一种基于网络流量特征分析的DDOS攻击检测技术.pdf

《一种基于网络流量特征分析的DDOS攻击检测技术.pdf》由会员分享，可在线阅读，更多相关《一种基于网络流量特征分析的DDOS攻击检测技术.pdf（46页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、河北大学硕士学位论文一种基于网络流量特征分析的DDOS攻击检测技术姓名：庞涛申请学位级别：硕士专业：计算机应用技术指导教师：田俊峰20090501摘要摘要随着计算机网络的日益普及，它与人们日常生活的关系越来越密切。但是网络是一把双刃剑，它给我们带来便利的同时，也给我们带来了诸多问题。在众多的问题当中，网络安全是首要问题。目前网络入侵事件频繁发生，各种攻击手段也层出不穷，其中拒绝服务攻击( D O S ) 以其攻击范围广、简单有效、破坏性大、隐蔽性强和难以防御等特点成为最常见的网络攻击手段之一，极大地影响网络和主机系统的有效服务，尤其是分布式拒绝服务攻击( D D O S ) ，其潜伏期长、隐蔽

2、性更强、攻击并发程度高、破坏性更大，严重威胁着I n t e m e t 的安全，给互联网带来了不可估量的损失。但是，目前针对D D O S 攻击进行检测、防范和反击的研究工作并没有实质性的重大突破，也没有能准确及时预测D D O S 攻击发生的有效方法，D D O S 攻击的检测与防护是当前网络安全领域的重要前沿。为了能够及时准确地检测D D O S 攻击的发生，本文在分析D D O S 攻击过程中网络流量变化的基础上，提出了一种基于网络流量特征分析的D D O S 攻击检测技术一N T C A D 。并设计了采用该方法检测D D O S 攻击的模型，解决了方法实现过程中参数的选择、参数样本

3、的分类等一些关键的问题，并做了模拟实验加以验证，试验表明，提出的方法能准确的检测出攻击，且误警率很低，比传统的检测方法更简单、易实现。关键字：D D O S 检测攻击流量分析聚类算法A b s t r a c tA b s t r a c tW i t ht h ep o p u l a r i t ya n dd e v e l o p m e n to fc o m p u t e rn e t w o r k ，i ti n c r e a s i n g l yb e c o m ec l o s et ot h ep e o p l e Sd a i l yl i v e s B u

4、 tn e t w o r ki sad o u b l e - e d g e ds w o r d ，i tb r i n g sU Sc o n v e n i e n c e ，b u ti ta l s ob r i n g sU Sal o to ft r o u b l e A m o n gt h em u c hi s s u e , n e t w o r ks e c u r i t yi s 研耐够A tp r e s e n t ,n e t w o r ki n t r u s i o ne a s eh a p p e nf r e q u e n t l y ,

5、v a r i o U Sm e A I I L $o fa t t a c ko n ea f t e ra n o t h e r D e n i a lo fs e r v i c e ( D O S ) a t t a c k sh a sb e c o m eo n eo ft h em o s tc o m m o nm e a n so fn e t w o r ka t t a c k ，b e c a u s ei ti ss i m p l ea n de f f e c t i v e ，i t sa t t a c kr a n g ei sw i d e r ，a n

6、 di t sd e s t r u c t i v ei sl a r g e ，s u b t l ea n dd e f e n s eh a r d l y I ta f f e c t sg r e a t l ye f f i c i e n td e l i v e r ys e r v i c eo ft h en e t w o r ka n dt h eh o s ts y s t e m I np a r t i c u l a r , d i s t r i b u t e dd e n i a lo fs e r v i c e ( D D O S ) a t t a

7、 c k sh a sb r o u g h tas e r i o U St h r e a ta n di m m e a s u r a b l el o s st ot h ei n t e m e t , b e c a u s eo fi t sl o n gi n c u b a t i o np e r i o d ，l l i g hC o n c u r r e n t ，m o r es u b t l e , m o r ed e s t r u c t i v e B u t ，n o w a d a y sS C 燃I I t ob e1 1 0s u b s t

8、a n t i a li m p r o v e m e n ti na n t i D D O Sr e s e a r c ho na t t a c kp r e v e n t i n g ，d e t e e t i n g & r e t o r t i n gy e t ，n o rd i da n ye f e c t i v em e t h o da p p e a rt op r e d i c tt h eD D O Sa t t a c k si nt i m e D D O Sa t t a c k sd e t e c t i o na n dd e f e n

9、d i n gi so n eo ft h ef r o n t i e ri nt h ef i e l do fn e t w o r ks e c u f i t I nt h i sp a p e rw e p r o p o s ean o v e lm e t h o d ( N T C A D ) f o rd e t e c t i o no fD D O Sa t t a c k sb ys t u d y i n gi t sa r c h i t e c t u r ea n dt h ec h a n g eo fn e t w o r kt r a f f i ci

10、nt h ep r o c e s so fa t t a c k A n ds o f t w a r em o d e lf o rt h em e t h o di sd e s i g n e d I na d d i t i o n ，K e yi s s u e so ft h ec h o i c eo fp a r a m e t e ra n dt h ec l u s t e ra n a l y s i so ft h es a m p l ei sr e s o l v e d T h es i m u l a t i o nt e s tr e s u l ts h

11、o w st h a tt h ea t t a c kC a nb ed e t e c t e da c c u r a t e l ya n dp o l i c ee r r o rr a t ei sv e r yl o w T h i sm e t h o di ss i m p l e ra n de a s i e rt oa c h i e v et h a nt h et r a d i t i o n a ld e t e c t i o nm e t h o d K e y w o r d s ：D D O Sd e t e c t i o na t t a c kt

12、r a f f i ca n a l y s i sc l u s t e ra l g o r i t h m河北大学学位论文独创性声明本人郑重声明：所呈交的学位论文，是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得河北大学或其他教育机构的学位或证书所使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示了致谢。作者签名：Z 趁速日期：丝呈2 年_ 旦日学位论文使用授权声明本人完全了解河北大学有关保留、使用学位论文的规定，即：学校有权保留并向国家有关部门或

13、机构送交论文的复印件和电子版，允许论文被查阅和借阅。学校可以公布论文的全部或部分内容，可以采用影印、缩印或其他复制手段保存论文。本学位论文属于1 、保密口，在年月日解密后适用本授权声明。2 、不保密d 。( 请在以上相应方格内打“ )保护知识产权声明本人为申请河北大学学位所提交的题目为懒睡磙量惜钲务扦私魄拗槲的学位论文，是我个人在翟蛔钍、啼指导并与导师合作下取得的研究成果，研究工作及取得的研究成果是在河北大学所提供的研究经费及导师的研究经费资助下完成的。本人完全了解并严格遵守中华人民共和国为保护知识产权所制定的各项法律、行政法规以及河北大学的相关规定。本人声明如下：本论文的成果归河北大学所有，

14、未经征得指导教师和河北大学的书面同意和授权，本人保证不以任何形式公开和传播科研成果和科研工作内容。如果违反本声明，本人愿意承担相应法律责任。声明人：一衣诗日期：至竺2 年厶月正日作者签名：Z 丝! 查日期：赳吐月堡日导师签名：第1 章绪论1 1 研究背景及重要意义第1 章绪论近些年来，计算机网络技术飞速发展，I n t e r a c t 迅速普及，网络正逐步改变着人们的生活和工作方式，全球信息化已成为社会发展的大趋势，因此，网络的安全问题也变得越来越重要。目前网络入侵的频率越来越高，入侵的危害性也越来越大，尤其是以消耗网络资源的入侵行为愈演愈烈。而网络带宽作为一种宝贵的资源，直接影响到人们访

15、问网络的质量。因此，如何保证带宽资源的有效利用，及时发现和防御恶意消耗网络带宽的行为是一个重要的研究方向。从影响网络整体的性能上来看，其中分布式拒绝服务攻击危害巨大。分布式拒绝服务攻击，即D D O S 攻击，是一种分布式的、协作的大规模拒绝服务攻击，能在一定时间内，使被攻击的网络或主机彻底丧失正常服务的能力。随着D D O S 攻击软件的出现，如T r i n o o ，T F N 2 K ，T F N 等，发动D D O S 攻击变得更加容易，许多著名的网站如A m a z o n ，Y a h o o 及C N N 等都曾因D D O S 攻击导致网站关闭【1 】。因此，如何防御D D

16、O S攻击在网络安全中就显得尤为重要。统计表明，近年来，D D O S 攻击的数量还一直呈快速增长趋势，D D O S 攻击已经成为网络稳定的一个主要威胁 2 5 。解决D D O S 攻击问题已迫在眉睫，而检测D D O S 攻击就显得尤为重要。1 2 国内外研究现状1 2 1 国外研究状况自从1 9 9 9 年8 月份发生第一起D D O S 攻击事件以来，人们就开始对D D O S 攻击及其防御方法展开了研究。早在1 9 9 9 年1 1 月份，由C E R T C C 发起的D i s t r i b u t e d S y s t e m sI n t r u d e rT o o

17、l sw o r k s h o p 发表了一份报告，就对D D O S 攻击问题做了全面的阐述，不但详细分析了分布式系统攻击的原理，还从预防、检测、响应三方面依次给出了解决方案，河北大学工学硕+ 学位论文紧接着几个著名的安全组织( 如S A N S 和C i s c oS y s t e m s ) 也给出了如何防御D D O S 攻击的建议。另外，一些个人研究也十分活跃，华盛顿大学的D a v eD i t t r i c h 很早就开始对D D O S攻击展开了研究，并提供了最新的D D O S 攻击及防御的研究资料，为研究D D O S 攻击作出了很大贡献。当前，在国外关于D D O

18、S 攻击检测和防御的研究也有很多，其中，M a h a j a n 6 提出了一种基于中间路由器输出队列拥塞控制的D D O S 攻击防御机制，拥塞的发生是根据丢包率决定的，当需要限制拥塞的流入量时，路由器就发送信息给上游的路由器要求控制输出链接的带宽，但这个机制不能提供智能的检测D D O S 攻击的方法，它仅仅注重控制引发拥塞的网络流。S t e r e i l e i n 7 提出了一种基于神经网络的检测系统，虽然评估数据显示此系统以低的误警率改善了检测率，但是应用系统的多层感知需要更多的计算时间做攻击检测的确定，所以最终检测到攻击的时间是减少了还是增加了是不确定的。F e r g u

19、s o n 【8 】的方法是在出口路由器上对每个包的源I P 地址的有效性进行检查，如果发现某个包的源I P 地址不属于该子网，说明该包很有可能被实施了源I P 地址伪装，这样包将会丢弃。这个方法可以阻止以随机方式生成的伪装I P 地址，然而此法的实现会使路由器的性能下降，因此没有被网络服务商广泛采用。L e m o n 9 】提出使用S Y NC a c h e 和C o o k i e 方法来对付S Y N 淹没攻击。在建立真正的T C P 连接前，使用C a c h e 临时存储T C P 三次握手情况，这种方法提高了对S Y N 淹没攻击的容忍力，但是当S Y N 包大量到达时，依然可

20、以耗尽所有的C a c h e 和主机资源。S Y NC o o k i e 不保留T C P 连接状况，而是计算出一个特定的C o o k i e 并发送给客户端，当客户端返回第三次握手A C K 包时要求提供此C o o k i e ，经过再一次的计算，可以确定此C o o k i e 是否是上次所发送的C o o k i e 。这种T C P 握手方式不为T C P 握手保留任何存储单元，但是增加了计算开销。S t a n i f o r d 的S P A D E 系统【1 0 】基于统计学方法对攻击进行检测，它通过检查网络连接的属性组合概率来检测攻击，组合概率越低，表明其为异常的可能性

21、越大。S P A D E 存在的问题是虚警率较高，原因是合法流量中的许多属性组合并不是频繁发生的，其概率较低。2第1 章绪论1 2 2 国内研究状况在国内，任勋益等人【1 1 】提出了基于自相似检测D D O S 攻击的小波分析方法，在区分繁忙业务和攻击方面，该方法更有效，它能够更准确的检测到弱D D O S 攻击。何慧等人1 1 2 提出了基于相似度的D D O S 攻击检测方法，该方法首先对网络流量进行高频统计，然后对其相邻时刻进行相似度分析，根据相似度的变化来发现异常，对于大规模网络下的异常检测该方法比较适合。对上述各种方法进行研究分析不难发现，每一种方法各有利弊，都不能完全有效的检测出

22、D D O S 攻击。众所周知，发现攻击的时间越早，对于有效地解决D D O S 攻击越有利。目前的很多研究工作的着眼点是在D D O S 攻击发生后，往往采用一种“亡羊补牢的工作模式。这种工作模式存在的明显缺点就是：不能在攻击发生后很短的时间内检测出攻击，也就不那及时的启动防御措施抵御攻击。通过研究分析D D O S 攻击的机理发现，在攻击发生之前，网络流量己表现出与正常网络流量不同的特征。基于此，本文通过对D D O S 攻击体系结构的分析，把整个攻击过程分成几个阶段，然后分别研究各个阶段内网络流量的变化，提取出流量变化的特征，用来进行分阶段检测，以达到预测攻击的目的。1 3 作者的主要工

23、作本文的主要工作在于通过对D D O S 攻击的体系结构进行分析，把整个攻击过程分成几个阶段，然后分别对各个阶段内的网络流量变化进行研究，提取出流量变化的特征，在此基础之上，提出了一种应用聚类分析检测D D O S 攻击的方法。并针对此方法设计了检测系统框架。最后通过试验对本方法的有效行进行了验证。1 4 本文的章节安排本文共分五章，按照如下方式组织：第一章：绪论，介绍了本文的研究背景、国内外针对D D O S 攻击检测研究的现状。同时说明了本文的主要研究内容及成果，并介绍了章节安排。第二章：D D O S 攻击技术及检测方法研究，阐述了相关理论知识与技术，主要对于河北大学工学硕士学位论文D

24、D O S 攻击原理、类型及其特征、常用的D D O S 攻击方法和D D O S 攻击检测方法进行了研究介绍，为后面的讨论奠定了理论基础。第三章：基于网络流量特性分析的D D O S 攻击的检测方法的提出，详细介绍了基于网络流量特性分析的D D O S 攻击的检测方法的内容。第四章：面向D D O S 攻击的检测系统框架，介绍N T C A D 模型的框架结构已经各个模块的功能。第五章：D D O S 攻击的模拟实验与结果分析，详细介绍了试验环境的搭建，试验过程，以及对试验结果的分析。4第2 章D D O S 攻击技术及检测方法研究! ! 詈璺曼皇曼鲁皇毫曼皇! 曼葛皇! 曼! 皇鼍皇! 皇

25、皇曼皇詈! 鼍Z 曼ZiZm 1m ! 曼曼曼鼍詈皇曼皇詈皇曼毫! 鼍詈曼量詈兽鼍葛皇! ! 曼皇皇皇詈鼍第2 章D D O S 攻击技术及检测方法研究从整体的角度上出发考虑本研究课题，涉及到的研究领域比较广泛，为了能更好的阐述本课题的研究工作，本章将介绍一些相关理论知识，以及在本系统设计过程中使用的技术。2 1D D O S 攻击原理2 1 1 定义D O S 是D e n i a lo f S e r v i c e 的简称，D O S 攻击，即拒绝服务攻击。造成拒绝服务的攻击行为被称为D O S 攻击，其目的是使计算机或网络无法提供正常的服务。当前，最常见的D O S 攻击有连通性攻击和

26、计算机网络带宽攻击。带宽攻击是指以很大的通信流量冲击网络，使得可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过；连通性攻击是指用大量的连接请求来冲击服务主机，使得可用的操作系统资源被消耗殆尽，最终使服务主机无法再处理合法用户的请求，从而造成拒绝服务。而分布式拒绝服务D D O S ( D i s t r i b u t e dD e n i a lo fS e r v i c e 的简称) 攻击是指通过借助客户服务器技术，将多台计算机联合起来作为攻击平台，对一个或多个目标发动D O S 攻击，从而成倍地提高拒绝服务攻击的效力。攻击者通常使用一个盗窃来的帐号将D D O S主控程序安装在

27、一个计算机上，在某个设定的时间主控程序将与大量代理程序通讯，代理程序已经被安装在网络上的许多计算机上，当代理程序收到指令时就会发动攻击。通过利用客户服务器技术，主控程序能在几秒钟内激活成千上万个代理程序发动攻击。D D O S 攻击自出现以来，虽然其技术已经得到不断发展，然而其基本的攻击模型和攻击过程并没有改变，如图1 所示，攻击者组织分等级的攻击结构，在这个结构中，攻击者选择一个以上有安全漏洞的主机做为主控主机，并通过获得访问权限入侵这些主机。选择代理主机的方法和过程与选择主控主机的方法和过程类似，不过攻击者是通过主控主机对其间接入侵的。攻击者会尽量发现并控制更多的主控主机和代理主机来增强攻

28、击强度，这些代理主机在攻击时同时向目标主机发送大量的恶意数据包来执行实际的气河北大学工学硕士学位论文D D O S 攻击。主控主机和代理主机统称傀儡机，它们共同组成傀儡网络，傀儡网络通常是位于受害者所在网络和攻击者所在网络以外的网络。攻击者成功的完成主控主机和代理主机的选择后，便控制这些系统中的通信来准备攻击。攻击目标、攻击的开始时间、攻击的持续时间以及攻击的类型都由这些通信控制完成，为了安全的对傀儡机进行通信和控制，用于通信的消息通常是加密的。图1D D O S 攻击体系结构攻击者通常情况不会直接去控制代理端主机，而是要从主控端主机上转一下，这就是为什么D D O S 攻击难以追查的原因了。

29、从攻击者的角度来说，肯定不愿意自己被暴露，而攻击者使用的傀儡机越多，他她实际上提供给受害者的分析依据就越多。经验丰富的攻击者在攻占一台机器后，会考虑留好后门并且同时清理掉所有日志，如果攻击者把所有日志全都删掉，那么网络管理员会发现日志都没有了，就会知道曾经被入侵过。如果攻击者只把相关的日志项目删掉，让别人看不到异常情况，那么就可以长时间的利用这台傀儡机了。在傀儡机上清除日志是一项非常庞大的工程，即使有好的日志清理工具帮助，攻击者们对这个任务也是感到很头痛，如果在某些傀儡机上日志清除的不是很成功，那么就能通过它上面留下的线索找出控制它的上一级计算机。如果上一级计算机就是攻击者自己的机器，那么攻击

30、者就被暴露了；但如果这是控制用的傀儡机的话，攻击者自身还是安全的。攻击者想要提高分布式拒绝服务攻击的成功率，就需要去控制成千上万的被入侵主6个士个山第2 章D D O S 攻击技术及检测方法研究机，这些主机通常是W I N D O W S 和L I N U X 机器。在不同平台下攻击过程都类似，这个过程可分为以下几个步骤：( 1 ) 扫描大量主机以寻找可入侵主机目标。( 2 ) 入侵有安全漏洞的主机并安装攻击程序。( 3 ) 利用已入侵主机进行攻击。2 1 2D D O S 攻击产生的原因I n t e r a c t 最初设计时，遵循的是端到端的通信模式，即通信端主机使用复杂的功能来保证达到

31、预期的服务，然而中继网络只是提供最少的、最高效的服务；由于I n t e r a c t按分布式的方式管理，因此在使用者当中就无法实施共同的安全策略；这样就会产生一些安全隐患，就有可能引发分布式拒绝服务攻击。下面是四种常见的D D O S 攻击产生的原因：( 1 ) 首先，I n t e r n e t 的网络资源是有限的。由于I n t e r n e t 上的各个主机的资源都是有限的，所以只要使用者足够多，就会耗尽所有资源。( 2 ) 其次，I n t e m e t 的安全非常独立。发动D D O S 攻击通常从入侵有安全漏洞的主机开始，所以被入侵主机的安全不仅取决于自身的安全，还取决于

32、整个I n t e r n e t 网络上其他主机的安全状态。( 3 ) 再次，安全策略不能同资源一起被分配。通常，为了满足服务保证，在一个端到端的通信模式中，将会把大多数的安全策略分配给端主机；而且大吞吐量通信要求在中继网络中要有高带宽；所以攻击主机可能恶意滥用不受中继网络监控的大量资源来发送大量的消息到受害者主机，从而造成分布式拒绝服务攻击。( 4 ) 最后，由于攻击者的资源远远多于受害者的资源，所以多个傀儡主机协同执行的恶意攻击行为会对受害端主机造成伤害。2 2D D O S 攻击特征及分类当前，根据习惯，D D O S 攻击类型可按攻击效率、自动化程度、被入侵主机的脆弱性、入侵路径，以

33、及攻击所造成的影响来划分。接下来，我们就按以下三种分类方式进河北大学T 学硕+ 学位论文行介绍，即按入侵路径分类，按自动化程度分类和按入侵主机的脆弱性进行分类【1 3 】。2 2 1 按入侵的路径分类D D O S 攻击按入侵的路径可分为直接攻击和反弹攻击。1 直接攻击：攻击者通过控制若干台控制服务器，发送控制消息给事先入侵并己植入D O S 攻击程序的从攻击服务器，控制从攻击服务器群发起对目标机的攻击，从攻击服务器群将产生大量的源口地址为伪造的或随机的网络数据流量，这些数据流量被发送给目标机，由于数据流的源P 地址是伪造的，所以追查起来难度很大。2 反弹攻击：通过利用反弹服务器技术，可以更好

34、地发动强大的难以追查的攻击。反弹服务器是指当收到一个请求数据报后就会产生一个回应数据报的主机。例如，所有的D N S 服务器，W E B 服务器，及路由器都是反弹服务器，因为他们会对S Y N 报文或其他T C P 报文回应S Y NA C K 报文，以及对一些m 报文回应I C M P 数据报超时或目的地不可达消息的数据报。而攻击者就可以利用这些回应的数据报对目标服务器发动攻击。图2 反弹攻击网络结构图第2 章D D O S 攻击技术及检测方法研究利用反弹进行D D O S 攻击的网络结构如图2 所示，攻击者首先找到大量的可以作为反弹服务器的服务器群，然后攻击者们集中事先受控的从服务器群，向

35、己找到的反弹服务器群发送大量的欺骗请求数据包( 口包源地址为攻击目标地址) ，反弹服务器收到请求后将向受害服务器发送回应数据报。结果是上百万个洪水数据报涌向受害服务器，来源如此分散的洪水流量将堵塞任何其他的到受害服务器的连接请求。因为所有攻击数据报的源邛地址都是受攻击的反弹服务器的地址，所以受害服务器无法追查攻击的真正来源。另一方面，反弹服务器的管理人员也难以追查到从服务器的位置，因为它所收到的数据报都是伪造的( 源P 地址为受害服务器的m 地址) 。原则上，我们可以在反弹服务器上利用追踪技术来发现从服务器的位置，但是，反弹服务器上发送数据报的流量远小于从服务器发送的流量，每一个从服务器可以把

36、它发送的网络流量分散到所有或者一大部分反弹服务器，因此追查起来也是非常困难的。值得我们注意的是，攻击者利用反弹技术，不像以往D D O S 攻击，不需要把服务器作为网络流量的放大器( 发送比攻击者发送的更大流量的网络数据) ，他们甚至可以使洪水流量变弱，最终才在目标服务器汇合成大流量的洪水数据。这样的机制让攻击者可以利用不同网络结构机制的服务器作为反弹服务器，使其更容易找到足够数量的反弹服务器用来发起攻击。2 2 2 按自动化程度分类D D O S 攻击按自动化程度分类可分为手动攻击、半自动攻击和自动攻击。手动攻击就是指利用被入侵的傀儡主机直接对受害者主机进行命令行输入攻击，例如P I N D

37、O FD E A T H 攻击就属于手动攻击。而半自动攻击是指在入侵攻击当中，在进行主机间的通信时需要部分的手动控制，半自动攻击按通信模式又可以分为间接通信攻击和直接通信攻击两种方式。间接通信攻击是通过利用控制层来提高D D O S 攻击的健壮性，例如，攻击者可以使用I R C 通道进行代理来与主控端进行通信，这样就提供了充分的匿名服务给攻击者主机。D D O S 代理端建立了到标准服务端口的向外连接，而这个端口通常是一个合法的网络服务使用端口，这样就不易区分出来控制端到代理端的通信与合法的网络通信。攻击端通过使用I R C 通信通道控制代理端，而代理端通常监听一个不会被网络扫描器轻易发河北大

38、学T 学硕十学位论文现的端口，这样即使发现了某个代理端，也不能进一步识别被D D O S 网络使用的一个或多个I R C 服务器与通道。由此可知，识别D D O S 网络主要依赖于跟踪连接到I R C 服务器上的代理端的能力。而在直接通信攻击中，为了相互通信，主控端与代理端必须相互知道彼此的特性，这主要是通过对攻击代码中的主控端主机的I P 地址硬编码来实现。安装攻击代码在代理端主机，然后代理端主机向主控端主机报告准备就绪，为了以后能相互通信，主控端主机将它的口地址存入文件中。这种方式的缺点是：只要一台被入侵主机被发现，就暴露了整个D D O S 网络。自动攻击是指攻击过程能自动的完成，攻击端

39、主机与代理端主机间不进行通信，攻击的类型、攻击发起的时间、攻击持续的时间以及受害端主机的m 地址被事先编写在攻击代码中。这样的攻击机制可以最小限度的暴露攻击端主机，因为它只需要发出单个命令就可以开始攻击了。半自动攻击与自动攻击都使用扫描策略与繁殖技术接管代理端主机，所以可以按繁殖技术和扫描策略进一步分类这两种攻击。半自动攻击按繁殖机制可分为以下几类：( 1 ) 回链复制：入侵一台有漏洞的主机，使之执行指令，从攻击主机向新入侵的主机传送一份攻击工具包到中央源点，要求攻击主机能从受害主机接受连接或向它发送文件。( 2 ) 中心源点复制：入侵一台有漏洞的主机，使之执行指令，用来从中心位置向新入侵的主

40、机传送一份攻击工具包，然后脚本自动安装控制工具，初始化另一攻击循环，文件传输常采用F T P 、H T T P 等常用网络协议。( 3 ) 自治复制：在入侵过程中将攻击指令直接注入到受害主机的进程中，从而导致攻击循环自动重新初始化，无需从外部的结点获得文件，因此这种方式有更强的健壮性，不容易被发现。自动攻击按扫描策略可分为以下几类：( 1 ) 随机扫描攻击：被入侵的每台主机使用一个不同的I P 起始值，搜索地址空间中的随机地址，因为相同的地址可能被多台主机搜索到，所以这种方法可能生成大的网络流量。l O第2 章D D O S 攻击技术及检测方法研究( 2 ) 全排列扫描攻击：所有的被入侵主机共

41、享一份m 随机全排列，每个m 地址映射为这个全排列中的一个索引，每台机器将从其I P 地址算来的一个索引作为起点开始进行扫描，当扫描到一个已经被入侵的机器时，它将随机选择一个新的起点。( 3 ) 命中表扫描攻击：用一台机器从- # F 部提供的表中搜索所有的地址，当发现一有安全性脆弱的机器，向其发送初始的命中表的一半，自己保存另一半。这种技术会有较高的繁殖速度，且在扫描阶段不会有冲突发生。( 4 ) 拓扑扫描攻击：使用在被侵入主机上的信息来选择新的入侵目标，所有电子邮件蠕虫都使用拓扑扫描来从地址薄中搜索扩散信息的。2 2 3 按入侵主机的脆弱性分类按入侵主机的脆弱性可分为B R U T E F

42、 O R C E 攻击和协议攻击两类：1 、B R U T E F O R C E 攻击：通过初始化大量的看似合法的事务请求来进行进行攻击。一个上行的网络通常发送的数据流量比受害端网络能处理的网络数据流量要大，这就将耗尽受害端系统资源。进一步可将B R U T E F O R C E 的攻击按包内容同受害者服务的关系分为：不可过滤攻击与可过滤攻击。( 1 ) 不可过滤攻击：攻击使用从受害端请求合法服务的数据包，过滤匹配攻击特征的所有数据包将导致拒绝提供合法客户指定的与攻击端指定相同的服务。( 2 ) 可过滤攻击：攻击使用假的数据包或提供给受害端主机操作的非临界服务的数据包，可用防火墙过滤。协议

43、攻击与B R U T E 。F O R C E 攻击问的区别不大，协议攻击用较大的流量来耗尽受害端的资源，并且常利用在远端主机的协议缺陷执行“反弹 B R U T E F O R C E 攻击，例如D N Sr e q u e s ta t t a c k 。两者区别在于通过修改在受害端的使用协议可以减少协议攻击的影响，而对于B R U T E F O R C E 攻击，由于他们滥用合法的服务、或它本身有限的资源，这样是无效的。通过修改使用协议进行防止协议攻击，更多地将相应的攻击机制归入B R U T E 类型。B R U T E F O R C E 攻击需要产生比协议攻击更大容量的攻击包，才

44、能在受害端造成破坏，通过修改受害端的使用协议提高了脆弱性的下界。特定攻击的分类需要考虑使用的攻击机制与受害端的配置，攻击包内容的多变性由侵入的脆弱性决定。数据包补丁协议与非可过滤原始方式攻击必须指定某些有效的包头河北大学工学硕士学位论文域，及可能的某些有效内容。例如T C PS Y N 攻击包协议标志域不变，H T T Pf l o o d 包必须隶属于一个己建立的T C P 连接，除非他们从合法客户端盗取连接，否则不能伪造源地址。2 、协议攻击：这种攻击方式是利用安装在受害端的某些实现缺陷或协议特定属性缺陷，来发动攻击耗尽其相关资源的，例如C G I 请求攻击、T C PS Y N 攻击、以

45、及认证服务器攻击都属于这种攻击。在C G I 请求攻击中，攻击者通过发布多个C G I 请求耗尽受害端的C P U 时间的。在T C PS Y N 攻击中，利用的是主机在接受一个T C PS Y N 请求后，立即在其连接队列中分配实际空间的特性，攻击端就是通过初始化不完全的多个连接来耗尽连接队列的。在认证服务器攻击中，验证签名过程比产生假签名消耗更多的资源，攻击端通过发送大量的假认证请求到服务器，来耗尽服务器的资源，形成拒绝服务的。2 3D D O S 攻击方法研究2 3 1IPS p o o fin g“I PS p o o f i n g ”技术经常被攻击者用来入侵系统，以达到隐藏入侵者的

46、身份或加强D O S 攻击能力的目的。因为分组过滤系统对每个数据分组采用的规则仍是依据该分组的来源位置而定，而“I PS p o o f i n g 技术可以改变网络数据分组的源口地址，欺骗路由器或防火墙，伪装入侵者是来自于可信任的网络，而顺利进入私有网络，在进行D O S攻击时，此技术还可以帮助攻击者隐藏自己。2 3 2Pin go fD e a t h这种攻击方法是利用P i n g 来产生超过P 协议所能够允许的最大数据分组，当这个数据分组到达没有检查功能的系统，则可能会造成系统死机。通常，长度超过6 5 5 3 5 字节的数据分组便是一个不合法的数据分组，但是可以把过长的数据分组切割成

47、可以接受长度的片段后，逐一传送至远程计算机后再将这些片段组合还原成完整的数据分组，但这样有时会造成对方计算机的缓冲区溢出而导致死机或重1 2第2 章D D O S 攻击技术及检测方法研究启，从而形成拒绝服务。2 3 3T e a r d r o p这种攻击方法是利用口数据分组重组的漏洞进行攻击的。当数据经由网络传送时，P 数据分组经常会被切割成许多小片段，除了一些记载位移的信息，每个小片段和原来数据分组的结构大致都相同。这种攻击方式是发送出一对经过特别设计的数据分组片段，使得这一对数据分组片段在远端计算机上重新组合时形成与原来数据不合的数据分组。它的原理在于改变第二个片段的位移信息使得第二个片

48、段的数据往左移至第一个片段的中间从而与第一个片段数据重叠，当系统检查到后面片段的数据长度大于重叠的数据片段时，重叠部份将会被略过，但是当后面片段的数据长度小于重叠的数据片段时，就会因为数据片段长度太小而引发错误，导致死机或重启。一般地，当接收方接收到传来的数据分组时，只会去检查是否太长，即是否应该舍弃重叠多余的部分，但却不会去检查是否太短而造成了错误，所以当这些片段到达目的地而被重组时，会让提供网络服务的主机因误判数据分组的大小而使整个程序当掉，也可能会造成一些系统当机。L a n d 和S Y Nf o o d 攻击都是利用T C P I P 协议本身的漏洞，在作T C P 连接时，A 会先

49、送出联机要求S Y N 数据分组给B ，当B 收到之后，它为该联机要求配置系统资源并响应一个S Y N A C K 数据分组给A ，最后A 会送出一个A C K 数据分组给B 当作确认，如果这些动作都无误，那么A 就开始传送数据到B 。L a n d 攻击，属于反弹攻击。L a n d 攻击会送出一连串的S Y N 分组给攻击目标主机，并且利用I PS p o o f i n g 假造一个从攻击目标发送到攻击目标的分组，让系统以为这些分组都是它自己发送的，当系统在处理这些分组时，会依照该分组内的假I P 地址与假T C P端口寄回给自己，如此重复执行寄回自己的动作，就会造成系统变慢，甚至当机。

50、进行S Y NF l o o d 攻击时，对欲攻击的系统发送一连串具有假源地址的S Y N 分组，每个分组会让系统响应一个S Y N A C K 分组至假源地址甚至是网络上不存在的地址，然后系统会等待对方送出A C K 分组。系统队列里的S Y N A C K 分组必须等到接收到对方的A C K 分组或超过超时时间才会抛弃，因为系统回送的S Y N A C K 分组传至假的或是不存在的地址，因此当然会收不到对的A C K 分组；最后系统队列会因为充满了S Y N A C K河北大学T 学硕+ 学位论文分组而无法再处理其它正常使用者的要求。我们以W i n d o w sN T4 0 为例说明，