拒绝服务攻击综述2

DDoS的检测分类

  1. 基于某种具体DDoS攻击的特征检测。
  2. 借用入侵检测系统进行异常检测。

1. 特征检测

MULTOPS监控出入链路的流量,当流量比异常时,认为有可能发生DDoS攻击;SYN和FIN包比例最早用于SYN洪泛攻击检测。Bloom Filter记录一段时间内的SYN包数量,消除FIN/RST包的影响。还有基于时间序列,光谱分析,小波分析和统计特性等。光谱分析假设攻击流量没有周期性的特征且进队TCP流有效,时间序列仅对部分已知攻击有效。

基于统计特性和机群学习等来检测。

针对应用层DDoS攻击,利用半隐马式描述用户流量网页的行为,然后据此检测HTTP请求flood攻击。组测试理论:假设攻击者的请求速率大于正常用户,利用最少的检测次数找到与其他成员不一样的成员,核心思想是如何判定某个攻击者的请求速率大于正常速率

2.基于校验工作的认证方式

包含两种类型:1)用户如果要获得某项服务,必须付出某种货币(currency),如CPU(大数分解问题)、内存,甚至带宽资源;2)利用反向图灵测试(CAPTCHA)区分攻击者和用户。

 

哈希函数可以选择MD5或SHA。

 

利用带宽作为货币,攻击者利用全部的攻击流量作为攻击带宽,服务器要求访问者提高带宽以获得服务,而攻击者无法提供,正常用户可以。

 

自适应选择验证ASV,让回客户端自适应的发送额外的请求。服务器选择性的验证,然后给予某些客户端更多的服务。

 

Kill bots包含两个工作阶段,利用Bloom filter记录攻击者IP地址。当新的TCP建立时,kb首先检测该客户端是否为攻击IP,如果不是,将根据目前系统的负载安装一定的概率接收连接。如果客户端能够正确输入图片上的文字,则会被授予一个短时效的cookie,用于接下来的连接。

3.基于网络过滤的防御

在攻击源头部署过滤设备,构成一个分布式系统,协同抵抗DDoS攻击。

 

Pushback,根据路由器的拥塞程度,对数据包进行过滤,丢弃发往同一个目的地址的数据包,并发送一个Pushback消息给相连的路由器,然它们也去限制目的地址为此地址的数据包,最终希望能够在攻击包进入网络时即被过滤。

 

利用ISP之间的路由和隧道来抵御DDoS攻击,在网络中部署一些控制点,有这些控制点来安装过滤器以过滤目标系统不希望接收的网络流量。CAT在信任区域部署大量Cookiebox,这些box利用SYN cookies技术与客户端建立连接,防止IP欺骗。

 

posted @ 2012-05-22 18:31  kenail  阅读(288)  评论(0编辑  收藏  举报