ddos攻击的原理与防御

1、DDos的攻击原理与防御检测机制Theory, Defense and Detection of DDos小组成员：阳健 庞孟 王荟雯目 录DDos研究背景及原理DDos的主要攻击方式实验DDos检测防御机制美国几个著名的商业网站（例如Yahoo、eBay、CNN、Amazon、 ）遭受DDos攻击。国内诸多网站，如暴风影音、百度等也屡遭攻击。2013年3月，欧洲的反垃圾邮件公司Spamhaus网站遭遇史上最大流量DDos攻击，攻击流量峰值高达300Gbps。DDos分布式拒绝服务单个攻击者的Dos攻击模型多攻击者的DDos攻击模型DDos攻击模型准备阶段：收集了解目标信息占领傀儡机和控制台实

2、施攻击DDos攻击过程DDos攻击现象：网络拥塞、无法正常处理请求、无法正常通讯、死机常用DDos攻击类型直接洪流攻击反弹式攻击攻击者向被攻击的主机发送大流量的攻击数据流以达到拥塞其网络带宽的目的。eg：TCP、UDP、ICMP攻击者向网络广播源IP地址为被攻击者IP地址的请求响应报文。eg：ICMP ECHODDos攻击分类代表性的DDos攻击程序主要有4种： Trinoo、TFN、TFN2K和Stacheldrant.攻击工具-TFN2KTFN2K德国黑客Mixter编写应该算是DDos攻击中的代表作，其所能实现的功能让人瞠目结舌，叹为观止.(对它的敬畏有如滔滔江水，连绵不绝.)Victi

3、ms：YahooAmazonCNNe-bayUs攻击工具-TFN2K主控端-tfn代理端-tdanyhost这个程序被设计成大多数的操作系统可以编译，以表明现在的操作系统没有特别安全的，包括Windows，Solaris，Linux及其他各种unix。加密icmptcpudp随机单向通信多达10种指令指令code自由配置伪造源地址端口SYN/ UDP/ ICMP/ SMURF/ TARGA3 / MIXC实验环境教学楼C106实验过程192.168.1.152Before实验过程192.168.1.121What I do实验过程192.168.1.152After 1min实验环境实验过程A

4、312192.168.2.120头脑风暴攻击开始后，各实验室都明显出现了网络拥塞。5、6分钟后，C106已经不能从外部访问。路由器，使用NAT穿透技术，使局域网电脑能够访问广域网。路由器的处理能力较大，但是，NAT table是有限的。主控端-tfn代理端-tdanyhost头脑风暴在广域网中攻击的时候，代理端均处在广域网，不会出现上述问题。新思路：如果要攻击局域网，无需使用DDos，只要在局域网内部安装木马程序，使路由器NAT table无法承载即可攻陷一个局域网。头脑风暴Normal Socket原理DataApplicationTransport LayerNetwork LayerRa

5、w Socket原理DataApplicationTransport LayerNetwork Layer目前DDos攻击检测主要有两种策略，基于误用的检测和基于异常的检测。基于误用的检测：根据已知的DDos攻击流特征进行检测，依赖于收集的DDos攻击的特征库。基于异常的检测：通过对网络流量的正常情况进行建模来检测网络中的异常状况，目前大多数检测方法属于此类。DDos检测策略检测时间：从攻击发起时刻到发现攻击的时间差检测率：检测攻击次数与实际发生攻击次数的比率误报率：正常网络行为误认为攻击次数与实际发生攻击次数的比率漏报率：有攻击情况下未检测到攻击的次数实际发生攻击次数的比率自适应性：根据不同

6、的攻击情况，能否自动进行自适应调整。DDos攻击检测技术的性能指标针对TCP协议层DDos攻击，我们知道，TCP协议是面向连接的，TCP协议的三次握手过程是通信双方互动和互相确认的过程，这使得TCP数据具有对称性和一定的稳定性。理想情况下，TCP数据流头部的标识位有如下统计特征：基于标志位与IP熵的检测算法当有DDos攻击发生时，以SYNFlooding为例，短时间来看网络中会涌现出大量的SYN和SYN+ACK数据报文，从而数据流头部的标识位会产生如下变化：基于标志位与IP熵的检测算法基于上述分析，我们可以为M1、M2设定合理的阈值参数，并作为衡量服务器是否收到DDos攻击的参考标准：当M1达到阈值，且M2为负数并达到给定阈值范围内，则进行入侵攻击警报。否则，转入下一个判定阶段：IP熵值计算判定。基于标志位与IP熵的检测算法DDos攻击一般利用大量的傀儡机来发起攻击，攻击发生的时间窗口内统计得到的源IP地址跟正常情况相比会多出很多，而且大多在之前都没有与目的IP进行通信，导致源IP分布的分散度大幅增大，也即IP熵值增大。我们可以采取信息熵对源IP地址的分散度进行度量，并合理设定IP熵的上限阈值，从而进一步判定服务器是否收到攻击。基于标志位与IP熵的检测算法其中，IP为时间窗口T内获取