文档介绍:莀DDoS攻击检测技术研究羈张明猛1赵天福2腿(1江南计算技术研究所江苏无锡214083)袅(2江南计算技术研究所江苏无锡214083)螀摘要:分布式拒绝服务攻击是网络安全的重大威胁之一。传统的根据流量特征来检测拒绝服务攻击的方法,无法适用于分布式拒绝服务攻击的检测。文章介绍了一种基于CUSUM算法的检测技术,这种检测方法可以有效识别分布式拒绝服务攻击。蝿关键词:分布式拒绝服务攻击;检测;CUSUM算法羆中图分类号::A羃ResearchontheDetectionTechniqueof蒃DistributedDenyofServiceAttack螃ZHANGMingmeng,ZHAOTianfu芁(putingTechnology,WuxiJiangsu214083,China)薀Abstract:DistributedDenyofService(DDoS)(CUMSUM),workflow.***Keywords:DistributedDenyofService;Detecting;CumulativeSumalgorithm蒄聿1引言蚈拒绝服务攻击(DenyofService,DoS)曾经使得世界上几家著名电子商务提供商的站点(如雅虎、eBay、亚马逊等)陷入瘫痪长达数小时甚至数天,造成了巨大的经济损失。 拒绝服务攻击非常容易发起,并不像其它攻击一样需要有一定技术基础。薆拒绝服务攻击容易实施的根本原因是TCP/IP协议的脆弱性。TCP/IP协议是因特网的基石,它是按照在开放和彼此信任的群体中使用来设计的,在实现上力求效率,而没有考虑安全因素(如数据认证、完整性、保密性服务等)。例如,网络拥塞控制在TCP层实现,并且只能在终端结点实施控制,这就使得大量报文可以不受约束地到达终端结点;路由器可以只根据目的地址决定路由,用户可以任意改变源IP地址,造成地址欺骗攻击(IPSpoofing)容易实施,DoS攻击正是利用这个弱点,使得DoS攻击的真实源头难以追踪、DoS攻击报文的识别异常困难[1]。芄传统的拒绝服务攻击从一个攻击源攻击一个目标,可以很容易地根据流量来识别[2]。但近年来,拒绝服务攻击已经演变为同时从多个攻击源攻击一个目标的形式,即分布式拒绝服务攻击(DistributedDenyofService,DDoS)。DDoS呈现的特征与正常的网络访问高峰非常相似,特别是攻击者采用伪造、随机变化报文源IP地址、随机变化攻击报文内容等办法,使得DDoS的攻击特征难以提取,攻击源的位置难以确定。本文将介绍一种可以有效识别DDoS攻击的算法,这种算法通过计算新IP地址数量的变化情况,能较准确地检测出DDoS攻击。膀2拒绝服务攻击的原理及特征袇从攻击原理分,拒绝服务攻击可分为两类[3]:一类是基于漏洞的攻击,又称为逻辑攻击(LogicAttack),而另一类是基于流量的攻击,又称为***(FloodingAttack/Bandwidthattack)。羅基于漏洞的攻击就是利用软件中存在的漏洞(如操作系统、Web服务器中存在的缓冲区溢出漏洞),当存在漏洞的系统收到特定类型的数据包时,会立即崩溃或性能急剧下降。例如:PingOfDeath攻击利用一些系统不能处理超常IP包的漏洞,攻击者发送一个长度超过65535的EchoRequest数据包,目标主机在重组分片的时候会造成事先分配的65535字节缓冲区溢出,导致TCP/IP协议栈的崩溃;而Teardrop攻击则利用早期某些操作系统中TCP/IP协议栈无法正确处理IP分片重叠的漏洞,如果攻击者发送定制的报文,强制它带有负的片断长度,Linux内核处理这类报文时,会导致系统挂起、崩溃或重启。尽管基于漏洞的DoS攻击也造成了一定的破坏,但是其破坏面不大,这类漏洞可以通过升级软件的办法修复或其它手段检测。羄基于流量的攻击是攻击者在短时间内,通过向目标系统发送大量数据,消耗目标系统资源或网络带宽,使目标系统的处理能力短时间内达到饱和,停止对合法用户提供正常的网络服务。基于流量的攻击是本文的重点研究对象,为了简洁起见,本文内容所指的DoS攻击均表示基于流量的DoS攻击。膂基于流量的DoS攻击又可分为单攻击源拒绝服务攻击和分布式拒绝服务攻击。,就是攻击者从一个攻击源攻击一个目标,DoS攻击