DDoS攻擊研究綜述課件

1、DDoS攻擊研究綜述DDoS攻擊研究綜述l DDoS研究的意義l 國(guó)內(nèi)外研究的現(xiàn)狀l DOS問(wèn)題的起因l DoS攻擊原理l DoS防御方法DDoS攻擊研究綜述DDoS攻擊研究綜述（2）DDoS攻擊研究綜述 UC Berkeley 教授 Shankar Sastry 于 2003.7在眾議院的國(guó)土安全委員會(huì)的聽(tīng)證會(huì)上指出DDoS及Worm攻擊是當(dāng)前主要的防衛(wèi)任務(wù)。（3）DDoS攻擊研究綜述 1） DHS , NFS在2004年資助幾個(gè)大學(xué)和公司啟動(dòng)了 DETER（Defense Technology Experimental Research ）。這個(gè)項(xiàng)目的一個(gè)研究重點(diǎn)就是防御DDoS攻擊。 2

2、）信息產(chǎn)業(yè)部在2005年公開(kāi)向產(chǎn)業(yè)界招標(biāo)防御DDoS攻擊系統(tǒng)的設(shè)計(jì)方案DDoS攻擊研究綜述 The University of California Berkeley, University of California Davis, University of Southern California-Information Systems Institute , Network Associates Laboratories, SRI, the Pennsylvania State University, Purdue University, Princeton University, Uni

3、versity of Utah, and industrial partners Juniper Networks, CISCO, Intel, IBM, Microsoft, and HP DDoS攻擊研究綜述l面向目的地址進(jìn)行路由lInternet的無(wú)狀態(tài)性lInternet缺乏身份鑒別機(jī)制lInternet協(xié)議的可預(yù)測(cè)性（例如，TCP連接建立過(guò)程和擁塞控制）DDoS攻擊研究綜述（1）DoSDegrade the service quality or completely disable the target service by overloading critical resource

4、s of the target system or by exploiting software bugs. (2) DDoSThe objective is the same with DoS attacks but is accomplished by a of compromised hosts distributed over the Internet. DDoS攻擊研究綜述（3）基于反射器的DDoSDDoS攻擊研究綜述lIngress 過(guò)濾 ltraceback lpushback l自動(dòng)化模型(控制器-代理模型) l基于代理網(wǎng)絡(luò)的解決方案 DDoS攻擊研究綜述主要目的：過(guò)濾假冒源地

5、址的IP數(shù)據(jù)包 為traceback提供幫助局限性：影響路由器的性能配置問(wèn)題DDoS攻擊研究綜述目的：證實(shí)IP數(shù)據(jù)包真正來(lái)源 從源頭上阻斷攻擊攻擊取證方法：1)基于流量工程的方法2)基于數(shù)據(jù)包標(biāo)記的方法3)基于數(shù)據(jù)包日志的方法DDoS攻擊研究綜述 工作機(jī)制： 首先使用UDP chargen服務(wù)產(chǎn)生短的突發(fā)流量，然后把突發(fā)流量注入到待測(cè)試的鏈路以觀(guān)察鏈路是否是攻擊路徑的一部分。 DDoS攻擊研究綜述優(yōu)點(diǎn)： 1）花費(fèi)相對(duì)較低 2）容易配置 缺點(diǎn)： 1）不適用于多個(gè)攻擊者參與攻擊的情況 2）整個(gè)追溯過(guò)程應(yīng)該在攻擊進(jìn)行的時(shí)候執(zhí)行，有時(shí) 間上的約束 DDoS攻擊研究綜述工作原理： 基于數(shù)據(jù)包標(biāo)記的IP追

6、溯方案使用了一個(gè)簡(jiǎn)單的概念。當(dāng)IP數(shù)據(jù)包經(jīng)過(guò)Internet路由器，路由器為數(shù)據(jù)包增加追溯信息。一旦受害者檢測(cè)到攻擊，受害者從攻擊數(shù)據(jù)包中提取追溯信息，使用這些信息重建攻擊數(shù)據(jù)包所經(jīng)過(guò)的路徑。因此，基于數(shù)據(jù)包標(biāo)記的IP追溯方案通常由兩個(gè)算法組成。一個(gè)是運(yùn)行在Internet路由器上的包標(biāo)記算法。另一個(gè)是受害者發(fā)起的追溯算法，這個(gè)算法使用在接收到的攻擊數(shù)據(jù)包里發(fā)現(xiàn)的標(biāo)記信息追溯攻擊者。 DDoS攻擊研究綜述l為了重建攻擊路徑或攻擊樹(shù)，需要大量的攻擊數(shù)據(jù)包 l在重建攻擊樹(shù)的過(guò)程中，可能給受害者帶來(lái)巨大的花費(fèi)負(fù)擔(dān)；l如果多個(gè)攻擊者參與攻擊，那么會(huì)產(chǎn)生高的誤報(bào)率。l路由器CPU花費(fèi)DDoS攻擊研究綜述

7、工作原理： 與在IP數(shù)據(jù)包寫(xiě)入路由器的信息不同，數(shù)據(jù)包日志方案是在路由器的內(nèi)存中寫(xiě)入數(shù)據(jù)包的信息（摘要、簽名或者數(shù)據(jù)包自身）。一旦受害者檢測(cè)到攻擊，受害者就會(huì)查詢(xún)上游（upstream）路由器以檢查它們的內(nèi)存中是否包含攻擊數(shù)據(jù)包的信息。如果在某個(gè)路由器中發(fā)現(xiàn)了攻擊數(shù)據(jù)包的信息，那么該路由器被認(rèn)為是攻擊路徑的一部分。 DDoS攻擊研究綜述l路由器存儲(chǔ)花費(fèi)l從網(wǎng)絡(luò)路由器獲取數(shù)據(jù)包信息使用的方法是效率低的 DDoS攻擊研究綜述DDoS攻擊研究綜述DDoS攻擊研究綜述優(yōu)點(diǎn)：l當(dāng)攻擊沒(méi)發(fā)生時(shí)，代理和普通路由器一樣運(yùn)行。l受害者能容易地確定來(lái)自不同攻擊系統(tǒng)的攻擊簽名。l一旦受害者通過(guò)了鑒別，那么識(shí)別、阻止

8、和跟蹤攻擊流量的過(guò)程完全是自動(dòng)化的。因此，響應(yīng)非常迅速。l可以動(dòng)態(tài)地配置過(guò)濾器。l一旦確定了攻擊簽名，就可以在接近攻擊源的位置阻止攻擊流量。l每個(gè)代理僅需要檢查和阻止流經(jīng)它的攻擊簽名。這樣，攻擊簽名更有針對(duì)性，因此延遲更小。l由于代理和控制器沒(méi)必要確定攻擊簽名，因此與集中擁塞控制 （ ACC ）相比它們的實(shí)施花費(fèi)更少。 不足：l被丟棄的包中也許包括一些非攻擊流量。l控制器可能也是DDoS攻擊的受害者。l控制器與代理、受害者之間的通信安全也值得關(guān)注。 DDoS攻擊研究綜述DDoS攻擊研究綜述Wang Ju等人研究得出了下列結(jié)論：l通過(guò)代理網(wǎng)絡(luò)間接地訪(fǎng)問(wèn)應(yīng)用程序能夠提高性能：減少響應(yīng)時(shí)間，增加可利用的帶寬。間接地訪(fǎng)問(wèn)降低性能的直覺(jué)是不正確的。l代理網(wǎng)絡(luò)能有效地減輕大規(guī)模DDoS攻擊所造成的影響，從而證明了代理網(wǎng)絡(luò)方法的有效性。l代理網(wǎng)絡(luò)提供了可擴(kuò)展的DoS-彈性彈性能被擴(kuò)展以應(yīng)對(duì)更大的攻擊，從而保持應(yīng)用程序的性能。彈性與代理網(wǎng)絡(luò)的大小成正比例關(guān)系，也就是說(shuō)，在保持應(yīng)用程序性能的前提下