最近因为老师的吩咐...去了解了一下DDoS。我的专业并不是信息安全,我学的是网络工程,所以,我并没有网络攻防的相关知识,有的,只是还算见得了人的计算机网络的基础知识...翻了博客园里的相关文章,感觉说得比较空泛,然后又去期刊网扒了一下,随手下了几篇论文看看。然后,整理着整理着就有了这篇小文。因为我也是新手,所以有些看法可能会比较稚嫩Orz。本着我们是正义的化身,是维护计算机世界和平与安宁的360,这篇小文不涉及“攻”,重点是“受”...【喂,你够了!】哦,不,是“守”!
好吧,废话不多说,开始上菜了。
一、什么是DDoS
官方的,学术的,规范的描述请自由地百度...
就说一下我看了那么多资料后觉得比较好的分类吧【太囧了,连分类都没有什么统一的说法,很多资料把下面的那种资源耗尽型作为DDoS,但是我比较认可下面的分法】——
DDoS攻击可以分为2类:
a.带宽耗尽型,带宽耗尽型主要是使目标网络拥塞,大量消耗网络带宽,导致网络不能提供正常服务;
b.资源耗尽型,资源耗尽型是攻击者利用服务器处理缺陷,大量消耗目标服务器的关键资源,如CPU、内存等,导致服务器无法提供正常服务。
二、解决方法之东北乱炖版
1.基于数据挖掘(Data Mining,DM)
原理:在收集到的数据包中自动分析,提取特征和模式,生成有意义的规则,建立能识别正常行为和DDoS行为的分类模型。
流程:数据收集-->数据预处理(数据清理、约简、离散化等)-->关联规则(建立攻击模式和用户正常行为轮廓)-->特征提取(从当前用户行为数据中提取当前用户行为特征)-->建立检测模型(分类算法)-->DDoS检测(协议分析、模式匹配或异常越界检查,根据DDoS检测算法,提取规则库的规则对当前用户行为特征进行检测)-->DDoS响应(若是DDoS行为,则系统报警,采取防治措施,留证据)
2.基于流量统计
原理:通信双方以TCP协议传输的数据包数是成比例的,相对于流向于网络(或主机)的数据包数量而言,如果返回的数据包数量过少的话,这类数据包便被认为是恶意的(应该丢弃)
方法:计算R=流入包数量/流出包数量,根据R值分为进攻模式和被进攻模式。
当发现R<某个阈值时,处于攻击模式,确定进攻于子网(主机)的IP,通过丢弃发送于此网(或主机)的数据包阻止攻击。
当发现R>某个阈值时,处于被攻击模式,确定被害子网(主机)的IP,通过丢弃发到此网(或主机)的数据包阻止攻击。
实现:地址树形结构(4层,每个节点有256子节点,可以表示所有IPv4地址范围)
优点:这个算法的思想非常简单,抓住TCP通信的特点,通过计算出入数据包的比率来判断是否发生DDoS攻击。因为DDoS攻击发起时非常迅速,短时间内流量非常大,所以简单的办法是最合适的,因为可以达到“快速”的要求。
缺点:使用设阈值来判断的方式显得太过生硬,有时可能会误判,也就是判断的准确率不够高。而且树形的数据结构,有可能过大。
3.基于信息熵
原理:信息熵表征的是离散随机事件的出现概率。一个系统越是有序,信息熵就越低;反之,一个系统越是混乱,信息熵就越高。
访问行为:
|
| DDoS攻击 |
| Single-URL | 当Single-URL 攻击发生时,对某一个 URL 的请求频率会显著上升,这与正常情况明显不同 |
| Multi-URL | 某些 URL 的请求率将远高于热点网页 URL 的请求率 |
| Random-URL | 对每一个 URL 的请求率基本相同,而用户访问网站不具有这样的特征。 |
| SpiderMode-URL | 它区别于正常用户访问的特征是 URL 请求更加集中在主页和一级页面。 |
由于几类应用层 DDoS 攻击发生时都将显著改变URL 请求率,而信息熵可以较好地度量一个阶段的URL 请求率变化趋势,可以将请求的 URL 作为离散随机变量,根据 URL 请求率可得到相应的信息熵。如果信息熵相比于正常情况下发生显著变化,则可判断为发生应用层 DDoS 攻击。【通俗的理解:DDoS攻击的一个特征,或者说是“原理”,就是短时间内的“集中”,而集中意味着什么?“有序”。有一个或者几个url一直被访问到,而现实生活中的访问规律是比较随机的,“无序”的,所以信息熵正是表征这种特性的工具】
4.基于拥塞控制和资源调节
资源调节的原理就是:流量分类,然后通过窗口技术、加权公平队列(WFQ),控制资源分配
【后记】DDoS应该还是属于一个研究热点吧,因为我所看到的文献里面并没有非常清晰的解决办法,基本上就是一篇文章提出一种算法,并没有某一种是大家非常公认的主流的方法,所以都还是处于一个各种讨论的阶段。而我,从完全看不懂算法到慢慢去理解,到把自己的想法和总结写下来,也觉得学了很多,这种一步一个脚印的感觉令人非常心安,于是,小记此文。
扫一扫
3195
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
