DDoS攻擊研究綜合概述課件

DDoS攻擊研究綜述

DDoS攻擊研究綜述1提綱DDoS研究的意義國(guó)內(nèi)外研究的現(xiàn)狀DOS問(wèn)題的起因DoS攻擊原理DoS防御方法提綱DDoS研究的意義2DDoS研究的意義：（1）DDoS研究的意義：（1）3（2）（2）4UCBerkeley教授ShankarSastry于2003.7在眾議院的國(guó)土安全委員會(huì)的聽(tīng)證會(huì)上指出DDoS及Worm攻擊是當(dāng)前主要的防衛(wèi)任務(wù)。（3）UCBerkeley教授S5國(guó)內(nèi)外研究的現(xiàn)狀

1）DHS,NFS在2004年資助幾個(gè)大學(xué)和公司啟動(dòng)了DETER（DefenseTechnologyExperimentalResearch）。這個(gè)項(xiàng)目的一個(gè)研究重點(diǎn)就是防御DDoS攻擊。2）信息產(chǎn)業(yè)部在2005年公開(kāi)向產(chǎn)業(yè)界招標(biāo)防御DDoS攻擊系統(tǒng)的設(shè)計(jì)方案國(guó)內(nèi)外研究的現(xiàn)狀

1）DHS,NFS在2004年6TheUniversityofCaliforniaBerkeley,UniversityofCaliforniaDavis,UniversityofSouthernCalifornia-InformationSystemsInstitute,NetworkAssociatesLaboratories,SRI,thePennsylvaniaStateUniversity,PurdueUniversity,PrincetonUniversity,UniversityofUtah,andindustrialpartnersJuniperNetworks,CISCO,Intel,IBM,Microsoft,andHPTheUniversityofCalifor7DOS問(wèn)題的起因

面向目的地址進(jìn)行路由Internet的無(wú)狀態(tài)性Internet缺乏身份鑒別機(jī)制Internet協(xié)議的可預(yù)測(cè)性（例如，TCP連接建立過(guò)程和擁塞控制）DOS問(wèn)題的起因 8（1）DoSDegradetheservicequalityorcompletelydisablethetargetservicebyoverloadingcriticalresourcesofthetargetsystemorbyexploitingsoftwarebugs.(2)DDoSTheobjectiveisthesamewithDoSattacksbutisaccomplishedbyaofcompromisedhostsdistributedovertheInternet.DoS攻擊原理（1）DoSDoS攻擊原理9（3）基于反射器的DDoS（3）基于反射器的DDoS10DoS防御方法

Ingress過(guò)濾tracebackpushback自動(dòng)化模型(控制器-代理模型)基于代理網(wǎng)絡(luò)的解決方案DoS防御方法

Ingress過(guò)濾11Ingress過(guò)濾主要目的：過(guò)濾假冒源地址的IP數(shù)據(jù)包為traceback提供幫助局限性：影響路由器的性能配置問(wèn)題Ingress過(guò)濾主要目的：12Traceback目的：證實(shí)IP數(shù)據(jù)包真正來(lái)源從源頭上阻斷攻擊攻擊取證方法：1)基于流量工程的方法2)基于數(shù)據(jù)包標(biāo)記的方法3)基于數(shù)據(jù)包日志的方法Traceback目的：證實(shí)IP數(shù)據(jù)包真正來(lái)源13基于流量工程的方法工作機(jī)制：首先使用UDPchargen服務(wù)產(chǎn)生短的突發(fā)流量，然后把突發(fā)流量注入到待測(cè)試的鏈路以觀察鏈路是否是攻擊路徑的一部分。基于流量工程的方法工作機(jī)制：14優(yōu)點(diǎn)：1）花費(fèi)相對(duì)較低2）容易配置

缺點(diǎn)：1）不適用于多個(gè)攻擊者參與攻擊的情況2）整個(gè)追溯過(guò)程應(yīng)該在攻擊進(jìn)行的時(shí)候執(zhí)行，有時(shí)間上的約束

優(yōu)點(diǎn)：15基于數(shù)據(jù)包標(biāo)記的方法工作原理：基于數(shù)據(jù)包標(biāo)記的IP追溯方案使用了一個(gè)簡(jiǎn)單的概念。當(dāng)IP數(shù)據(jù)包經(jīng)過(guò)Internet路由器，路由器為數(shù)據(jù)包增加追溯信息。一旦受害者檢測(cè)到攻擊，受害者從攻擊數(shù)據(jù)包中提取追溯信息，使用這些信息重建攻擊數(shù)據(jù)包所經(jīng)過(guò)的路徑。因此，基于數(shù)據(jù)包標(biāo)記的IP追溯方案通常由兩個(gè)算法組成。一個(gè)是運(yùn)行在Internet路由器上的包標(biāo)記算法。另一個(gè)是受害者發(fā)起的追溯算法，這個(gè)算法使用在接收到的攻擊數(shù)據(jù)包里發(fā)現(xiàn)的標(biāo)記信息追溯攻擊者?；跀?shù)據(jù)包標(biāo)記的方法工作原理：16問(wèn)題為了重建攻擊路徑或攻擊樹(shù)，需要大量的攻擊數(shù)據(jù)包在重建攻擊樹(shù)的過(guò)程中，可能給受害者帶來(lái)巨大的花費(fèi)負(fù)擔(dān)；如果多個(gè)攻擊者參與攻擊，那么會(huì)產(chǎn)生高的誤報(bào)率。路由器CPU花費(fèi)問(wèn)題17基于數(shù)據(jù)包日志的方法工作原理：與在IP數(shù)據(jù)包寫(xiě)入路由器的信息不同，數(shù)據(jù)包日志方案是在路由器的內(nèi)存中寫(xiě)入數(shù)據(jù)包的信息（摘要、簽名或者數(shù)據(jù)包自身）。一旦受害者檢測(cè)到攻擊，受害者就會(huì)查詢上游（upstream）路由器以檢查它們的內(nèi)存中是否包含攻擊數(shù)據(jù)包的信息。如果在某個(gè)路由器中發(fā)現(xiàn)了攻擊數(shù)據(jù)包的信息，那么該路由器被認(rèn)為是攻擊路徑的一部分?；跀?shù)據(jù)包日志的方法工作原理：18問(wèn)題路由器存儲(chǔ)花費(fèi)從網(wǎng)絡(luò)路由器獲取數(shù)據(jù)包信息使用的方法是效率低的問(wèn)題19pushbackpushback20自動(dòng)化模型(控制器-代理模型)自動(dòng)化模型(控制器-代理模型)21優(yōu)點(diǎn)：當(dāng)攻擊沒(méi)發(fā)生時(shí)，代理和普通路由器一樣運(yùn)行。受害者能容易地確定來(lái)自不同攻擊系統(tǒng)的攻擊簽名。一旦受害者通過(guò)了鑒別，那么識(shí)別、阻止和跟蹤攻擊流量的過(guò)程完全是自動(dòng)化的。因此，響應(yīng)非常迅速。可以動(dòng)態(tài)地配置過(guò)濾器。一旦確定了攻擊簽名，就可以在接近攻擊源的位置阻止攻擊流量。每個(gè)代理僅需要檢查和阻止流經(jīng)它的攻擊簽名。這樣，攻擊簽名更有針對(duì)性，因此延遲更小。由于代理和控制器沒(méi)必要確定攻擊簽名，因此與集中擁塞控制（ACC）相比它們的實(shí)施花費(fèi)更少。不足：被丟棄的包中也許包括一些非攻擊流量。控制器可能也是DDoS攻擊的受害者?？刂破髋c代理、受害者之間的通信安全也值得關(guān)注。DDoS攻擊研究綜合概述課件22基于代理網(wǎng)絡(luò)的解決方案基于代理網(wǎng)絡(luò)的解決方案23WangJu等人研究得出了下列結(jié)論：通過(guò)代理網(wǎng)絡(luò)間接地訪問(wèn)應(yīng)用程序能夠提高性能：減少響應(yīng)時(shí)間，增加可利用的帶寬。間接地訪問(wèn)降低性能的直覺(jué)是不正確的。代理網(wǎng)絡(luò)能有效地減輕大規(guī)模DDoS攻擊所造成的影響，從而證明了代理網(wǎng)絡(luò)方法的有效性。代理網(wǎng)絡(luò)提供了可擴(kuò)展的DoS-彈性——彈性能被擴(kuò)展以應(yīng)對(duì)更大的攻擊，從而保持應(yīng)用程序的性能。彈性與代理網(wǎng)絡(luò)的大小成正比例關(guān)系，也就是說(shuō)，在保持應(yīng)用程序性能的前提下，一個(gè)給定代理網(wǎng)絡(luò)所能承受的攻擊流量隨代理網(wǎng)絡(luò)的大小線性增長(zhǎng)。WangJu等人研究得出了下列結(jié)論：24防御DOS攻擊所面臨的研究挑戰(zhàn)準(zhǔn)確地區(qū)分攻擊流量和合法流量在高速I(mǎi)nternet上處理高流量DOS攻擊檢測(cè)和應(yīng)對(duì)精密復(fù)雜的DOS攻擊確認(rèn)攻擊者的數(shù)量缺乏DDoS防御系統(tǒng)的測(cè)試基準(zhǔn)防御DOS攻擊所面臨的研究挑戰(zhàn)準(zhǔn)確地區(qū)分攻擊流量和合法流量25演講完畢，謝謝觀看！演講完畢，謝謝觀看！26

DDoS攻擊研究綜述

DDoS攻擊研究綜述27提綱DDoS研究的意義國(guó)內(nèi)外研究的現(xiàn)狀DOS問(wèn)題的起因DoS攻擊原理DoS防御方法提綱DDoS研究的意義28DDoS研究的意義：（1）DDoS研究的意義：（1）29（2）（2）30UCBerkeley教授ShankarSastry于2003.7在眾議院的國(guó)土安全委員會(huì)的聽(tīng)證會(huì)上指出DDoS及Worm攻擊是當(dāng)前主要的防衛(wèi)任務(wù)。（3）UCBerkeley教授S31國(guó)內(nèi)外研究的現(xiàn)狀

1）DHS,NFS在2004年資助幾個(gè)大學(xué)和公司啟動(dòng)了DETER（DefenseTechnologyExperimentalResearch）。這個(gè)項(xiàng)目的一個(gè)研究重點(diǎn)就是防御DDoS攻擊。2）信息產(chǎn)業(yè)部在2005年公開(kāi)向產(chǎn)業(yè)界招標(biāo)防御DDoS攻擊系統(tǒng)的設(shè)計(jì)方案國(guó)內(nèi)外研究的現(xiàn)狀

1）DHS,NFS在2004年32TheUniversityofCaliforniaBerkeley,UniversityofCaliforniaDavis,UniversityofSouthernCalifornia-InformationSystemsInstitute,NetworkAssociatesLaboratories,SRI,thePennsylvaniaStateUniversity,PurdueUniversity,PrincetonUniversity,UniversityofUtah,andindustrialpartnersJuniperNetworks,CISCO,Intel,IBM,Microsoft,andHPTheUniversityofCalifor33DOS問(wèn)題的起因

面向目的地址進(jìn)行路由Internet的無(wú)狀態(tài)性Internet缺乏身份鑒別機(jī)制Internet協(xié)議的可預(yù)測(cè)性（例如，TCP連接建立過(guò)程和擁塞控制）DOS問(wèn)題的起因 34（1）DoSDegradetheservicequalityorcompletelydisablethetargetservicebyoverloadingcriticalresourcesofthetargetsystemorbyexploitingsoftwarebugs.(2)DDoSTheobjectiveisthesamewithDoSattacksbutisaccomplishedbyaofcompromisedhostsdistributedovertheInternet.DoS攻擊原理（1）DoSDoS攻擊原理35（3）基于反射器的DDoS（3）基于反射器的DDoS36DoS防御方法

Ingress過(guò)濾tracebackpushback自動(dòng)化模型(控制器-代理模型)基于代理網(wǎng)絡(luò)的解決方案DoS防御方法

Ingress過(guò)濾37Ingress過(guò)濾主要目的：過(guò)濾假冒源地址的IP數(shù)據(jù)包為traceback提供幫助局限性：影響路由器的性能配置問(wèn)題Ingress過(guò)濾主要目的：38Traceback目的：證實(shí)IP數(shù)據(jù)包真正來(lái)源從源頭上阻斷攻擊攻擊取證方法：1)基于流量工程的方法2)基于數(shù)據(jù)包標(biāo)記的方法3)基于數(shù)據(jù)包日志的方法Traceback目的：證實(shí)IP數(shù)據(jù)包真正來(lái)源39基于流量工程的方法工作機(jī)制：首先使用UDPchargen服務(wù)產(chǎn)生短的突發(fā)流量，然后把突發(fā)流量注入到待測(cè)試的鏈路以觀察鏈路是否是攻擊路徑的一部分?；诹髁抗こ痰姆椒üぷ鳈C(jī)制：40優(yōu)點(diǎn)：1）花費(fèi)相對(duì)較低2）容易配置

缺點(diǎn)：1）不適用于多個(gè)攻擊者參與攻擊的情況2）整個(gè)追溯過(guò)程應(yīng)該在攻擊進(jìn)行的時(shí)候執(zhí)行，有時(shí)間上的約束

優(yōu)點(diǎn)：41基于數(shù)據(jù)包標(biāo)記的方法工作原理：基于數(shù)據(jù)包標(biāo)記的IP追溯方案使用了一個(gè)簡(jiǎn)單的概念。當(dāng)IP數(shù)據(jù)包經(jīng)過(guò)Internet路由器，路由器為數(shù)據(jù)包增加追溯信息。一旦受害者檢測(cè)到攻擊，受害者從攻擊數(shù)據(jù)包中提取追溯信息，使用這些信息重建攻擊數(shù)據(jù)包所經(jīng)過(guò)的路徑。因此，基于數(shù)據(jù)包標(biāo)記的IP追溯方案通常由兩個(gè)算法組成。一個(gè)是運(yùn)行在Internet路由器上的包標(biāo)記算法。另一個(gè)是受害者發(fā)起的追溯算法，這個(gè)算法使用在接收到的攻擊數(shù)據(jù)包里發(fā)現(xiàn)的標(biāo)記信息追溯攻擊者?；跀?shù)據(jù)包標(biāo)記的方法工作原理：42問(wèn)題為了重建攻擊路徑或攻擊樹(shù)，需要大量的攻擊數(shù)據(jù)包在重建攻擊樹(shù)的過(guò)程中，可能給受害者帶來(lái)巨大的花費(fèi)負(fù)擔(dān)；如果多個(gè)攻擊者參與攻擊，那么會(huì)產(chǎn)生高的誤報(bào)率。路由器CPU花費(fèi)問(wèn)題43基于數(shù)據(jù)包日志的方法工作原理：與在IP數(shù)據(jù)包寫(xiě)入路由器的信息不同，數(shù)據(jù)包日志方案是在路由器的內(nèi)存中寫(xiě)入數(shù)據(jù)包的信息（摘要、簽名或者數(shù)據(jù)包自身）。一旦受害者檢測(cè)到攻擊，受害者就會(huì)查詢上游（upstream）路由器以檢查它們的內(nèi)存中是否包含攻擊數(shù)據(jù)包的信息。如果在某個(gè)路由器中發(fā)現(xiàn)了攻擊數(shù)據(jù)包的信息，那么該路由器被認(rèn)為是攻擊路徑的一部分?；跀?shù)據(jù)包日志的方法工作原理：44問(wèn)題路由器存儲(chǔ)花費(fèi)從網(wǎng)絡(luò)路由器獲取數(shù)據(jù)包信息使用的方法是效率低的問(wèn)題45pushbackpushback46自動(dòng)化模型(控制器-代理模型)自動(dòng)化模型(控制器-代理模型)47優(yōu)點(diǎn)：當(dāng)攻擊沒(méi)發(fā)生時(shí)，代理和普通路由器一樣運(yùn)行。受害者能容易地確定來(lái)自不同攻擊系統(tǒng)的攻擊簽名。一旦受害者通過(guò)了鑒別，那么識(shí)別、阻止和跟蹤攻擊流量的過(guò)程完全是自動(dòng)化的。因此，響應(yīng)非常迅速?？梢詣?dòng)態(tài)地配置過(guò)濾器。