DDoS攻擊防御技術(shù)的研究與實(shí)現(xiàn).pdf

1、分布式拒絕服務(wù)攻擊(DDoS)被稱為“黑客的終極武器”，因?yàn)槠涔羰址ê?jiǎn)單而攻擊效果好。攻擊者通過控制大量的傀儡機(jī)同時(shí)發(fā)送無用數(shù)據(jù)以消耗受害者的主機(jī)和網(wǎng)絡(luò)資源來達(dá)到攻擊的目的。而且，攻擊者為了逃避入侵檢測(cè) IDS和防火墻，采用了IP欺騙和仿造合法流量等手段，使得對(duì)DDoS的防范顯得越來越困難。
　　本文首先介紹了DDoS攻擊的原理和現(xiàn)狀，以及經(jīng)典的DDoS工具和相應(yīng)的防范措施等。重點(diǎn)剖析了基于路由器的DDoS的檢測(cè)和防御方法。防御

2、方面，著重分析目前的DDoS防御體系結(jié)構(gòu)和PushBack回推機(jī)制；檢測(cè)方面，主要分析基于統(tǒng)計(jì)學(xué)的檢測(cè)方法，包括基于熵和基于BloomFilter的檢測(cè)方法。
　　其次針對(duì)單一源端防御、中間網(wǎng)絡(luò)防御和受害端防御的不足，提出了一種分布式的防御體系DDS(Distributed Defending System)。將功能相同的防御節(jié)點(diǎn)多點(diǎn)部署到不同的路由器上，用一個(gè)管理節(jié)點(diǎn)來實(shí)現(xiàn)對(duì)整個(gè)體系中所有防御節(jié)點(diǎn)的統(tǒng)一管理，實(shí)現(xiàn)一種分布式協(xié)同防

3、御的效果。該防御體系可總結(jié)為“全局檢測(cè)、本地回溯、遠(yuǎn)端防御”十二個(gè)字。這樣一是可以繞開受害端的網(wǎng)絡(luò)瓶頸進(jìn)行攻擊回溯，二是可以將攻擊流扼殺在接近源端的地方從而減小攻擊流占用網(wǎng)絡(luò)帶寬而對(duì)網(wǎng)絡(luò)造成的危害。
　　然后，通過分析采用IP欺騙技術(shù)的DDoS攻擊包源信息的突變性質(zhì)，借鑒并改進(jìn)HIF(History-based IP Filtering)機(jī)制，結(jié)合統(tǒng)計(jì)學(xué)思想，提出一種新的基于源目的聚集檢測(cè)和識(shí)別算法。在檢測(cè)方面，按一定數(shù)量的數(shù)據(jù)包

4、中新出現(xiàn)的源IP地址的比例值構(gòu)造序列，采用序列變化點(diǎn)的檢測(cè)方法檢測(cè)到攻擊發(fā)生的時(shí)間點(diǎn)。識(shí)別方面，根據(jù)攻擊的目的IP地址都相似甚至相同，采取DBSCAN密度聚類方法，在眾多可疑數(shù)據(jù)包目的地址中找到極大目的地址聚集，該聚集中對(duì)應(yīng)的數(shù)據(jù)包源地址認(rèn)為是攻擊包的源地址。再將這些攻擊數(shù)據(jù)包的源地址集合再次映射成BloomFilter表，即攻擊特征信息表。其他防御節(jié)點(diǎn)收到該表后就可以根據(jù)源IP地址匹配判斷是否有攻擊包流過。
　　最后，對(duì)該策略進(jìn)