一種改進(jìn)的DDOS攻擊檢測(cè)與防御系統(tǒng)設(shè)計(jì)摘要_第1頁(yè)
一種改進(jìn)的DDOS攻擊檢測(cè)與防御系統(tǒng)設(shè)計(jì)摘要_第2頁(yè)
一種改進(jìn)的DDOS攻擊檢測(cè)與防御系統(tǒng)設(shè)計(jì)摘要_第3頁(yè)
一種改進(jìn)的DDOS攻擊檢測(cè)與防御系統(tǒng)設(shè)計(jì)摘要_第4頁(yè)
一種改進(jìn)的DDOS攻擊檢測(cè)與防御系統(tǒng)設(shè)計(jì)摘要_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、 一種改進(jìn)的DDOS攻擊檢測(cè)與防御系統(tǒng)設(shè)計(jì)摘要圖1系統(tǒng)設(shè)計(jì)原理1.2模塊化設(shè)計(jì)無(wú)論對(duì)于系統(tǒng)的設(shè)計(jì)還是測(cè)試,合理的ddos攻擊源都必不可少即要能在短時(shí)間內(nèi)產(chǎn)生大量的具有虛假源地址的tcp/ip數(shù)據(jù)包,并將這些數(shù)據(jù)包同時(shí)發(fā)送至同一服務(wù)器主機(jī)。對(duì)此,實(shí)驗(yàn)中以tcp/ip 包發(fā)送工具h(yuǎn)ping為基礎(chǔ)上設(shè)計(jì)出一個(gè)能夠采用虛假源地址發(fā)送tcp包的ddos攻擊器。其設(shè)計(jì)原理是通過(guò)更改ip包頭設(shè)置中的對(duì)應(yīng)字節(jié),得到需要類(lèi)型的數(shù)據(jù)包包括ip包的源地址,目的地址以及通信協(xié)議等,然后將其從對(duì)應(yīng)網(wǎng)絡(luò)端口發(fā)出。該模塊用于實(shí)現(xiàn)將網(wǎng)絡(luò)中流過(guò)服務(wù)器的tcp包數(shù)量,以圖形方式動(dòng)態(tài)顯示,從而便于人員觀(guān)測(cè)當(dāng)前網(wǎng)絡(luò)流量狀態(tài),其設(shè)計(jì)原

2、理主要分為數(shù)據(jù)包的獲取解析與流量圖的繪制。在設(shè)計(jì)中,通過(guò)編寫(xiě)接口程序,對(duì)經(jīng)過(guò)網(wǎng)絡(luò)端口的ip包包頭進(jìn)行校驗(yàn),以此判斷包的類(lèi)型。當(dāng)檢測(cè)到tcp的syn包、數(shù)據(jù)包等特殊包后,響應(yīng)計(jì)數(shù)器記錄加一,并將此記錄反饋至繪圖模塊,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)tcp流量的圖形觀(guān)測(cè)。在syn flooding攻擊中, 攻擊者向服務(wù)器發(fā)送大量偽造源ip地址的syn 請(qǐng)求包, 服務(wù)器返回syn /ack應(yīng)答包后得不到確認(rèn), 就會(huì)不斷地對(duì)偽造的ip 地址進(jìn)行重試直至超時(shí)丟棄, 由于syn 連接請(qǐng)求的速度遠(yuǎn)大于服務(wù)器超時(shí)丟棄的處理速度。因此, 服務(wù)器的半連接列表很快就被塞滿(mǎn), 致使客戶(hù)的正常請(qǐng)求得不到響應(yīng), 以實(shí)現(xiàn)拒絕服務(wù)的目的。介于dd

3、os這種攻擊特性,系統(tǒng)運(yùn)用正確建立連接數(shù)的差別實(shí)現(xiàn)對(duì)ddos攻擊檢測(cè)報(bào)警。首先對(duì)tcp連接信號(hào)syn進(jìn)行抽樣,設(shè)d為檢測(cè)周期,syn_n為抽樣間隔內(nèi)源端網(wǎng)絡(luò)中syn包的數(shù)量,fin_n為 fin包的數(shù)量。記:det_n = syn_n fin_n一般情況下, det_ n與網(wǎng)絡(luò)的規(guī)模、抽樣間隔相關(guān), 為減少上述因素的影響, 提高算法的通用性, 對(duì)det_n 進(jìn)行歸一化處理:記:det_n= det_n/syn_ n= (syn_n fin_n/syn_ n n=1,2實(shí)驗(yàn)中給出一個(gè)門(mén)限值h,當(dāng)_nh,則報(bào)警。當(dāng)路由器檢測(cè)到流量異常時(shí),會(huì)自動(dòng)進(jìn)入智能防御方式。在此階段,路由器會(huì)接受到分別來(lái)自服務(wù)

4、器與外界輸入兩個(gè)方向的tcp數(shù)據(jù)包,因此需要在路由器上建立兩個(gè)緩存隊(duì)列,分別為外界tcp隊(duì)列以及確認(rèn)正常的tcp信息隊(duì)列。外界tcp隊(duì)列(隊(duì)列1主要用于記錄外界向服務(wù)器發(fā)起的tcp連接信息,其中主要包括該tcp連接的mac源地址、ip源地址、ip源端口、ip目的端口、路由器向外部提供的序列號(hào)seq、連接狀態(tài)標(biāo)志位state。通過(guò)此隊(duì)列所記錄的信息,路由器實(shí)現(xiàn)了與外界輸入的模擬tcp三次握手過(guò)程。表1外界tcp隊(duì)列的數(shù)據(jù)單元存儲(chǔ)信息mac源地址(48 bits ip源地址 (32 bits ip源端口 (16 bits ip目的端口 (16 bits 向外界提供的序列號(hào)seq (32 bits表

5、1描述了外界tcp隊(duì)列存儲(chǔ)單元信息,經(jīng)計(jì)算,一個(gè)數(shù)據(jù)單元所占空間為144 bits=18 byte 確認(rèn)正常的tcp信息隊(duì)列(隊(duì)列2,主要用來(lái)完成對(duì)tcp數(shù)據(jù)包過(guò)濾即符合條件的tcp包可以直接通過(guò),否則丟棄,以緩解服務(wù)器壓力。下面主要討論了tcp包有外界發(fā)起與tcp包有服務(wù)器發(fā)起兩個(gè)過(guò)程中,路由器的工作流程。當(dāng)tcp包由外界發(fā)起時(shí),工作流程如圖2所示。圖2外界發(fā)起tcp時(shí)路由器工作流程當(dāng)tcp包由服務(wù)器發(fā)起時(shí),工作流程如圖3所示:圖3服務(wù)器發(fā)起tcp時(shí)路由器工作流程1.3系統(tǒng)的功能與指標(biāo)實(shí)驗(yàn)中分別從路由器所能承受的syn攻擊速度與隊(duì)列占用空間容量?jī)蓚€(gè)指標(biāo)對(duì)其進(jìn)行分析,下面是理論計(jì)算中用到的符號(hào)

6、:syn_speed 表示ddos的攻擊速度t表示正常tcp握手連接中第一次握手與第三次握手的時(shí)間間隔即tcp建立時(shí)間l表示路由器中用來(lái)存儲(chǔ)外界tcp信息的隊(duì)列長(zhǎng)度速度指標(biāo):根據(jù)分析,要想保證一個(gè)正常的tcp連接信號(hào)不會(huì)因隊(duì)列過(guò)滿(mǎn)而擠掉,要求lsyn_speed*t(1查詢(xún)數(shù)據(jù)手冊(cè),路由器(以netfpga 為例的工作頻率為125mhz,并且假設(shè)掃描一個(gè)數(shù)據(jù)單元需要4個(gè)時(shí)鐘信號(hào),則要想保證每個(gè)syn包到來(lái)時(shí),路由器能夠?qū)φ麄€(gè)數(shù)據(jù)隊(duì)列進(jìn)行一次完整掃描,要求1syn_speed1125m(2容量指標(biāo): 查詢(xún)數(shù)據(jù)手冊(cè),netfpga可用于存儲(chǔ)數(shù)據(jù)的空間有4.5mb,假設(shè)開(kāi)辟的數(shù)據(jù)隊(duì)列空間為2mb,對(duì)

7、于外界tcp隊(duì)列中每一個(gè)數(shù)據(jù)單元根據(jù)之前所述其長(zhǎng)度為18b,因此從容量角度考慮要求:l*18<2*106(3指標(biāo)分析:結(jié)合以上3式,可以得到syn_speed*t*182*106路由器本身容量限制syn_speed2*t1254*106路由器主頻限制以上兩式反應(yīng)出ddos攻擊速度syn_speed 與握手間隔t之間的制約關(guān)系。同時(shí)通過(guò)對(duì)比計(jì)算,發(fā)現(xiàn)在t<105s時(shí),主頻限制占主導(dǎo)因素,且時(shí)間越小其影響作用越大。考慮到實(shí)際情況只需分析主頻限制條件下,syn極限速率與建立時(shí)間t的關(guān)系情況。圖4syn攻擊速率、隊(duì)列空間與tcp建立時(shí)間關(guān)系圖4所示兩圖中,左圖描述的是syn_speed極限

8、速率與tcp建立時(shí)間的關(guān)系示意圖,可以發(fā)現(xiàn)在tcp建立時(shí)間增大時(shí),syn_speed 明顯減小,受到嚴(yán)重制約。當(dāng)t=0.1ssyn_speed=17000當(dāng)t=1ssyn_speed=5500當(dāng)t=30ssyn_speed=1000右圖描述了隊(duì)列所占空間隨tcp建立時(shí)間變化。經(jīng)計(jì)算得,當(dāng)t<30s 時(shí),隊(duì)列空間均小于600k,完全不受硬件空間限制。經(jīng)過(guò)分析: (1在硬件設(shè)施中,運(yùn)算速度成為制約syn_speed的主要因素。 要想提高路由器抗ddos攻擊能力,需要提高運(yùn)算速度;(2硬件條件一定的情況下,syn_speed主要受tcp建立時(shí)間的制約。在網(wǎng)絡(luò)狀況不佳時(shí)(設(shè)建立tcp所需時(shí)間為1

9、s,syn_speed 的極限為5500;在網(wǎng)絡(luò)狀況良好時(shí)(建立tcp所需時(shí)間為0.1 s,syn_speed的極限為17000;(3在硬件狀況不變的情況下,要想提高服務(wù)器的抗擊能力,可嘗試路由器級(jí)聯(lián)結(jié)構(gòu),將網(wǎng)絡(luò)流量分割給多個(gè)路由器處理。2性能測(cè)試2.1測(cè)試環(huán)境在測(cè)試中共需要4臺(tái)電腦,完成整個(gè)過(guò)程測(cè)試。4臺(tái)電腦的要求及其作用分別為:一臺(tái)要求是裝有neffpga開(kāi)發(fā)板的臺(tái)式電腦,其系統(tǒng)為centos 5.0。該電腦主要用于與netfpga進(jìn)行通信;另外3臺(tái)電腦對(duì)系統(tǒng)無(wú)明顯限制,正常windows xp及其以上的操作系統(tǒng)均可。在測(cè)試中,使用一臺(tái)作為服務(wù)器用于接收外界發(fā)送的數(shù)據(jù),剩余兩臺(tái)作為數(shù)據(jù)的發(fā)

10、送源,其中一臺(tái)正常發(fā)送tcp數(shù)據(jù)包,另一臺(tái)對(duì)服務(wù)器進(jìn)行ddos攻擊。將4臺(tái)電腦連成局域網(wǎng)模擬整個(gè)過(guò)程。2.2系統(tǒng)測(cè)試流程測(cè)試目的:得出正常情況下的tcp鏈接情況,便于和ddos攻擊的情況比較。操作描述:設(shè)定發(fā)送信息(a和接收信息(b主機(jī)的ip; 結(jié)果分析:圖5正常情況下抓包程序顯示結(jié)果結(jié)果分析:圖6遭受攻擊境況下抓包程序顯示結(jié)果 機(jī)a回復(fù)b一個(gè)syn/ack,但之后主機(jī)b不會(huì)在給a發(fā)ack確認(rèn)信號(hào),也就是tcp三次握手連接并沒(méi)有真正建立。本文采用2000年darpa第5周第2天的檢測(cè)評(píng)估數(shù)據(jù)作為實(shí)驗(yàn)背景數(shù)據(jù)圖7描述了正常情況中,syn 與fin包的變化關(guān)系在此基礎(chǔ)上,通過(guò)hping由主機(jī)a對(duì)主

11、機(jī)b進(jìn)行ddos攻擊,以50packets/s 的速率發(fā)送syn flooding,攻擊檢測(cè)算法在發(fā)包3分鐘后開(kāi)始檢測(cè),我們以10s為檢測(cè)周期,連續(xù)抽樣200次,測(cè)量在不同的門(mén)限值的條件下,算法的誤警率。表3給出了該過(guò)程的計(jì)算結(jié)果:圖7正常情況下syn與fin包關(guān)系表2ddos攻擊檢測(cè)結(jié)果攻擊次數(shù)判決門(mén)限正確判斷次數(shù)誤警次數(shù)誤警率測(cè)試目的:通過(guò)比較一臺(tái)遭遇攻擊的主機(jī)和一臺(tái)加上了防御模塊的主機(jī)遭受攻擊程度,得出該防御系統(tǒng)的性能。操作描述:設(shè)定發(fā)送信息主機(jī)(a和c和接收信息主機(jī)(b和d的ip;讓主機(jī)a擬造虛假ip發(fā)送ddos攻擊,主機(jī)c發(fā)送正常的tcp數(shù)據(jù)包;主機(jī)b和主機(jī)c同時(shí)接收來(lái)自主機(jī)a和主機(jī)

12、c 的數(shù)據(jù)包,其中主機(jī)b加上了防御模塊,而主機(jī)d是直接接受;分別檢測(cè)兩種情況下的數(shù)據(jù)流量,通過(guò)流量圖顯示差別。結(jié)果分析:圖8正常情況下的發(fā)包量上圖為正常tcp包的累計(jì)量,主機(jī)c以每秒2個(gè)包的速度進(jìn)行發(fā)包。圖9遭受ddos攻擊時(shí)的發(fā)包量在上圖中主機(jī)a以每秒400包左右的速度發(fā)送ddos攻擊。從主機(jī)b上接收到得數(shù)據(jù)流量如上圖所示,從中可以看出其中ddos 攻擊的數(shù)據(jù)包基本被濾除,留下的數(shù)據(jù)包基本上是有主機(jī)c發(fā)送的正確的數(shù)據(jù)包。測(cè)試結(jié)果與預(yù)期相同。圖10路由器過(guò)濾后數(shù)據(jù)流量3結(jié)束語(yǔ)防范ddos攻擊是一個(gè)系統(tǒng)工程,本系統(tǒng)也僅能做到防御syn flood 類(lèi)的ddos攻擊,防范總類(lèi)繁多的ddos攻擊僅依靠某一種技術(shù)是不現(xiàn)實(shí)的。只有事先增強(qiáng)對(duì)ddos攻擊的防御能力,ddos攻擊時(shí)及時(shí)對(duì)其進(jìn)行檢測(cè),受到ddos攻擊后及時(shí)進(jìn)行可靠的防御,綜合運(yùn)用各種技術(shù),對(duì)ddos攻擊進(jìn)行抵抗,從而增加攻擊者的攻擊成本,使絕大多數(shù)攻擊因成本開(kāi)銷(xiāo)過(guò)大而放棄。本文的探究?jī)H僅只是一個(gè)開(kāi)始,因?yàn)闀r(shí)間和知識(shí)儲(chǔ)備的不足,仍然有待改進(jìn)。參考文獻(xiàn): 1劉志雷.基于變動(dòng)和式累積檢驗(yàn)算法的ddos攻擊檢測(cè)j.計(jì)算機(jī)仿真,2009(8.2alberto leon garcia,indra munication networkm.北京:清華大學(xué)出版社,2005.3田耘,徐文波.xilinx fp

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論