分布式拒绝服务攻击预防机制的研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇分布式拒绝服务攻击预防机制的研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:分布式拒绝服务攻击之所以在当前网络上很流行,是因为很难防御。阻止任何攻击最好的办法,是在攻击没有发生前,用有效的DDoS预防机制来阻止系统受到攻击,故研究预防DDoS攻击的有效方法就尤为重要。对DDoS的预防机制进行了全面的研究,并分析了每种防御机制的特点,用户可根据系统的实际配置,选择适合自身系统的DDoS预防机制。
关键词:分布式拒绝服务;拒绝服务;预防机制;过滤
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)24-5777-03
Research on the Prevention of DDoS Attack
TANG Li-juan, SUN Ke-zhen
(Nantong Commercial Vocational College, Nantong 226000,China)
Abstract:Distributed denial of service attack is very popular in the current network, because it was difficult to defense. The best way to prevent any attack, use effective DDoS prevention mechanism to prevent the system from attack before the attack, so the study on the effec tive prevention method of DDoS attack is very important. A comprehensive study on DDoS prevention mechanism , and analyzes each kind of defense mechanism characteristic, users can in accordance with the actual configuration, select a suitable system of DDoS preven? tion mechanism.
Key words:DDoS;DOS;prevention technology;filtering
DDoS攻击的巨大危害性,引起了全世界的高度重视,黑客采用DDoS攻击成功地攻击了几个著名的网站,包括雅虎、微软以及SCO、、ebuy、、、ZDNet、等国内外知名网站,致使网络中断数小时,造成的经济损失到数百万美元。由于其巨大的危害性,引起了人们的高度重视,科研机构、大学以及国内外的一些大公司纷纷对DDoS攻击的防御展开了深入的研究。
1 DDoS攻击的预防机制
预防任何攻击的最好方法是完全阻止攻击的发起,常用的DDoS攻击的预防机制如表1所示,下面分析每种机制的实现原理及特点。
1.1过滤机制
早期对DDoS攻击的预防主要通过过滤机制来实现,过滤机制可以分为输入过滤、输出过滤、基于路由器的包过滤、基于历史IP地址的过滤和SOS过滤。
1.1.1输入过滤
DDoS攻击一般通过伪IP地址的数据包发动攻击,如果能够防止攻击者伪造IP地址,那么DDoS攻击就不会像现在这么猖獗。输入过滤就提供了解决伪IP地址的方法。输入过滤通过路由建立存储IP地址的方法,例如不接受具有非法的源地址的数据包进入网络。由Ferguson和Senie提出的输入过滤[1],通过限制连接来降低在路由器的入口处的IP地址和域前缀不匹配的流量。如果所有的域都用上的话,这种机制能够明显的降低DoS攻击。当用C. Perkins提出的移动IP[2]来连接移动节点和外部网络时,该输入过滤有时误将合法的数据包丢掉。
输入过滤存在着一些不足:首先不能防止攻击者伪造IP地址为同一网段内的其他IP地址;其次输入过滤可能会影响到一些动态的网络应用服务;最后,如果想让输入过滤机制真正起到预防DDoS攻击的效果,就必须在整个网络中全局部署,起码现在这样部署是不可能的,因为这需要和ISP进行合作,而且会影响到某些动态网络服务的运行,同时增加系统管理员的负担和路由器的负载。
1.1.2输出过滤
输出过滤[3]是外部过滤,它保证了只有分配或指定的IP地址可以访问网络资源。除了配置问题,输出过滤和输入过滤类似。
1.1.3基于路由器的包过滤
由Park和Lee[4]提出的基于路由的包过滤,其实现原理是边界路由器根据路由信息来判断接收到的数据包中的源IP地址以及目的地址是否合法,若不合法则过滤掉该数据包。这种方法能够过滤出大量的伪源IP地址的数据包,从而阻止这些伪IP地址的数据包发动攻击,该方法也可以用来帮助IP追踪。基于路由过滤的最大优点是可以进行增量配置(据调查报告显示,部署只需占18%的自治系统AS拓扑就可以防止伪IP地址的数据包流向其它AS),不像输入过滤那样必须全局部署才起到作用。更重要的是,在Inter? net上的路由信息是根据时间来改变的,这样基于路由的过滤器就具有实时更新的功能。这种方法的主要缺点是它需要事先知道全局的网络连接和网络拓扑结构,这样测量方面存在困难。
1.1.4基于历史IP地址的过滤
由Peng等提出了基于历史IP地址的过滤[5],该过滤机制是从另一个技术角度来阻止DDoS攻击。这种方法的实现思想的是,边路由器根据已经建立的IP地址数据库来允许请求的数据包通过,而IP地址数据库是根据边路由器以前连接的历史而建立的,这种防御机制很健壮,因为它不需要和ISP进行合作,而且可以适用于很多数据流类型,需要的配置也少。然而,若攻击者知道IP包过滤器是基于先前连接建立的,它们可以误导服务器使它包括在IP地址数据库中。
1.1.5安全覆盖服务
安全覆盖服务[6]是一种体系结构,在这种体系结构中包是来自小数量的叫做Servlets的节点,并假设这些合法的客户端流量通过基于Hash路由的覆盖网络就能够到达servlets节点,而其它的请求由覆盖网络来过滤。为了访问覆盖网络,客户端必须复制其中的一个访问要点对自己进行鉴别。SOS以修改客户端系统为代价,对特定的目标起到很好的防御作用,因此它不适合用来保护公共服务器。
1.2其它有效的DDoS预防技术1.2.1关闭不用的服务
关闭不用的服务是另一种对付DDoS攻击的方法。如果网络中用不到UDP回应包或者是特征产生器服务,那我们可以关闭这些功能,这样有利于防御DDoS攻击。通常地,如果我们关闭网络服务中用不到的功能,相应服务的系统漏洞就不会出现,那么提供给攻击者的攻击漏洞就会少很多,这样有利于系统预防攻击。
1.2.2安装安全补丁
通过安装安全补丁,也能够保护主机免受DDoS攻击。我们可以通过在网络服务系统的主机上安装最新的安全补丁,这样提供给攻击者可用的漏洞就会少很多,再结合当前最有效的防御技术,可以大大降低DDoS攻击造成的影响。
1.2.3变换IP地址(Changing IP Address)
变换IP地址的防御思想,是通过用新的IP地址来代替受害者计算机的当前IP地址从而使得当前的IP地址无效,这样就转移了目标。一旦受害主机的IP地址变更完成,将通知所有的Internet上的路由器,边路由器收到通知后立刻丢掉攻击包。利用该方案,尽管攻击者可以向新的IP地址发起攻击,但是这种基于变换IP地址的方法对局部的DDoS攻击是可行的。这种方法的缺点是,攻击者可以通过对DDoS攻击工具增加域名服务跟踪的功能,从而使得该方案无效。
1.2.4关闭IP广播
通过关闭IP广播功能,ICMP洪水攻击和Smurf攻击中主服务器就不会被用作攻击放大器,从而使攻击者无法发起大规模的攻击。然而,要使这种防御机制有效,必须要求所有邻近网段全部关闭IP广播功能。
1.2.5负载平衡
负载平衡技术也是一种防御DDoS攻击的有效方案,网络提供者通过在关键线路增加网络带宽,以防止他们在受到攻击时网络瘫痪。而且在多层服务器架构中,使用负载均衡是非常有必要的,不仅可以改善常规的服务,而且对DDoS攻击的预防和缓解也起到很大的作用。
1.2.6蜜罐技术
蜜罐技术是近几年发展起来的,一种基于诱骗理论主动防御的网络安全技术。蜜罐系统不是真正的系统,它使用有限的安全策略欺骗攻击者来攻击蜜罐。蜜罐不仅可以用在防护系统中,而且可以用它们存储攻击活动的记录和知道攻击者攻击的类型以及攻击者用的是什么软件工具进行的攻击,从而来获得关于攻击者的信息。当前的研究讨论用蜜罐来模仿合法网络工作的各个方面(例如Web服务器,邮件服务器,客户端等)来吸引潜在的DDoS攻击者。这种思想是引诱攻击者相信,它找到了可用的系统(如蜜罐)来作为合作伙伴进行攻击,并且吸引它在蜜罐上面安装操纵端或者端的代码。这样就会防止一些合法的系统受到利用,跟踪操纵者或者端,这样可以更好的了解如何防御以后的DDoS攻击的配置。故相对于入侵检测、防火墙等传统的安全防御技术,蜜罐技术可使在防御DDoS攻击中变被动为主动,从而有效的预防DDoS攻击的发生。
蜜罐按照其与入侵者交互程度可划分为低交互和高交互蜜罐,交互度反映了攻击者在蜜罐上进行攻击活动的自由度。低交互蜜罐一般仅仅模拟操作系统和网络服务,入侵者不可能得到真正系统的访问权限,而高交互蜜罐具有一个真实的操作系统,它对攻击者提供真实的系统,所以危险性比较大。在预防实施时,可以通过在受害者增加一台高性能的专用机器和一个蜜罐子网,当检测模块检测到系统遭到DDoS攻击时,将数据流迁移到专用机器上,将请求用户的IP地址与IP表中的用户对照(这里的IP表和缓解模块中的IP表可以共用),不在IP表中的用户将牵引到蜜罐子网,而在IP表中的用户将继续访问真实的系统,这样不影响VIP用户的正常访问。蜜罐主机系统记录攻击的行为,并将这些信息保存到日志文件中,日志文件可以存放在受害者主机,但要求有严格的访问权限,受害者可以通过这些日志信息,通知追踪模块,重构出攻击路径。
2结论
对DDoS的预防机制进行了全面的研究,并分析了每种防御机制的特点,用户可根据系统的实际配置,选择适合自身系统的DDoS预防机制。预防机制增强了系统的安全,但是它不能够完全移除DDoS攻击的威胁,因为预防的措施都是针对已存在的DDoS攻击类型,对新类型的攻击总是存在缺陷,因为这些新类型的DDoS攻击的认证和补丁还没有存储在数据库中,因此要结合攻击的检测、追踪和响应等措施,以保证系统的安全。
参考文献:
[1] P. Ferguson,D. Senie,Network ingress filtering:defeating Denial of Service attacks which employ IP source address spoofing,RFC 2827[R], 2001.
[2] C. Perkins,IP mobility support for IPv4,IETF RFC 3344[R],2002.
[3] Global Incident analysis Center Special Notice Egress filtering[C]/y2k/egress.
[4] K. Park.On the effectiveness of route-based packet filter for Distributed DoS attack prevention in powerlaw Internets [C].New York, 2001: 15-26.
[5] T.Peng.Protection from Distributed Denial of Service attack using history-based IP filter Proceedings of IEEE International Conference on Communications [C].USA, 2003.
[6] A. Keromytis, V. Misra, D. Rubenstein,SoS:secure overlay services, Proceedings of the ACM SIGCOMM_02 Conference on Applications, Technologies, Architectures and Protocols for Computer Communications[C]. New York, 2002: 61-72.