一些关键资源使得效劳器合法用户的恳求被回绝。更重要的是，DDS攻击流没有很明显的特征可以用来直接和大规模的检测和过滤。3基于RBF-NN的实时监测DDS攻击的模型3.1模型概述实时监测模型包括三个模块：1〕数据采集器因为TP协议是应用最广泛的协议而且是Internet上应用最广的效劳。所以这个模型是针对TP洪水攻击的，当然这种模型也可以用到UDP和IP协议中。ＴＣＰ数据报格式如图2所示。图2TP数据报格式数据采集器用sniffer嗅探器抓到每个数据包的如下字段：源端口号，客户端的SEQ序列号，窗口大小，和SYN，AK，FIN，PSH，URG，RST六个标志