- 1、本文档共46页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
DDoS攻击检测和控制方法002
1.2.4新的体系结构和协议(1) 协议漏洞和当前互联网缺乏对安全事件的有效控制能力,均是DDoS攻击频繁发生的重要原因。采取更安全的协议,或者采用新的网络体系结构,能够有效地提高对DDoS攻击的过滤能力,或者能够阻止某些DDoS攻击的发生。 最典型的协议攻击是TCP SYN Flood攻击和碎包攻击(fragmented packet)。伪造源地址DDoS攻击是另一种利用协议漏 洞攻击的例子,利用了当前网络无法验证源地址真实性的漏洞。 研究者己提出了一些高安全性的协议,让客户端完成安全性测试或者身份验证后再提供服务或者利用SYN Cookie,完成TCP连接后再提供服务。 SAVE(source address validaty enforcement procotol)协议通知路由器一个数据包的路径信息,路由器建立源地址簇对应的路由器接口信息表,验证源地址真实性。 服务器给许可客户端提供令牌,客户端在数据包中携带令牌,合法性验证节点分布在网络中,对流经自己的流量进行合法性识别,并丢弃非法流量。同时,服务器也可进行请求合法性验证。 1.2.4新的体系结构和协议(2) ITS(implicit token scheme)让数据包携带Token来鉴别数据包的真实性, 携带正确Token的数据包被转发到目标地址,而携带非 法Token的数据包会被Perimeter路由器丢弃。 Rewire是一种Survive Overlay类型的网络结构,能够检测网络状况,并基于应用层性能要求动态调整合法用户与服务器间的链路,保证服务器为合法用户提供高性能服务。 总体而言,新的网络体系结构通过鉴定数据包的真伪(携带路径信息),或者让数据包携带真伪认证信息,或者给合法用户派发请求发送许可来实现对DDoS攻击流量过滤或攻击阻止。 然而,网络系统结构往往不具有应对多种攻击的能力,如只能应对伪造地址攻击,并且,新型网络体系结构需要对现有网络进行较大的修改,ISP需要进行较大的投入,同时,大量的通信协议、客户端和服务器端软件和系统都需要进行修改,因而,新的网络体系结构一直没有得到应用。此外,新型网络体系结构往往对骨干网路由器的计算能力要求较高,会进一步加重核心路由器的计算负担。 2 应用层DDoS攻击检测和控制 2.1 应用层DDoS攻击检测 应用层DDoS攻击在网络层表现正常,当前网络层DDoS攻击的检测方法不适用于应用层DDoS攻击,需从应用层进行分析和检测。 应用层DDoS攻击导致访问流量大幅度增加,与FlashCrowd 极为相似,Flash crowd和应用层DDoS攻击具有如下几点不同: 在Flash Crowd发生时,大量的地址Cluste:重复出现,而DDoS攻击时,会出现大量新的地址Cluster; 在Flash Crowd时,与正常访问相比,每个用户对应的请求数变小,而DDoS时则变大; Flash Crowd的访问地址分布不均匀,而DDoS攻击时,访问地址分布比较均匀; 在文件请求方面,,Flash Crowd时被请求文件呈Zipf-like分布,而DDoS时则集中在少数文件。 基于Document Populairty来可区分应用层DDoS攻击和Flash Crowd,此外,概率测量的方法(variation metric和bheattacharyya metric)也可来区分DDoS攻击和Flash Crowd。 2.2 应用层DDoS攻击控制 基于测试的识别方法 基于行为模式的识别方法 2.2.1 基于测试的识别方法 图灵测试能够有效区分攻击者和正常访问者。由于合法用户能够正确地完成测试,而攻击主机不具备完成测试的能力,因而可以准确区分两者。 在CAT方法的基础上,产生了一种抵御DDoS攻击的Heimdall结构,弥补了CAT方法对合法流量保护不够的不足,本质上仍然 是一种图灵测试的方法。 Speak-up方法也可用来抵御应用层DdoS攻击。与以往降低攻击流量或削弱攻击者行为能力的过滤方法相反,Speak-up方法让所有客户端均提高发送速率。 2.2.2 基于行为模型的识别方法(1) 攻击流由固定的程序生成,与正常访问流相比,攻击流之间呈现明显的相似性,利用这一特点可实现对DDoS攻击流和Flash crowd流的区分。 基于请求的动态变化、请求的语义和是否具备对可视对象的处理能力这3个可用于区分正常访问行为和程序行为的特征可以构建正常行为模型,用来区分攻击Bot和正常访问者。 根据Session的参数,可以把应用层DDoS攻击分为Request flooding攻击、asymmetric workload攻击和repeated one-shot攻击。基于这3种攻击,有一种Session可
您可能关注的文档
- CATIA焊接教材.ppt
- CATIA自由造型曲面教程.ppt
- CBS《60分钟》.ppt
- CBE及MES模块化教学.ppt
- CDA活动步骤培训.ppt
- CDOS课程设计与开发.pptx
- CF(彩色滤光片)生产介绍.ppt
- Center-for-Bioinformatics-(CBI)-北京大学生物信息中心.ppt
- ch03-Linux常用指令和操作.ppt
- Ch03-个人计算机连接入网.ppt
- 中国国家标准 GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18233.4-2024信息技术 用户建筑群通用布缆 第4部分:住宅.pdf
- GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- 《GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计》.pdf
- 中国国家标准 GB/T 18978.210-2024人-系统交互工效学 第210部分:以人为中心的交互系统设计.pdf
- GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- 《GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置》.pdf
- 中国国家标准 GB/T 16649.2-2024识别卡 集成电路卡 第2部分:带触点的卡 触点的尺寸和位置.pdf
- GB/T 17889.4-2024梯子 第4部分:铰链梯.pdf
- 《GB/T 17889.4-2024梯子 第4部分:铰链梯》.pdf
文档评论(0)