DDoS攻击研究综述.ppt

DDoS攻击研究综述 提纲 DDoS研究的意义 国内外研究的现状 DOS问题的起因 DoS攻击原理 DoS防御方法 DDoS研究的意义：（1） UC Berkeley 教授 Shankar Sastry 于 2003.7在众议院的国土安全委员会的听证会上指出DDoS及Worm攻击是当前主要的防卫任务。 国内外研究的现状 1） DHS , NFS在2004年资助几个大学和公司启动了 DETER（Defense Technology Experimental Research ）。这个项目的一个研究重点就是防御DDoS攻击。 2）信息产业部在2005年公开向产业界招标防御DDoS攻击系统的设计方案 The University of California Berkeley, University of California Davis, University of Southern California-Information Systems Institute , Network Associates Laboratories, SRI, the Pennsylvania State University, Purdue University, Princeton University, University of Utah, and industrial partners Juniper Networks, CISCO, Intel, IBM, Microsoft, and HP DOS问题的起因 DoS攻击原理 DoS防御方法 Ingress 过滤 traceback pushback 自动化模型(控制器-代理模型) 基于代理网络的解决方案 Ingress 过滤 主要目的： 过滤假冒源地址的IP数据包 为traceback提供帮助 局限性： 影响路由器的性能 配置问题 Traceback 目的：证实IP数据包真正来源 从源头上阻断攻击 攻击取证 方法： 1)基于流量工程的方法 2)基于数据包标记的方法 3)基于数据包日志的方法 基于流量工程的方法 工作机制： 首先使用UDP chargen服务产生短的突发流量，然后把突发流量注入到待测试的链路以观察链路是否是攻击路径的一部分。 优点： 1）花费相对较低 2）容易配置 缺点： 1）不适用于多个攻击者参与攻击的情况 2）整个追溯过程应该在攻击进行的时候执行，有时 间上的约束 基于数据包标记的方法 工作原理： 基于数据包标记的IP追溯方案使用了一个简单的概念。当IP数据包经过Internet路由器，路由器为数据包增加追溯信息。一旦受害者检测到攻击，受害者从攻击数据包中提取追溯信息，使用这些信息重建攻击数据包所经过的路径。因此，基于数据包标记的IP追溯方案通常由两个算法组成。一个是运行在Internet路由器上的包标记算法。另一个是受害者发起的追溯算法，这个算法使用在接收到的攻击数据包里发现的标记信息追溯攻击者。 问题 为了重建攻击路径或攻击树，需要大量的攻击数据包 在重建攻击树的过程中，可能给受害者带来巨大的花费负担； 如果多个攻击者参与攻击，那么会产生高的误报率。 路由器CPU花费 基于数据包日志的方法 工作原理： 与在IP数据包写入路由器的信息不同，数据包日志方案是在路由器的内存中写入数据包的信息（摘要、签名或者数据包自身）。一旦受害者检测到攻击，受害者就会查询上游（upstream）路由器以检查它们的内存中是否包含攻击数据包的信息。如果在某个路由器中发现了攻击数据包的信息，那么该路由器被认为是攻击路径的一部分。 问题 路由器存储花费 从网络路由器获取数据包信息使用的方法是效率低的 pushback 自动化模型(控制器-代理模型) 优点： 当攻击没发生时，代理和普通路由器一样运行。 受害者能容易地确定来自不同攻击系统的攻击签名。 一旦受害者通过了鉴别，那么识别、阻止和跟踪攻击流量的过程完全是自动化的。因此，响应非常迅速。 可以动态地配置过滤器。 一旦确定了攻击签名，就可以在接近攻击源的位置阻止攻击流量。 每个代理仅需要检查和阻止流经它的攻击签名。这样，攻击签名更有针对性，因此延迟更小。 由于代理和控制器没必要确定攻击签名，因此与集中拥塞控制 （ ACC ）相比它们的实施花费更少。 不足： 被丢弃的包中也许包括一些非攻击流量。 控制器可能也是DDoS攻击的受害者。 控制器与代理、受害者之间的通信安全也值得关注。