拒绝服务攻击综述2

DDoS的检测分类

1. 基于某种具体DDoS攻击的特征检测。
2. 借用入侵检测系统进行异常检测。

1. 特征检测

MULTOPS监控出入链路的流量，当流量比异常时，认为有可能发生DDoS攻击；SYN和FIN包比例最早用于SYN洪泛攻击检测。Bloom Filter记录一段时间内的SYN包数量，消除FIN/RST包的影响。还有基于时间序列，光谱分析，小波分析和统计特性等。光谱分析假设攻击流量没有周期性的特征且进队TCP流有效，时间序列仅对部分已知攻击有效。

基于统计特性和机群学习等来检测。

针对应用层DDoS攻击，利用半隐马式描述用户流量网页的行为，然后据此检测HTTP请求flood攻击。组测试理论：假设攻击者的请求速率大于正常用户，利用最少的检测次数找到与其他成员不一样的成员，核心思想是如何判定某个攻击者的请求速率大于正常速率

2.基于校验工作的认证方式

包含两种类型：1）用户如果要获得某项服务，必须付出某种货币（currency），如CPU（大数分解问题）、内存，甚至带宽资源；2）利用反向图灵测试（CAPTCHA）区分攻击者和用户。

 

哈希函数可以选择MD5或SHA。

 

利用带宽作为货币，攻击者利用全部的攻击流量作为攻击带宽，服务器要求访问者提高带宽以获得服务，而攻击者无法提供，正常用户可以。

 

自适应选择验证ASV，让回客户端自适应的发送额外的请求。服务器选择性的验证，然后给予某些客户端更多的服务。

 

Kill bots包含两个工作阶段，利用Bloom filter记录攻击者IP地址。当新的TCP建立时，kb首先检测该客户端是否为攻击IP，如果不是，将根据目前系统的负载安装一定的概率接收连接。如果客户端能够正确输入图片上的文字，则会被授予一个短时效的cookie，用于接下来的连接。

3.基于网络过滤的防御

在攻击源头部署过滤设备，构成一个分布式系统，协同抵抗DDoS攻击。

 

Pushback，根据路由器的拥塞程度，对数据包进行过滤，丢弃发往同一个目的地址的数据包，并发送一个Pushback消息给相连的路由器，然它们也去限制目的地址为此地址的数据包，最终希望能够在攻击包进入网络时即被过滤。

 

利用ISP之间的路由和隧道来抵御DDoS攻击，在网络中部署一些控制点，有这些控制点来安装过滤器以过滤目标系统不希望接收的网络流量。CAT在信任区域部署大量Cookiebox，这些box利用SYN cookies技术与客户端建立连接，防止IP欺骗。