一种改进的DDOS攻击检测与防御系统设计摘要

1、 一种改进的DDOS攻击检测与防御系统设计摘要图1系统设计原理1.2模块化设计无论对于系统的设计还是测试,合理的ddos攻击源都必不可少即要能在短时间内产生大量的具有虚假源地址的tcp/ip数据包,并将这些数据包同时发送至同一服务器主机。对此,实验中以tcp/ip 包发送工具hping为基础上设计出一个能够采用虚假源地址发送tcp包的ddos攻击器。其设计原理是通过更改ip包头设置中的对应字节,得到需要类型的数据包包括ip包的源地址,目的地址以及通信协议等,然后将其从对应网络端口发出。该模块用于实现将网络中流过服务器的tcp包数量,以图形方式动态显示,从而便于人员观测当前网络流量状态,其设计原

2、理主要分为数据包的获取解析与流量图的绘制。在设计中,通过编写接口程序,对经过网络端口的ip包包头进行校验,以此判断包的类型。当检测到tcp的syn包、数据包等特殊包后,响应计数器记录加一,并将此记录反馈至绘图模块,实现对网络tcp流量的图形观测。在syn flooding攻击中, 攻击者向服务器发送大量伪造源ip地址的syn 请求包, 服务器返回syn /ack应答包后得不到确认, 就会不断地对伪造的ip 地址进行重试直至超时丢弃, 由于syn 连接请求的速度远大于服务器超时丢弃的处理速度。因此, 服务器的半连接列表很快就被塞满, 致使客户的正常请求得不到响应, 以实现拒绝服务的目的。介于dd

3、os这种攻击特性,系统运用正确建立连接数的差别实现对ddos攻击检测报警。首先对tcp连接信号syn进行抽样,设d为检测周期,syn_n为抽样间隔内源端网络中syn包的数量,fin_n为 fin包的数量。记:det_n = syn_n fin_n一般情况下, det_ n与网络的规模、抽样间隔相关, 为减少上述因素的影响, 提高算法的通用性, 对det_n 进行归一化处理:记:det_n= det_n/syn_ n= (syn_n fin_n/syn_ n n=1,2实验中给出一个门限值h,当_nh,则报警。当路由器检测到流量异常时,会自动进入智能防御方式。在此阶段,路由器会接受到分别来自服务

4、器与外界输入两个方向的tcp数据包,因此需要在路由器上建立两个缓存队列,分别为外界tcp队列以及确认正常的tcp信息队列。外界tcp队列(队列1主要用于记录外界向服务器发起的tcp连接信息,其中主要包括该tcp连接的mac源地址、ip源地址、ip源端口、ip目的端口、路由器向外部提供的序列号seq、连接状态标志位state。通过此队列所记录的信息,路由器实现了与外界输入的模拟tcp三次握手过程。表1外界tcp队列的数据单元存储信息mac源地址(48 bits ip源地址 (32 bits ip源端口 (16 bits ip目的端口 (16 bits 向外界提供的序列号seq (32 bits表

5、1描述了外界tcp队列存储单元信息,经计算,一个数据单元所占空间为144 bits=18 byte 确认正常的tcp信息队列(队列2,主要用来完成对tcp数据包过滤即符合条件的tcp包可以直接通过,否则丢弃,以缓解服务器压力。下面主要讨论了tcp包有外界发起与tcp包有服务器发起两个过程中,路由器的工作流程。当tcp包由外界发起时,工作流程如图2所示。图2外界发起tcp时路由器工作流程当tcp包由服务器发起时,工作流程如图3所示:图3服务器发起tcp时路由器工作流程1.3系统的功能与指标实验中分别从路由器所能承受的syn攻击速度与队列占用空间容量两个指标对其进行分析,下面是理论计算中用到的符号

6、:syn_speed 表示ddos的攻击速度t表示正常tcp握手连接中第一次握手与第三次握手的时间间隔即tcp建立时间l表示路由器中用来存储外界tcp信息的队列长度速度指标:根据分析,要想保证一个正常的tcp连接信号不会因队列过满而挤掉,要求lsyn_speed*t(1查询数据手册,路由器(以netfpga 为例的工作频率为125mhz,并且假设扫描一个数据单元需要4个时钟信号,则要想保证每个syn包到来时,路由器能够对整个数据队列进行一次完整扫描,要求1syn_speed1125m(2容量指标: 查询数据手册,netfpga可用于存储数据的空间有4.5mb,假设开辟的数据队列空间为2mb,对

7、于外界tcp队列中每一个数据单元根据之前所述其长度为18b,因此从容量角度考虑要求:l*18<2*106(3指标分析:结合以上3式,可以得到syn_speed*t*182*106路由器本身容量限制syn_speed2*t1254*106路由器主频限制以上两式反应出ddos攻击速度syn_speed 与握手间隔t之间的制约关系。同时通过对比计算,发现在t<105s时,主频限制占主导因素,且时间越小其影响作用越大。考虑到实际情况只需分析主频限制条件下,syn极限速率与建立时间t的关系情况。图4syn攻击速率、队列空间与tcp建立时间关系图4所示两图中,左图描述的是syn_speed极限

8、速率与tcp建立时间的关系示意图,可以发现在tcp建立时间增大时,syn_speed 明显减小,受到严重制约。当t=0.1ssyn_speed=17000当t=1ssyn_speed=5500当t=30ssyn_speed=1000右图描述了队列所占空间随tcp建立时间变化。经计算得,当t<30s 时,队列空间均小于600k,完全不受硬件空间限制。经过分析: (1在硬件设施中,运算速度成为制约syn_speed的主要因素。 要想提高路由器抗ddos攻击能力,需要提高运算速度;(2硬件条件一定的情况下,syn_speed主要受tcp建立时间的制约。在网络状况不佳时(设建立tcp所需时间为1

9、s,syn_speed 的极限为5500;在网络状况良好时(建立tcp所需时间为0.1 s,syn_speed的极限为17000;(3在硬件状况不变的情况下,要想提高服务器的抗击能力,可尝试路由器级联结构,将网络流量分割给多个路由器处理。2性能测试2.1测试环境在测试中共需要4台电脑,完成整个过程测试。4台电脑的要求及其作用分别为:一台要求是装有neffpga开发板的台式电脑,其系统为centos 5.0。该电脑主要用于与netfpga进行通信;另外3台电脑对系统无明显限制,正常windows xp及其以上的操作系统均可。在测试中,使用一台作为服务器用于接收外界发送的数据,剩余两台作为数据的发

10、送源,其中一台正常发送tcp数据包,另一台对服务器进行ddos攻击。将4台电脑连成局域网模拟整个过程。2.2系统测试流程测试目的:得出正常情况下的tcp链接情况,便于和ddos攻击的情况比较。操作描述:设定发送信息(a和接收信息(b主机的ip; 结果分析:图5正常情况下抓包程序显示结果结果分析:图6遭受攻击境况下抓包程序显示结果 机a回复b一个syn/ack,但之后主机b不会在给a发ack确认信号,也就是tcp三次握手连接并没有真正建立。本文采用2000年darpa第5周第2天的检测评估数据作为实验背景数据图7描述了正常情况中,syn 与fin包的变化关系在此基础上,通过hping由主机a对主

11、机b进行ddos攻击,以50packets/s 的速率发送syn flooding,攻击检测算法在发包3分钟后开始检测,我们以10s为检测周期,连续抽样200次,测量在不同的门限值的条件下,算法的误警率。表3给出了该过程的计算结果:图7正常情况下syn与fin包关系表2ddos攻击检测结果攻击次数判决门限正确判断次数误警次数误警率测试目的:通过比较一台遭遇攻击的主机和一台加上了防御模块的主机遭受攻击程度,得出该防御系统的性能。操作描述:设定发送信息主机(a和c和接收信息主机(b和d的ip;让主机a拟造虚假ip发送ddos攻击,主机c发送正常的tcp数据包;主机b和主机c同时接收来自主机a和主机

12、c 的数据包,其中主机b加上了防御模块,而主机d是直接接受;分别检测两种情况下的数据流量,通过流量图显示差别。结果分析:图8正常情况下的发包量上图为正常tcp包的累计量,主机c以每秒2个包的速度进行发包。图9遭受ddos攻击时的发包量在上图中主机a以每秒400包左右的速度发送ddos攻击。从主机b上接收到得数据流量如上图所示,从中可以看出其中ddos 攻击的数据包基本被滤除,留下的数据包基本上是有主机c发送的正确的数据包。测试结果与预期相同。图10路由器过滤后数据流量3结束语防范ddos攻击是一个系统工程,本系统也仅能做到防御syn flood 类的ddos攻击,防范总类繁多的ddos攻击仅依靠某一种技术是不现实的。只有事先增强对ddos攻击的防御能力,ddos攻击时及时对其进行检测,受到ddos攻击后及时进行可靠的防御,综合运用各种技术,对ddos攻击进行抵抗,从而增加攻击者的攻击成本,使绝大多数攻击因成本开销过大而放弃。本文的探究仅仅只是一个开始,因为时间和知识储备的不足,仍然有待改进。参考文献: 1刘志雷.基于变动和式累积检验算法的ddos攻击检测j.计算机仿真,2009(8.2alberto leon garcia,indra munication networkm.北京:清华大学出版社,2005.3田耘,徐文波.xilinx fp