DDoS攻击检测和控制方法002.pptVIP

1.2.4新的体系结构和协议（1） 协议漏洞和当前互联网缺乏对安全事件的有效控制能力，均是DDoS攻击频繁发生的重要原因。采取更安全的协议，或者采用新的网络体系结构，能够有效地提高对DDoS攻击的过滤能力，或者能够阻止某些DDoS攻击的发生。 最典型的协议攻击是TCP SYN Flood攻击和碎包攻击(fragmented packet)。伪造源地址DDoS攻击是另一种利用协议漏 洞攻击的例子，利用了当前网络无法验证源地址真实性的漏洞。 研究者己提出了一些高安全性的协议，让客户端完成安全性测试或者身份验证后再提供服务或者利用SYN Cookie,完成TCP连接后再提供服务。 SAVE(source address validaty enforcement procotol)协议通知路由器一个数据包的路径信息，路由器建立源地址簇对应的路由器接口信息表，验证源地址真实性。 服务器给许可客户端提供令牌，客户端在数据包中携带令牌，合法性验证节点分布在网络中，对流经自己的流量进行合法性识别，并丢弃非法流量。同时，服务器也可进行请求合法性验证。 1.2.4新的体系结构和协议（2） ITS(implicit token scheme)让数据包携带Token来鉴别数据包的真实性, 携带正确Token的数据包被转发到目标地址，而携带非 法Token的数据包会被Perimeter路由器丢弃。 Rewire是一种Survive Overlay类型的网络结构，能够检测网络状况，并基于应用层性能要求动态调整合法用户与服务器间的链路，保证服务器为合法用户提供高性能服务。 总体而言，新的网络体系结构通过鉴定数据包的真伪(携带路径信息)，或者让数据包携带真伪认证信息，或者给合法用户派发请求发送许可来实现对DDoS攻击流量过滤或攻击阻止。 然而，网络系统结构往往不具有应对多种攻击的能力，如只能应对伪造地址攻击，并且，新型网络体系结构需要对现有网络进行较大的修改，ISP需要进行较大的投入，同时，大量的通信协议、客户端和服务器端软件和系统都需要进行修改，因而，新的网络体系结构一直没有得到应用。此外，新型网络体系结构往往对骨干网路由器的计算能力要求较高，会进一步加重核心路由器的计算负担。 2 应用层DDoS攻击检测和控制 2.1 应用层DDoS攻击检测 应用层DDoS攻击在网络层表现正常，当前网络层DDoS攻击的检测方法不适用于应用层DDoS攻击，需从应用层进行分析和检测。 应用层DDoS攻击导致访问流量大幅度增加，与FlashCrowd 极为相似，Flash crowd和应用层DDoS攻击具有如下几点不同： 在Flash Crowd发生时，大量的地址Cluste:重复出现，而DDoS攻击时，会出现大量新的地址Cluster; 在Flash Crowd时，与正常访问相比，每个用户对应的请求数变小，而DDoS时则变大; Flash Crowd的访问地址分布不均匀，而DDoS攻击时，访问地址分布比较均匀; 在文件请求方面，,Flash Crowd时被请求文件呈Zipf-like分布，而DDoS时则集中在少数文件。 基于Document Populairty来可区分应用层DDoS攻击和Flash Crowd,此外，概率测量的方法(variation metric和bheattacharyya metric)也可来区分DDoS攻击和Flash Crowd。 2.2 应用层DDoS攻击控制 基于测试的识别方法 基于行为模式的识别方法 2.2.1 基于测试的识别方法 图灵测试能够有效区分攻击者和正常访问者。由于合法用户能够正确地完成测试，而攻击主机不具备完成测试的能力，因而可以准确区分两者。 在CAT方法的基础上，产生了一种抵御DDoS攻击的Heimdall结构，弥补了CAT方法对合法流量保护不够的不足，本质上仍然 是一种图灵测试的方法。 Speak-up方法也可用来抵御应用层DdoS攻击。与以往降低攻击流量或削弱攻击者行为能力的过滤方法相反，Speak-up方法让所有客户端均提高发送速率。 2.2.2 基于行为模型的识别方法（1） 攻击流由固定的程序生成，与正常访问流相比，攻击流之间呈现明显的相似性，利用这一特点可实现对DDoS攻击流和Flash crowd流的区分。 基于请求的动态变化、请求的语义和是否具备对可视对象的处理能力这3个可用于区分正常访问行为和程序行为的特征可以构建正常行为模型，用来区分攻击Bot和正常访问者。 根据Session的参数，可以把应用层DDoS攻击分为Request flooding攻击、asymmetric workload攻击和repeated one-shot攻击。基于这3种攻击，有一种Session可